Wie effizient viele Dateien alle paar Monate verschlüsseln verschiedene Passwörter verwenden?

Question

Wir machen tägliche Backup für einige Konfigurationsdateien von vielen Servern. Jede Conf-Datei (komprimiert) reicht von 100 KB bis zu einigen MB. Die Anzahl der neuen Dateien, die täglich erhöht werden, beträgt ungefähr 650. Sie sind sehr wichtig und vertraulich, daher verschlüsseln wir jede Datei mit demselben Passwort. Allerdings müssen wir diesen Satz alle 3 Monate ändern. Und alte Dateien können nicht gelöscht werden, wir müssen sie alle mit einer neuen Phrase neu verschlüsseln. Derzeit haben wir mehr als 300.000 Dateien. Sie sind in einem Netzwerkspeicher gespeichert. Es ist sehr schmerzhaft, alle 3 Monate so viele Dateien zu entschlüsseln und zu verschlüsseln.

ich die Verwendung von GPG erwäge:

1. gen eine neuen GPG-Schlüssel
2. eine Passphrase für die es gesetzt, Passphrase verwendet, die alle 3 Monate aktualisiert wird
3. verschlüsselt jede conf Datei Verwendung dieser GPG-Schlüssel
4. 3 Monate später
5. nur Passphrase von GPG-Schlüssel spätestens ein ändern, keine Notwendigkeit zu entschlüsseln und verschlüsseln alle alten Dateien

Aber das scheint unsicher. Alle Dateien können mit dem gleichen GPG-Schlüssel mit älterem Passwort entschlüsselt werden, wenn jemand die alte GPG-Datenbank besitzt.

Gibt es eine klügere Möglichkeit, diese Art von Aufgabe zu erledigen? Vielen Dank.

Backup-Task wird täglich auf einem Server ausgeführt, alle verschlüsselten Dateien werden im Netzwerkspeicher gespeichert. Nur wenige haben einen Verschlüsselungsschlüssel und Zugriff auf den Backup-Server.

Answer 1

Mein Vorschlag ist, die Datenverschlüsselung gleich zu lassen. Erstellen Sie einen Anbieter auf einem Server, und alle Anforderungen für die Daten werden an diesen Server gesendet. Keine andere Entität verfügt über den Verschlüsselungsschlüssel. Ändern Sie die Authentifizierung in regelmäßigen Abständen auf dem Anbieterserver.

Wenn die Daten wertvoll sind, investieren Sie in ein HSM (Hardware Security Module) und verwenden Sie es, um den eigentlichen Verschlüsselungsschlüssel zu sichern. Eine Methode besteht darin, dass der Provider-Server die Verschlüsselung nur bei der Entschlüsselung erhält und der Schlüssel dann nur im RAM nie in einer Datei gespeichert wird. Ein anderes Verfahren, bei dem die Entschlüsselungsanforderungen nicht zu häufig und zu groß sind, besteht darin, dass das HSM die tatsächliche Verschlüsselung und Entschlüsselung durchführt, wobei der Verschlüsselungsschlüssel niemals außerhalb des HSM verfügbar ist. HSMs beginnen bei ungefähr $ 500 und steigen im Preis schnell. Es gibt Sicherheitsebenen, die bis zur Manipulation reichen können: erkennen den Eindringversuch und zerstören den Inhalt des Prozesses.

Answer 2

Dies ist ein typisches Problem, so dass es eine Musterlösung hat.

Hauptsächlich sollten Sie den Schlüssel "K" verwenden, um die Dateien zu verschlüsseln, und dieser Schlüssel sollte verschlüsselt mit Schlüssel "A" gespeichert werden.

Taste „K“ sollte nicht nether jedermann zugänglich verteilt werden sonst wird der Dienst, der Taste „A“

Schlüssel altersschwach kann „A“ gedreht werden sollte, so dass jedes Mal die Taste „A“, es hat sich verändert sollte Schlüssel "K"

neu verschlüsseln Lassen Sie uns sagen, im zweiten Monat werden wir Schlüssel "A" durch Schlüssel "B" und so weiter ersetzt.