Somos una pequeña empresa de inicio que ejecuta un servidor dentro de las instalaciones de los clientes y ciertos archivos deben mantenerse cifrados en ese servidor. Queremos que el descifrado solo sea posible cuando conectamos una unidad USB particular (con la clave privada en su interior). ¿Hay implementaciones gratuitas de esto? Intenté usar GPG pero no permite que la clave privada se almacene temporalmente (a diferencia de SSH).
No usaría ese enfoque. Cuando monte una unidad USB, lea un archivo desde ella, etc., todo tipo de copias de esos datos podrían terminar en la memoria del sistema operativo, los registros, etc. Estará luchando una ardua batalla para hacer esto seguro, especialmente si el atacante tiene la capacidad de tomar volcados de memoria del servidor, o plantar malware en el servidor.
Un mejor enfoque sería utilizar algún tipo de módulo criptográfico de hardware USB para que el servidor nunca tenga que tocar las claves privadas. La idea es que las claves criptográficas vivan en el dispositivo criptográfico y nunca las dejen, usted envía los datos que desea cifrar / descifrar al dispositivo, realiza la operación criptográfica por usted y devuelve los resultados.
Con este enfoque, se garantiza que no existan cachés de la clave privada en el servidor porque el servidor nunca lo tocó en primer lugar, y si extrae el dispositivo USB, el servidor pierde la capacidad de realizar operaciones criptográficas. que creo que es lo que quieres.
Algunas tecnologías / términos de búsqueda que puede buscar incluyen:
Es posible que desee buscar soluciones basadas en hardware como tarjetas inteligentes USB, TPM o HSM ligeros donde se realiza la criptografía en el dispositivo para que el servidor nunca toque la tecla.
Una posibilidad sería usar una partición cifrada o un archivo contenedor usando luks / cryptsetup. Puede almacenar la clave de descifrado en un archivo en una unidad flash y configurar la ubicación en /etc/crypttab . De esa manera, la partición cifrada solo se puede montar mientras la unidad USB esté disponible, pero seguirá siendo legible hasta que la desmonte manualmente, incluso si desenchufa la unidad USB.
Por supuesto, la clave se puede duplicar fácilmente desde la unidad, pero tendrá que vivir con eso, ya que indicó anteriormente que no desea utilizar ninguna tarjeta inteligente.
Lea otras preguntas en las etiquetas key-management encryption smartcard pkcs11