Esquema de encriptación de nube segura, ¿sabe cuál es el estándar para esto?

2

Me pregunto si el escenario a continuación tiene un nombre o es algo en uso.

El objetivo es mantener los datos encriptados en el almacenamiento en la nube, lo cual es más barato, por lo tanto, más barato, pero luego no permite que el proveedor de alojamiento lea los datos.

Además, el punto es no permitir que las llaves se comprometan, por lo que la clave no se almacenará en los escritorios. Los escritorios recibirían los datos cifrados a través de SSL cuando se solicite.

Ahora, técnicamente, habría que configurar las API de almacenamiento en la nube, así que no estoy pidiendo ningún producto, ¿pero si alguna vez se hiciera algo así?

Por ejemplo, Decryptor tendría que usar la API de la nube para leer, escribir y buscar archivos (la API de la nube permite, por ejemplo, leer para leer y escribir en / desde ciertas compensaciones).

Luego, en la API del cliente, necesitaría tener una API similar. Sin embargo, no estoy seguro de qué método de encriptación sería el mejor. Creo que tal vez debería ir como con los LUKS? Esto se debe a que si quiero añadir un archivo o cambiar algo en el medio, necesitaría descargar, por ejemplo. Bloquea 16kb y sobrescríbelo.

Creo que para la parte de la contraseña puedo usar un mecanismo de cifrado asimétrico estándar, por lo que de esta manera las claves nunca se revelan al cliente y creo que las claves RSA serían buenas por muchas razones, como evitar la fuerza bruta y no bloquear a los clientes. en caso de intentos fallidos, se incluiría en el SDK de todos modos.

El error sería si las claves de cifrado son robadas o el servicio de descifrado se ve comprometido.

Otro punto es permitir la API típica de la nube donde los clientes pueden realizar operaciones regulares en los archivos, por ejemplo. normalmente se cargan, actualice los archivos para que las aplicaciones estándar puedan usarlo.

Esto está diseñado para admitir la nube cuando se usan datos altamente confidenciales y no se puede usar la nube. Por lo tanto, este sería el paso para hacer realmente posible la migración a Cloud Storage. Con esto es mucho más fácil escribir aplicaciones y controlar su seguridad.

Un ejemplo de escenario de uso sería así: la cámara web transmite video en un solo archivo MP4, se conecta al Encryptor en el sitio, el encriptador en tiempo real escribe los datos en la nube a medida que avanza. Al final, la aplicación de transmisión debe sobrescribir el encabezado del archivo MP4. La aplicación de transmisión no maneja ninguna clave que pueda usarse para descifrar el archivo. La transmisión se realiza en tiempo real, pero si hay fallas, la máquina Encryptor puede almacenarla durante un tiempo.

La aplicación de transmisión no necesita tener nada especializado, excepto para poder utilizar la API de almacenamiento en la nube. Puede que aún sea necesario utilizar el certificado de usuario o el usuario / contraseña para cargar los archivos y también está utilizando SSL para hacerlo. Los archivos pueden ser vistos por VLC simplemente apuntando a la URL en Encryptor e ingresando el nombre de usuario / contraseña, para que el video se pueda reproducir en tiempo real. VLC puede buscar el punto en el tiempo sin necesidad de descargar y descifrar el archivo. El video completo puede estar en un archivo, por lo que se puede editar en el editor de video después de la descarga y luego se puede volver a cargar.

    
pregunta Aria 13.08.2016 - 18:32
fuente

1 respuesta

2

Muchos esquemas y productos de copia de seguridad en la nube utilizan esta arquitectura. Los proveedores envían un dispositivo o software cliente que cifra y también administra o se integra con la administración de claves del cliente, y los datos cifrados se envían al almacenamiento en la nube. Las llaves nunca salen de las instalaciones del cliente. Buen enfoque, muy común. Los problemas difíciles en el dominio son la administración de claves en general y la interacción entre la deduplicación / compresión y el cifrado. Los primeros son esenciales para la economía, pero reducen la entropía. La reducción de la entropía puede filtrar información, suficiente para permitir el compromiso de las claves de cifrado.

    
respondido por el Jonah Benton 14.08.2016 - 22:31
fuente

Lea otras preguntas en las etiquetas