Como @Graham Hill señaló en su respuesta , encripta correctamente antes de que salga por el cable.
Amazon le permite especificar que desea que cifren sus objetos S3 , pero como admiten en su documentación , puede (y debe) cifrar Tu información antes de que llegue a ellos. Su propio cifrado que agregan a sus objetos antes / durante el guardado solo lo protege potencialmente contra alguien que accede mal a los servidores de Amazon: piense que un atacante obtiene acceso a los centros de datos internos de Amazon. Incluso en este caso, no está tan claro que estaría protegido, ya que si un atacante tiene acceso de root a una máquina, puede extraer fácilmente las claves de cifrado.
Lo que hace la mayoría de las personas (conscientes de la seguridad)
El mejor consejo sería cifrar sus archivos utilizando métodos bien conocidos y probados, probablemente con cifrado PGP / GPG en este caso. Sin embargo, un inconveniente del cifrado PGP es que es sencillo determinar el tipo de archivo inspeccionando el contenido:
# encrypt myfile.jpg using PGP encryption to a new file called "things"
$ gpg --output things --encrypt --recipient [email protected] myfile.jpg
# what kind of file is "things"?
$ file things
things: GPG encrypted data
Sin embargo, solo porque sepa que se trata de un archivo cifrado con PGP no significa que sepa lo que contiene, especialmente si le asigna un nombre de archivo aleatorio.
Para el verdaderamente paranoico
Una forma aún mejor de
1 de hacer las cosas sería crear un contenedor respaldado por archivos usando TrueCrypt
2 , que es para todos los efectos y propósitos un blob binario que no revela realmente
qué es exactamente . Además, puede usar
oculto de TrueCrypt función de volumen para obtener
deniability plausible . Dale un nombre divertido como este:
$ uuid | sha256sum - | cut -b 1-64
a42815e0a68efac65903cdbbbbf2875ee082d3e5f4f8ee831cbbe27606a8399f
Y tendrás un blob binario con un nombre incoherente, generado aleatoriamente, que es un volumen TrueCrypt (y posiblemente contiene un volumen oculto adicional). Cualquiera que descargue este archivo no podría adivinar qué es incluso el archivo y, si usa una frase de contraseña significativamente fuerte, debería estar seguro.
¿Quieres ser paranoico? Genere una tonelada de estos volúmenes, cada uno con su propio nombre y su propia frase de contraseña significativamente sólida y coloque sus archivos encriptados PGP / GPG dentro de los volúmenes. Los volúmenes tendrán tamaños estáticos y cambiarán significativamente a medida que modifique los archivos dentro de ellos.
1 Posiblemente.
2 ¿Te asusta la seguridad de los volúmenes de TrueCrypt? Lea la auditoría de seguridad , y sepa que después de leer la auditoría de la Fase I, Bruce Schneier todavía lo usa .