En nombre de la separación de funciones, me preguntaba si existe una forma simple (o incluso no tan simple) de dividir la capacidad de descifrar un archivo cifrado EFS de modo que se requieran dos DRA para descifrar el archivo , al mismo tiempo que permite que el propietario del archivo lo descifre por sí mismo. ¿Es eso posible?
Si hay alternativas a EFS que tienen esta opción, también sería información útil.
Sí, esto es posible, pero no creo que EFS lo admita directamente. Existe una técnica de intercambio secreto llamada Shamir's Secret Sharing que proporciona información teórica para compartir un secreto dado donde un número arbitrario De las partes individuales se requieren para calcular el secreto original. Del artículo de Wikipedia, una de las propiedades proporcionadas parece describir perfectamente lo que desea:
En las organizaciones donde la jerarquía es importante, podemos proporcionar a cada participante un número diferente de piezas según su importancia dentro de la organización. Por ejemplo, el presidente puede desbloquear la caja fuerte solo, mientras que se requieren 3 secretarias para desbloquearla.
En su situación, desearía usar el secreto como la clave de cifrado del archivo. Podría dividir el secreto, por lo que se requieren dos DRA para descifrar un archivo, pero el propietario del archivo tiene suficientes "partes" del secreto para que pueda derivar el secreto final requerido para descifrarlo sin ninguna otra información del exterior. Una implementación simple sería el código abierto ssss o sss utilidades.
Lea otras preguntas en las etiquetas privilege-separation efs