Estrategia para el cifrado antes del almacenamiento en la nube

Question

Estrategia para el cifrado antes del almacenamiento en la nube

#1 de SEJPM (1 votos)

1

Le pedimos disculpas si esto se ha pedido anteriormente.

Estoy buscando encriptar documentos antes de almacenarlos en la nube.

Habrá un almacenamiento de metadatos separado, que puede ser interno o alojado en la nube.

Mi estrategia sería generar una nueva clave simétrica para cada documento (o lote de documentos si la generación de claves es costosa), y luego cifrar la clave utilizada con otra clave 'global' (simétrica o asimétrica) y registrar esta encriptada clave dentro del almacenamiento de metadatos.

Los documentos están seguros siempre que la clave global no esté comprometida, pero podría facilitar la administración de la clave ya que cambiar la clave global significa volver a cifrar la clave utilizada solo en los metadatos, en lugar de tener que volver a cifrar el documento alojado en la nube.

¿Le parece una estrategia sensata o hay una mejor que podría recomendar?

key-management encryption storage

pregunta toolkit 08.04.2015 - 01:10

fuente

1 respuesta

Lea otras preguntas en las etiquetas key-management encryption storage

La cuenta de Gmail y / o Flipkey-Tripadvisor hackeada, cómo prevenir en el futuro Configuración de una red Ad-Hoc segura

score 1 · Answer 1

Primero, no es un problema usar una clave simétrica diferente para cada documento, la generación es fácil ya que solo tiene que generar una cadena aleatoria de 16-64 bytes, una cuestión de milisegundos (en su mayoría).

Como amenazas, supongo que consideras tu proveedor de servicios en la nube y cualquiera que pueda hacerse cargo de los documentos.

El enfoque que usted proponga debería funcionar.
El documento debe estar cifrado y autenticado utilizando un modo AEAD como AES-GCM.
Agregue un encabezado (que puede almacenarse en el almacenamiento de metadatos, sin importar dónde), que se autentica y encripta (usando un modo AEAD como AES-GCM) usando su clave maestra.

Escenario 1: haces esto para el acceso personal. Puede almacenar los metadatos localmente o en la nube, no hará una diferencia.
Debe usar la derivación de clave basada en contraseña para derivar la clave maestra de su contraseña. La clave maestra será simétrica y se utilizará para cifrar + autenticar / descifrar + verificar el encabezado del archivo.

Escenario 2: haces esto para una empresa o un grupo más grande de personas. Debería optar por alojar en la nube los metadatos para que todos tengan acceso si es necesario.
Almacena el encabezado cifrado como se describe anteriormente.
Le da a todos una copia de la clave maestra, para que puedan cifrarla con su propia contraseña (nuevamente utilizando cifrado autenticado + PBKDF)