Acceda a archivos encriptados (dm-crypt / LUKS) a través de la aplicación web

0

Soy un novato en cuestiones de cifrado y estoy tratando de resolver algunas preguntas.

Para una aplicación distribuida, necesitamos implementar un servidor fuera de nuestra empresa con archivos PDF sensibles. Esto se debe a que es necesario acceder a esos archivos a través de otro sistema (flota de tabletas), y la enorme cantidad de esos archivos descarta el acceso a través de la red desde nuestros servidores.

He estado investigando la solución dm-crypt / LUKS que parece responder a mis problemas, aunque tengo algunas preguntas:

  • ¿Una aplicación java, implementada a través de Tomcat, podrá acceder a esos archivos sin problemas? Supongo que sí, si comienzo Tomcat con sudo, pero nuevamente, novato ...
  • ¿Puedo considerar el montaje del volumen a través de la aplicación web? soy considerando recuperar la contraseña a la partición encriptada a través de un servicio web y almacene la contraseña en uno de nuestros servidores.
  • ¿Qué tan malo es la sobrecarga para descifrar esos archivos sobre la marcha? El
    Los datos encriptados serán accedidos de forma simultánea por 4-5 usuarios. recuperando alrededor de 50 MB (tamaño descifrado) de datos.

Gracias por tu ayuda

    
pregunta Nikolai 07.11.2016 - 10:23
fuente

1 respuesta

2
> Will a java app be able to seamlessly access those files?

Sí, y no necesitas sudo para eso (NUNCA FUNCIONA UN SITIO WEB COMO RAÍZ). Una vez que se abre y monta la partición luks, el software de la aplicación solo ve un sistema de archivos normal.

> Can I consider mounting the volumen through a webapp?

El montaje requiere permisos de root, por lo que debe tener mucho cuidado al escribir la aplicación web. Lo ideal es escribir un pequeño archivo ejecutable suid que solo haga el montaje con una contraseña determinada, y llamar a eso desde la aplicación web, dando a la aplicación web ningún privilegio especial en absoluto. Tenga mucho cuidado con el manejo de la frase de contraseña: si no tiene cuidado, la frase de contraseña podría terminar en un registro en el servidor o ser visible en el sistema en ejecución / proc.

> How bad is the overhead for decrypting on the fly?

Para solo 4 a 5 usuarios que descifran solo 50 MB de datos cada uno, no notará el uso adicional de la CPU causado por el descifrado.

Nota: Siempre que su servidor se ejecute con la partición luks abierta, cualquier persona con acceso al servidor, obviamente, podrá leer todos los archivos cifrados. Luks solo protege los datos en reposo (por ejemplo, cuando alguien saca los discos duros de su servidor y se escapa con ellos).

    
respondido por el Pascal 07.11.2016 - 11:02
fuente

Lea otras preguntas en las etiquetas