Implicaciones de seguridad de almacenar instantáneas encriptadas en la nube

Navega tus respuestas
0

Tenemos que entregar una aplicación de contabilidad / revisión basada en SQLite de conocimiento cero que se ejecute en Mac 10.6 y superior.

Se nos pide que subamos instantáneas de la base de datos a la nube (AWS S3 o GCP) a intervalos regulares; por lo tanto, cualquier contador con credenciales correctas puede descargar la base de datos y comenzar la auditoría sin limitaciones geográficas.

Hemos decidido hacer las cosas instantáneas cargando sqldiff s cifrados en el servidor. Además, una vez que se completa la auditoría, se carga toda la base de datos.

Soy un programador junior, no un tipo de seguridad, por lo que probablemente no sea de mi incumbencia sino por curiosidad ...

¿la práctica de almacenar cientos de archivos cifrados, que en texto sin formato sería como diferencias incrementales, socava de alguna manera la ocultación de los datos subyacentes?

En esencia

Tengo archivos de parches así:

tomada a las 3.00 AM 

alice

tomada a las 3.01 a.m. 

alice
bianca
carolina

tomada a las 3.02 a.m. 

alice
bianca
carolina
doofenshmirtz
  1. El tamaño de los archivos de parches siempre es inferior a 100 kB.
  2. Los archivos de parches contienen datos redundantes, solo mire los ejemplos.
  3. Los archivos de parches se cargan en cada minuto de operación.
  4. El cliente probablemente tiene más amenazas de los competidores locales (en la nación) que los gigantes.
  5. Todos estos archivos de parche están cifrados en el lado del cliente, utilizando openssl , AES256 CBC.
  6. Los usuarios (menos de 50) tendrían que memorizar las claves compartidas en persona
  7. No habíamos pensado en cambiar la contraseña periódicamente, pero planeamos hacer cumplir los requisitos de contraseña habituales.

Tengo curiosidad por las implicaciones de los puntos 1, 2 y 3.

    
pregunta vvsLaxman 08.02.2018 - 10:23
fuente

1 respuesta

1
  

¿La práctica de almacenar instantáneas de sqldiffs encriptados socava la ocultación del texto sin formato subyacente de alguna manera?

No está del todo claro lo que está preguntando aquí. Supongo que está preguntando si es seguro almacenar texto simple cifrado en la nube.

La respuesta corta es "quizás".

En teoría, esto puede ser lo suficientemente seguro para los riesgos que presenta. Por supuesto, solo las personas familiarizadas con esos riesgos pueden realizar una evaluación adecuada de manera realista, por lo que esta respuesta no debe tomarse como una recomendación.

Hay una serie de problemas potenciales que deben considerarse al evaluar el riesgo:

  • ¿Qué tan protector es el cifrado que se está utilizando? ¿Cumple con los últimos estándares?
  • ¿Cuánto tiempo se está utilizando una clave?
  • ¿Es el código de acceso lo suficientemente fuerte?
  • ¿Hay un solo código de acceso? (Reutilizar los mismos códigos de acceso para cifrar datos diferentes puede, en última instancia, comprometer el cifrado).
  • ¿Cómo se gestiona la contraseña / clave? ¿Cómo se comparte? ¿Quién tiene acceso?
  • ¿Cuánto tiempo permanecen en línea los datos cifrados?
  • ¿Qué valor tienen los datos? (vale la pena que los atacantes inviertan mucho tiempo / dinero en llegar a los datos)

Podría seguir, pero espero que puedas ver la forma aquí.

Realmente, la pregunta no es acerca de poner datos encriptados en la nube, es, como suele ocurrir con la seguridad, sobre cómo se gestionan las cosas y cuál es el riesgo general y el apetito por el riesgo.

    
respondido por el Julian Knight 08.02.2018 - 14:03
fuente

Lea otras preguntas en las etiquetas

¿Cómo ejecutar las pruebas FCS_TLSS para la evaluación de criterios comunes? [cerrado] ¿Qué cuantificador de SPF se aplica cuando se usa un SPF incluido?