¿Cuál es el valor de cifrar una carga útil cuando se transferirá a través de sftp de todos modos?

Navega tus respuestas
7

Tenemos un acuerdo de integración para enviar contenido a través de Internet y el protocolo acordado se encripta y luego lo envía a través de sftp.

¿Qué razón podría haber para cifrar el contenido dos veces?

No puedo ver ninguna buena razón para ello.

  

El algoritmo para el cifrado es AES   con modo CBC para mayor seguridad

     

Los algoritmos de hashing definidos por   NZSIT 402: 2008 debería estar utilizando SHA   256; por lo tanto el algoritmo utilizado para   derivar la clave es PBKDF1 (definido en   PKCS # 5 v2.0 y documentado en RRC   2898) con SHA256 como otro generador   que PBKDF2 que se basa en SHA1   generador; También se recomienda   utilizar la fuerza de cifrado de 128 bits a menos   Se requiere mayor seguridad.

Los servidores Bastion ssh / sftp se utilizan en uno, al menos, un lado de la comunicación, pero parecen estar 'cerca' del sistema de punto final y nadie habla sobre el riesgo de que los servidores intermedios se vean comprometidos.

    
pregunta Andrew Russell 04.05.2011 - 13:59
fuente

1 respuesta

21

No tiene sentido si su modelo de amenaza solo está considerando la intercepción o la modificación en tránsito.

Sin embargo, los archivos que se envían a través de SFTP a menudo se ubican en un servidor de prueba tanto en la recepción como en el almacenamiento. Si le preocupa el acceso no autorizado en estos puntos, vale la pena cifrar el archivo y el cifrado de transporte.

Además, si tiene una amenaza y un requisito de no rechazo y / o desea que un método para verificar el archivo no haya sido modificado (por ejemplo, por un administrador una vez recibido) o enviado por la parte autorizada (defensa en profundidad a la autenticación y autorización de la conexión SFTP, por ejemplo, cuando se proporciona un conjunto de credenciales de SFTP a una empresa, pero el archivo solo debe ser enviado por el departamento de finanzas). En todos estos casos, tener un archivo firmado criptográficamente, p. Ej. La firma pgp que se puede verificar es un control de seguridad útil

    
respondido por el Rakkhi 04.05.2011 - 14:34
fuente

Lea otras preguntas en las etiquetas

¿Herramienta o proceso para verificar el soporte de AES-NI en el procesador? ¿Todavía necesitamos cifrar / descifrar datos en la capa de aplicación, a pesar de usar TLS / SSL?