어떤 그룹의 사람들을 위해 파일을 암호화하는 데 어떤 시스템을 사용합니까? (OS 독립적 인 것이 좋습니다)?

Question

파일이 많다고합시다. 메타 데이터를이 파일에 저장할 수 있다고 해봅시다. 이 메타 속성 중 하나가 "암호화"라고합니다. 모두가이 파일을 볼 수 있지만 암호화되었으므로 해독 방법을 아는 사람들 만 실제로 내용을 읽을 수 있다고 말합니다. "암호화"의 모든 주어진 가치에 대해 사람들의 그룹은 그 값으로 표시된 파일의 암호를 해독하는 방법에 대한 지식을 공유합니다. OS 가능하지 않은 방식으로 프로그래밍 방식으로이 작업을 수행 할 수 있다고 가정하십시오 (가능한 경우)

"암호화"에 사용할 값은 무엇입니까? 키를 어떻게 보관 하시겠습니까? 키 액세스를 어떻게 구성 하시겠습니까?

나는 현재 다음 구현쪽으로 생각이 기울고 오전 : 현장 "암호화"의 값이 가능 또한 사용되는 알고리즘을 나타내는, 키의 이름을 포함

• 각 사용자의 무리에 액세스 할 수 있습니다 열쇠. 이것은 LDAP/ActiveDirectory 구조와 같은 역할을 가진 사용자가 정의 할 수도 있고 사용자 프로필/home 디렉토리의 보안 디렉토리에있는 파일 일 수도 있습니다.
• 파일을 보는 중 뷰어 (사용자가 문서 관리 시스템을 만들려고합니다)는 사용자 키를 확인하고 일치하는 키가 발견되면 파일을 해독합니다.

어떤 암호화를 사용 하시겠습니까? 대칭 (AES)? 또는 비대칭 (좋은 것들은 무엇입니까?)

비대칭 키를 사용하면 파일을 읽고 파일을 쓰는 데 차이가 생기는 추가 이점이 있습니다. 개인 키에 대한 액세스는 파일을 쓰는 데 필요합니다. 공개 키에 액세스 할 수 있습니다 역할에 액세스 권한이 있음) 파일을 읽을 수 있습니다. 나는 여기에서 완전히 틀린가?

중소 규모 비즈니스에서 사용되는 이러한 문제를 해결하기위한 일반적인 시스템은 무엇입니까?

편집 : 보편적 인 해결책이없는 것 같습니다. 따라서 좀 더 명확하게 해결하려는 문제를 언급 할 것입니다 :

분산 된 방식으로 작동하는 문서 관리 시스템을 상상해보십시오. 각 문서는 (회사가 관리하는 개인) P2P 네트워크의 다양한 노드에 복사됩니다. . 문서의 중복을 보장하는 알고리즘은 모든 문서 (수정본 포함)의 백업을 보장하는 데 사용됩니다. 이 시스템은 백그라운드에서 서비스/데몬으로 작동하고 문서를 앞뒤로 움직입니다.

이것은 사용자가 로컬 워크 스테이션 (회사가 제어하는 ​​PC 또는 랩톱 또는 기타 무엇인가)에서 볼 수없는 문서로 끝날 것이라는 의미입니다. 즉 중소 기업 IT 담당자가이 모든 것을 설정하고 설정합니다. 누가 P2P 네트워크의 일부인지 제어).

사용자가 데이터에 액세스 할 수 있으므로 디렉토리 액세스 방식을 사용하지 않습니다. 내가 여기서 착각 한거야? 도메인 사용자 만 로컬 폴더에 액세스 할 수 있도록 로컬 폴더를 암호화 할 수 있습니까? 얼마나 안전합니까?

사용자가 파일의 암호 해독 된 버전을 공유하고 있다는 것을 알고 있습니다. 기술적으로이를 억제하기는 어렵습니다. 이것은 내가 풀려고하는 문제가 아닙니다.

Answer 1

암호화는 여기 어려운 부분이 아닙니다. 비즈니스 요구 사항을 이해하고 특히 위협을 막으려는 경우 어려운 부분입니다. 키 관리는 사소한 일이 아닙니다.

"Applied Cryptography"은 프로토콜 수준의 문제를 더 잘 이해하는 데 도움이되도록 적극 권장합니다.

Answer 2

이것은 하드입니다. 이것이 정말 심각하면 인터넷에서 아마추어 암호 작성자의 조언을 사용하면 안됩니다. 말했다

Answer 3

, 여기 내 담고있어 :

나는 AES를 사용하여 임의의 대칭 키를 사용하여 각 파일을 암호화 할 것입니다. 이 암호화는 하룻밤 사이에 실행되는 작업이므로 키가 밤새 바뀝니다.

나는 각 파일의 키를 파일에 액세스 할 수있는 모든 사람의 공개 키로 암호화합니다.

누군가 파일에 액세스 할 수 없으면 다음 날 새 복사본을 읽을 수 없습니다 (여전히 이전 버전의 로컬 복사본이있을 수 있음).

저는 gpg (거의 모든 OS-es에서 잘 돌아갑니다)를 사용했습니다.

비대칭 암호를 잘못 이해합니다. 공개 키는 모든 사람에게 주어지며, 개인 키는 당신 자신을 지킵니다. Alice가 Bob의 공개 키를 사용하여 무언가를 암호화하면 Bob 만 해독 할 수 있습니다. Bob이 개인 키를 사용하여 무언가를 암호화하면 누구나 암호를 해독 할 수 있으며 모든 사람이 Bob에서 온 것으로 알고 있습니다.

EDIT :하지만 내가 말했던 모든 것을 무시하고 다른 경로로 갔다가 모든 파일에 자신의 pub/priv 키 쌍이있는 경우 ... 공개 키를 사용하여 읽으려는 사람에게만 의지 할 수 있습니다. 파일 및 비공개 키를 사용할 수 있습니다. 그러나 이것은 조금 까다 롭고 키를 배포 할 수없는 사람들에게 크게 의존합니다. 일일 작업으로 키를 변경하면 문제가 완화 될 수 있지만 새 키를 사용자에게 배포하는 문제가 있습니다.

Answer 4

많은 기업들이 Active Directory와 같은 OS 관련 솔루션을 기본적으로 사용하는 이유는이 문제의 어려움 때문입니다.

OS에 구애받지 않는 사용자는 특정 OS 및/또는 네트워크 공급 업체가 이미 구축 한 많은 사용자 관리 항목을 다시 만들어야합니다.

하지만 할 수 있습니다. 암호화 자체에 대해서는 AviewAnew의 대답을 참조하십시오.

Answer 5

정확하게 이해하면 GNU Privacy Guard를 사용할 수 있습니다. 그것은 크로스 플랫폼 및 오픈 소스입니다. 기본적으로 모든 사용자는 GPG 사본과 "개인 키"와 "공개 키"가있는 로컬 "키 체인"을 가지고 있습니다. 무언가를 암호화하려면 개인의 공개 키를 사용하고 결과는 연관된 개인 키로 만 해독 할 수 있습니다. 사용자는 둘 이상의 키 쌍을 가질 수 있으므로 모든 관리자에게 "관리자 역할"개인 키에 대한 액세스 권한을 부여 할 수 있으며 개인 키의 각 보유는 "관리자 역할"공개 키로 암호화 된 문서의 암호를 해독 할 수 있습니다.

멋진 부분은 여러 개의 공개 키를 사용하여 파일을 암호화 할 수 있다는 것입니다. 그런 다음 해당 개인 키 중 하나를 사용하여 암호를 해독 할 수 있습니다.

Answer 6

는 여기 마크에 동의해야합니다 :

을 비즈니스 요구를 이해하고, 특히, 당신으로부터 보호하기 위해 노력하고 무엇 위협, 어려운 부분 예를 들어

이다; 권한이없는 사용자가 중요한 파일에 액세스 할 수 있다고 우려하십니까? 사실상 모든 운영 체제에서 파일 수준 액세스 제어를 사용하여 사용자 또는 그룹이 파일/디렉토리에 액세스하지 못하도록 제한 할 수 있습니다.

인증 된 사용자가 파일을 로컬로 복사 한 다음 랩톱을 잃어 버릴 염려가 있습니까? 다양한 수준의 보호 기능을 제공하는 다수의 운영 체제 수준 암호화 기능이 있습니다. 개인적으로 엄지 드라이브 및 기타 휴대용 미디어 용 TrueCrypt를 권장하며 Windows Vista에는 이제 다양한 수준의 보호 기능을 제공하는 BitLocker가 포함되어 있습니다.

잃어버린 노트북 테마의 또 다른 변형은 잃어버린 백업 테마이며, 많은 백업 공급 업체가 바로 이런 이유로 테이프 백업을위한 암호화 스키마를 포함합니다.

마지막으로, 권한이 부여 된 사용자가 권한이없는 사용자와 파일을 공유 할 수 있다고 우려되는 경우 잘못된 문제를 해결하려고 할 수 있습니다. 이러한 파일의 암호를 해독 할 수있는 권한이 부여 된 사용자는 동일한 문서의 새로운 암호화되지 않은 버전을 쉽게 공유 할 수 있습니다.

Answer 7

OpenPGP 또는 X.509 인증서를 사용하는 공개 키 암호화가 필요합니다. 두 경우 모두 OpenPGP 키 또는 X.509 인증서를 사용하여 여러 "수신자"에 대한 단일 데이터 블록을 암호화 할 수 있습니다. X.509에서 이러한 방식으로 데이터를 암호화하는 표준은 PKCS # 7 및 CMS입니다 (일부 RFC에서 정의 됨, 번호를 잊었습니다). 이전에 액세스 권한이 있었지만 지금은 액세스 권한이없는 사람들에 대한 액세스를 차단하기 위해 일부 해지 확인을 받아야합니다.