morfizm (morfizm) wrote,
morfizm
morfizm

Category:

Вопрос по информационной безопасности - как сделать client-side encryption вместе с cloud storage?

(Тэгаю известных мне специалистов: xatkaru, alusmeistars)

В связи с тем, что я активно перехожу на cloud storage как замену домашнему файловому серверу, естественно встают вопросы безопасности. Я вижу две больших проблемы, но, может, их и больше:

1. Проблема, что потеря одного пароля (причём, который может утечь по независящим от тебя причинам, например, через взлом Dropbox'а) может дать доступ ко всему объёму данных. Часть этого объёма - вещи невероятно личные и важные, с помощью которых можно легко сделать identity fraud, и хотелось бы их дополнительно защитить, при этом продолжая использовать плюсы cloud storage в плане сохранности данных и бэкапов предыдущих версий.

2. Проблема, что государственные службы, которые наверняка интегрированы с Dropbox'ом и наверняка фильтруют метаданные (имена файлов по ключевым словам, хэши содержимого), могут на ровном месте создать человеку проблем, даже когда у него всё легально. Например, что если у меня скачены с торрента книги или фильмы, которые я покупал на физическом носителе, а электронную копию просто держу для личного архива. Это может быть вполне легальный use-case, но также очевидно, что он вполне может быть триггером для ненужных проверок. Например, у меня может обнаружиться вполне легальная порнуха, в которой взрослая актриса выглядит очень молодо, но мне бы не хотелось получить обвинение в хранении детской порнографии, а потом пытаться доказывать, что я не верблюд. Не дай Б., я при этом физически буду находиться в стране, в которой за это отрубают голову без суда и следствия. У меня хорошая фантазия, я могу представить себе уйму вариантов, how things can go wrong.

Первый вопрос - есть ли ещё проблемы, о которых надо подумать?
Второй вопрос - как лучше организовать client-side encryption, при том, что клауд провайдеры не предоставляют этой услуги (и, вообще-то, физически не могут предоставлять, иначе на них надавят гос.службы и закроют бизнес)?

Есть два "очевидных" варианта:

1. Использовать что-то вроде VeraCrypt (TrueCrypt replacement/successor), имплементирующий embedded файловую систему на одном большом файле. Минусы - возня с mount/dismount; возможная несовместимость между платформами. Впрочем, конкретно VeraCrypt утверждают, что поддерживают винду, мак и линукс, а что мне ещё нужно? Dropbox делает binary diff, позволяя эффективно синхронизировать огромные файлы с облаком, закачивая только изменённые блоки. По идее, это должно работать гладко.

2. Использовать что-то вроде RAR archiver, обособить супер-чувствительную инфу в отдельную локальную директорию (не синхронизирующуюся в облако), а каждый раз, когда эта инфа обновляется, запускать скрипт, который заархивирует её с паролем и бросит архив в cloud-директорию. В RAR-е есть опция шифровать метадату. Этот пароль в облаке не хранится, но его можно вполне за-hardcode'ить в скрипт, чтобы было удобно. Конкретно WinRAR для этой цели использовать стрёмно - во-первых, он не open source, и чёрт его знает, насколько сильное шифрование он использует, а, во-вторых, он только на винде нормально работает. Но, может, есть более правильные альтернативы?

3. Ваш вариант?
Tags: 1, polls questions and social games, software
Subscribe
  • Post a new comment

    Error

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 15 comments