Bonjour la liste,
Je me permet de vous adresser un petit courrier pour un problème identifié.
Je suis en train de mettre en place une architecture applicative outsourcée.
Cette archi (Serveur phy / 8 Cores / 64 Gb + 2 To de données) ne me permettra pas d'être root sur la machine (ou uniquement temporairement).
la problématique est que si j'outsource mes fichiers, un de mes clients demande à ce que ceux-ci soient cryptés en AES 256.
L'application était déjà outsourcée mais sous Windows 2008R2 et donc pour l'encryption nous avons utilisé MS-EFS sur des dossiers particuliers.
Je voudrais avoir un peu le même comportement, mais que root (mon outsourcer normalement) n'y ai pas accès.
Voyez-vous des solutions pérennes sur RHEL 6.5 ?
Merci d'avance
Stan
Juste pour lâcher une piste :
man aespipe
En espérant que ça vous suffise.
Cordialement, Pierre Colombier
Le 04/07/2014 18:09, Stanislas Garret a écrit :
Bonjour la liste,
Je me permet de vous adresser un petit courrier pour un problème identifié.
Je suis en train de mettre en place une architecture applicative outsourcée.
Cette archi (Serveur phy / 8 Cores / 64 Gb + 2 To de données) ne me permettra pas d'être root sur la machine (ou uniquement temporairement).
la problématique est que si j'outsource mes fichiers, un de mes clients demande à ce que ceux-ci soient cryptés en AES 256.
L'application était déjà outsourcée mais sous Windows 2008R2 et donc pour l'encryption nous avons utilisé MS-EFS sur des dossiers particuliers.
Je voudrais avoir un peu le même comportement, mais que root (mon outsourcer normalement) n'y ai pas accès.
Voyez-vous des solutions pérennes sur RHEL 6.5 ?
Merci d'avance
Stan
Liste de diffusion du FRsAG http://www.frsag.org/
Le 04/07/2014 18:09, Stanislas Garret a écrit :
Bonjour la liste,
Je me permet de vous adresser un petit courrier pour un problème identifié.
Je suis en train de mettre en place une architecture applicative outsourcée.
Cette archi (Serveur phy / 8 Cores / 64 Gb + 2 To de données) ne me permettra pas d'être root sur la machine (ou uniquement temporairement).
la problématique est que si j'outsource mes fichiers, un de mes clients demande à ce que ceux-ci soient cryptés en AES 256.
chiffrés
L'application était déjà outsourcée mais sous Windows 2008R2 et donc pour l'encryption nous avons utilisé MS-EFS sur des dossiers particuliers.
Je voudrais avoir un peu le même comportement, mais que root (mon outsourcer normalement) n'y ai pas accès.
Voyez-vous des solutions pérennes sur RHEL 6.5 ?
Merci d'avance
Stan
Liste de diffusion du FRsAG http://www.frsag.org/
Il y a LUKS/cryptsetup, qui peut utiliser de l'AES256 (et accéléré chez Intel avec les Core i5/i7/Xeon). Il est possible de chiffrer un fichier au lieu d'un volume, je crois.
Nous sommes troll-dredi; ne torturons pas la langue française.
Megagolgoth-
Le ven 4 jul 14 à 22:06:49 +0200, m3g4g0lG0t|-| megagolgoth@altern.org écrivait :
Bonjour la liste,
Bonsoir,
Il y a LUKS/cryptsetup, qui peut utiliser de l'AES256 (et accéléré chez Intel avec les Core i5/i7/Xeon). Il est possible de chiffrer un fichier au lieu d'un volume, je crois.
Sur FeeBSD, on a rijndael(9) pour ça. Une recherche rapide semble indiquer qu'il y a à peu près la même chose sous Redhat avec libcrypto.
Salut,
Sorry pour la faute Alors dommage mais LUKS + options même pas en rêve.... root a accès à tout.
@Pierre C'est un deamon qui doit chiffrer/déchiffrer à la volée c'est à dire en lisant et envoyer sur le réseau ou en recevant puis écrire sur disque. Sachant que le fichier en clair doit rester comme sans chiffrement en RAM.
Ajout : le deamon doit pouvoir se lancer sans la passphrase (compte NIS+ / LDAP)
Pas tout dis mais presque...
Stan
2014-07-04 22:06 GMT+02:00 m3g4g0lG0t|-| megagolgoth@altern.org:
Le 04/07/2014 18:09, Stanislas Garret a écrit :
Bonjour la liste,
Je me permet de vous adresser un petit courrier pour un problème identifié.
Je suis en train de mettre en place une architecture applicative outsourcée.
Cette archi (Serveur phy / 8 Cores / 64 Gb + 2 To de données) ne me permettra pas d'être root sur la machine (ou uniquement temporairement).
la problématique est que si j'outsource mes fichiers, un de mes clients demande à ce que ceux-ci soient cryptés en AES 256.
chiffrés
L'application était déjà outsourcée mais sous Windows 2008R2 et donc pour l'encryption nous avons utilisé MS-EFS sur des dossiers particuliers.
Je voudrais avoir un peu le même comportement, mais que root (mon outsourcer normalement) n'y ai pas accès.
Voyez-vous des solutions pérennes sur RHEL 6.5 ?
Merci d'avance
Stan
Liste de diffusion du FRsAG http://www.frsag.org/
Il y a LUKS/cryptsetup, qui peut utiliser de l'AES256 (et accéléré chez Intel avec les Core i5/i7/Xeon). Il est possible de chiffrer un fichier au lieu d'un volume, je crois.
Nous sommes troll-dredi; ne torturons pas la langue française.
Megagolgoth-
Liste de diffusion du FRsAG http://www.frsag.org/
Tu cherches à cacher un truc à root ? HAHAHAHAHHAHAHA
Nah, franchement ? Tu sais que root peut modifier les appels system ? Tu sais que root peut lire la mémoire de ton processus ? Tu sais que root peut dump la mémoire du kernel ?
Vouloir dissimuler des données à root est un non-sens : root est par essence omniscient.
On 04/07/2014 23:02, Stanislas Garret wrote:
Salut,
Sorry pour la faute Alors dommage mais LUKS + options même pas en rêve.... root a accès à tout.
@Pierre C'est un deamon qui doit chiffrer/déchiffrer à la volée c'est à dire en lisant et envoyer sur le réseau ou en recevant puis écrire sur disque. Sachant que le fichier en clair doit rester comme sans chiffrement en RAM.
Ajout : le deamon doit pouvoir se lancer sans la passphrase (compte NIS+ / LDAP)
Pas tout dis mais presque...
Stan
2014-07-04 22:06 GMT+02:00 m3g4g0lG0t|-| <megagolgoth@altern.org mailto:megagolgoth@altern.org>:
Le 04/07/2014 18:09, Stanislas Garret a écrit : Bonjour la liste, Je me permet de vous adresser un petit courrier pour un problème identifié. Je suis en train de mettre en place une architecture applicative outsourcée. Cette archi (Serveur phy / 8 Cores / 64 Gb + 2 To de données) ne me permettra pas d'être root sur la machine (ou uniquement temporairement). la problématique est que si j'outsource mes fichiers, un de mes clients demande à ce que ceux-ci soient cryptés en AES 256. chiffrés L'application était déjà outsourcée mais sous Windows 2008R2 et donc pour l'encryption nous avons utilisé MS-EFS sur des dossiers particuliers. Je voudrais avoir un peu le même comportement, mais que root (mon outsourcer normalement) n'y ai pas accès. Voyez-vous des solutions pérennes sur RHEL 6.5 ? Merci d'avance Stan _________________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/ Il y a LUKS/cryptsetup, qui peut utiliser de l'AES256 (et accéléré chez Intel avec les Core i5/i7/Xeon). Il est possible de chiffrer un fichier au lieu d'un volume, je crois. Nous sommes troll-dredi; ne torturons pas la langue française. Megagolgoth- _________________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
Stanislas Garret satanas.g@free.fr : [...]
Sorry pour la faute Alors dommage mais LUKS + options même pas en rêve.... root a accès à tout.
LUKS reste une option si votre outsourcier de fichiers est également capable d'exporter du périphérique de type bloc ou s'il dialogue en iSCSI.
m3g4g0lG0t|-| megagolgoth@altern.org : [...]
Il y a LUKS/cryptsetup, qui peut utiliser de l'AES256 (et accéléré chez Intel avec les Core i5/i7/Xeon).
Pas forcément si les processeurs sont un peu anciens.
Bonsoir,
Stanislas Garret satanas.g@free.fr : [...]
Je voudrais avoir un peu le même comportement, mais que root (mon outsourcer normalement) n'y ai pas accès.
Voyez-vous des solutions pérennes sur RHEL 6.5 ?
ecryptfs, à confirmer en fonction de votre architecture.
Par curiosité, les fichiers exportés via le réseau seront-ils accessibles au même moment via différents clients ?
Bonjour,
François, oui les fichiers seront accessibles par divers clients. Mais dans le principe les clients sont dans le réseau de mon entreprise où,les données peuvent être en clair.
Le principe est donc : le client lit les références à un fichier en DB Il demande le fichier à l'applicatif l'applicatif déchiffre à la volée et envoie au client le fichier déchiffré le client reçoit le fichier en clair, le modifie le client renvoie le fichier modifié à l'appli qui stocke le fichier en ajoutant une entrée en DB
2014-07-05 0:00 GMT+02:00 Francois Romieu romieu@fr.zoreil.com:
Bonsoir,
Stanislas Garret satanas.g@free.fr : [...]
Je voudrais avoir un peu le même comportement, mais que root (mon outsourcer normalement) n'y ai pas accès.
Voyez-vous des solutions pérennes sur RHEL 6.5 ?
ecryptfs, à confirmer en fonction de votre architecture.
Par curiosité, les fichiers exportés via le réseau seront-ils accessibles au même moment via différents clients ?
-- Ueimor
Le Sat, Jul 05, 2014 at 10:11:58AM +0200, Stanislas Garret [satanas.g@free.fr] a écrit:
Le principe est donc : le client lit les références à un fichier en DB Il demande le fichier à l'applicatif l'applicatif déchiffre à la volée et envoie au client le fichier déchiffré
Et l'applicatif est « maitrisé » ? Parceque si c'est un applicatif à "toi", modifiable, il "suffit" qu'il apprenne à chiffrer ses fichiers avant de les enregistrer sur le disque.
Oui, c'est un applicatif propriétaire avec pas mal d'options sauf le chiffrage natif. Le chiffrage entre le serveur et le client est lui bien présent.
Cdt
Stan
2014-07-07 12:01 GMT+02:00 Dominique Rousseau d.rousseau@nnx.com:
Le Sat, Jul 05, 2014 at 10:11:58AM +0200, Stanislas Garret [satanas.g@free.fr] a écrit:
Le principe est donc : le client lit les références à un fichier en DB Il demande le fichier à l'applicatif l'applicatif déchiffre à la volée et envoie au client le fichier déchiffré
Et l'applicatif est « maitrisé » ? Parceque si c'est un applicatif à "toi", modifiable, il "suffit" qu'il apprenne à chiffrer ses fichiers avant de les enregistrer sur le disque.
-- Dominique Rousseau Neuronnexion, Prestataire Internet & Intranet 21 rue Frédéric Petit - 80000 Amiens tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
@Julien, pour reprendre le début, je peux demander un accès à root temporaire au moins le temps de créer les devices.
Cdt
Stan
2014-07-07 22:21 GMT+02:00 Stanislas Garret satanas.g@free.fr:
Oui, c'est un applicatif propriétaire avec pas mal d'options sauf le chiffrage natif. Le chiffrage entre le serveur et le client est lui bien présent.
Cdt
Stan
2014-07-07 12:01 GMT+02:00 Dominique Rousseau d.rousseau@nnx.com:
Le Sat, Jul 05, 2014 at 10:11:58AM +0200, Stanislas Garret [satanas.g@free.fr] a écrit:
Le principe est donc : le client lit les références à un fichier en DB Il demande le fichier à l'applicatif l'applicatif déchiffre à la volée et envoie au client le fichier déchiffré
Et l'applicatif est « maitrisé » ? Parceque si c'est un applicatif à "toi", modifiable, il "suffit" qu'il apprenne à chiffrer ses fichiers avant de les enregistrer sur le disque.
-- Dominique Rousseau Neuronnexion, Prestataire Internet & Intranet 21 rue Frédéric Petit - 80000 Amiens tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
-
Dominique Rousseau -
Francois Romieu -
frsag@jack.fr.eu.org -
m3g4g0lG0t|-| -
Pierre Colombier -
Stanislas Garret -
Thierry Thomas