Hi zusammen,

ich möchte mit Samba eine "Spezialfreigabe" einrichten. Alle Dateien die auf dieser Freigabe gespeichert werden, werden einem Skript übergeben, welches die Daten mit einem Public-Key verschlüsselt. Die verschlüsselten Daten werden dann ins Share gelegt.

Werden die Daten wieder von dem Share abgerufen, sollen diese vom Client mittels einem Private Key automatisch entschlüsselt werden.

Der Private-Key soll sich z.B. auf einen USB-Stick befinden.

Ist PGP da eine Lösung? Hat das schonmal jemand gemacht?

Wenn ich jetzt ein verschlüsseltes Dateisystem anlegen würde, könnten doch trotzdem noch alle Benutzer die Dateien ohne weiteres sehen oder? Nur jemand der nicht an das Dateisystem rankommt (wenn der Rechner z.B. geklaut würde) kommt nicht ohne weiteres an diese Daten. Das ist doch richtig so?

Der Admin darf an diese Daten nicht rankommen. Daher dachte ich direkt an asymetrische Verschlüsselung.

Gruß
pingufreak

Hi zusammen,

ich möchte mit Samba eine "Spezialfreigabe" einrichten. Alle Dateien die auf dieser Freigabe gespeichert werden, werden einem Skript übergeben, welches die Daten mit einem Public-Key verschlüsselt. Die verschlüsselten Daten werden dann ins Share gelegt.

Das schieben wir mal ganz weit nach hinten auf die Wunschliste



Werden die Daten wieder von dem Share abgerufen, sollen diese vom Client mittels einem Private Key automatisch entschlüsselt werden.

Gute Idee...



Der Private-Key soll sich z.B. auf einen USB-Stick befinden.

...



Ist PGP da eine Lösung? Hat das schonmal jemand gemacht?

Gute Frage. Soweit ich mich erinnere, gibt es diese Möglichkeit über PGP, aber wohl nicht in der kleinen Lizenz.
Alternativ, allerdings nicht von Haus aus mit dem von Dir gewünschten Automtismus wäre GnuPG. Gibt es auch in Windowsbenutzerfreundliche Version auf www.equipmente.de. Zumindest unter Linux wird es mittels Scripte möglich sein, die meisten Arbeitswege zu automatisieren.



Wenn ich jetzt ein verschlüsseltes Dateisystem anlegen würde, könnten doch trotzdem noch alle Benutzer die Dateien ohne weiteres sehen oder?

Kommt drauf an, welches Dateisystem Du benutzt. Unter Linux ist der Bereich Freeware nur für einen Benutzer vorgesehen.



Nur jemand der nicht an das Dateisystem rankommt (wenn der Rechner z.B. geklaut würde) kommt nicht ohne weiteres an diese Daten. Das ist doch richtig so?

Welcher Rechner wird den theoretisch geklaut?



Der Admin darf an diese Daten nicht rankommen. Daher dachte ich direkt an asymetrische Verschlüsselung.

Was hat asymetrisch mit Zugriffsrechten zu tun?

Aber nun zu verschiedenen Lösungsansätzen.
Derzeit wohl als Non-Profit-Version erhältlich ist PrivateDisk von Safeguard. Mit dem Tools erstellst Du wo auch immer einen Container. Jeder der das Tool und das Passwort oder Zertifikat, hat das Recht auf diesen Container zuzugreifen. Dabei wird der Container als "Festplatte" einghängt. Die Haken: Das Tool gibt es nur für Windowssysteme und es ist nicht direkt Mehrbenutzerfähig. Umweg wäre ein Rechner, der den Container "aufmacht" und als Share anbietet.
Über eine verschlüsseltes Dateisystem wie CFS oder loopAES ist das mit dem Adminzugriff nicht realisierbar, weil dieser ja wohl dementsprechend zugriff auf das Sysem hat. Und dem smbd-User und eure Benutzer identisch haben ist nicht Sinn der Übung.
Eine Möglichkeit würde http://www.ce-infosys.com.sg/CeiNews_FreeCompuSec_Ger.asp noch bieten, allerdings gibt es dort zZt. auch nur Windowsunterstützung.

Im Bereich Netzwerkshare bietet sich LanCrypt von Ultimaco an, aber kostet dementsprechend.

cu/2 iae

Hupsa ...

oki, die kostenlose Version von PrivatDisk gibt es wohl nicht mehr, dafür bieten sie aber jetzt PrivateCrypto kostenlos an http://www.utimaco.de/content_products/sg_pc.html

cu/2 iae

Gute Frage. Soweit ich mich erinnere, gibt es diese Möglichkeit über PGP, aber wohl nicht in der kleinen Lizenz.
Alternativ, allerdings nicht von Haus aus mit dem von Dir gewünschten Automtismus wäre GnuPG. Gibt es auch in Windowsbenutzerfreundliche Version auf www.equipmente.de. Zumindest unter Linux wird es mittels Scripte möglich sein, die meisten Arbeitswege zu automatisieren.

AAAAAAAAAAH ups... Ich Depp habe PGP mit GPG verwechselt. Ich meinte natürlich GPG ;). Sorry. Mein Fehler :).


Kommt drauf an, welches Dateisystem Du benutzt. Unter Linux ist der Bereich Freeware nur für einen Benutzer vorgesehen.


Jo das ist schon klar. Wenn das gemountet ist, kommt root jedoch auch dran. Das darf eben nicht sein, da die Admins nix sehen dürfen. :)


Welcher Rechner wird den theoretisch geklaut?


Der Samba-Fileserver, auf dem sich das verschlüsselte Filesystem befinden soll.


Was hat asymetrisch mit Zugriffsrechten zu tun?


Das habe ich nicht so gemeint. Meine Ausdrucksweise ist nicht gerade eindeutig. Sorry. Ich meinte, dass ich kein verschlüsseltes Filesystem verwenden will, da "root" dann auf das gemountete FS zugreifen kann. Daher sagt mir eine asymetrische Verschlüsselung mittles der Private-/Public-Key-Variante über GPG eher zu. :)


Aber nun zu verschiedenen Lösungsansätzen.
Derzeit wohl als Non-Profit-Version erhältlich ist PrivateDisk von Safeguard. Mit dem Tools erstellst Du wo auch immer einen Container. Jeder der das Tool und das Passwort oder Zertifikat, hat das Recht auf diesen Container zuzugreifen. Dabei wird der Container als "Festplatte" einghängt. Die Haken: Das Tool gibt es nur für Windowssysteme und es ist nicht direkt Mehrbenutzerfähig. Umweg wäre ein Rechner, der den Container "aufmacht" und als Share anbietet.

Schade das es für Windows ist. Gibt es nicht ein OpenSource-Projekt, welches das "Mehrbenutzermäßig" macht? Sowas wie Samba inkl. Verschlüsselung über Public-Keys?


Über eine verschlüsseltes Dateisystem wie CFS oder loopAES ist das mit dem Adminzugriff nicht realisierbar, weil dieser ja wohl dementsprechend zugriff auf das Sysem hat.


Jo das sehe ich auch so :).


Und dem smbd-User und eure Benutzer identisch haben ist nicht Sinn der Übung.


Was meinst du damit genau? Das ich die Zugriffsrechte im Samba vergebe? Das wird ja dann so oder so gemacht. Das dies allein keine Lösung für mich ist, ist klar. :)



Eine Möglichkeit würde http://www.ce-infosys.com.sg/CeiNew...ompuSec_Ger.asp noch bieten, allerdings gibt es dort zZt. auch nur Windowsunterstützung.


Hmmm. Auch wenn es für Windows ist. Ich schaus mir mal an.


Im Bereich Netzwerkshare bietet sich LanCrypt von Ultimaco an, aber kostet dementsprechend.

Schau ich mir auch mal an... Danach melde ich mich nochmal.

Danke für deine Antwort, bis später :)...

Gruß
pingufreak

Hmmm... Gibts den ein "Windows-GPG-Tool" als Explorer-Plugin? Oder irgendein Windows-Tool, welches Dateien automatisch verschlüsselt, wenn die in einen bestimmten Ordner kopiert werden?

Gruß
pingufreak

Hmmm... Gibts den ein "Windows-GPG-Tool" als Explorer-Plugin? Oder irgendein Windows-Tool, welches Dateien automatisch verschlüsselt, wenn die in einen bestimmten Ordner kopiert werden?

Gruß
pingufreak
Sowas sollte man net hier fragen ;)

Übrigens: www.equipmente.de ist eine sehr gute Seite.

Und wie der Zufall will, bin ich gerade über eine Sache gestolpert, die Dir vielleicht hilft:
http://www.cipherdyne.org/gpgdir/

cu/2 iae

Ich weiß das man sowas hier nicht fragen sollte. Ich hab auch vergessen mich zu *ducken*. Aber ich lebe ja noch :)...

Ich schaue mir die beiden Links mal an... :)