Hi!

Habe hier diverse Ascii-Dateien die aus meinem Perlscript heraus erzeugt und auf dem Server abgelegt werden.
Dabei handelt es sich teilweise um vertrauliche Daten und ich möchte die Dateien so verschlüsseln, dass weder ein Serverhack noch ein anderweitiger Datenklau ihnen etwas anhaben kann.

Stelle mir nun vor, mit einer Routine ähnlich crypt() den kompletten Inhalt der Datei mit einem Paßwort zu verschlüsseln welches ich nirgendwo auf dem Server ablege sondern immer eingeben muss. Anschließend schreibe ich dann den neu verschlüsselten Inhalt auf Platte.

Mit welchem Mittel/Modul würdet Ihr das lösen?
Bei welcher Verschlüsselung hätte man den besten Effekt zwischen maximaler Verschlüsselung und minimaler Aufblähung der Datei?

Danke für alle Tipps und Hinweise.
Grüße

Auf CPAN sind unter Crypt beispielsweise:
Crypt-CBC
Crypt-Blowfish
Crypt-Rijndael

Es gibt auch Perl-Only-Versionen, die keine Kompilierung auf dem Server braucnen. Die haben dann _PP am Namendende. Bspw. Crypt-Rijndael_PP

Quote

dass weder ein Serverhack noch ein anderweitiger Datenklau ihnen etwas anhaben kann

Hmm, un wie entschlüsselst du die dann auf dem Server?
Einlesen des Passworts über SSL-Verbindung oder SSH?

Quote

maximaler Verschlüsselung und minimaler Aufblähung der Datei

Wie groß sind denn deine Textdateien, dass du auf Dateigröße achten musst?
Hast du nicht genügend Fetsplattenspeicher?

PerlIO::via::CBC

Danke für die Infos.
Speicherplatz hab ich genug. Aber tendenziell gehe ich nicht nach dem Motto, möglichst viel vom verfügbaren Speicher zu nutzen sondern nur soviel wie nötig.

Wie unterscheiden sich denn die drei Varianten in Bezug auf die Verschlüsselung und den Speicherbedarf.

Das Paßwort würde ich dann in der Tat bei jedem Scriptstart via SSL auf den Server übertragen.

Grüße

mikdoe+2008-06-25 12:42:38--

Speicherplatz hab ich genug. Aber tendenziell gehe ich nicht nach dem Motto, möglichst viel vom verfügbaren Speicher zu nutzen sondern nur soviel wie nötig.

Wie unterscheiden sich denn die drei Varianten in Bezug auf die Verschlüsselung und den Speicherbedarf.

Die ganze Block Cypher ergänzen die Dateigröße bis zur nächsten vollen Blockgröße, d.h. bei einem 512-bit-Schlüssel wird die Dateigröße auf den nächst größeren durch 64 teilbaren Wert aufgerundet.

Blowfisch und AES (Rijndael) gelten beide als sicher, wobei es auf AES bisher mehr erfolglose Angriffsversuche gab, Kryptographen würden das also im Zweifelsfall bevorzugen.

CBC ist nur der Modus, in dem Verschlüsselt wird, und ist mit einer Blockcypher zu kombinieren.

mikdoe+2008-06-25 12:42:38--

Das Paßwort würde ich dann in der Tat bei jedem Scriptstart via SSL auf den Server übertragen.

Dann solltest du einen Server nehmen, bei dem du das Zertifikat selbst erstellst oder der keinen verwundbaren Schlüssel (OpenSSL + Debian u. a.) verwendet.
http://www.heise.de/security/Der-kleine-OpenSSL-We...
http://www.heise.de/netze/tools/chksslkey

Danke Euch!