LINUX.ORG.RU

Как правильно хранить и изменять шифрованый текстовый файл?

 , ,


0

2

Добрый день. Есть текстовый файл, содержимое которого нужно часто читать, время от времени изменять, и которое должно быть зашифровано. С расшифровкой всё ясно - расшифровка gpg на stdout. Изменение сейчас реализовано так (скриптом) - расшифровка, редактирование, шифровка назад, shred расшифрованного файла. Есть подозрение, что если кто-то вклинится в момент редактирования, то может спереть расшифрованный файл. Как лучше поступить в подобной ситуации? Заранее спасибо.

★★

Если кто-то может вклиниваться в момент редактирования на локальной машине, то ты уже проиграл — далее все бесполезно.

Deleted ()

Только отдельным устройством, куда не вклинятся.

anonymous ()

Если редактирование выполняется в Vim, то есть vim-gnupg. С ним расшифрованный файл есть только в памяти и меньше геморроя с шифрованием.

xaizek ★★★★★ ()

Если файл небольшой, то в расшифрованном виде его можно хранить в оперативной памяти без записи на жесткий диск. Но едва ли это можно назвать защитой, скорее дополнительным препятствием для возможных злоумышленников, если они имеют контроль над компьютером.

Leupold_cat ★★★★ ()

0) Фиксируем модель безопасности, определяем список угроз, от которых хотим защититься.

1) Защищаемся от них.

Например, если мы хотим защититься от зловреда (человека или программы) с правами того же пользователя, что владелец шифрованного файла, нас спасёт разве что мандатный контроль прав доступа от МСВС или помещение всего и вся в песочницы. А не шифрование.

anonymous ()
Ответ на: комментарий от anonymous

Если нужна серьезная безопасность - то это только интранет, ограниченный персонифицированный доступ и отдельное помещение.

Все остальное - игра в орлянку с разной степенью вероятности

vaddd ★☆ ()

Погугли по слову Blockchain. Подумай как реализовать цепочку подписей в твоем случае. Если это действительно важно.

Promusik ★★★★★ ()

Держать в памяти (открывая какой-нибудь in-memory редактор), или, проще, расшифровывать в tmpfs. Тогда данные даже не коснутся ПЗУ.

segfault ★★★★★ ()

Поставь на файл ярлык эксплорера, ща бы не шарить, неосилятор

BillNeOsilil ()

Редактировать sed-ом

gpg -d current.gpg | sed -e '...' | gpg -e >new.gpg
DonkeyHot ★★★★★ ()
Последнее исправление: DonkeyHot (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.