---

Jeg overvejer at strikke et website sammen til hele familien - billeder,
dagbog, pinkode (dankort/mobil) husker osv.

Ikke så meget for servicens skyld men mere for at have et projekt at
"lære" af.

Målet skal være et website hvor data på webserveren er krypterede og
hvor al kommunikation (ikke bare login) mellem klienter og serveren skal
være krypteret (måske en SSH2 løsning). Serveren skal være
'tyveri-sikret' i den forstand at der skal angives en key for at få
adgang til de krypterede data så en evt. tyveknægt ikke kan få adgang
til dem.

Nogen der har nogle bud på hvordan man bedste strikker en sådan løsning
sammen - evt. både som en løsning baseret på kommercielle produkter og
en anden baseret på (gratis og/eller billig) open source.

---

Uffe S. Callesen wrote:
> Målet skal være et website hvor data på webserveren er krypterede og
> hvor al kommunikation (ikke bare login) mellem klienter og serveren skal
> være krypteret (måske en SSH2 løsning). Serveren skal være
> 'tyveri-sikret' i den forstand at der skal angives en key for at få
> adgang til de krypterede data så en evt. tyveknægt ikke kan få adgang
> til dem.

Det er desvaerre et af de afsnit i OSS'en som jeg ikke har faaet skrevet
om endnu: udvikling. Selve det at kryptere end-to-end, som det hedder,
er ganske trivielt. Truslerne og problemerne kommer andre steder fra.

Din trusted computing base, i en loesning som ovenstaaende, vil vaere
ret stor og komplex, og hvis den kompromiteres, forsvinder sikkerheden.
Man kunne let forstille sig, at en angriber broed ind i din server, og
udskiftede den komponent der tager imod adgangskoder/dekryptererer
indholdet af disken, med en komponent der yderligere opbevarede de
indtastede koder og dekrypterede noegler til senere opsamling.

Den simple loesning ville gaa i retning af, at de krypterede data ligger
paa din filserver, men at softwaren til dekryptering ligger paa
klienterne, og krypteringsnoeglerne ligger enten paa klienterne eller
paa et smart card. Det ville kun kraeve at du stoler paa klienterne --
hvis du ikke kan det, har du tabt paa forhaand. Hvis du har utraenede
brugere, kan man let slippe en keystroke logger ind paa deres maskine.

Det bliver saa lidt mere indviklet at bruge, end et dynamisk website.

Jeg kan anbefale at du koeber "Writing Secure Code, 2nd edition" og
laeser kapitel 4 om threat models, eller i hvert fald finder nogle af
Michael Howard's artikler om samme paa msdn.microsoft.com.

Naar du har noget der ligner en specifikation og threat model kan du
vende tilbage, og bede om input. Det er lettere at snakke om noget
konkret end at snakke om problemer og fordele ved specifikke, men
uspecificerede systemer.


--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

---

Tak for svaret Alex - nu var tanken at selve site'et skulle skrives i
alm. asp under nogen særlig sikkerhed.

Jeg vil så kryptere al datatransmission (som du selv siger den nemme del
af projektet) - mens data på serveren også krypteres.

Man skal ikke kunne få adgang til de krypterede data på anden måde en
gennem en krypteret opkobling.

---

Uffe S. Callesen wrote:
> Tak for svaret Alex - nu var tanken at selve site'et skulle skrives i
> alm. asp under nogen særlig sikkerhed.

Mener du "uden nogen saerlig sikkerhed"?

> Jeg vil så kryptere al datatransmission (som du selv siger den nemme del
> af projektet) - mens data på serveren også krypteres.
>
> Man skal ikke kunne få adgang til de krypterede data på anden måde en
> gennem en krypteret opkobling.

Du skal lige praecisere nogle krav saa: hvis du oensker, at det er et
almindeligt dynamisk website skal dataene dekrypteres foer de kan vises
i websiderne. Ergo ligger hele kryptering og dekrypteringslogikken paa
serveren, og det kan saa pakkes ind i https med certifikater i begge ender.

Er det hvad du oensker?

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

---

Alex Holst wrote:
> Du skal lige praecisere nogle krav saa: hvis du oensker, at det er et
> almindeligt dynamisk website skal dataene dekrypteres foer de kan vises
> i websiderne. Ergo ligger hele kryptering og dekrypteringslogikken paa
> serveren, og det kan saa pakkes ind i https med certifikater i begge ender.
>
> Er det hvad du oensker?

Præcist - dog havde jeg overvejet at benytte en SSH2 client på
clienterne og så tunnel'e det gennem den.

Selve softwaren til (de)krypteringen på serveren virker som det største
problem - eller hvad ?

Hvis jeg skal forsøge at tegne et 'virtuelt' billede af hvordan jeg
forestiller mig den komplette installation.

Hele systemet er indhyldet i en "skal" dvs. enten er al kommunikation
ind/ud af kernen (forstået som data samt webserver) krypteret med
SSL/TLS eller med SSH2. Principielt kunne man også nægte en lokal
aministrator adgang med mindre det skete efter førnævnte princip.

---

Uffe S. Callesen wrote:
> Selve softwaren til (de)krypteringen på serveren virker som det største
> problem - eller hvad ?

Ja, det vil baade vaere besvaerligt at implementere, og det vil vaere en
betydelig svaghed i systemet. Det skal du vaere klar over.

Hvorfor vil du benytte en SSH2 tunnel til HTTP trafikken?

> Hvis jeg skal forsøge at tegne et 'virtuelt' billede af hvordan jeg
> forestiller mig den komplette installation.
>
> Hele systemet er indhyldet i en "skal" dvs. enten er al kommunikation
> ind/ud af kernen (forstået som data samt webserver) krypteret med
> SSL/TLS eller med SSH2. Principielt kunne man også nægte en lokal
> aministrator adgang med mindre det skete efter førnævnte princip.

Det er trivielt at kun tillade f.eks. SSH2 adgang. Det goer det ikke
umuligt for at andre at bryde ind paa systemet og opsnappe de
noeglefiler og adgangskoder der bruges til dekryptering.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org