Как защитить пользовательские файлы?

Question

[Артем]

У пользователей сервиса есть возможность загружать сканы документов эти документы могут открывать только администраторы
Необходимо реализовать шифрование этих файлов при загрузке на сервер без возможности расшифровать на самом сервере и чтобы расшифровка была возможна только в момент скачки документов на фронте и в идеале чтобы у каждого администратора был свой ключ который чуть что можно отозвать.

Comments

[Роман]

чтобы у каждого администратора был свой ключ который чуть что можно отозвать

Эта часть в принципе не реализуема. Насколько я знаю, не существует криптостойких алгоритмов, позволяющих шифровать файлы 1 ключем а расшифровывать несколькими разными.

Как мне кажется, единственный вариант это сделать, для каждого заливаемого файла сохранять его копию (по количеству админов), зашифрованную ключем конкретного администратора

[xmoonlight]

Роман, существуют, но это не в рамках этого обсуждения.

[Артем]

Роман, Спасибо за ответ. Многовато файлов будет и не очень практично если вдруг появится новый администратор и понадобится доступ к старым файлам

[Артем]

xmoonlight, а в рамках какого обсуждения?

[xmoonlight]

Артем, я уже ответил для текущей ситуации.

Answer 1

[xmoonlight]

1. Открытым ключом сервера шифруем файл на фронтенде перед непосредственной отправкой.
2. При просмотре файла (скачивании) - отдаём через внутреннее API, которое расшифроввывает файл закрытым ключом, но к коду этого API (+закрытому ключу) имеет доступ только один доверенный человек.
3. Каждый администратор - получает свой токен доступа к этому API, определяющий доступ к просмотру конкретных файлов (по клиентам, группам и т.д.).

Comments

[Артем]

Спасибо за ответ.
Да это решает вопрос по администраторам. Но как защититься не санкционированного доступа чтоб приватный ключ не сперли?

[Иван Шумов]

Артем, разнести на разные сервисы. Если вы храните все на одном сервере то про безопасность можно забыть, а если все в разных местах то успехов даже достаточно опытным ребятам. Модно почитать как данная история устроена архитектурно у AWS KMS. Они отлично придумали и интегрировали с AWS S3. Правда, если вы в РФ то бросаться туда хранить персональные данные не советую. А если они не персональные то там все вместе решается) а доступ к файлам решается одноразовыми ссылками там же

[xmoonlight]

Артем, Вынесите API на отдельный (можно даже внешний) сервер.
В любом случае - исполняемый код API и приватный ключ - где-то должны храниться.
(чудес - не бывает!)

[sim3x]

Нельзя на фронте шифровать
Фронт должен получать уже зашифрованные данные
Любой xss (от того же админа) умножит на 0 все шифрование

[xmoonlight]

sim3x, не, ну если ты такой умный - предлагай варианты!

[sim3x]

xmoonlight, не морочить голову и поставить https

[xmoonlight]

sim3x,

Любой xss (от того же админа) умножит на 0 все шифрование

где логика между HTTPS и XSS ?!

[sim3x]

xmoonlight,

Логика в полной смене подхода

[xmoonlight]

sim3x, просто: твой подход не подтверждается мат. логикой.
Изыди со свои спамом! ;)

[sim3x]

xmoonlight, какой-какой логикой?
Что-что не подтверждается?

[xmoonlight]

sim3x, указанное тобой! :)

[Pavel]

sim3x, а как же сделано шифрование в firefox send? Там же вроде файл шифруется на фронте, потом уходит на файловый сервер. Разве не?

[sim3x]

Pavel Tananykhin,
Не уверен, что что-то шифруется на фронте

Даже если шифруется я уже указал на проблемы с таким подходом

Answer 2

[index0h]

Определитесь, от кого вы хотите защититься.
Если от не санкционированного доступа - читайте на тему Nginx-Accel и отдавайте файлы только пользователям с доступом.
Если от доступа к файлам напрямую - храните в БД с AES шифрованием.
Если прям анальное ограждение нужно и денег много - читайте про сервера ключей доступа + промышленную пиротехнику.

Comments

[Артем]

Спасибо за ответ.
Бюджет как всегда ограничен)
В идеале нужна защита и от первого и от второго

[profesor08]

Артем,

В идеале нужна защита и от первого и от второго

и бесплатно

[index0h]

Бесплатно только шишка в анусе.
Любое решение придется реализовывать, а это человеко часы, т.е. деньги.

Answer 3

[Arris]

Как защитить пользовательские файлы от кого?