Как и с помощью чего создать защищенный обменник?

Question

[Андрей]

Добрый день!
появилась интересная мысль организовать безопасную (зашифрованную) передачу данных между клиентами через интернет. (под клиентами понимаю клиентское приложение или сопутствующий инструмент).
Процедура такая: Пользователь П1 создает файл который нужно просмотреть пользователю П2. Этот файл нужно выложить (отправить\переместить) в зашифрованном виде на некое место хранения (сервер), что бы П2 смог этот зашифрованный файл от туда забрать. При этом обмен между П1 - сервер должен быть по защищённому протоколу ну и от сервера к П2 тоже. Таким образом мы передаем шифрованные данные в шифрованном канале.
В грубом виде можно шифровать файл в контейнер (любыми доступными программами для шифрования в контейнер), далее сделать FTP сервер с зашифрованными дисками и сделать обмен через FTPS. Но все это на мой взгляд не очень "Юзабельно" для пользователей.
Подскажите кто какие знает подобные решения, разработки?
В приоритете бесплатные решения. но рассмотрю и коммерческие за приемлемую цену (не облачные).
Возможно кто то знает статью с реализацией того же FTPS.

Comments

[Lynn «Кофеман»]

PGP придумали 30 лет назад

[Lynn «Кофеман»]

Вообще из описания непонятно какую задачу вы хотите решить.

[Андрей]

Lynn «Кофеман», В общем виде нужно сделать защищенное место (сервер) куда можно выкладывать зашифрованную информацию и кто то другой мог так же ее от дуда забрать. и что бы обмен клиент-сервер так же защищен.

под защищенный я понимаю - шифрованный.
Вот такая задача, но что бы все это было в понятном для пользователя виде.
Так же один из вариантов реализации (как бы я это видел) я описал в комментарии на ответ res2001.

[Lynn «Кофеман»]

От кого защищаем сервер?
Кто может читать отправленные файлы?

[Андрей]

Lynn «Кофеман», ну в первую очередь от конкурентов, а так естественно от всех у кого нет "ключей")

Answer 1

[Кот Абсолютный]

"Все украдено до вас".
У Synology есть такое решение - типа частного облака, мы так с контрагентами документацией меняемся.

Comments

[Андрей]

Как называется? у меня есть пару NAS от synology

[Кот Абсолютный]

Андрей, Cloud Station

[Андрей]

CityCat4, Cloud Station Server? Спасибо, поковыряю его. А как он осуществляет защиту? шифрование и т.д.?

[Кот Абсолютный]

Андрей, Насчет шифрования при хранении не знаю, может и никак - мне не надо. А защита транспортного уровня стандартная, через https, для загрузки файла юзер должен иметь логин в системе, для скачки логин не обязателен, дается прямая ссылка (автогенератор).

Answer 2

[dollar]

Готовых решений много, но все они в той или иной степени основаны на доверии.

Например, если вы сами сделаете подобное приложение, то у обычных пользователей встанет вопрос о доверии именно к вам. Где гарантия, что когда к вам придут агенты секретной службы или босс мафии, вы не продадите им свой проект с потрохами? Про пытки вообще молчу.

Ведь у вас, как у будущего "куратора" подобного сервиса, есть прекрасная возможность выкатить обновление приложения, в котором вы ослабляете шифрование, добавляете дыр или вообще откровенных троянов в своё приложение.

Ну а если речь про продвинутых пользователей, то им такие приложения не нужны, потому что хватает простых инструментов для шифрования файлов.

P.S. А с чего вы взяли, что мысль интересная? С первого взгляда похоже на велосипед.

Comments

[Андрей]

Интересная хотя бы потому что на такое решение может быть спрос.
Ну и это неплохой кейс для изучение шифрования, вопросов безопасности передачи данных в целом.
Возможно стоит добавить "интересная для меня".

Вопрос скорее не про разработку приложения, а про использование готового решения. Но зарекомендовавшего себя.

Answer 3

[res2001]

Шифровать данные и трафик (канал) вместе нет особого смысла - двойное шифрование сильно безопасности не прибавит. Достаточно будет реализовать один из вариантов шифрования.
Если сервер "безопасный", т.е. он находится в надежном месте, к нему нет доступа у недоверенных людей, то шифровать данные нет смысла. Используйте ВПН для доступа серверу - весь трафик, передаваемый по ВПН, будет шифрованным. Данные не ограничиваются только файлами - будет шифроваться любой трафик передаваемый по ВПН. Шифрование будет происходить автоматически, пользователю нужно будет только установить ВПН соединение.
Если сервер не безопасный (например VPS в облаке), то есть смысл шифровать данные, канал при этом может быть открытый. Для шифрования файлов можно использовать что угодно, например архиватор с поддержкой стойкого шифрования, или тот же PGP и т.п. В этом случае от пользователя потребуются дополнительные действия по шифрованию/расшифрованию файлов. А так же нужно организовать и поддерживать инфраструктуру открытых ключей (PKI) для того что бы клиенты могли генерировать ключи.

Comments

[Андрей]

Спасибо, это уже интереснее. Я читал про PGP и про GnuPG. Но в реализации их не видел. Что то может быть более "юзерфрендли" для типовых бухов? ну что то типо открыл прогу (клиент), вставил ключи (токен или флешку), установил соединение с сервером и увидел доступное место для фала (может диск примонтируется или еще как то). отправил туда файл и все. Закрыл соединение.

[res2001]

Андрей,

ну что то типо открыл прогу (клиент), вставил ключи (токен или флешку), установил соединение с сервером и увидел доступное место для фала (может диск примонтируется или еще как то). отправил туда файл и все.

Конкретно под такие требования не встречал.
Шифрование файлов и отправка файлов - это разные операции. Как шифровать так и отправлять файлы вы можете сотней разных способов.
Например, может вам будет достаточно какого-нибудь WebDav через SSL - отправка файлов по защищенному каналу.

Для шифрования файлов есть "юзерфрендли" софт, например КриптоАРМ - поддерживает автоматизацию, отечественную крипту. Но он никуда файлы не отправляет. Но в нем можно настроить каталог, куда будут складываться шифрованные файлы. Если указать там путь к сетевому каталогу, который будет лежать на вашем сервере, то это вызовет автоматическое сохранение шифрованных файлов на сервере. Но тут есть ограничения по используемым файловым протоколам - сохранять он сможет, только если расшаренный каталог с сервера подключен к компу пользователя, т.е. ни о каком FTP, HTTP и т.п. SCP речи не идет. Т.е. реальное сохранение может вестись только на сервер в локальной сети.
Уверен, что полно и другого софта, ищите, может найдете что-то более подходящее под ваши хотелки.