Encryption/Fr
Chiffrement
Le chiffrement de sauvegarde est utilisé dans deux objectifs:
- Chiffrement du transport
Chiffrement des données en transit entre le serveur et le client pour prévenir les regards indiscrets sur le réseau.
- Chiffrement des données
Chiffrement des données dumpées sur bande (ou tout autre média de sauvegarde) pour fournir une sécurité au cas ou celle-ci tomberait entre de mauvaises mains.
Il est devenu courant d'entendre parler de sociétés perdant le contrôle d'énormes quantités de données critiques lorsque les bandes de sauvegardes ont quitté ce contrôle; par exemple
Comparaison
| Transport | Données | Tag |
|---|---|---|
| Non | Non | A |
| Oui | Non | B |
| Non | Oui | C |
| Oui | Oui | D |
| Oui | Non | E (clef publique) |
Dans les scenarii A et C, des regards indiscrets sur le réseau peuvent observer les données. Dans B D et E, c'est impossible
Dans les scenarii A et B, on peut récupérer les données depuis les bandes de sauvegarde sans clef. C'est peut-être évident, mais très important pour la sauvegarde.
Dans C, D et E, les bandes de sauvegarde sont chiffrées. Ainsi, on pourrait les stocker dans un lieu où vous faites confiance au gens pour ne pas les détruire, mais tout en les empêchant de les lire. Cela peut paraître sensé pour des données particulièrement sensibles.
Dans le cas E, les données de sauvegarde n'apparaissent pas en clair sur le serveur. Cela peut être utile pour sauvegarder des clients avec des données particulièrement sensibles. Pour que cela soit réellement sensé, le client devrait être configuré pour n'accepter les requêtes de dump que sur un jeu préconfiguré de clefs publiques.
Chiffrement Symétrique vs. Clef Publique
Le chiffrement symétrique est aussi connu sous le nom de chiffrement par clef-simple (ou clef secrète). La même clef est utilisée pour le chiffrage et le déchiffrage. Avantages:
- une seule clef à gérer
- plus rapide
Inconvénients:
- nécessité de partager la clef entre les deux parties au travers d'une communication sécurisée
- pour faire des sauvegadres automatiques,il faut stocker une passphrase quelque part.
Le chiffrement par clef publique/privée est aussi connu comme chiffrement asymétrique. Une clef publique est utilisée pour le chiffrage alors qu'une clef privée distincte est utilisée pour le déchiffrage. Les systèmes procédant au chiffrage n'ont pas besoin de la clef privée, donc celle-ci peut être conservée, par exemple, dans un coffre ferméee jusqu'à ce qu'une restauration (avec le déchiffrage associé) est requise.. Avantages:
- pas de secret (c.a.d clef publique) nécessaire pour le chiffrage.
- si la clef publique est perdue, elle peut être re-générée depuis la clef privée.
- nul besoin de passphrase pour le chiffrage.
Inconvénients:
- cher en temps de calcul, donc plus lent**.
- les données sont chiffrées pour une personne/un groupe spécifique. Seul le destinataire prévu avec la clef privée correcte peut déchiffrer les données.
- attaque de l'homme du milieu potentielle.
[**] il a été fait remarquer que les ressources de calcul ne comptent pas tant que ça: la plupart des systèmes génèrent une clef symétrique de session, qui est chiffrée en utilisant la clef publique. Ainsi la lenteur se limite au chiffrement de la clef de session, alors que les données réelles sont chiffrées en utilisant l'algorithme symétrique rapide.
Support du Chiffrement du Transport
Pour mettre en place le chiffrement du transport entre deux hôtes UNIX, la solution la plus simple est de paramétrer l'authentification SSH (Comment...Mettre en place le chiffrement de transport avec SSH). Le driver de l'authentification SSH multiplexe toutes ses communications au travers d'un unique cannal SSH, résultant dans le chiffrement de toutes les données.
De manière alternative, l'authentification Kerberos peut optionnellement supporter le chiffrement, quoique ce ne soit pas une option si bien supportée, et que cela consomme un montant significatif de ressources de calcul aux deux extrémités de la connexion.
Support du Chiffrement des Données
Amanda 2.5.0 et plus supportent le chiffrement d'une façon similaire à la compression. Elle peut avoir lieu au niveau du serveur ou de client, et est contrôlée dans les définitions de dumptype par les directives encrypt client ou encrypt server. Voir Comment...Mettre en place le chiffrement des données pour plus de détails.
Other languages: [[::{{#titleparts: Encryption/Fr | -1 }}|English]] {{#ifexist: {{#if: | | {{#if: | :}}{{#titleparts: Encryption/Fr | -1 }}}}/Fr | • {{#if: |français| [[::{{#titleparts: Encryption/Fr | -1 }}/Fr|français]]}}|}}
{{#ifexist: {{#if: | | {{#if: | :}}{{#titleparts: Encryption/Fr | -1 }}}}/Zh-cn | • {{#if: |中文(中国大陆)| [[::{{#titleparts: Encryption/Fr | -1 }}/Zh-cn|中文(中国大陆)]]}}|}}