3

Windows 2003 サーバーを使用しており、GnuPG を使用して復号化を自動化するバッチ ファイルを作成する必要があります。復号化コマンドには、秘密鍵を使用するためのパスフレーズが必要です。

私を完全には満足させないいくつかの実行可能なオプションを次に示します。

  1. echo thisIsMyPassphrase|gpg.exe --passphrase-fd 0 --output %1 --decrypt %2 このようなハードコードされたパスフレーズは、安全なアプローチとは思えません! また、(.cmd ファイル内に直接埋め込まれているため) 変更するのは便利ではありません。

  2. パスフレーズを個別のファイルに保存し、復号化プロセスを実行している Windows ユーザーのみがアクセスできるようにします (NTFS セキュリティ設定を使用)。
    gpg.exe --passphrase-file X:\passphrase.txt --output %1 --decrypt %2
    ここであまり気に入らないのは、この非常に機密性の高い情報だけを含む裸のファイルがどこかにあるということです。維持するのは奇妙ですか?簡単に見つかります ?..

  3. パスフレーズを環境変数に保存するのは良くないように感じます(かなり露出しているように見えます)..
    echo %MY_PASSPHRASE%|gpg.exe --passphrase-fd 0 --output %1 --decrypt %2


さて、これを達成するための最良の(または「最も悪い」)ソリューションについてどう思いますか?

4

1 に答える 1

0

2 番目 (パスワード ファイル) のオプションは、ほとんどのユース ケースでかなり合理的なアプローチだと思います。また、Windows 2003 暗号化ファイル システムを使用すると、物理サーバーの盗難に関する懸念がある程度軽減される可能性があります。確かにフープを飛び越えてパスワードをさらに難読化できますが、それは単なる難読化です。真のセキュリティは、NTFS ファイル システムのセキュリティにあります。

言及するのはほとんどばかげていますが、「適切な」セキュリティの実装は、ソリューションのコストとデータの価値の間のバランスをとる行為であるため、データが十分に機密であり、問​​題にいくらかの現金を投入する意思がある場合は、ハードウェア セキュリティ モジュール (nCipherこのタイプの問題を支援できる可能性があります。

興味がある場合は、同様の SO ディスカッションへのリンクを次に示します:バッチ ジョブのパスワードの保存

于 2012-06-07T21:26:21.257 に答える