Tôi có một máy chủ dự phòng, tạo ra xz
các tar
kho lưu trữ nén của các cây thư mục để sao lưu. Những tài liệu lưu trữ tar này có thể nhận được rất nhiều (nhiều TB), split
thành từng mảnh (2,5TB) và mỗi phần được ghi vào một băng LTO-6, và các băng từ bên ngoài.
Bây giờ tôi muốn thêm mã hóa. Tôi có thể mã hóa GPG kho lưu trữ tar trước khi tách, sử dụng mã hóa khóa riêng-công khai và với một hoặc nhiều người nhận (khóa công khai của quản trị viên).
Tuy nhiên, trong trường hợp khôi phục, ít nhất một quản trị viên cần đặt khóa riêng của mình vào máy chủ dự phòng, vì các tệp quá lớn để có thể giải nén ở bất kỳ nơi nào khác.
GPG sử dụng sơ đồ mã hóa lai dưới mui xe, với mật mã đối xứng như AES với khóa phiên và chỉ khóa phiên đó mới được mã hóa khóa riêng tư cho người nhận.
Có cách nào để quản trị viên cung cấp khóa phiên để giải mã tập tin mà không cần đặt khóa riêng lên máy chủ dự phòng không?
Tôi có thể phát minh lại bánh xe tất nhiên:
- tạo khóa phiên ngẫu nhiên trên máy chủ sao lưu trên mỗi tệp để sao lưu
- sử dụng mã hóa đối xứng GPG để mã hóa tệp
- sử dụng mã hóa bất đối xứng GPG để mã hóa khóa phiên cho mỗi người nhận
Nhưng có một cách "tiêu chuẩn" hoặc dựng sẵn hoặc thực hành tốt nhất để đạt được ở trên?