Ich habe ca. 3 GB an Daten, die meine Institution unter Geheimhaltungsvereinbarung erhalten hat. Wir dürfen sie mit einer kleinen Anzahl von Partnerinstitutionen teilen, aber nicht öffentlich zugänglich machen. Die Benutzer einiger Partnerinstitutionen sind möglicherweise nicht sehr technisch versiert. Ich werde dafür kein Geld ausgeben können und ich bin nicht in der Lage, neue IT-Systeme einzurichten (also kommt z. B. das Hosten eines SFTP-Servers nicht in Frage). Ich versuche herauszufinden, wie ich das Problem am besten angehen kann.
Eine naheliegende Möglichkeit besteht darin, einen Dienst wie Dropbox zu verwenden und den Download-Link nur an die entsprechenden Personen zu senden. In der Praxis ist dies wahrscheinlich ausreichend sicher, in der Theorie jedoch nicht ideal, da Dropbox selbst die Daten einsehen kann.
Ich könnte es verschlüsseln und die verschlüsselte Datei auf Dropbox oder ähnliches hochladen. Allerdings kenne ich kein Verschlüsselungs-/Entschlüsselungstool, das für einen nichttechnischen Benutzer auf der Empfängerseite unkompliziert ist. Vorschläge für ein solches Tool sind willkommen!
Eine andere Möglichkeit wäre natürlich, jedem Partner einfach eine DVD per Post zuzusenden...
Gibt es hierfür eine einfachere Möglichkeit, an die ich nicht gedacht habe?
Verwandt, aber keine Duplikate:
- Diese Fragegibt Antworten, bei denen Vertraulichkeit keine Rolle spielt.
- Diese Fragegibt Antworten, bei denen es um Geldausgaben oder die Einrichtung neuer Systeme geht (und die aktuellste Antwort ist von vor zwei Jahren).
EDIT: Zur Klarstellung, da einige der Antworten zwar hilfreich sind, aber in paranoides Terrain abdriften: Die betreffenden Daten unterliegen der Geheimhaltungsvereinbarung, einfach weil die Organisation, die sie bereitgestellt hat, dafür Geld verlangt und sie gerne an andere Personen verkaufen möchte. Dies ist keine Geheimhaltungsstufe, um „Abhörmaßnahmen der Regierung zu umgehen“ (d. h. keine Notwendigkeit für glaubhafte Abstreitbarkeit usw.), sondern eine Stufe, um „angemessene Schritte zu unternehmen, um die Vereinbarung nicht zu verletzen“. Es gibt keine persönlichen Daten über irgendjemanden, daher gelten ethische und rechtliche Bedenken hinsichtlich persönlicher Daten nicht.
Antwort1
Sie könnten eine passwortgeschützte ZIP-Datei verwenden und diese über Dropbox senden. Ich weiß nicht, ob das für Ihre Anforderungen sicher genug ist, aber es ist einfach.
Ich denke, die von Ihnen vorgeschlagene Sneakernet-Option dürfte die einfachste sein. Schicken Sie eine DVD per Post.
Antwort2
Bitorrent-Synchronisierungkönnte hier funktionieren. Es benötigt einen Client, verwendet aber keinen zentralen Server, AES verschlüsselt den Datenverkehr und ist beim Übertragen großer Dateien recht gut. Sie könnten auch ein „einfaches“, kennwortverschlüsseltes, selbstextrahierendes Archiv mit 7zip verwenden. Ich könnte mir allerdings vorstellen, dass Firewalls bei dem Torrent-Datenverkehr ausflippen.
Das Senden einer DVD an jeden Partner ist wahrscheinlich die beste und PHB-freundlichste Lösung
Antwort3
Da dies ein hohes Potenzial für einen Flame-War hat: Da ich kein Experte auf einem sich ständig weiterentwickelnden Gebiet der Wissenschaft bin, fasse ich hier nur einige meiner eigenen Gedanken zu Sicherheit und Verschlüsselung zusammen. Also:
A)zu "Dropbox" ea: Wie gut kann man wissen, wem "service_name" gehört und warum zum Teufel sollte man bereit sein, die Kontrolle über sensible Daten, insbesondere über andere Personen, an "service_name" abzugeben?!¹ Zumindest sollte man versuchen, herumzufragen, ob jemandeinsTrusts verfügen möglicherweise über Online-Speicher (Server), mit eingeschränktem Zugriff nur für die PersoneneinsTrusts. Oder man kann haftbar gemacht werden, wenn einem etwas passiert.
B)Zum Thema „Passwortgeschützte Daten“: Nur um eine Vorstellung zu geben, wie sehr die Menschen Unternehmen vertrauen
- Beliebteste Passwörter von2011
- Die beliebtesten Passwörter von2012
- Die 20 am häufigsten gestohlenen Passwörter inAdobe-Hack
- LinkedInPasswort-Leak: Die 30 am häufigsten geknackten Passwörter
Jeder und sein Hund würden schwören, dass sie solche Passwörter nicht verwenden würden – woher kommen sie? Außerdem:Warum Passwörter mit fester Länge (hauptsächlich 8 Zeichen) keine gute Idee sind.
C)Zur Verschlüsselung: Ich habe sehr gute Dinge gehört überGNU PG (Wikipedia-Artikel)und ganz gute Dinge überTrueCrypt (Wikipedia)Es gibt auch eineStack Exchange zum Thema Sicherheit; falls du es nicht weißt ;)
zu c)Zur E-Verschlüsselung im Einsatz: Suchen Sie für jede Software, von der Sie hören, deren Namen mit einem zusätzlichen Schlüsselwort wie „hacken", "Riss", "entschlüsseln", usw. Dies könnte sogar dem neuesten Neuling eine Vorstellung davon geben, wie sicher es sein könnte. Außerdem: Da genug damit geprahlt wird, dass es einfach alles knacken kann, könnte eine kleine Recherche zu " führen.nur heiße Luft mit einem Hauch Zucker und …" Im besten Fall.
Antwort Idee wie man das lösen kann: Das Verbrennen derverschlüsseltDaten auf einer DVD zu speichern und sie über Sneakernet zu übertragen, klingt gut. Das Beste zu tun, was man tun kann, um Daten zu schützen, insbesondere wenn es sich um sensible Daten ** über andere Personen** (!) handelt, ist ein Muss und nichts weniger. Ein Grund, warum ich sehr ungern anderen Leuten meine sensiblen Daten zur Verfügung stelle, ist, dass ich weiß, dass Sicherheitsmaßnahmen in den meisten Fällen von "dieser Typ"Kaum jemand hat mehr gesprochen als nötig (wenn überhaupt).
e) Bruce Schneierhat geschriebenviel zum Thema Vertrauen - hier eine Einführung
¹ Ich bin NICHT hier, um irgendein Unternehmen wegen irgendetwas zu kritisieren – ich erwähne nur „Dropbox“, weil Sie es als Beispiel genannt haben. Ich stelle nur die Weitergabe vertraulicher Daten und die Abgabe der Kontrolle an „einen Internetdienst“ in Frage.