ฉันมีเซิร์ฟเวอร์สำรองที่สร้างxzไฟล์บีบอัดtarของไดเรกทอรีต้นไม้เพื่อสำรองข้อมูล ไฟล์เก็บถาวร tar เหล่านี้สามารถมีขนาดใหญ่ (หลาย TB) อยู่splitเป็นชิ้น ๆ (2.5TB) และแต่ละชิ้นจะถูกเขียนลงในเทป LTO-6 และเทปจะไปนอกสถานที่
ตอนนี้ฉันต้องการเพิ่มการเข้ารหัส ฉันสามารถ GPG เข้ารหัสไฟล์เก็บถาวร tar ก่อนที่จะแยกโดยใช้การเข้ารหัสคีย์สาธารณะและกับผู้รับหนึ่งรายหรือมากกว่า (คีย์สาธารณะของผู้ดูแลระบบ)
อย่างไรก็ตามในกรณีของการกู้คืนผู้ดูแลระบบอย่างน้อยหนึ่งรายต้องใส่กุญแจส่วนตัวของเขาลงในเซิร์ฟเวอร์สำรองเนื่องจากไฟล์มีขนาดใหญ่เกินไปที่จะนำออกจากกล่องได้ทุกที่
GPG ใช้รูปแบบการเข้ารหัสแบบไฮบริดภายใต้ประทุนพร้อมกับรหัสตัวเลขแบบสมมาตรเช่น AES พร้อมด้วยเซสชั่นคีย์และมีเพียงเซสชั่นคีย์เท่านั้นที่ได้รับคีย์สาธารณะ - ส่วนตัวที่เข้ารหัสสำหรับผู้รับ
มีวิธีให้ผู้ดูแลระบบจัดเตรียมเซสชั่นคีย์สำหรับการถอดรหัสไฟล์ที่จะกู้คืนโดยไม่ต้องใส่กุญแจส่วนตัวบนเซิร์ฟเวอร์สำรองหรือไม่?
ฉันสามารถบูรณาการล้อแน่นอน:
- สร้างคีย์เซสชันแบบสุ่มในเซิร์ฟเวอร์สำรองสำหรับแต่ละไฟล์ที่จะสำรอง
- ใช้การเข้ารหัสแบบสมมาตร GPG เพื่อเข้ารหัสไฟล์
- ใช้การเข้ารหัสแบบอสมมาตร GPG เพื่อเข้ารหัสคีย์เซสชันสำหรับผู้รับแต่ละคน
แต่มี "มาตรฐาน" หรือ builtin หรือวิธีปฏิบัติที่ดีที่สุดของการบรรลุข้างต้น?