Я получаю запросы от клиентов, у которых есть файлы дампа приложений в FS на Linux, и я хочу, чтобы эти файлы были автоматически зашифрованы. Не в смысле зашифрованной файловой системы, а в том смысле, что никто, даже root, не может прочитать эти файлы. Данные также хранятся в зашифрованной базе данных (я знаю, что для этого также потребуется какое-то «безопасное» хранилище ключей - но это считается безопасным. Я знаю, что это, вероятно, неправда - но я ничего не могу изменить). Для целей отладки данные также хранятся в виде простых файлов - и они должны быть защищены, поскольку они содержат конфиденциальные данные.
Насколько я понимаю, на самом деле это невозможно. Демон, наблюдающий за FS, может собирать незашифрованные файлы и зашифровать их с помощью открытого ключа, где частный счетчик хранится в хранилище паролей. Конечно, автоматическое считывание невозможно, но это нормально. Однако будет короткий момент, когда файлы не будут зашифрованы.
Кто-нибудь знает хорошее решение этой проблемы? Я считаю, что приложение должно заботиться о шифровании, но я хотел убедиться, что я ничего не пропустил.
Приложение сделано на заказ, так что да, его можно изменить.
Если вам не разрешено иметь незашифрованные данные в FS даже в течение 1 секунды, вам необходимо сохранить уже зашифрованные данные. Вы будете зашифровать данные в приложении (с некоторыми жестко запрограммированными, скомпилированными ключами) и сохранить эти уже зашифрованные данные.