我们想使用 GPG 加密文件夹,但又想防止心怀不满的员工更改私钥、加密文件夹,然后离开公司。我知道您可以撤销密钥对,但前提是您事先知道员工要离职。
或者有没有办法仅使用特定的公钥/私钥对来加密文件夹。
谢谢。
答案1
你的问题不是加密问题,而是信任问题。
如果您担心某个员工可能会损害您公司的数据,那么该用户就不能被允许对该数据具有写访问权限。
这主要适用于独特的数据。如果这些只是你的主要的数据,那么就没有真正的问题。
答案2
如果您希望使用多个密钥来加密数据,您可以在 Linux 上使用 LUKS 卷,它们接受多个“密码”。每个密码可以是密码或文件。每个员工都会有一个“密码”,它是用他的 PGP 密钥签名的文件,还是其他什么(PGP 确保它是由他自己生成的)。管理员将该文件添加为 LUKS 密钥(使用cryptsetup luksAddKey /dev/mapper/decryptedVolume /path/to/passFile)并且当该人离开时,您撤销该通行证(使用cryptsetup luksDelKey <keySlot>)
答案3
我找不到任何有关如何使用 GPG 加密文件夹的信息。
假设您尚未使用 GPG,Truecrypt 是一款出色的开源文件夹和驱动器加密程序,可以解决此问题。
这Truecrypt 常见问题解答描述了非管理员重置密码时如何重置密码。请参阅问题:
我们在公司/企业环境中使用 TrueCrypt。当用户忘记卷密码或预启动身份验证密码(或丢失密钥文件)时,管理员是否有办法重置这些密码?