Проблема хранения и оперативного уничтожения решается достаточно просто: Jetico Best Crypt + Blow Fish 448bit. Называется попробуй сломать
Проблема управления доступом также легко решается через простые скрипты и SSH.
А вот проблему передачи по сети, снифинга, надежной аутентификации красиво решить не получается
Как известно, от снифинга может защитить только L3 коммутация или шифрование трафика, но L3 - это дорого, а шифрование - очень медленно.
ssh тунель на 100мбитном канале дает производительность порядка 20кбайт/c вместо 5000кбайт
Это очень странно, но я пробовал несколько раз и под линуксом и под виндой используя и openssh и коммерческие серверы. Клиентов тоже разных пробовал и putty и winssh. Разница, кстати, между клиентами есть, winssh качает почти вдвое быстрее чем pscp. Но в любом случае, разница в два порядка этим не оправдывается...С ipsec, честно говоря, серьезно не заморачивался, но судя по выдержке из FAQ с www.freeswan.org:
Ожидать нормальной производительности тоже не приходится. А так как мне неизвестны дистрибутивы линукса поддерживающие ipsec изначально, работать вообще тяжело.Even a limited machine can be useful
A 486 can handle a T1, ADSL or cable link, though the machine may be breathing hard.
A mid-range PC (say 800 MHz with good network cards) can do a lot of IPsec
With up to roughly 50 tunnels and aggregate bandwidth of 20 Megabits per second, it willl have cycles left over for other tasks.
There are limits
Even a high end CPU will not come close to handling a fully loaded 100 Mbit/second Ethernet link.
Beyond about 50 tunnels it needs careful management.
Ковыряться с новыми ядрами и патчами без уверенности в возможности достижения требуемого результата ой как не хочется. Может ipsec всетаки по-быстрее будет? Может быть и ssh тунели у кого-нить быстрее работают? Может быть есть дистрибутивы линукса с поддержкой ipsec по умолчанию?
Иначе получается только защита на физическом уровне. Выделение группы потенциальных пользователей секретной информации в отдельную подсеть. Доступ к информации только через сервер терминалов. А как быть иначе? Системы двухфакторной аутентификации пользователей windows на linux серверах мне неизвестно
