とにかくsftpで転送されるペイロードを暗号化することの価値は何ですか?
インターネット経由でコンテンツを送信するための統合の取り決めがあり、合意されたプロトコルは暗号化してから、sftp経由で送信します。
コンテンツを2回暗号化する理由は何でしょうか。
その理由はわかりません。
暗号化のアルゴリズムは、セキュリティを強化するためのCBCモードのAESです。
NZSIT 402:2008で定義されているハッシュアルゴリズムは、SHA 256を使用している必要があります。したがって、キーの導出に使用されるアルゴリズムはPBKDF1です(PKCS#5 v2.0で定義され、RRC 2898で文書化されています)。 SHA1ジェネレーターに基づくPBKDF2以外のジェネレーターとしてSHA256を使用します。より高いセキュリティが必要でない限り、128ビットの暗号化強度を使用することもお勧めします。
要塞ssh/sftpサーバーは通信の少なくとも一方の側で使用されますが、最終エンドポイントシステムに「近い」ように見え、中間サーバーが危険にさらされるリスクについて誰も話しません。
脅威モデルが転送中の傍受または変更のみを対象としている場合は、意味がありません。
ただし、SFTP経由で送信されるファイルは、多くの場合、受信と保管の両方でステージングサーバーに置かれます。これらのポイントで不正アクセスが心配な場合は、ファイルとトランスポートの暗号化を暗号化する価値があります。
さらに、否認防止に対する脅威と要件がある場合、および/またはファイルが変更されていないことを確認する方法が必要な場合(たとえば、一度受信した管理者によって)、または承認された当事者によって送信された場合(認証と承認の詳細な防御) SFTP接続(例:SFTP資格情報の1つのセットが会社に提供されているが、ファイルは財務部門のみが送信する必要がある場合)。これらすべてのケースで、暗号で署名されたファイルがあります。検証できるpgp署名は、有用なセキュリティ管理策です