Cifrado y TLS

NGBackup protege los datos en tránsito y en reposo.

Datos en reposo

• Cifrado AES-256-GCM de los datos de backup, realizado por el File Daemon — los datos salen del cliente ya cifrados.
• Gestión de claves por PKI — cada cliente tiene un par de claves master/datos; solo quien tiene la clave privada restaura.
• Funciona junto con deduplicación y compresión.

Datos en tránsito

• TLS entre todos los componentes (Director, Storage Daemon, File Daemon, Console).
• TLS Authenticate para autenticación mutua entre daemons.
• El protocolo de cable de la deduplicación añade su propio canal AEAD (HKDF-SHA256 + ChaCha20-Poly1305).

Todas las directivas de TLS y PKI están en las referencias Director, Client y Storage.

Precaución

Guarda y respalda las claves privadas de la PKI por separado — sin ellas, los backups cifrados no se pueden restaurar. Ese es el sentido del cifrado fuerte, y también su responsabilidad.