Criptografia & TLS

O NGBackup protege os dados em trânsito e em repouso.

Dados em repouso

• Criptografia AES-256-GCM dos dados de backup, feita pelo File Daemon — os dados saem do cliente já criptografados.
• Gestão de chaves por PKI — cada cliente tem um par de chaves master/dados; só quem tem a chave privada restaura.
• Funciona junto com deduplicação e compressão.

Dados em trânsito

• TLS entre todos os componentes (Director, Storage Daemon, File Daemon, Console).
• TLS Authenticate para autenticação mútua entre daemons.
• O protocolo de fio da deduplicação adiciona seu próprio canal AEAD (HKDF-SHA256 + ChaCha20-Poly1305).

Todas as diretivas de TLS e PKI estão nas referências Director, Client e Storage.

Cuidado

Guarde e faça backup das chaves privadas da PKI separadamente — sem elas, backups criptografados não podem ser restaurados. Esse é o ponto da criptografia forte, e também sua responsabilidade.