Failide krüptimise alternatiivid.
Enne kui sukeldume sügavamalt failide krüptimisse, kaalume alternatiive ja vaatame, kas faili krüptimine sobib teie vajadustele. Delikaatseid andmeid saab krüpteerida erinevatel detailsusastmetel: kogu ketta krüptimine, failisüsteemi, andmebaasi ja rakenduse tase. See artikkel teeb nende lähenemisviiside võrdlemisel head tööd. Võtame need kokku.
Täisketta krüptimine (FDE) on mõistlik seadmetele, mis võivad tunduda füüsilise kaotuse või varguse all, näiteks sülearvutid. Kuid FDE ei kaitse teie andmeid palju muu eest, sealhulgas kaughäkkimise katsete eest ega sobi üksikute failide krüptimiseks.
Failisüsteemi tasemel krüptimise korral teostab failisüsteem krüptimise otse. Seda saab saavutada, kui virnastate krüptograafilise failisüsteemi peamise peale või see võib olla sisse ehitatud. Selle järgi wiki, mõned eelised on järgmised: iga faili saab krüptida eraldi võtmega (süsteemi hallatav) ja täiendava juurdepääsu kontroll avaliku võtme krüptograafia kaudu. Muidugi nõuab see OS-i konfiguratsiooni muutmist ja see ei pruugi kõigile kasutajatele sobida. Kuid see pakub enamikus olukordades sobivat kaitset ja seda on suhteliselt lihtne kasutada. Seda käsitletakse allpool.
Andmebaasitaseme krüptimine võib sihtida konkreetseid andmete osi, näiteks tabeli konkreetset veergu. See on siiski spetsiaalne tööriist, mis tegeleb pigem failide sisu kui tervete failidega ja jääb seega selle artikli reguleerimisalast välja.
Rakendustaseme krüptimine võib olla optimaalne, kui turbepoliitika nõuab konkreetsete andmete kaitsmist. Rakendus võib andmete kaitsmiseks mitmel viisil kasutada krüpteerimist ja faili krüptimine on kindlasti üks neist. Arutame allpool failide krüptimise rakendust.
Faili krüptimine rakendusega
Failide krüptimiseks Linuxis on saadaval mitu tööriista. See artikkel loetleb levinumad alternatiivid. Tänasest näib GnuPG kõige otsesem valik. Miks? Kuna on tõenäoline, et see on teie süsteemis juba installitud (erinevalt ccryptist), on käsurida lihtne (erinevalt otsese openssl-i kasutamisest), seda arendatakse väga aktiivselt ja see on konfigureeritud kasutama ajakohast šifrit (AES256 tänase seisuga) ).
Kui te pole installinud GPG-d, saate selle installida, kasutades oma platvormile sobivat paketihaldurit, näiteks apt-get:
pi @ raspberrypi: ~ $ sudo apt-get install gpgPakettide loendite lugemine ... Valmis
Sõltuvuspuu ehitamine
Olekuteabe lugemine ... Valmis
Krüptige fail GnuPG-ga:
pi @ raspberrypi: ~ $ kassi saladus.txtTäiesti salajane kraam!
pi @ raspberrypi: ~ $ gpg -c saladus.txt
pi @ raspberrypi: ~ $ failisaladus.txt.gpg
saladus.txt.gpg: GPG sümmeetriliselt krüptitud andmed (AES256 šifr)
pi @ raspberrypi: ~ $ rm saladus.txt
Nüüd dekrüpteerimiseks tehke järgmist
pi @ raspberrypi: ~ $ gpg - dešifreeri saladus.txt.gpg> saladus.txtgpg: AES256 krüptitud andmed
gpg: krüpteeritud 1 parooliga
pi @ raspberrypi: ~ $ kassi saladus.txt
Täiesti salajane kraam!
Pange tähele ülaltoodut “AES256”. Seda küprot kasutatakse ülaltoodud näites faili krüptimiseks. See on 256-bitise plokksuuruse (praegu turvaline) variant „Advanced Encryption Standard” (tuntud ka kui Rijndae) küprokostüüm. Vaadake seda Vikipeedia artikkel rohkem informatsiooni.
Failisüsteemi taseme krüptimise seadistamine
Selle järgi fscrypt wiki leht, ext4-failisüsteemis on failide krüptimiseks sisseehitatud tugi. See kasutab operatsioonisüsteemi kerneliga suhtlemiseks fscrypt API-d (eeldades, et krüptimisfunktsioon on lubatud). See rakendab krüpteerimist kataloogide tasandil. Süsteemi saab konfigureerida erinevate kataloogide jaoks erinevate võtmete kasutamiseks. Kui kataloog on krüptitud, on ka kõik failinimedega seotud andmed (ja metaandmed), näiteks failinimed, nende sisu ja alamkataloogid. Mitteandmelised metaandmed, näiteks ajatemplid, on krüptimisest vabastatud. Märkus: see funktsioon sai Linux 4-s kättesaadavaks.1 vabastamine.
Kuigi see LUGEGE on juhised, siin on lühike ülevaade. Süsteem järgib mõisteid "kaitsjad" ja "poliitikad". “Policy” on tegelik võti, mida (OS-i kernel) kasutab kataloogi krüptimiseks. Protector on kasutaja parool või samaväärne, mida kasutatakse eeskirjade kaitsmiseks. See kahetasandiline süsteem võimaldab kontrollida kasutaja juurdepääsu kataloogidele ilma, et peaksite iga kord uuesti krüpteerima, kui kasutajakontod muutuvad.
Üldkasutatavaks juhuks oleks fscrypt-poliitika seadistamine kasutaja kodukataloogi krüptimiseks kaitsjana sisselogimisparoolidega (saadud PAM-i kaudu). See lisaks täiendava turvalisuse taseme ja võimaldaks kasutajaandmeid kaitsta ka siis, kui ründajal õnnestuks süsteemile administraatorile juurdepääs saada. Siin on näide, kuidas selle seadistamine välja näeb:
pi @ raspberrypi: ~ $ fscrypt krüptib ~ / secret_stuff /Kas peaksime looma uue kaitsja? [jah / ei] jah
Saadaval on järgmised kaitseallikad:
1 - teie sisselogimise parool (pam_passphrase)
2 - kohandatud parool (kohandatud parool)
3 - toores 256-bitine võti (raw_key)
Sisestage uue kaitsja allika number [2 - kohandatud paroolifraas]: 1
Sisestage pi sisselogimisparool:
"/ home / pi / secret_stuff" on nüüd krüptitud, lukustamata ja kasutamiseks valmis.
Pärast seadistamist võib see olla kasutajale täiesti läbipaistev. Kasutaja võib lisada mõnele alamkataloogile täiendava turvalisuse taseme, määrates neile erinevad kaitsmed.
Järeldus
Krüpteerimine on sügav ja keeruline teema, mida on vaja palju enamat käsitleda ning see on ka kiiresti kasvav valdkond, eriti kvantarvutuste tulekuga. On ülioluline hoida ühendust uute tehnoloogiliste arengutega, sest see, mis täna on turvaline, võib mõne aasta pärast puruneda. Ole hoolas ja pane uudistele tähelepanu.
Viidatud tööd
- Õige krüptimismeetodi valimine Thalese e-turvalisus Infoleht, 1. veebruar 2019
- Failisüsteemi taseme krüptimine Vikipeedia, 10. juuli 2019
- 7 tööriista failide krüptimiseks / dekrüpteerimiseks ja parooliga kaitsmiseks Linuxis TecMint, 6. aprill 2015
- Fscrypt Arch Linux Wiki, 27. november 2019
- Täiustatud krüptimise standardvikipeedia, 8. detsember 2019