Phenquestions
Failu šifrēšanas alternatīvas.
Pirms mēs iedziļināmies failu šifrēšanā, apsveriet alternatīvas un redzēsim, vai failu šifrēšana ir piemērota jūsu vajadzībām. Sensitīvus datus var šifrēt dažādos detalizācijas līmeņos: pilna diska šifrēšana, failu sistēmas, datu bāzes un lietojumprogrammu līmenis. Šis rakstu dara labu darbu, salīdzinot šīs pieejas. Apkoposim tos.
Pilna diska šifrēšana (FDE) ir jēga ierīcēm, kuras var pakļaut fiziskiem zaudējumiem vai zādzībām, piemēram, klēpjdatoriem. Bet FDE neaizsargās jūsu datus no daudz kā cita, ieskaitot attālās uzlaušanas mēģinājumus, un nav piemērots atsevišķu failu šifrēšanai.
Failu sistēmas līmeņa šifrēšanas gadījumā failu sistēma šifrēšanu veic tieši. To var panākt, kriptogrāfisko failu sistēmu sakraujot virs galvenās vai arī tā var būt iebūvēta. Saskaņā ar to wiki, dažas no priekšrocībām ir: katru failu var šifrēt ar atsevišķu atslēgu (kuru pārvalda sistēma) un papildu piekļuves kontroli, izmantojot publiskās atslēgas kriptogrāfiju. Protams, tam ir jāmaina OS konfigurācija, un tas var nebūt piemērots visiem lietotājiem. Tomēr tas piedāvā aizsardzību, kas piemērota lielākajai daļai situāciju, un to ir salīdzinoši viegli izmantot. Tas tiks apskatīts zemāk.
Datu bāzes līmeņa šifrēšana var mērķēt uz noteiktām datu daļām, piemēram, uz konkrētu kolonnu tabulā. Tomēr tas ir specializēts rīks, kas nodarbojas ar failu saturu, nevis ar visiem failiem, un tādējādi ir ārpus šī raksta darbības jomas.
Lietojumprogrammu līmeņa šifrēšana var būt optimāla, ja drošības politikas prasa aizsargāt konkrētus datus. Lai aizsargātu datus, lietojumprogramma var izmantot šifrēšanu daudzos veidos, un faila šifrēšana noteikti ir viena no tām. Tālāk mēs apspriedīsim failu šifrēšanas lietojumprogrammu.
Faila šifrēšana ar lietojumprogrammu
Failu šifrēšanai operētājsistēmā Linux ir pieejami vairāki rīki. Šis rakstu uzskaitītas visbiežāk sastopamās alternatīvas. No šodienas GnuPG šķiet visvienkāršākā izvēle. Kāpēc? Tā kā, visticamāk, tā jau ir instalēta jūsu sistēmā (atšķirībā no ccrypt), komandrinda ir vienkārša (atšķirībā no tiešās opensl izmantošanas), tā tiek ļoti aktīvi izstrādāta un konfigurēta tā, lai izmantotu atjauninātu ciparu (AES256 no šodienas ).
Ja jums nav instalēts gpg, varat to instalēt, izmantojot savai platformai atbilstošu pakotņu pārvaldnieku, piemēram, apt-get:
pi @ raspberrypi: ~ $ sudo apt-get install gpgLasīt paku sarakstus ... Gatavs
Ēkas atkarības koks
Notiek valsts informācijas lasīšana ... Gatavs
Šifrējiet failu, izmantojot GnuPG:
pi @ raspberrypi: ~ $ kaķu noslēpums.txtĪpaši slepenas lietas!
pi @ raspberrypi: ~ $ gpg -c noslēpums.txt
pi @ raspberrypi: ~ $ faila noslēpums.txt.gpg
noslēpums.txt.gpg: simetriski šifrēti GPG dati (AES256 šifrs)
pi @ raspberrypi: ~ $ rm noslēpums.txt
Tagad, lai atšifrētu:
pi @ raspberrypi: ~ $ gpg - atšifrēt noslēpumu.txt.gpg> noslēpums.txtgpg: AES256 šifrēti dati
gpg: šifrēts ar 1 ieejas frāzi
pi @ raspberrypi: ~ $ kaķu noslēpums.txt
Īpaši slepenas lietas!
Lūdzu, ņemiet vērā iepriekš “AES256”. Šis ir šifrs, ko izmanto faila šifrēšanai iepriekš minētajā piemērā. Tas ir 256 bitu bloka lieluma (pagaidām drošs) cifera uzvalka “Advanced Encryption Standard” (pazīstams arī kā Rijndae) variants. Pārbaudiet to Vikipēdijas raksts lai iegūtu vairāk informācijas.
Failu sistēmas līmeņa šifrēšanas iestatīšana
Saskaņā ar to fscrypt wiki lapa, ext4 failu sistēmā ir iebūvēts atbalsts failu šifrēšanai. Tas izmanto fscrypt API, lai sazinātos ar OS kodolu (pieņemot, ka šifrēšanas funkcija ir iespējota). Šifrēšana tiek izmantota direktoriju līmenī. Sistēmu var konfigurēt tā, lai dažādiem direktorijiem izmantotu dažādas atslēgas. Kad direktorijs ir šifrēts, visi dati, kas saistīti ar faila nosaukumu (un metadati), piemēram, failu nosaukumi, to saturs un apakšdirektoriji. Metadati, kas nav faila nosaukums, piemēram, laika zīmogi, no šifrēšanas ir atbrīvoti. Piezīme: šī funkcionalitāte kļuva pieejama Linux 4.1 izlaidums.
Kaut arī šis LASĪT ir instrukcijas, šeit ir īss pārskats. Sistēma ievēro jēdzienus “aizsargi” un “politika”. “Policy” ir faktiskā atslēga, kuru (OS kodols) izmanto direktorija šifrēšanai. “Protector” ir lietotāja ieejas frāze vai ekvivalents, ko izmanto, lai aizsargātu politikas. Šī divu līmeņu sistēma ļauj kontrolēt lietotāja piekļuvi direktorijiem bez atkārtotas šifrēšanas katru reizi, kad tiek mainītas lietotāju konti.
Bieži lietojams gadījums ir fscrypt politikas iestatīšana, lai šifrētu lietotāja mājas direktoriju ar viņu pieteikšanās ieejas frāzēm (kas iegūtas caur PAM) kā aizsargu. Tas darītu papildu drošības līmeni un ļautu aizsargāt lietotāja datus, pat ja uzbrucējam izdotos iegūt administratora piekļuvi sistēmai. Lūk, piemērs, kas ilustrē tā iestatīšanu:
pi @ raspberrypi: ~ $ fscrypt šifrēt ~ / secret_stuff /Vai mums vajadzētu izveidot jaunu aizsargu? [jā / n] jā
Ir pieejami šādi aizsargu avoti:
1 - jūsu pieteikšanās parole (pam_passphrase)
2 - pielāgota ieejas frāze (custom_passphrase)
3 - neapstrādāta 256 bitu atslēga (raw_key)
Ievadiet avota numuru jaunajam aizsargam [2 - custom_passphrase]: 1
Ievadiet pi pieteikšanās paroli:
"/ home / pi / secret_stuff" tagad ir šifrēts, atbloķēts un gatavs lietošanai.
Pēc iestatīšanas tas lietotājam var būt pilnīgi pārredzams. Lietotājs var pievienot papildu drošības līmeni dažiem apakšdirektorijiem, norādot tiem dažādus aizsargus.
Secinājums
Šifrēšana ir dziļa un sarežģīta tēma, un tajā ir daudz vairāk, un tā ir arī strauji augoša joma, īpaši ar kvantu skaitļošanas parādīšanos. Ir ļoti svarīgi uzturēt saikni ar jaunajiem tehnoloģiskajiem sasniegumiem, jo tas, kas šodien ir drošs, pēc dažiem gadiem varētu tikt uzlauzts. Esiet uzmācīgs un pievērsiet uzmanību jaunumiem.
Darbi citēti
- Pareizās šifrēšanas pieejas izvēle Thales e-drošība Biļetens, 2019. gada 1. februāris
- Failu sistēmas līmeņa šifrēšana Vikipēdija, 2019. gada 10. jūlijs
- 7 rīki failu šifrēšanai / atšifrēšanai un paroles aizsardzībai operētājsistēmā Linux TecMint, 2015. gada 6. aprīlis
- Fscrypt Arch Linux Wiki, 2019. gada 27. novembris
- Advanced Encryption Standard Wikipedia, 2019. gada 8. decembris
