Phenquestions
Alternative šifriranju datotek.
Preden se poglobimo v šifriranje datotek, razmislimo o drugih možnostih in preverimo, ali je šifriranje datotek primerno za vaše potrebe. Občutljivi podatki se lahko šifrirajo na različnih ravneh razdrobljenosti: celotno šifriranje diska, nivo datotečnega sistema, nivo baze podatkov in nivo aplikacije. To Članek dobro primerja te pristope. Povzemimo jih.
Popolno šifriranje diska (FDE) je smiselno za naprave, ki so dovzetne za fizične izgube ali kraje, kot so prenosniki. Toda FDE ne bo zaščitil vaših podatkov pred mnogo drugim, vključno s poskusi vdora na daljavo, in ni primeren za šifriranje posameznih datotek.
V primeru šifriranja na ravni datotečnega sistema šifriranje izvede neposredno datotečni sistem. To lahko dosežete tako, da kriptografski datotečni sistem zložite na glavnega ali pa je vgrajen. Glede na to wiki, nekatere prednosti so: vsako datoteko je mogoče šifrirati z ločenim ključem (upravlja sistem) in dodatnim nadzorom dostopa s kriptografijo z javnimi ključi. Seveda to zahteva spreminjanje konfiguracije OS in morda ni primerno za vse uporabnike. Vendar ponuja zaščito, primerno za večino situacij, in je razmeroma enostaven za uporabo. Spodaj bo zajeto.
Šifriranje na ravni baze podatkov lahko cilja na določene dele podatkov, na primer na določen stolpec v tabeli. Vendar je to specializirano orodje, ki obravnava vsebino datotek in ne celotnih datotek, zato je zunaj področja uporabe tega članka.
Šifriranje na ravni aplikacije je lahko optimalno, kadar varnostne politike zahtevajo zaščito določenih podatkov. Aplikacija lahko šifriranje uporablja za zaščito podatkov na več načinov in šifriranje datoteke je zagotovo eden izmed njih. Spodaj bomo razpravljali o aplikaciji za šifriranje datotek.
Šifriranje datoteke z aplikacijo
Za šifriranje datotek pod Linuxom je na voljo več orodij. To Članek našteva najpogostejše alternative. Od danes se zdi GnuPG najbolj neposredna izbira. Zakaj? Ker je verjetno, da je že nameščen v vašem sistemu (za razliko od ccrypt), je ukazna vrstica preprosta (za razliko od uporabe openssl neposredno), se zelo aktivno razvija in je konfigurirana za uporabo posodobljene šifre (AES256 od danes) ).
Če gpg ni nameščen, ga lahko namestite z uporabo upravitelja paketov, ki ustreza vaši platformi, na primer apt-get:
pi @ raspberrypi: ~ $ sudo apt-get install gpgBranje seznamov paketov ... Končano
Izdelava drevesa odvisnosti
Branje informacij o stanju ... Končano
Šifriranje datoteke z GnuPG:
pi @ raspberrypi: ~ $ mačja skrivnost.txtTop Secret Stvari!
pi @ raspberrypi: ~ $ gpg -c skrivnost.txt
pi @ raspberrypi: ~ $ skrivnost datoteke.txt.gpg
skrivnost.txt.gpg: GPG simetrično šifrirani podatki (šifra AES256)
pi @ raspberrypi: ~ $ rm skrivnost.txt
Zdaj za dešifriranje:
pi @ raspberrypi: ~ $ gpg --dekriptiraj skrivnost.txt.gpg> skrivnost.txtgpg: šifrirani podatki AES256
gpg: šifrirano z 1 geslom
pi @ raspberrypi: ~ $ mačja skrivnost.txt
Top Secret Stvari!
Prosimo, upoštevajte “AES256” zgoraj. To je šifra, ki se uporablja za šifriranje datoteke v zgornjem primeru. Je 256-bitna (za zdaj varna) različica cypher obleke "Advanced Encryption Standard" (znana tudi kot Rijndae). Oglejte si to Članek iz Wikipedije za več informacij.
Nastavitev šifriranja na ravni datotečnega sistema
Glede na to fscrypt wiki stran, Datotečni sistem ext4 ima vgrajeno podporo za šifriranje datotek. Za komunikacijo z jedrom OS uporablja fscrypt API (ob predpostavki, da je omogočena funkcija šifriranja). Šifriranje se uporablja na ravni imenika. Sistem je mogoče konfigurirati za uporabo različnih ključev za različne imenike. Ko je imenik šifriran, so tudi vsi podatki (in metapodatki) povezani z imeni datotek, kot so imena datotek, njihova vsebina in podimeniki. Metapodatki, ki niso imena datotek, na primer časovni žigi, so izvzeti iz šifriranja. Opomba: ta funkcionalnost je postala na voljo v Linuxu 4.1 izdaja.
Medtem ko to PREBERI vsebuje navodila, tukaj je kratek pregled. Sistem se drži konceptov "zaščitnikov" in "politik". »Pravilnik« je dejanski ključ, ki se uporablja (v jedru OS) za šifriranje imenika. »Zaščitnik« je uporabniško geslo ali enakovredno geslo, ki se uporablja za zaščito pravilnikov. Ta dvostopenjski sistem omogoča nadzor dostopa uporabnika do imenikov, ne da bi ga bilo treba ponovno šifrirati vsakič, ko pride do spremembe uporabniških računov.
Pogost primer bi bila nastavitev pravilnika fscrypt za šifriranje uporabniškega domačega imenika z njegovimi gesli za prijavo (pridobljene prek PAM) kot zaščito. S tem bi dodali dodatno raven varnosti in omogočili zaščito uporabniških podatkov, tudi če bi napadalcu uspelo pridobiti skrbniški dostop do sistema. Tu je primer, ki ponazarja, kako bi bilo videti njegovo nastavitev:
pi @ raspberrypi: ~ $ fscrypt šifriranje ~ / secret_stuff /Bi morali ustvariti novega zaščitnika? [y / N] y
Na voljo so naslednji viri zaščitnikov:
1 - geslo za prijavo (pam_passphrase)
2 - geslo po meri (geslo po meri)
3 - surovi 256-bitni ključ (raw_key)
Vnesite izvorno številko novega zaščitnika [2 - geslo po meri]: 1
Vnesite geslo za prijavo za pi:
"/ home / pi / secret_stuff" je zdaj šifriran, odklenjen in pripravljen za uporabo.
Ko je uporabnik nastavljen, je to lahko popolnoma pregledno. Uporabnik lahko nekaterim podimenikom doda dodatno raven varnosti, tako da zanje določi različne zaščite.
Zaključek
Šifriranje je globoka in zapletena tema, ki jo je treba zajeti še veliko več, pa tudi hitro rastoče področje, zlasti s pojavom kvantnih računalnikov. Ključnega pomena je ohranjanje stikov z novim tehnološkim razvojem, saj je danes varno v nekaj letih. Bodite skrbni in bodite pozorni na novice.
Navedena dela
- Izbira pravilnega pristopa kodiranja Thales eSecurity Glasilo, 1. februar 2019
- Šifriranje na ravni datotečnega sistema Wikipedija, 10. julij 2019
- 7 orodij za šifriranje / dešifriranje in zaščito datotek z geslom v sistemu Linux TecMint, 6. april 2015
- Fscrypt Arch Linux Wiki, 27. november 2019
- Advanced Encryption Standard Wikipedia, 8. december 2019
