Phenquestions
Alternativy k šifrování souborů.
Než se ponoříme hlouběji do šifrování souborů, zvažte možnosti a podívejte se, zda je šifrování souborů vhodné pro vaše potřeby. Citlivá data lze zašifrovat na různých úrovních podrobnosti: šifrování celého disku, úroveň souborového systému, databáze a aplikace. Tento článek dělá dobrou práci při porovnávání těchto přístupů. Shrňme je.
Šifrování celého disku (FDE) má smysl pro zařízení, která jsou náchylná k fyzické ztrátě nebo krádeži, jako jsou notebooky. Ale FDE nebude chránit vaše data před mnohem jiným, včetně pokusů o vzdálené hackování, a není vhodný pro šifrování jednotlivých souborů.
V případě šifrování na úrovni souborového systému provádí souborový systém šifrování přímo. Toho lze dosáhnout stohováním kryptografického souborového systému na horní část hlavního systému nebo může být zabudován. Podle tohoto wiki, některé z výhod jsou: každý soubor lze zašifrovat samostatným klíčem (spravovaným systémem) a další řízení přístupu pomocí kryptografie veřejného klíče. To samozřejmě vyžaduje úpravu konfigurace operačního systému a nemusí to být vhodné pro všechny uživatele. Nabízí však ochranu vhodnou pro většinu situací a je poměrně snadno použitelná. Bude to pokryto dole dole.
Šifrování na úrovni databáze může cílit na konkrétní části dat, například na konkrétní sloupec v tabulce. Jedná se však o specializovaný nástroj, který se zabývá spíše obsahem souborů než celými soubory, a je tedy mimo rozsah tohoto článku.
Šifrování na úrovni aplikace může být optimální, když zásady zabezpečení vyžadují zabezpečení konkrétních dat. Aplikace může pomocí šifrování chránit data mnoha způsoby a šifrování souboru je určitě jedním z nich. Níže budeme diskutovat o aplikaci pro šifrování souborů.
Šifrování souboru pomocí aplikace
V systému Linux je k dispozici několik nástrojů pro šifrování souborů. Tento článek uvádí nejběžnější alternativy. Od dnešního dne se GnuPG jeví jako nejpřímější volba. Proč? Protože je pravděpodobné, že je ve vašem systému již nainstalován (na rozdíl od ccrypt), příkazový řádek je jednoduchý (na rozdíl od přímého použití openssl), je velmi aktivně vyvíjen a je nakonfigurován tak, aby používal aktuální šifru (AES256 od dnešního dne ).
Pokud nemáte nainstalovaný gpg, můžete jej nainstalovat pomocí správce balíčků vhodného pro vaši platformu, například apt-get:
pi @ raspberrypi: ~ $ sudo apt-get install gpgČtení seznamů balíků ... Hotovo
Budování stromu závislostí
Čtení informací o stavu ... Hotovo
Šifrovat soubor pomocí GnuPG:
pi @ raspberrypi: ~ $ kočičí tajemství.txtPřísně tajné věci!
pi @ raspberrypi: ~ $ gpg -c tajemství.txt
pi @ raspberrypi: ~ $ tajemství souboru.txt.gpg
tajný.txt.gpg: GPG symetricky šifrovaná data (šifra AES256)
pi @ raspberrypi: ~ $ rm tajemství.txt
Nyní k dešifrování:
pi @ raspberrypi: ~ $ gpg - dešifrovat tajemství.txt.gpg> tajemství.txtgpg: šifrovaná data AES256
gpg: šifrováno s 1 přístupovou frází
pi @ raspberrypi: ~ $ kočičí tajemství.txt
Přísně tajné věci!
Všimněte si výše uvedeného „AES256“. Toto je šifra použitá k šifrování souboru ve výše uvedeném příkladu. Jedná se o 256bitovou blokovou (prozatím bezpečnou) variantu šifrovacího obleku „Advanced Encryption Standard“ (také známého jako Rijndae). Podívejte se na to Článek na Wikipedii Pro více informací.
Nastavení šifrování na úrovni souborového systému
Podle tohoto fscrypt wiki stránka, Souborový systém ext4 má zabudovanou podporu pro šifrování souborů. Využívá fscrypt API ke komunikaci s jádrem OS (za předpokladu, že je povolena funkce šifrování). Aplikuje šifrování na úrovni adresáře. Systém lze nakonfigurovat tak, aby používal různé klíče pro různé adresáře. Když je adresář šifrovaný, jsou všechna data související s názvem souboru (a metadata), jako jsou názvy souborů, jejich obsah a podadresáře. Metadata bez názvu souboru, například časová razítka, jsou ze šifrování vyňata. Poznámka: Tato funkce byla k dispozici v systému Linux 4.1 vydání.
Zatímco tohle PŘEČTĚTE SI má pokyny, zde je stručný přehled. Systém dodržuje pojmy „ochránci“ a „zásady“. „Zásada“ je skutečný klíč, který se používá (jádrem OS) k šifrování adresáře. „Protector“ je přístupová fráze uživatele nebo ekvivalent, který se používá k ochraně zásad. Tento dvouúrovňový systém umožňuje řídit přístup uživatele k adresářům, aniž by bylo nutné znovu šifrovat pokaždé, když dojde ke změně uživatelských účtů.
Běžným případem použití by bylo nastavení zásady fscrypt k šifrování domovského adresáře uživatele pomocí jejich přístupových frází (získaných prostřednictvím PAM) jako ochránce. Tím by se přidala další úroveň zabezpečení a umožnilo by se chránit uživatelská data, i kdyby se útočníkovi podařilo získat přístup správce do systému. Zde je příklad ilustrující, jak by vypadalo jeho nastavení:
pi @ raspberrypi: ~ $ fscrypt šifrování ~ / secret_stuff /Měli bychom vytvořit nového ochránce? [y / N] y
K dispozici jsou následující zdroje chráničů:
1 - Vaše přístupové heslo (pam_passphrase)
2 - Vlastní přístupová fráze (custom_passphrase)
3 - Nezpracovaný 256bitový klíč (raw_key)
Zadejte číslo zdroje pro nový chránič [2 - custom_passphrase]: 1
Zadejte přístupovou frázi pro pi:
„/ home / pi / secret_stuff“ je nyní šifrováno, odemčeno a připraveno k použití.
Po nastavení by to mohlo být pro uživatele zcela transparentní. Uživatel by mohl přidat další úroveň zabezpečení do některých podadresářů zadáním různých chráničů pro ně.
Závěr
Šifrování je hluboký a složitý předmět a je třeba se jím zabývat mnohem více a je to také rychle se rozvíjející obor, zejména s příchodem kvantové práce na počítači. Je zásadní zůstat v kontaktu s novým technologickým vývojem, protože to, co je dnes bezpečné, by mohlo být za pár let prolomeno. Buďte vytrvalí a věnujte pozornost novinkám.
Citované práce
- Výběr správného přístupu k šifrování Thales eSecurity Newsletter, 1. února 2019
- Šifrování na úrovni souborového systému Wikipedia, 10. července 2019
- 7 nástrojů pro šifrování / dešifrování a ochranu souborů heslem v systému Linux TecMint, 6. dubna 2015
- Fscrypt Arch Linux Wiki, 27. listopadu 2019
- Advanced Encryption Standard Wikipedia, 8. prosince 2019
