Alternatívy k šifrovaniu súborov.
Predtým, ako sa ponoríme hlbšie do šifrovania súborov, zvážme alternatívy a uvidíme, či je šifrovanie súborov vhodné pre vaše potreby. Citlivé údaje môžu byť šifrované na rôznych úrovniach podrobnosti: šifrovanie celého disku, úroveň súborového systému, úroveň databázy a úroveň aplikácie. Toto článok robí dobrú prácu pri porovnávaní týchto prístupov. Poďme si ich zhrnúť.
Šifrovanie celého disku (FDE) má zmysel pre zariadenia, ktoré sú náchylné na fyzickú stratu alebo krádež, ako sú napríklad notebooky. FDE však nebude chrániť vaše dáta pred mnohými inými, vrátane pokusov o vzdialené hackovanie, a nie je vhodné na šifrovanie jednotlivých súborov.
V prípade šifrovania na úrovni súborového systému vykoná súborový systém šifrovanie priamo. To sa dá dosiahnuť umiestnením kryptografického súborového systému na hlavný systém alebo môže byť zabudovaný. Podľa tohto wiki, niektoré z výhod sú: každý súbor môže byť zašifrovaný samostatným kľúčom (spravovaný systémom) a ďalšia kontrola prístupu pomocou kryptografie verejného kľúča. To si samozrejme vyžaduje úpravu konfigurácie operačného systému a nemusí to byť vhodné pre všetkých používateľov. Poskytuje však ochranu vhodnú pre väčšinu situácií a jej použitie je pomerne jednoduché. Bude to zakryté dole dole.
Šifrovanie na úrovni databázy môže zacieliť na konkrétne časti údajov, napríklad na konkrétny stĺpec v tabuľke. Toto je však špecializovaný nástroj, ktorý sa zaoberá skôr obsahom súborov ako celými súbormi, a je preto mimo rozsahu tohto článku.
Šifrovanie na úrovni aplikácie môže byť optimálne, keď zásady zabezpečenia vyžadujú zabezpečenie konkrétnych údajov. Aplikácia môže pomocou šifrovania chrániť údaje mnohými spôsobmi a šifrovanie súboru je určite jedným z nich. Ďalej budeme diskutovať o aplikácii na šifrovanie súborov.
Šifrovanie súboru pomocou aplikácie
V systéme Linux je k dispozícii niekoľko nástrojov na šifrovanie súborov. Toto článok uvádza najbežnejšie alternatívy. Od dnešného dňa sa GnuPG javí ako najpriamejšia voľba. Prečo? Pretože je pravdepodobné, že je už vo vašom systéme nainštalovaný (na rozdiel od ccrypt), príkazový riadok je jednoduchý (na rozdiel od priameho použitia openssl), vyvíja sa veľmi aktívne a je nakonfigurovaný na používanie najnovšieho šifry (AES256 od dnešného dňa ).
Ak nemáte nainštalovaný gpg, môžete ho nainštalovať pomocou správcu balíkov vhodného pre vašu platformu, ako je napríklad apt-get:
pi @ raspberrypi: ~ $ sudo apt-get install gpgČítajú sa zoznamy balíkov ... Hotovo
Budovanie stromu závislostí
Čítajú sa informácie o stave ... Hotovo
Šifrovať súbor pomocou GnuPG:
pi @ raspberrypi: ~ $ mačacie tajomstvo.TXTPrísne tajné veci!
pi @ raspberrypi: ~ $ gpg -c tajomstvo.TXT
pi @ raspberrypi: ~ $ tajomstvo súboru.TXT.gpg
tajomstvo.TXT.gpg: GPG symetricky šifrované údaje (šifra AES256)
pi @ raspberrypi: ~ $ rm tajomstvo.TXT
Teraz k dešifrovaniu:
pi @ raspberrypi: ~ $ gpg - dešifrovať tajomstvo.TXT.gpg> tajomstvo.TXTgpg: šifrované údaje AES256
gpg: šifrované s 1 prístupovou frázou
pi @ raspberrypi: ~ $ mačacie tajomstvo.TXT
Prísne tajné veci!
Upozorňujeme, že vyššie je uvedené „AES256“. Toto je šifra použitá na šifrovanie súboru vo vyššie uvedenom príklade. Jedná sa o 256-bitový blok (zatiaľ bezpečný) variant šifrovacieho obleku „Advanced Encryption Standard“ (tiež známy ako Rijndae). Skontrolujte toto Článok na Wikipédii Pre viac informácií.
Nastavenie šifrovania na úrovni súborového systému
Podľa tohto fscrypt wiki stránka, Súborový systém ext4 má zabudovanú podporu pre šifrovanie súborov. Na komunikáciu s jadrom OS využíva rozhranie fscrypt API (za predpokladu, že je povolená funkcia šifrovania). Aplikuje šifrovanie na úrovni adresára. Systém je možné nakonfigurovať tak, aby používal rôzne kľúče pre rôzne adresáre. Ak je adresár šifrovaný, sú chránené aj všetky údaje (a metadáta) súvisiace s názvom súboru, ako sú názvy súborov, ich obsah a podadresáre. Metadáta bez názvu súboru, napríklad časové značky, sú vyňaté zo šifrovania. Poznámka: Táto funkcia bola k dispozícii v systéme Linux 4.1 vydanie.
Zatiaľ čo toto PREČÍTAJ MA má pokyny, tu je stručný prehľad. Systém dodržiava koncepcie „ochrancov“ a „politík“. „Zásada“ je skutočný kľúč, ktorý sa používa (v jadre OS) na šifrovanie adresára. „Protector“ je prístupová fráza používateľa alebo ekvivalent, ktorá sa používa na ochranu politík. Tento dvojúrovňový systém umožňuje kontrolovať prístup používateľa k adresárom bez nutnosti opätovného šifrovania zakaždým, keď dôjde k zmene používateľských účtov.
Bežným prípadom použitia by bolo nastavenie politiky fscrypt na šifrovanie domovského adresára používateľa pomocou ich prístupových fráz prihlasovacích údajov (získaných prostredníctvom PAM) ako ochrany. Týmto by sa zvýšila ďalšia úroveň zabezpečenia a umožnila by sa ochrana údajov používateľa, aj keby sa útočníkovi podarilo získať prístup správcu do systému. Tu je príklad ilustrujúci, ako by vyzeralo jeho nastavenie:
pi @ raspberrypi: ~ $ fscrypt šifrovanie ~ / secret_stuff /Mali by sme vytvoriť nového ochrancu? [r / N] r
K dispozícii sú nasledujúce zdroje ochrany:
1 - Vaše prístupové heslo (pam_passphrase)
2 - Vlastná prístupová fráza (custom_passphrase)
3 - Surový 256-bitový kľúč (raw_key)
Zadajte číslo zdroja nového ochrancu [2 - custom_passphrase]: 1
Zadajte prístupovú frázu pre pi:
„/ home / pi / secret_stuff“ je teraz šifrovaný, odomknutý a pripravený na použitie.
Po nastavení by to pre používateľa mohlo byť úplne transparentné. Používateľ by mohol pridať ďalšiu úroveň zabezpečenia do niektorých podadresárov zadaním rôznych chráničov.
Záver
Šifrovanie je hlboká a zložitá téma, je potrebné sa nad ňou zaoberať omnoho viac a je to tiež rýchlo sa rozvíjajúca oblasť, najmä s príchodom kvantovej výpočtovej techniky. Je nevyhnutné udržiavať kontakt s novým technologickým vývojom, pretože to, čo je dnes bezpečné, by mohlo byť za pár rokov prelomené. Buďte vytrvalí a dávajte pozor na novinky.
Citované práce
- Výber správneho prístupu k šifrovaniu Thales eSecurity Spravodaj, 1. februára 2019
- Šifrovanie na úrovni súborového systému Wikipedia, 10. júla 2019
- 7 nástrojov na šifrovanie / dešifrovanie a ochranu súborov heslom v systéme Linux TecMint, 6. apríla 2015
- Fscrypt Arch Linux Wiki, 27. novembra 2019
- Wikipedia Advanced Encryption Standard, 8. decembra 2019