Phenquestions
Alternativer til filkryptering.
Før vi dykker dypere inn i filkryptering, la oss vurdere alternativene og se om filkrypteringen passer for dine behov. Sensitive data kan krypteres på forskjellige granularitetsnivåer: full diskkryptering, filsystemnivå, databasenivå og applikasjonsnivå. Dette artikkel gjør en god jobb med å sammenligne disse tilnærmingene. La oss oppsummere dem.
Full disk kryptering (FDE) gir mening for enheter som er utsatt for fysisk tap eller tyveri, for eksempel bærbare datamaskiner. Men FDE vil ikke beskytte dataene dine mot mye annet, inkludert eksterne hackingsforsøk, og er ikke egnet for kryptering av individuelle filer.
I tilfelle kryptering på filsystemnivå, utfører filsystemet krypteringen direkte. Dette kan oppnås ved å stable et kryptografisk filsystem på toppen av det viktigste, eller det kan være innebygd. I følge dette wiki, noen av fordelene er: hver fil kan krypteres med en egen nøkkel (administreres av systemet) og ytterligere tilgangskontroll gjennom kryptering med offentlig nøkkel. Selvfølgelig krever dette endring av OS-konfigurasjon og er kanskje ikke egnet for alle brukere. Imidlertid gir den beskyttelse som passer i de fleste situasjoner, og den er relativt enkel å bruke. Det vil bli dekket nedenfor.
Kryptering på databasenivå kan målrette mot bestemte deler av data, for eksempel en bestemt kolonne i en tabell. Dette er imidlertid et spesialisert verktøy som håndterer filinnhold i stedet for hele filer, og er dermed utenfor omfanget av denne artikkelen.
Kryptering på applikasjonsnivå, kan være optimal når sikkerhetsregler krever beskyttelse av spesifikke data. Et program kan bruke kryptering for å beskytte data på mange måter, og kryptering av en fil er absolutt en av dem. Vi vil diskutere et program for kryptering av filer nedenfor.
Kryptere en fil med et program
Det er flere verktøy tilgjengelig for kryptering av filer under Linux. Dette artikkel lister opp de vanligste alternativene. Per i dag ser GnuPG ut til å være det mest enkle valget. Hvorfor? Fordi sjansen er stor, er det allerede installert på systemet ditt (i motsetning til ccrypt), kommandolinjen er enkel (i motsetning til å bruke openssl direkte), den blir veldig aktivt utviklet og er konfigurert til å bruke en oppdatert cypher (AES256 per i dag ).
Hvis du ikke har gpg installert, kan du installere det ved å bruke en pakkebehandling som passer for plattformen din, for eksempel apt-get:
pi @ raspberrypi: ~ $ sudo apt-get install gpgLeseliste ... Ferdig
Bygge avhengighet tre
Les statusinformasjon ... Ferdig
Krypter en fil med GnuPG:
pi @ raspberrypi: ~ $ kattens hemmelighet.tekstTopphemmelige ting!
pi @ raspberrypi: ~ $ gpg -c hemmelighet.tekst
pi @ raspberrypi: ~ $ filhemmelighet.tekst.gpg
hemmelig.tekst.gpg: GPG symmetrisk krypterte data (AES256-kryptering)
pi @ raspberrypi: ~ $ rm hemmelighet.tekst
Nå, for å dekryptere:
pi @ raspberrypi: ~ $ gpg - dekrypter hemmelighet.tekst.gpg> hemmelig.tekstgpg: AES256 krypterte data
gpg: kryptert med 1 passordfrase
pi @ raspberrypi: ~ $ kattens hemmelighet.tekst
Topphemmelige ting!
Vær oppmerksom på “AES256” ovenfor. Dette er cyperen som brukes til å kryptere filen i eksemplet ovenfor. Det er en 256 bit blokkstørrelse (sikker for nå) variant av "Advanced Encryption Standard" (også kjent som Rijndae) cypher-drakt. Sjekk ut dette Wikipedia-artikkel for mer informasjon.
Sette opp kryptering av filsystemnivå
I følge dette fscrypt wiki-side, ext4 filsystem har innebygd støtte for filkryptering. Den bruker fscrypt API for å kommunisere med OS-kjernen (forutsatt at krypteringsfunksjonen er aktivert). Den bruker krypteringen på katalognivå. Systemet kan konfigureres til å bruke forskjellige taster for forskjellige kataloger. Når en katalog er kryptert, er alle filnavnrelaterte data (og metadata), for eksempel filnavn, deres innhold og underkataloger. Metadata som ikke er filnavn, for eksempel tidsstempler, er unntatt fra kryptering. Merk: denne funksjonaliteten ble tilgjengelig i Linux 4.1 utgivelse.
Mens dette LES LES har instruksjoner, her er en kort oversikt. Systemet følger begrepene "beskyttere" og "policyer". "Policy" er en faktisk nøkkel som brukes (av OS-kjernen) for å kryptere en katalog. “Protector” er en brukerpassordfrase eller tilsvarende som brukes til å beskytte policyer. Dette to-nivå-systemet gjør det mulig å kontrollere brukerens tilgang til kataloger uten å måtte kryptere på nytt hver gang det er en endring i brukerkontoer.
En vanlig brukssak vil være å sette opp fscrypt-policy for å kryptere brukerens hjemmekatalog med påloggingspassordene (hentet via PAM) som en beskytter. Å gjøre det vil legge til et ekstra sikkerhetsnivå og tillate beskyttelse av brukerdataene selv om angriperen klarte å få administratortilgang til systemet. Her er et eksempel som illustrerer hvordan innstillingen vil se ut:
pi @ raspberrypi: ~ $ fscrypt kryptere ~ / secret_stuff /Skal vi lage en ny beskytter? [y / N] y
Følgende beskyttelseskilder er tilgjengelige:
1 - Passordfrasen for pålogging (pam_passphrase)
2 - En tilpasset passordfrase (tilpasset passordfrase)
3 - En rå 256-bit nøkkel (raw_key)
Skriv inn kildenummeret for den nye beskytteren [2 - custom_passphrase]: 1
Skriv inn passordfrase for pi:
"/ home / pi / secret_stuff" er nå kryptert, ulåst og klar til bruk.
Dette kan være helt gjennomsiktig for brukeren når den er konfigurert. Brukeren kan legge til et ekstra sikkerhetsnivå i noen underkataloger ved å spesifisere forskjellige beskyttere for dem.
Konklusjon
Kryptering er et dypt og komplekst emne, og det er mye mer å dekke, og det er også et raskt voksende felt, spesielt med fremkomsten av kvanteberegning. Det er avgjørende å holde kontakten med ny teknologisk utvikling, ettersom det som er trygt i dag kan bli sprukket om noen år. Vær forsiktig og vær oppmerksom på nyhetene.
Verk sitert
- Velge riktig krypteringsmetode Thales eSecurity Nyhetsbrev, 1. februar 2019
- Kryptering av filsystemnivå Wikipedia, 10. juli 2019
- 7 verktøy for å kryptere / dekryptere og passordbeskytte filer i Linux TecMint, 6. april 2015
- Fscrypt Arch Linux Wiki, 27. november 2019
- Advanced Encryption Standard Wikipedia, 8. des 2019
