Vaihtoehdot tiedostojen salaukselle.
Ennen kuin sukellamme syvemmälle tiedostojen salaukseen, harkitaan vaihtoehtoja ja katsotaan, sopiiko tiedostojen salaus tarpeisiisi. Arkaluontoiset tiedot voidaan salata eri tarkkuustasoilla: koko levyn salaus, tiedostojärjestelmätaso, tietokantataso ja sovellustaso. Tämä artikla tekee hyvää vertailemalla näitä lähestymistapoja. Tehdään niistä yhteenveto.
Koko levyn salaus (FDE) on järkevää laitteille, jotka ovat alttiita fyysisille menetyksille tai varkauksille, kuten kannettavat tietokoneet. Mutta FDE ei suojaa tietojasi muulta, myös etähakkerointiyrityksiltä, eikä se sovellu yksittäisten tiedostojen salaamiseen.
Tiedostojärjestelmätason salauksen tapauksessa tiedostojärjestelmä suorittaa salauksen suoraan. Tämä voidaan toteuttaa pinoamalla salaustiedostojärjestelmä pääjärjestelmän päälle tai se voi olla sisäänrakennettu. tämän perusteella wiki, joitain etuja ovat: kukin tiedosto voidaan salata erillisellä avaimella (järjestelmän hallinnalla) ja ylimääräisellä pääsynvalvonnalla julkisen avaimen salauksen avulla. Tietysti tämä edellyttää käyttöjärjestelmän kokoonpanon muuttamista, eikä se välttämättä sovi kaikille käyttäjille. Se tarjoaa kuitenkin suojan, joka soveltuu useimpiin tilanteisiin, ja sitä on suhteellisen helppo käyttää. Se käsitellään alla.
Tietokantatason salaus voi kohdistaa tiettyihin tietoihin, kuten tiettyyn sarakkeeseen taulukossa. Tämä on kuitenkin erikoistunut työkalu, joka käsittelee tiedostojen sisältöä eikä kokonaisia tiedostoja ja on siten tämän artikkelin ulkopuolella.
Sovellustason salaus voi olla optimaalinen, kun tietoturvakäytännöt edellyttävät tiettyjen tietojen suojaamista. Sovellus voi käyttää salausta tietojen suojaamiseen monin tavoin, ja tiedoston salaus on varmasti yksi niistä. Keskustelemme alla tiedostojen salaamiseen tarkoitetusta sovelluksesta.
Tiedoston salaus sovelluksella
On olemassa useita työkaluja tiedostojen salaamiseen Linuxissa. Tämä artikla luetellaan yleisimmät vaihtoehdot. Tästä päivästä lähtien GnuPG näyttää olevan suoralinjaisin valinta. Miksi? Koska on todennäköistä, että se on jo asennettu järjestelmääsi (toisin kuin ccrypt), komentorivi on yksinkertainen (toisin kuin suoraan openssl: llä), sitä kehitetään erittäin aktiivisesti ja se on määritetty käyttämään ajan tasalla olevaa salausta (AES256 tänään) ).
Jos sinulla ei ole gpg: tä asennettuna, voit asentaa sen käyttämällä käyttöjärjestelmällesi sopivaa paketinhallintaa, kuten apt-get:
pi @ raspberrypi: ~ $ sudo apt-get install gpgLuetaan pakettiluetteloita ... Valmis
Rakennusriippuvuuspuu
Luetaan tilatietoja ... Valmis
Salaa tiedosto GnuPG: llä:
pi @ raspberrypi: ~ $ kissansalaisuus.txtHuippusalaisia juttuja!
pi @ vadelmapi: ~ $ gpg -c salaisuus.txt
pi @ raspberrypi: ~ $ tiedoston salaisuus.txt.gpg
salaisuus.txt.gpg: symmetrisesti GPG-salattu data (AES256-salaus)
pi @ vadelmapi: ~ $ rm salaisuus.txt
Nyt purkaa:
pi @ raspberrypi: ~ $ gpg --poista salaisuus.txt.gpg> salaisuus.txtgpg: AES256-salattu data
gpg: salattu yhdellä salasanalla
pi @ raspberrypi: ~ $ kissansalaisuus.txt
Huippusalaisia juttuja!
Huomaa "AES256" yllä. Tätä salausta käytetään tiedoston salaamiseen yllä olevassa esimerkissä. Se on 256-bittinen lohkokokoinen (toistaiseksi suojattu) muunnelma ”Advanced Encryption Standard” (tunnetaan myös nimellä Rijndae) -syprospuvusta. Katso tämä Wikipedia-artikkeli Lisätietoja.
Tiedostojärjestelmätason salauksen määrittäminen
tämän perusteella fscrypt wiki -sivu, ext4-tiedostojärjestelmässä on sisäänrakennettu tuki tiedostojen salaukselle. Se käyttää fscrypt-sovellusliittymää kommunikoimaan käyttöjärjestelmän ytimen kanssa (olettaen, että salausominaisuus on käytössä). Se käyttää salausta hakemistotasolla. Järjestelmä voidaan määrittää käyttämään eri näppäimiä eri hakemistoissa. Kun hakemisto on salattu, niin kaikki tiedostonimiin liittyvät tiedot (ja metatiedot), kuten tiedostojen nimet, niiden sisältö ja alihakemistot. Muut kuin tiedostonimet metatiedot, kuten aikaleimat, on vapautettu salauksesta. Huomaa: tämä toiminto tuli saataville Linux 4: ssä.1 julkaisu.
Vaikka tämä LUE on ohjeita, tässä on lyhyt katsaus. Järjestelmä noudattaa käsitteitä "suojelijat" ja "käytännöt". "Policy" on varsinainen avain, jota (OS-ydin) käyttää hakemiston salaamiseen. Protector on käyttäjän salasana tai vastaava, jota käytetään käytäntöjen suojaamiseen. Tämä kaksitasoinen järjestelmä sallii käyttäjän pääsyn hakemistoihin hallitsematta salausta joka kerta, kun käyttäjätileissä tapahtuu muutoksia.
Yleinen käyttötapa olisi fscrypt-käytännön asettaminen käyttäjän kotihakemiston salaamiseksi sisäänkirjautumislauseilla (saatu PAM: n kautta) suojana. Se lisäisi lisäsuojaustasoa ja mahdollistaisi käyttäjätietojen suojaamisen, vaikka hyökkääjä olisi onnistunut saamaan järjestelmänvalvojan pääsyn järjestelmään. Tässä on esimerkki siitä, miltä sen asettaminen näyttäisi:
pi @ raspberrypi: ~ $ fscrypt salaa ~ / secret_stuff /Pitäisikö meidän luoda uusi suoja? [y / n] y
Seuraavia suojalähteitä on saatavilla:
1 - Sisäänkirjautumisen salasana (pam_passphrase)
2 - mukautettu salasana (custom_passphrase)
3 - Raaka 256-bittinen avain (raw_key)
Syötä uuden suojaimen lähteen numero [2 - custom_passphrase]: 1
Syötä pi: n salasana:
"/ home / pi / secret_stuff" on nyt salattu, lukitsematon ja käyttövalmis.
Tämä voi olla täysin avoin käyttäjälle perustamisen jälkeen. Käyttäjä voi lisätä tietyille alihakemistoille ylimääräisen suojaustason määrittelemällä niille erilaiset suojaimet.
Johtopäätös
Salaus on syvä ja monimutkainen aihe, jota on paljon enemmän käsiteltävää, ja se on myös nopeasti kasvava ala, erityisesti kvanttilaskennan myötä. On erittäin tärkeää pitää yhteyttä uuteen tekniikan kehitykseen, sillä se, mikä on tänään turvallista, voi murtua muutamassa vuodessa. Ole ahkera ja kiinnitä huomiota uutisiin.
Teokset, joihin viitataan
- Oikean salausmenetelmän valitseminen Thalesin eSecurity Uutiskirje 1. helmikuuta 2019
- Tiedostojärjestelmäsalaus Wikipedia, 10. heinäkuuta 2019
- 7 työkalua tiedostojen salaamiseen, salauksen purkamiseen ja suojaamiseen salasanalla Linux TecMintissä, 6. huhtikuuta 2015
- Fscrypt Arch Linux Wiki, 27. marraskuuta 2019
- Advanced Encryption Standard Wikipedia, 8. joulukuuta 2019