Phenquestions
Алтернативе шифровању датотека.
Пре него што дубље зађемо у шифровање датотека, размотримо алтернативе и видећемо да ли је шифровање датотеке погодно за ваше потребе. Осетљиви подаци могу се шифровати на различитим нивоима грануларности: пуна енкрипција диска, ниво датотечног система, ниво базе података и ниво апликације. Ово чланак добро ради упоређујући ове приступе. Сумирајмо их.
Шифровање пуног диска (ФДЕ) има смисла за уређаје који су подложни физичком губитку или крађи, као што су преносни рачунари. Али ФДЕ неће заштитити ваше податке од много чега другог, укључујући покушаје удаљеног хаковања, и није погодан за шифровање појединачних датотека.
У случају енкрипције на нивоу датотечног система, систем датотека врши шифровање директно. То се може постићи слагањем криптографског система датотека на главни или може бити уграђен. Према овоме вики, неке од предности су: свака датотека се може шифровати засебним кључем (којим систем управља) и додатном контролом приступа путем криптографије јавног кључа. Наравно, ово захтева модификовање конфигурације ОС-а и можда неће бити погодно за све кориснике. Међутим, нуди заштиту прикладну за већину ситуација и релативно је лака за употребу. То ће бити покривено доле.
Шифровање на нивоу базе података може циљати одређене делове података, као што је одређена колона у табели. Међутим, ово је специјализовани алат који се бави садржајем датотека, а не целим датотекама, па је стога изван делокруга овог чланка.
Шифровање на нивоу апликације може бити оптимално када безбедносне политике захтевају заштиту одређених података. Апликација може да користи шифровање за заштиту података на више начина, а шифровање датотеке је сигурно један од њих. У наставку ћемо разговарати о апликацији за шифровање датотека.
Шифровање датотеке помоћу апликације
Доступно је неколико алата за шифровање датотека под Линуком. Ово чланак наводи најчешће алтернативе. Од данас се чини да је ГнуПГ најједноставнији избор. Зашто? Јер, шансе су да је већ инсталиран на вашем систему (за разлику од ццрипт), командна линија је једноставна (за разлику од директног коришћења опенссл), врло се активно развија и конфигурисана је да користи најновију шифру (АЕС256 од данас) ).
Ако немате инсталиран гпг, можете га инсталирати помоћу менаџера пакета који одговара вашој платформи, као што је апт-гет:
пи @ распберрипи: ~ $ судо апт-гет инсталл гпгЧитање листа пакета ... Готово
Изградња стабла зависности
Читање података о стању ... Готово
Шифрујте датотеку помоћу ГнуПГ:
пи @ распберрипи: ~ $ мачка тајна.тктТоп Сецрет Стуфф!
пи @ распберрипи: ~ $ гпг -ц тајна.ткт
пи @ распберрипи: ~ $ тајна датотеке.ткт.гпг
тајна.ткт.гпг: ГПГ симетрично шифровани подаци (шифра АЕС256)
пи @ распберрипи: ~ $ рм тајна.ткт
Сада, за дешифровање:
пи @ распберрипи: ~ $ гпг --декриптирај тајну.ткт.гпг> тајна.тктгпг: АЕС256 шифровани подаци
гпг: шифровано са 1 приступном фразом
пи @ распберрипи: ~ $ мачка тајна.ткт
Топ Сецрет Стуфф!
Имајте на уму горе „АЕС256“. Ово је шифра која се користи за шифровање датотеке у горњем примеру. То је 256-битна (за сада сигурна) варијанта ципхер одијела „Адванцед Енцриптион Стандард“ (познато и као Ријндае). Погледајте ово Чланак на Википедији за више информација.
Постављање шифровања на нивоу датотечног система
Према овоме фсцрипт вики страница, ект4 систем датотека има уграђену подршку за шифровање датотека. Користи АПИ фсцрипт за комуникацију са језгром ОС-а (под претпоставком да је омогућена функција шифровања). Примењује шифровање на нивоу директоријума. Систем се може конфигурисати за употребу различитих кључева за различите директоријуме. Када је директоријум шифрован, тако су и сви подаци повезани са именима датотека (и метаподаци) као што су имена датотека, њихов садржај и поддиректоријуми. Метаподаци који нису из назива датотеке, попут временских ознака, изузети су од шифрирања. Напомена: ова функционалност је постала доступна у Линуку 4.1 издање.
Док ово РЕАДМЕ има упутства, ево кратког прегледа. Систем се придржава концепата „заштитника“ и „политике“. „Политика“ је стварни кључ који се користи (од језгра ОС-а) за шифровање директоријума. „Заштитник“ је корисничка лозинка или еквивалент који се користи за заштиту смерница. Овај систем на два нивоа омогућава контролу приступа корисника директоријумима без потребе за поновним шифрирањем сваки пут када дође до промене корисничких налога.
Уобичајени случај би био постављање политике фсцрипт за шифровање корисничког кућног директоријума са приступним фразама за пријаву (добијене путем ПАМ-а) као заштитника. То би додало додатни ниво сигурности и омогућило заштиту корисничких података чак и ако би нападач успео да добије администраторски приступ систему. Ево примера који илуструје како би изгледало његово постављање:
пи @ распберрипи: ~ $ фсцрипт шифровање ~ / сецрет_стуфф /Да ли треба да створимо новог заштитника? [г / Н] г
Доступни су следећи извори заштитника:
1 - Ваша лозинка за пријаву (пам_пасспхрасе)
2 - Прилагођена приступна фраза (цустом_пасспхрасе)
3 - сирови 256-битни кључ (рав_кеи)
Унесите изворни број новог заштитника [2 - цустом_пасспхрасе]: 1
Унесите приступну фразу за пријаву за пи:
„/ хоме / пи / сецрет_стуфф“ је сада шифрован, откључан и спреман за употребу.
Ово би могло бити потпуно транспарентно за корисника када се постави. Корисник може додати додатни ниво заштите неким поддиректоријима тако што ће одредити различите заштитнике за њих.
Закључак
Шифровање је дубока и сложена тема и има још много тога за покрити, а такође је и поље брзог раста, посебно с појавом квантног рачунања. Од пресудне је важности бити у контакту са новим технолошким развојем, јер оно што је данас сигурно може да се разбије за неколико година. Будите пажљиви и обратите пажњу на вести.
Радови навео
- Избор правог приступа шифровању Тхалес еСецурити Билтен, 1. фебруар 2019
- Шифровање на нивоу датотечног система Википедиа, 10. јула 2019
- 7 алата за шифровање / дешифровање и заштиту датотека лозинком у Линуку ТецМинт, 6. априла 2015
- Фсцрипт Арцх Линук Вики, 27. новембар 2019
- Адванцед Енцриптион Стандард Википедиа, 8. децембар 2019
