Phenquestions
Alternativer til filkryptering.
Før vi dykker dybere ned i filkryptering, lad os overveje alternativerne og se, om filkrypteringen passer til dine behov. Følsomme data kan krypteres på forskellige granularitetsniveauer: fuld diskkryptering, filsystemniveau, databaseniveau og applikationsniveau. Det her artikel gør et godt stykke arbejde med at sammenligne disse tilgange. Lad os sammenfatte dem.
Fuld disk kryptering (FDE) giver mening for enheder, der er modtagelige for fysisk tab eller tyveri, såsom bærbare computere. Men FDE vil ikke beskytte dine data mod meget andet inklusive eksterne hackingforsøg og er ikke egnet til kryptering af individuelle filer.
I tilfælde af kryptering på filsystemniveau udfører filsystemet krypteringen direkte. Dette kan opnås ved at stable et kryptografisk filsystem oven på det vigtigste, ellers kan det være indbygget. Ifølge dette wiki, nogle af fordelene er: hver fil kan krypteres med en separat nøgle (administreret af systemet) og yderligere adgangskontrol gennem kryptografi med offentlig nøgle. Selvfølgelig kræver dette ændring af OS-konfiguration og er muligvis ikke egnet til alle brugere. Det giver dog beskyttelse, der er velegnet til de fleste situationer, og det er relativt let at bruge. Det vil blive dækket af nedenunder.
Kryptering på databaseniveau kan målrette mod bestemte dele af data, såsom en bestemt kolonne i en tabel. Dette er dog et specialiseret værktøj, der beskæftiger sig med filindhold snarere end hele filer og er således uden for denne artikels anvendelsesområde.
Kryptering på applikationsniveau kan være optimal, når sikkerhedspolitikker kræver beskyttelse af specifikke data. En applikation kan bruge kryptering til at beskytte data på mange måder, og kryptering af en fil er bestemt en af dem. Vi diskuterer en applikation til kryptering af filer nedenfor.
Kryptering af en fil med et program
Der er flere tilgængelige værktøjer til kryptering af filer under Linux. Det her artikel viser de mest almindelige alternativer. Fra i dag synes GnuPG at være det mest enkle valg. Hvorfor? Fordi chancerne er, at det allerede er installeret på dit system (i modsætning til ccrypt), kommandolinjen er enkel (i modsætning til at bruge openssl direkte), den udvikles meget aktivt og er konfigureret til at bruge en opdateret cypher (AES256 fra i dag ).
Hvis du ikke har gpg installeret, kan du installere det ved hjælp af en pakkehåndtering, der passer til din platform, såsom apt-get:
pi @ raspberrypi: ~ $ sudo apt-get install gpgLæsning af lister over pakker ... Udført
Bygning afhængighed træ
Læsning af tilstandsoplysninger ... Udført
Krypter en fil med GnuPG:
pi @ raspberrypi: ~ $ kathemmelighed.txtTophemmelige ting!
pi @ raspberrypi: ~ $ gpg -c hemmelighed.txt
pi @ raspberrypi: ~ $ filhemmelighed.txt.gpg
hemmelighed.txt.gpg: GPG symmetrisk krypterede data (AES256-kryptering)
pi @ raspberrypi: ~ $ rm hemmelighed.txt
Nu, for at dekryptere:
pi @ raspberrypi: ~ $ gpg - dekrypter hemmelighed.txt.gpg> hemmelighed.txtgpg: AES256 krypterede data
gpg: krypteret med 1 adgangssætning
pi @ raspberrypi: ~ $ kat hemmelighed.txt
Tophemmelige ting!
Bemærk “AES256” ovenfor. Dette er cypheren, der bruges til at kryptere filen i eksemplet ovenfor. Det er en 256 bit blokstørrelse (sikker for nu) variant af "Advanced Encryption Standard" (også kendt som Rijndae) cypher-dragt. Tjek dette Wikipedia-artikel for mere information.
Opsætning af kryptering på filsystemniveau
Ifølge dette fscrypt wiki-side, ext4 filsystem har indbygget understøttelse af filkryptering. Det bruger fscrypt API til at kommunikere med OS-kernen (forudsat at krypteringsfunktionen er aktiveret). Den anvender krypteringen på katalogniveau. Systemet kan konfigureres til at bruge forskellige nøgler til forskellige mapper. Når et bibliotek er krypteret, så er alle filnavnsrelaterede data (og metadata) såsom filnavne, deres indhold og underkataloger. Metadata, der ikke er filnavn, såsom tidsstempler, er undtaget fra kryptering. Bemærk: denne funktionalitet blev tilgængelig i Linux 4.1 udgivelse.
Mens dette LÆS MERE har instruktioner, her er en kort oversigt. Systemet overholder begreberne "beskyttere" og "politikker". "Politik" er en faktisk nøgle, der bruges (af OS-kerne) til kryptering af en mappe. "Protector" er en brugeradgangssætning eller tilsvarende, der bruges til at beskytte politikker. Dette system med to niveauer giver mulighed for at kontrollere brugerens adgang til kataloger uden at skulle kryptere igen hver gang der sker en ændring i brugerkontiene.
En almindelig brugssag ville være at oprette fscrypt-politik til at kryptere brugerens hjemmekatalog med deres loginadgangssætninger (opnået via PAM) som en beskytter. Hvis du gør det, vil det tilføje et ekstra sikkerhedsniveau og muliggøre beskyttelse af brugerdataene, selvom det ville være angriber, der lykkedes at få administratoradgang til systemet. Her er et eksempel, der illustrerer, hvordan opsætningen ser ud:
pi @ raspberrypi: ~ $ fscrypt krypter ~ / secret_stuff /Skal vi oprette en ny beskytter? [y / N] y
Følgende beskyttelseskilder er tilgængelige:
1 - Din loginadgangssætning (pam_passphrase)
2 - En brugerdefineret adgangssætning (brugerdefineret_passphrase)
3 - En rå 256-bit nøgle (raw_key)
Indtast kildenummeret til den nye beskytter [2 - custom_passphrase]: 1
Indtast login-adgangskode til pi:
"/ home / pi / secret_stuff" er nu krypteret, ulåst og klar til brug.
Dette kan være helt gennemsigtigt for brugeren, når den først er konfigureret. Brugeren kunne tilføje et ekstra sikkerhedsniveau til nogle underkataloger ved at angive forskellige beskyttere til dem.
Konklusion
Kryptering er et dybt og komplekst emne, og der er meget mere at dække, og det er også et hurtigt voksende felt, især med fremkomsten af quantum computing. Det er afgørende at holde kontakten med den nye teknologiske udvikling, da det, der er sikkert i dag, kan blive revnet om få år. Vær forsigtig og vær opmærksom på nyhederne.
Værker citeret
- Valg af den rigtige krypteringsmetode Thales eSecurity Nyhedsbrev, 1. februar 2019
- Kryptering på filsystemniveau Wikipedia, 10. juli 2019
- 7 værktøjer til kryptering / dekryptering og adgangskodebeskyttelse af filer i Linux TecMint, 6. april 2015
- Fscrypt Arch Linux Wiki, 27. november 2019
- Advanced Encryption Standard Wikipedia, 8. december 2019
