Dosya Şifrelemeye Alternatifler.
Dosya şifrelemeye daha derine dalmadan önce, alternatifleri düşünelim ve dosya şifrelemenin ihtiyaçlarınıza uygun olup olmadığına bakalım. Hassas veriler farklı ayrıntı düzeylerinde şifrelenebilir: tam disk şifreleme, dosya sistemi düzeyi, veritabanı düzeyi ve uygulama düzeyi. Bu makale bu yaklaşımları karşılaştırarak iyi bir iş çıkarıyor. onları özetleyelim.
Tam disk şifreleme (FDE), dizüstü bilgisayarlar gibi fiziksel kayıp veya hırsızlığa açık cihazlar için anlamlıdır. Ancak FDE, verilerinizi uzaktan bilgisayar korsanlığı girişimleri de dahil olmak üzere pek bir şeyden korumayacaktır ve tek tek dosyaları şifrelemek için uygun değildir.
Dosya sistemi düzeyinde şifreleme durumunda, dosya sistemi şifrelemeyi doğrudan gerçekleştirir. Bu, ana sistemin üzerine bir şifreleme dosya sistemi istifleyerek gerçekleştirilebilir veya yerleşik olabilir. Buna göre wiki, avantajlarından bazıları şunlardır: her dosya ayrı bir anahtarla şifrelenebilir (sistem tarafından yönetilir) ve açık anahtar şifrelemesi yoluyla ek erişim kontrolü. Elbette bu, işletim sistemi yapılandırmasının değiştirilmesini gerektirir ve tüm kullanıcılar için uygun olmayabilir. Bununla birlikte, çoğu duruma uygun koruma sağlar ve kullanımı nispeten kolaydır. Aşağıda kapsanacak.
Veritabanı düzeyinde şifreleme, bir tablodaki belirli bir sütun gibi verilerin belirli bölümlerini hedefleyebilir. Ancak bu, tüm dosyalar yerine dosya içeriğiyle ilgilenen özel bir araçtır ve bu nedenle bu makalenin kapsamı dışındadır.
Uygulama düzeyinde şifreleme, güvenlik politikaları belirli verilerin korunmasını gerektirdiğinde optimal olabilir. Bir uygulama, verileri korumak için şifrelemeyi birçok şekilde kullanabilir ve bir dosyayı şifrelemek kesinlikle bunlardan biridir. Aşağıda dosyaları şifrelemek için bir uygulamayı tartışacağız.
Bir Uygulama ile bir dosyayı şifreleme
Linux altında dosyaları şifrelemek için kullanılabilecek birkaç araç vardır. Bu makale en yaygın alternatifleri listeler. Bugün itibariyle GnuPG en basit seçim gibi görünüyor. Neden? Büyük olasılıkla, sisteminizde zaten yüklü olduğundan (ccrypt'in aksine), komut satırı basittir (openssl'yi doğrudan kullanmanın aksine), çok aktif olarak geliştirilmekte ve güncel bir şifreleme (bugün itibariyle AES256) kullanacak şekilde yapılandırılmıştır. ).
Eğer gpg kurulu değilse, apt-get gibi platformunuza uygun bir paket yöneticisi kullanarak kurabilirsiniz:
pi@raspberrypi:~ $ sudo apt-get install gpgPaket listeleri okunuyor… Bitti
Bağımlılık ağacı oluşturma
Durum bilgisi okunuyor… Bitti
GnuPG ile bir dosyayı şifreleyin:
pi@raspberrypi:~ $ kedi sırrı.TxtÇok Gizli Şeyler!
pi@raspberrypi:~ $ gpg -c gizli.Txt
pi@raspberrypi:~ $ dosya sırrı.Txt.gpg
gizli.Txt.gpg: GPG simetrik olarak şifrelenmiş veriler (AES256 şifresi)
pi@raspberrypi:~ $ rm sırrı.Txt
Şimdi, şifresini çözmek için:
pi@raspberrypi:~ $ gpg --decrypt secret.Txt.gpg >sır.Txtgpg: AES256 şifreli veri
gpg: 1 parola ile şifrelendi
pi@raspberrypi:~ $ kedi sırrı.Txt
Çok Gizli Şeyler!
Lütfen yukarıdaki “AES256”ya dikkat edin. Bu, yukarıdaki örnekte dosyayı şifrelemek için kullanılan şifredir. “Gelişmiş Şifreleme Standardı” (Rijndae olarak da bilinir) cypher takımının 256 bit blok boyutlu (şimdilik güvenli) bir çeşididir. Bunu kontrol et Vikipedi makalesi daha fazla bilgi için.
Dosya Sistemi Düzeyinde Şifrelemeyi Ayarlama
Buna göre fscrypt wiki sayfası, ext4 dosya sistemi, dosya şifreleme desteğine sahiptir. İşletim sistemi çekirdeğiyle iletişim kurmak için fscrypt API'sini kullanır (şifreleme özelliğinin etkin olduğu varsayılarak). Şifrelemeyi dizin düzeyinde uygular. Sistem, farklı dizinler için farklı anahtarlar kullanacak şekilde yapılandırılabilir. Bir dizin şifrelendiğinde, dosya adları, içerikleri ve alt dizinleri gibi dosya adıyla ilgili tüm veriler (ve meta veriler) de şifrelenir. Zaman damgaları gibi dosya adı olmayan meta veriler şifrelemeden muaftır. Not: Bu işlevsellik Linux 4'te kullanıma sunuldu.1 sürüm.
Bu iken BENİOKU talimatları var, işte kısa bir genel bakış. Sistem, “koruyucu” ve “politika” kavramlarına bağlıdır. "İlke", bir dizini şifrelemek için (OS çekirdeği tarafından) kullanılan gerçek bir anahtardır. "Koruyucu", ilkeleri korumak için kullanılan bir kullanıcı parolası veya eşdeğeridir. Bu iki seviyeli sistem, kullanıcı hesaplarında her değişiklik olduğunda yeniden şifrelemek zorunda kalmadan kullanıcının dizinlere erişimini kontrol etmeye izin verir.
Genel bir kullanım örneği, kullanıcı giriş dizinini (PAM aracılığıyla elde edilen) bir koruyucu olarak oturum açma parolalarıyla şifrelemek için fscrypt ilkesini ayarlamak olabilir. Bunu yapmak, ek bir güvenlik düzeyi ekler ve saldırgan sisteme yönetici erişimi elde etmeyi başarsa bile kullanıcı verilerinin korunmasına izin verir. Kurulumun nasıl görüneceğini gösteren bir örnek:
pi@raspberrypi:~ $ fscrypt şifrele ~/secret_stuff/Yeni bir koruyucu yaratmalı mıyız?? [y/N] y
Aşağıdaki koruyucu kaynaklar mevcuttur:
1 - Giriş parolanız (pam_passphrase)
2 - Özel bir parola (custom_passphrase)
3 - Ham 256 bit anahtar (raw_key)
Yeni koruyucu [2 - custom_passphrase] için kaynak numarasını girin: 1
pi için oturum açma parolasını girin:
"/home/pi/secret_stuff" artık şifrelendi, kilidi açıldı ve kullanıma hazır.
Bu, kurulduktan sonra kullanıcı için tamamen şeffaf olabilir. Kullanıcı, onlar için farklı koruyucular belirleyerek bazı alt dizinlere ek bir güvenlik düzeyi ekleyebilir.
Sonuç
Şifreleme derin ve karmaşık bir konudur ve ele alınması gereken daha çok şey vardır ve özellikle kuantum hesaplamanın ortaya çıkmasıyla birlikte hızla büyüyen bir alandır. Bugün güvenli olan şey birkaç yıl içinde kırılabileceğinden, yeni teknolojik gelişmelerden haberdar olmak çok önemlidir. Sabırlı olun ve haberlere dikkat edin.
Alıntılanan Eserler
- Doğru Şifreleme Yaklaşımını Seçme Thales e-Güvenlik Bülten, 1 Şub 2019
- Dosya sistemi düzeyinde şifreleme Vikipedi, 10 Tem 2019
- Linux'ta Dosyaları Şifrelemek/Şifresini Çözmek ve Parola Korumak için 7 Araç TecMint, 6 Nisan 2015
- Fscrypt Arch Linux Wiki, 27 Kasım 2019
- Gelişmiş Şifreleme Standardı Wikipedia, 8 Aralık 2019