Phenquestions
Alternativen zur Dateiverschlüsselung.
Bevor wir tiefer in die Dateiverschlüsselung eintauchen, betrachten wir die Alternativen und sehen, ob die Dateiverschlüsselung für Ihre Anforderungen geeignet ist. Sensible Daten können auf verschiedenen Granularitätsebenen verschlüsselt werden: Festplattenverschlüsselung, Dateisystemebene, Datenbankebene und Anwendungsebene. Diese Artikel macht einen guten Job beim Vergleich dieser Ansätze. Fassen wir sie zusammen.
Die vollständige Festplattenverschlüsselung (FDE) ist sinnvoll für Geräte, die anfällig für physischen Verlust oder Diebstahl sind, wie z. B. Laptops. Aber FDE schützt Ihre Daten nicht vor viel anderem, einschließlich Remote-Hacking-Versuchen, und ist nicht zum Verschlüsseln einzelner Dateien geeignet.
Bei Verschlüsselung auf Dateisystemebene führt das Dateisystem die Verschlüsselung direkt durch. Dies kann erreicht werden, indem ein kryptografisches Dateisystem über das Hauptdateisystem gestapelt wird, oder es kann integriert sein. Demzufolge Wiki, Einige der Vorteile sind: Jede Datei kann mit einem separaten Schlüssel (vom System verwaltet) verschlüsselt werden und zusätzliche Zugriffskontrolle durch Public-Key-Kryptographie. Dies erfordert natürlich eine Änderung der Betriebssystemkonfiguration und ist möglicherweise nicht für alle Benutzer geeignet. Es bietet jedoch einen für die meisten Situationen geeigneten Schutz und ist relativ einfach zu bedienen. Es wird unten behandelt.
Die Verschlüsselung auf Datenbankebene kann auf bestimmte Teile von Daten abzielen, wie z. B. eine bestimmte Spalte in einer Tabelle. Dies ist jedoch ein spezialisiertes Tool, das sich nicht mit ganzen Dateien, sondern mit Dateiinhalten befasst und daher außerhalb des Rahmens dieses Artikels liegt.
Verschlüsselung auf Anwendungsebene, kann optimal sein, wenn Sicherheitsrichtlinien den Schutz bestimmter Daten erfordern. Eine Anwendung kann Verschlüsselung auf viele Arten zum Schutz von Daten verwenden, und das Verschlüsseln einer Datei ist sicherlich eine davon. Wir werden unten eine Anwendung zum Verschlüsseln von Dateien besprechen.
Verschlüsseln einer Datei mit einer Anwendung
Es gibt verschiedene Tools zum Verschlüsseln von Dateien unter Linux. Diese Artikel listet die gängigsten Alternativen auf. Aus heutiger Sicht scheint das GnuPG die einfachste Wahl zu sein. Warum? Denn wahrscheinlich ist es bereits auf Ihrem System installiert (im Gegensatz zu ccrypt), die Befehlszeile ist einfach (im Gegensatz zur direkten Verwendung von openssl), es wird sehr aktiv weiterentwickelt und ist so konfiguriert, dass es eine aktuelle Verschlüsselung verwendet (AES256 ab heute ).
Wenn Sie gpg nicht installiert haben, können Sie es mit einem für Ihre Plattform geeigneten Paketmanager wie apt-get installieren:
pi@raspberrypi:~ $ sudo apt-get install gpgPaketlisten lesen… Fertig
Abhängigkeitsbaum erstellen
Statusinformationen werden gelesen… Fertig
Eine Datei mit GnuPG verschlüsseln:
pi@raspberrypi:~ $ Katzengeheimnis.TXTStreng geheimes Zeug!
pi@raspberrypi:~ $ gpg -c geheim.TXT
pi@raspberrypi:~ $ Dateigeheimnis.TXT.gpg
Geheimnis.TXT.gpg: GPG symmetrisch verschlüsselte Daten (AES256-Verschlüsselung)
pi@raspberrypi:~ $ rm Geheimnis.TXT
Nun zum Entschlüsseln:
pi@raspberrypi:~ $ gpg --Geheimnis entschlüsseln.TXT.gpg >geheimnis.TXTgpg: AES256 verschlüsselte Daten
gpg: verschlüsselt mit 1 Passphrase
pi@raspberrypi:~ $ Katzengeheimnis.TXT
Streng geheimes Zeug!
Bitte oben „AES256“ beachten”. Dies ist die Chiffre, die im obigen Beispiel zum Verschlüsseln der Datei verwendet wird. Es ist eine 256-Bit-Blockgröße (vorerst sichere) Variante des „Advanced Encryption Standard“ (auch bekannt als Rijndae) Verschlüsselungsanzug. Schau dir das an Wikipedia-Artikel für mehr Informationen.
Verschlüsselung auf Dateisystemebene einrichten
Demzufolge fscrypt-Wiki-Seite, Das ext4-Dateisystem hat eine integrierte Unterstützung für die Dateiverschlüsselung. Es verwendet die fscrypt-API, um mit dem Betriebssystemkernel zu kommunizieren (vorausgesetzt, die Verschlüsselungsfunktion ist aktiviert). Es wendet die Verschlüsselung auf Verzeichnisebene an. Das System kann so konfiguriert werden, dass es unterschiedliche Schlüssel für verschiedene Verzeichnisse verwendet. Wenn ein Verzeichnis verschlüsselt ist, werden auch alle dateinamenbezogenen Daten (und Metadaten) wie Dateinamen, deren Inhalt und Unterverzeichnisse verschlüsselt. Metadaten, die keine Dateinamen sind, wie Zeitstempel, sind von der Verschlüsselung ausgenommen. Hinweis: Diese Funktionalität wurde in Linux 4 verfügbar.1 Veröffentlichung.
Während dies Liesmich hat eine Anleitung, hier ist eine kurze Übersicht. Das System hält sich an die Konzepte von „Protektoren“ und „Richtlinien“. „Richtlinie“ ist ein tatsächlicher Schlüssel, der (vom Betriebssystem-Kernel) zum Verschlüsseln eines Verzeichnisses verwendet wird. „Protector“ ist eine Benutzer-Passphrase oder ein Äquivalent, die zum Schutz von Richtlinien verwendet wird. Dieses zweistufige System ermöglicht die Kontrolle des Benutzerzugriffs auf Verzeichnisse, ohne jedes Mal neu verschlüsseln zu müssen, wenn sich die Benutzerkonten ändern.
Ein häufiger Anwendungsfall wäre die Einrichtung einer fscrypt-Richtlinie, um das Home-Verzeichnis des Benutzers mit seinen Login-Passphrasen (über PAM erhalten) als Schutz zu verschlüsseln. Dies würde eine zusätzliche Sicherheitsstufe hinzufügen und den Schutz der Benutzerdaten ermöglichen, selbst wenn der Angreifer es schafft, Administratorzugriff auf das System zu erhalten. Hier ist ein Beispiel, das veranschaulicht, wie die Einrichtung aussehen würde:
pi@raspberrypi:~ $ fscrypt verschlüsseln ~/secret_stuff/Sollen wir einen neuen Beschützer erschaffen?? [j/n] ja
Die folgenden Schutzquellen sind verfügbar:
1 - Ihre Login-Passphrase (pam_passphrase)
2 - Eine benutzerdefinierte Passphrase (custom_passphrase)
3 - Ein roher 256-Bit-Schlüssel (raw_key)
Geben Sie die Quellnummer für den neuen Beschützer ein [2 - custom_passphrase]: 1
Geben Sie die Login-Passphrase für pi ein:
"/home/pi/secret_stuff" ist jetzt verschlüsselt, entsperrt und einsatzbereit.
Dies könnte für den Benutzer nach der Einrichtung völlig transparent sein. Der Benutzer könnte einigen Unterverzeichnissen eine zusätzliche Sicherheitsstufe hinzufügen, indem er verschiedene Beschützer für sie angibt.
Fazit
Verschlüsselung ist ein tiefgreifendes und komplexes Thema und es gibt noch viel mehr zu behandeln und ist auch ein schnell wachsendes Gebiet, insbesondere mit dem Aufkommen des Quantencomputings. Es ist entscheidend, mit neuen technologischen Entwicklungen auf dem Laufenden zu bleiben, denn was heute sicher ist, könnte in ein paar Jahren geknackt werden. Seien Sie fleißig und achten Sie auf die Nachrichten.
Zitierte Werke
- Auswahl des richtigen Verschlüsselungsansatzes Thales eSecurity Newsletter, 1. Februar 2019
- Verschlüsselung auf Dateisystemebene Wikipedia, 10.07.2019
- 7 Tools zum Verschlüsseln/Entschlüsseln und Passwortschutz von Dateien unter Linux TecMint, 6. April 2015
- Fscrypt Arch Linux Wiki, 27. November 2019
- Erweiterter Verschlüsselungsstandard Wikipedia, 8. Dezember 2019
