it-swarm.com.de

Einige TB von Daten) verschlüsseln

Ich plane, eine große Medienbibliothek von mir zu verschlüsseln. Habe nach verschiedenen Lösungen gesucht, dachte aber, ich sollte die Community fragen, was deine Gedanken sind.

  • Ich möchte nicht jede Datei einzeln verschlüsseln, sondern einen Container erstellen, den ich beim Mounten einmal entschlüssele.
  • Ich habe 1.4 TB von Daten, die hauptsächlich aus 2-4 GB-Dateien bestehen, obwohl einige Dateien 4 GB überschreiten (was bedeutet, dass das Zippen keine Option ist).
  • Idealerweise möchte ich, dass die Lösung plattformübergreifend ist (auch wenn dies nur eine Befehlszeile bedeutet).

Meine derzeit beste Lösung ist die Verwendung von GPG. Ich würde einen Tarball aus meinem 1.4 TB -Verzeichnis) erstellen und diese Datei dann mit meinem GPG-Schlüssel verschlüsseln. Obwohl ich nicht viel Erfahrung mit Komprimierung habe, würde ich denken, dass dies nicht ideal für tar 1.4 ist TB. Was auch bedeutet, dass das Durchsuchen der Dateien umständlich ist, es sei denn, ich entpacke, was den benötigten Speicher zusammen mit vielen anderen Nachteilen verdoppeln würde.

Haben Sie Vorschläge für andere Möglichkeiten, wie ich vorgehen sollte? Ich brauche keine Lösung, um unglaublich sicher zu sein, und lege Wert auf Komfort für diesen Anwendungsfall.

Weitere Informationen : Ich verwende derzeit die in OSX integrierte Verschlüsselungsmethode, um eine .dmg zu erstellen und sie für den Zugriff auf den Inhalt bereitzustellen. Ich hoffe auf eine plattformübergreifende Version davon.

28

Warum nicht eine häufig verwendete Anwendung verwenden, um dies zu tun? VeraCrypt ist eine gute Wahl, da es die angesehene TrueCrypt-Anwendung ersetzt und es Ihnen ermöglicht, einen Verschlüsselungscontainer zu erstellen, den Sie als Laufwerk bereitstellen.

60
ISMSDEV

Ich finde einige Ihrer Kommentare neugierig. Insbesondere,

Ich versuche, mich von Methoden fernzuhalten, die von einer Anwendung abhängen, und dies manuell zu tun - da ich mich mehr unter Kontrolle fühle.

und

Ich brauche keine Lösung, um unglaublich sicher zu sein, und lege Wert auf Komfort für diesen Anwendungsfall.

scheinen etwas im Widerspruch zueinander zu stehen.

Zunächst sollten Sie wirklich einige Zeit damit verbringen, über Ihr Bedrohungsmodell nachzudenken. Sind Sie hauptsächlich besorgt über den Diebstahl des physischen Geräts oder sind Sie besorgt über Angriffe über ein Netzwerk, während Ihr System in Betrieb ist, oder sind Sie besorgt über Angriffe eines motivierten Gegners, der auf Sie Zielt = speziell und haben die Möglichkeit, wiederholt physischen Zugriff auf Ihre Systeme zu erhalten, oder was?

Für die meisten Menschen sind die beiden größten zu berücksichtigenden Bedrohungen in der Regel:

  • datenverlust aufgrund von Medienfehlern und ähnlichen Bedingungen ("Festplattenabstürze") und
  • verlust der Kontrolle über Daten, z. aufgrund des Diebstahls eines heruntergefahrenen Systems

Der erste Punkt lässt sich leicht lösen, indem regelmäßige Backups erstellt und überprüft werden, ob sie wiederherstellbar sind. Die Verschlüsselung kann dem eine zusätzliche Komplexitätsebene hinzufügen, aber nicht grundsätzlich viel von irgendetwas ändern; Bei der Verschlüsselung im Bild müssen Sie beispielsweise überlegen, wie Sie mit dem Fall umgehen möchten, in dem Sie den Entschlüsselungsschlüssel und/oder die Passphrase verlieren.

Der zweite Punkt ist im Grunde, was die vollständige Festplattenverschlüsselung lösen soll.

Sie sollten sich also wahrscheinlich FDE-Lösungen (Full Disk Encryption) ansehen. Ich werde ausdrücklich darauf verzichten, bestimmte Produkte zu empfehlen, aber es gibt Auswahlmöglichkeiten für alle wichtigen Betriebsabläufe Systeme.

Auf diese Weise können Sie (obwohl die Terminologie leicht variiert) einen "Container" "öffnen" (für den Sie die entsprechende Passphrase oder ähnliches angeben müssen), Ihre Daten nach Belieben verwenden und dann den gerenderten Container "schließen" Die Daten sind ohne die dem Container zugeordnete Passphrase nicht zugänglich.

Jedes Mal, wenn Sie etwas auf einem Computer speichern, bleiben einige oder alle Daten tatsächlich erhalten, selbst wenn Sie es anschließend löschen, sofern keine besonderen Maßnahmen ergriffen werden . Dies ist Datenreste , und es ist ein großer Wegbereiter für digitale Forensik . Wenn Sie in der Benutzeroberfläche nur auf "Löschen" klicken und möglicherweise den Papierkorb leeren, bleiben die Daten höchstwahrscheinlich trivial Wiederherstellbar mit handelsüblichen Tools, die jeder herunterladen und verwenden kann oder für ein paar zehn Dollar kaufen.

Wenn Sie die vollständige Festplattenverschlüsselung ordnungsgemäß verwenden (z. B. die Daten nicht an einen unverschlüsselten Speicherort kopieren), befinden sich die Daten zwar noch auf der Festplatte, jedoch in verschlüsselt Form. Selbst wenn jemand in der Lage ist zu analysieren, was auf das Speichermedium geschrieben wurde, kann er auf diese Weise die Bedeutung der Daten nicht herausfinden, es sei denn, er kennt die Passphrase.

Das Beste daran ist, dass Sie während der Verwendung der Daten nicht wirklich darüber nachdenken müssen, dass sie überhaupt verschlüsselt sind. es ist einfach.

Sie können immer noch so etwas wie Ihr selbst entwickeltes GnuPG-Verschlüsselungs-/Entschlüsselungsschema ausführen, wenn Sie möchten, und für einige Dateien kann es sogar sinnvoll sein, dies zu tun, um sich vor einem Online-Angriff zu schützen. (Ein "Online" -Angriff ist in diesem Zusammenhang beispielsweise jemand, der Sie dazu verleiten kann, Code seiner Wahl auszuführen, der Dateien von Ihrem System kopiert während der verschlüsselte Container geöffnet wird Somit Aktivieren des Klartextzugriffs.)

41
a CVn

Ich benutze dafür LUKS, das sehr gut in meine Linux-Distribution meiner Wahl integriert ist. Die Entschlüsselung ist während des Startvorgangs oder mit cryptsetup luksOpen [...] Möglich, wenn das System bereits ausgeführt wird. Sie können eine Verschlüsselungsschicht um physische Festplatten (/dev/sda), Partitionen (/dev/sda1), RAIDs (/dev/md0), LVM-LVs (/dev/mapper/vg-lv) Hinzufügen.

Ich habe jedoch keine Ahnung, wie/ob dies auf Nicht-Linux-Plattformen unterstützt wird.

5
C-Otto

Wie andere bereits erwähnt haben, sollten Sie ein Schema für die vollständige Festplattenverschlüsselung verwenden.

GPG verschlüsselt Dateien, indem eine andere Datei mit den (en | de) verschlüsselten Inhalten erstellt wird. Wie Sie bereits betont haben, müssen Sie das gesamte 1,4-TB-Verzeichnis zum Verschlüsseln verarbeiten und zum Entschlüsseln erneut verarbeiten, auch wenn Sie es im laufenden Betrieb dekomprimiert haben, um den Platzbedarf zu vermeiden (z. B. < store.tar.gpg gpg -d | tar -x specific-file) müssten Sie durchschnittlich die Hälfte des Behälters für jede Extraktion durchqueren.

Auf der anderen Seite basieren Lösungen für diese auf einem bestimmten Schlüssel, und dann basiert jeder Block darauf (z. B. mit CTR-Modus ). Der Festplattenschlüssel wird in einem Metadatenblock gespeichert, mit einem Kennwort usw. geschützt. Insgesamt befindet sich jedoch ein Festplattenschlüssel im Speicher, der den wahlfreien Zugriff auf die Festplatte ermöglicht. Dies löst das Problem des Durchsuchens der Sammlung, hinterlässt Spuren der temporären unkomprimierten Dateien und muss den erforderlichen Speicherplatz verdoppeln.

2
Ángel

GPG für großen Tarball wird extrem langsam sein. Auf jeden Fall ist es nicht der beste Weg, wenn Sie einige tägliche Anwendungsfälle haben.

Wie andere sagten, ist FDE eine Wahl. Wenn Sie eine behälterähnliche Lösung benötigen, schauen Sie sich Tomb an:

0
f1nn