Quali opzioni esistono per la crittografia autenticata su disco completo?

3

Il titolo dice tutto davvero.

Mi sto prendendo gioco dell'idea di archiviare alcune immagini del disco in "the cloud", ma sono preoccupato della possibilità che un hacker manipoli il cipertext per fare cose malvagie una volta decodificato, e quindi mi piacerebbe un sistema che autentica il testo cifrato e mi assicura che non è stato manomesso.

Capisco che ciò richiederà una (piccola?) quantità di spazio di archiviazione locale, non cloud, che è un costo che sono disposto a pagare.

Non sono stato in grado di trovare pacchetti preconfezionati che lo facciano (o forse non so come farlo con gli strumenti esistenti). Qualcuno può indicarmi la giusta direzione?

Avrò una chiamata per leggere dischi da Linux e Windows (separatamente, cioè, immagini di Windows e immagini di Linux).

    
posta randomdude 09.04.2015 - 05:23
fonte

4 risposte

2

Dal tuo esempio, penso che la risposta sia piuttosto semplice. Penso che ci siano diversi modi per farlo a seconda del tuo flusso di lavoro preferito, ma il più semplice è probabilmente ...

Quando aggiorni l'immagine, prendi un hash dell'immagine prima di caricarla. Quindi, quando lo scarichi, controlla l'hash prima dell'uso.

Ovviamente, è ragionevole se non aggiorni l'immagine più spesso. Altrimenti, è necessario automatizzare il flusso di lavoro.

Altre specifiche dipendono dal sistema operativo su cui stai utilizzando l'immagine. La buona notizia è che, dal momento che hai il controllo dell'hash, probabilmente non devi preoccuparti troppo di quale algoritmo di hashing usi. Alcuni hanno dei difetti noti, ma penso che, in questo caso, probabilmente non ti preoccuperai troppo.

Potresti andare oltre e firmare digitalmente l'immagine e ci sono certamente strumenti che faranno questo per te. Dai un'occhiata ad alcune delle copiatrici di dischi forensi. L'utilizzo di tale strumento ti darà un grado molto elevato di sicurezza che i dati non siano stati alterati.

    
risposta data 09.04.2015 - 19:10
fonte
0

Bene, se vedo le cose bene, hai posto due domande:

  1. Quali opzioni esistono per la crittografia autenticata su disco completo?
  2. Come posso archiviare in modo sicuro le immagini del disco nel cloud?

Ora rispondi alle tue domande:

  1. Non esiste una crittografia full-disk autenticata (FDE). FDE ha bisogno di avere accesso casuale a ogni singolo settore sul disco, quindi dovresti autenticare ogni singolo settore, per mantenere prestazioni piuttosto buone. Ciò significherebbe che ridurrai la quantità di spazio di archiviazione per l'utente dal 10 al 50%, che è considerato inaccettabile, quindi non ci sono prodotti in circolazione. Tutti i prodotti si basano sull'autenticazione "povero uomo" per garantire l'integrità, il che significa che se modifichi alcuni dati, il blocco verrà codificato e il sistema operativo / l'applicazione lo noteranno e daranno un avviso.
  2. Se hai bisogno di un accesso altamente casuale, devi scrivere il tuo strumento, fornendoti l'autenticazione di cui hai bisogno (AES-GCM) (su blocklevel) o devi convivere con l'autenticazione di povero-uomo.
    Se hai solo bisogno di un accesso un po 'casuale, puoi dividere l'immagine in blocchi di 100-1000 MB e crittografarli e autenticarli (AES-GCM), in modo da avere ancora l'autenticazione, ma per il download sono necessari blocchi molto più grandi (che va bene per i backup, immagino).
    Non sono a conoscenza di prodotti che forniscono questa funzionalità. Tuttavia puoi farlo tu stesso, oppure puoi usare il file system ZFS con il controllo dell'integrità SHA-256 e la crittografia, che dovrebbe funzionare.

Spero che questo ti aiuti.

    
risposta data 09.04.2015 - 12:24
fonte
0

Consentitemi di raccogliere innanzitutto le vostre esigenze e ipotesi:

  1. La memorizzazione dei dati viene visualizzata nel sistema come disco montabile
  2. Tutti i dati sull'archiviazione dei dati sono crittografati
  3. La sincronizzazione con il cloud non è necessaria frequentemente. Il caricamento / il download completo dell'immagine è sufficiente

Con questo presupposto qualsiasi soluzione di disco virtuale con crittografia dei dati memorizzati può soddisfare le tue esigenze. Uno dei prodotti più famosi qui che funziona sia su Windows sia su Linux è TrueCrypt. Sfortunatamente è stato interrotto di recente ma alcune forchette sono vivi (ad esempio, Veracrypt)

Esiste anche una soluzione nativa per Windows. È possibile utilizzare i contenitori VHD incorporati + Crittografia BitLocker ( link ).

Non sono così familiare con le soluzioni Linux native. Puoi guardare oltre il livello di crittografia sul file system EncFS ( link ). Crittografa i file nella cartella che possono essere sincronizzati con lo storage cloud. In alternativa, esiste un approccio basato sul disco virtuale che utilizza dm-crypt e LUKS ( link ) .

    
risposta data 06.07.2015 - 17:09
fonte
0

Quindi sembra che GELI di BSD fornisca questo - dalla manpage :

Can optionally perform data authentication (integrity verifica-
       tion) utilizing one of the following algorithms: HMAC/MD5,
       HMAC/SHA1, HMAC/RIPEMD160, HMAC/SHA256, HMAC/SHA384 or
       HMAC/SHA512.
    
risposta data 10.07.2015 - 21:53
fonte

Leggi altre domande sui tag