Nella mia ricerca di un NAS crittografato mi sono imbattuto in alcuni prodotti che parlano di backup della chiave di crittografia e di archiviazione in un luogo sicuro. La mia domanda è se questo file di backup è sufficiente per decodificare il contenuto di un'unità crittografata o è richiesta anche una password?
Sono particolarmente interessato alla Synology NAS DS216j, ma anche le risposte generali sono benvenute.
Nella maggior parte dei casi, mentre è possibile generare una chiave privata senza un passphrase / password, non è consigliato farlo. Tuttavia, in alcune situazioni, è è necessario, a seconda di come funziona l'architettura di sistema.
Il problema è che la chiave privata è la chiave del regno. Se non ce l'ha una passphrase, quindi chiunque possa ottenere la chiave può usarlo. Se lo fa, allora loro anche bisogno di quella passphrase per usarlo. Tuttavia, se la chiave è parte di alcuni processo di autenticazione automatizzato, a seconda di come è implementato il sistema potrebbe non essere possibile o potrebbe non essere conveniente inserire una passphrase in usa la chiave. Spesso, vi è un agente chiave coinvolto in base al quale è richiesto inserisci la passphrase al primo utilizzo e successivamente l'agente chiave si prenderà cura di te di cose (ad esempio, alla prima connessione).
È possibile che il NAS richieda una chiave privata senza un passpharse a causa di il sottostante design / architettura. Se questo è il caso e il tuo preoccupato il backup della tua chiave privata potrebbe non essere abbastanza sicuro, quindi la soluzione facile sarebbe quello di crittografare il backup con un'altra chiave che ha a password / passphrase.
Questa è una soluzione comune per ridurre il rischio di perdita della password. Funzionalmente, equivale a scrivere un segreto (la password per la decodifica) su un foglio e poi a conservare la carta in una cassastrong fisica: puoi {login | unlock | decode} sia ricordando la password o aprendo la cassastrong per ottenere indietro.
Il rischio è semplicemente che se il luogo in cui memorizzi il tuo segreto backup non è abbastanza sicuro, ottieni una backdoor: chiunque acceda al posto sicuro può accedere al protetto i dati.
Detto questo, questo è comune in ambiente aziendale per la crittografia completa del disco: il servizio di supporto IT imposta il disco crittografato e mantiene un'immagine del settore chiave che memorizza nella sua cassastrong fisica. Danno quindi il computer all'utente. L'utente può cambiare la sua chiave a piacimento e usa normalmente il disco. In caso di disastro (l'utente non può sbloccare il disco perché è stato gravemente ferito, ucciso o semplicemente dimenticato la sua password), l'organizzazione può riportare il disco al servizio di supporto IT. Ripristinano il settore delle chiavi salvate e recuperano l'accesso al disco crittografato che può contenere file importanti appartenenti all'organizzazione.
Leggi altre domande sui tag passwords disk-encryption