いくつかのTBデータを暗号化する
私の大規模なメディアライブラリを暗号化することを計画しています。さまざまな解決策を検討しましたが、コミュニティにあなたの考えを尋ねる必要があると思いました。
- 各ファイルを個別に暗号化したくないので、マウント時に一度復号化するコンテナを作成したいと思います。
- 1.4 TBのデータは主に2〜4 GBのファイルで構成されていますが、4 GBを超えるファイルもあります(つまり、圧縮はオプションではありません)。
- 理想的には、ソリューションがクロスプラットフォームになることを望みます(たとえそれがコマンドラインのみを意味する場合でも)。
私の現在の最善の解決策は、GPGを使用することです。 1.4 TBディレクトリのtarballを作成し、GPGキーでそのファイルを暗号化します。圧縮に関する専門知識はあまりありませんが、これは1.4の圧縮には理想的ではないと思います。 TB。これはまた、他の多くの欠点と一緒に必要なストレージを2倍にするuntarを行わない限り、ファイルの閲覧が煩雑になることを意味します。
私がこれについて取り組む他の方法について何か提案はありますか?このユースケースの利便性を優先して、信じられないほど安全である必要はありません。
詳細:現在、.dmgを作成してコンテンツにアクセスするためにマウントするOSXの組み込み暗号化方式を使用しています。これのクロスプラットフォームバージョンを期待しています。
一般的に使用されているアプリケーションを使用してそれを行いませんか? VeraCrypt は、尊敬されるTrueCryptアプリケーションに取って代わり、ドライブとしてマウントする暗号化コンテナーを作成できるので、良い選択です。
私はあなたのコメントのいくつかを不思議に思います。特に、
私は、アプリケーションに依存しているメソッドから離れて、手動でそれをしようとしています。
そして
このユースケースの利便性を優先して、信じられないほど安全である必要はありません。
お互いに少し対立しているように見えます。
まず、実際に脅威モデルについて考えるために少し時間を費やす必要があります。あなたは主に物理デバイスの盗難に関心がありますか、それともシステムの稼働中にネットワークを介した攻撃に関心がありますか、またはを狙っている意欲的な敵による攻撃に関心がありますか特に、システムへの物理的アクセスを繰り返し取得する機能、または何を持っていますか?
ほとんどの人々にとって、考慮されるべき2つの最大の脅威は以下の傾向があります:
- メディアエラーおよび同様の条件(「ハードディスククラッシュ」)によるデータ損失、および
- データの制御の喪失。シャットダウンされたシステムの盗難のため
最初のポイントは、定期的なバックアップを作成し、それらが復元可能であることを確認することで簡単に処理できます。暗号化により、これにさらに複雑なレイヤーが追加される可能性がありますが、基本的に基本的には変更されません。たとえば、図の暗号化では、復号化キーやパスフレーズを紛失した場合の対処方法を検討する必要があります。
2番目のポイントは基本的に、フルディスク暗号化が解決するように設計されているものです。
したがって、おそらくフルディスク暗号化(FDE)ソリューションを検討する必要があります。特定の製品を推奨することは特に控えますが、すべての主要な操作に利用できる選択肢がありますシステム。
そうすることで(用語は少し異なる傾向があります)、「コンテナ」を開き(対応するパスフレーズなどを提供する必要があります)、データを好きなように使用し、レンダリングするコンテナを「閉じます」コンテナに関連付けられたパスフレーズがないとデータにアクセスできません。
何かをコンピューターに保存するたびに、後で削除しても、特別な対策を講じない限り、一部またはすべてのデータが実際に残ります。これはis data remanence 、そしてそれは digital forensics の大きなイネーブラーです。ユーザーインターフェイスで[削除]をクリックしてゴミ箱を空にするだけの場合、データは簡単に誰でもできる既製のツールを使用して回復できる可能性が高くなりますダウンロードして使用するか、数十ドルで購入します。
ディスク全体の暗号化を適切に使用する場合(たとえば、データを暗号化されていない場所にコピーしない場合)、データはまだディスク上にありますが、encrypted形式になります。そうすれば、誰かがストレージメディアに書き込まれた内容を分析できても、パスフレーズを知らない限り、データの意味を理解することはできません。
その利点は、データを使用している間、データが暗号化されているという事実についてまったく考える必要がないことです。 それだけです
必要に応じて、独自のGnuPG暗号化/復号化スキームのようなことを行うこともできます。一部のファイルでは、オンライン攻撃から保護するためにそうすることも理にかなっています。 (この文脈での「オンライン」攻撃とは、たとえば、暗号化されたコンテナが開かれている間に、システムからファイルをコピーする選択したコードを実行するように仕向けることができる誰かですプレーンテキストアクセスを有効にします。)
これにはLUKSを使用します。これは、選択したLinuxディストリビューションに非常によく統合されています。復号化は、ブート中、またはcryptsetup luksOpen [...]システムがすでに実行されている場合。物理ディスクの周りに暗号化レイヤーを追加できます(/dev/sda)、パーティション(/dev/sda1)、RAID(/dev/md0)、LVM-LV(/dev/mapper/vg-lv)。
ただし、これがLinux以外のプラットフォームでどのようにサポートされているかはわかりません。
他の人が指摘したように、フルディスク暗号化スキームを使用する必要があります。
GPGは、(en | de)暗号化されたコンテンツで別のファイルを作成することにより、ファイルを暗号化します。したがって、指摘したように、スペース要件を回避するためにオンザフライで解凍していたとしても、暗号化のために1.4 Tbディレクトリ全体を処理し、復号化のために再度処理する必要があります(例:< store.tar.gpg gpg -d | tar -x specific-file)、各抽出でコンテナの半分を平均してトラバースする必要があります。
一方、これらのソリューションは特定のキーに基づいており、各ブロックはそれに基づいています( CTRモード の使用など)。ディスクキーはメタデータブロックに保存され、パスワードなどで保護されていますが、全体として、ディスクへのランダムアクセスを可能にするディスクキーがメモリにあります。これにより、コレクションの参照の問題が解決され、一時的な非圧縮ファイルの痕跡が残り、必要なストレージ領域を2倍にする必要があります。