OSS Group OSS Group
>  Карта
>  Поиск
>  Контакты
>  OSS Group  ::  Admin  ::  Криптографические файловые системы
  
РегистрацияЗабыли пароль?

↓  Быстрый поиск по Wiki


Режим поиска:   И   ИЛИ

↓  Доступные Wiki

↓  Навигация по сайту

[]

↓  Последняя новость

Загрузка...

↓  На эту страницу ссылаются:

Get Firefox!
[~]

Криптографические файловые системы

Требуются для исключения несанкционированного доступа к постоянно востребованным данным на жестком диске. При желании можно организовать шифрование как корневого раздела (с созданием отдельного нешифрованного раздела под /boot), так и раздела подкачки. Однако, скорее всего, требуется шифрование только части данных в системе.

Ряд архивов, в т.ч. резервные копии, может оказаться удобнее хранить не на шифрованных дисках, а в зашифрованных архивах - см. Использование PGP. Если требуется защитить информацию, к которой нужен оперативный доступ, то можно или встраивать модули криптографии на уровень обращения к дисковым блокам данных, или поверх файловой системы, на уровень программного API работы с файлами.

Первый вариант - это системы OTFE (On-The-Fly disk Encryption), которые работают с блочными устройствами. В этом случае защищаются все данные, включая метаданные файловой системы. Для подключения дисков OTFE требуются права администратора системы, работать с подключёнными дисками могут прозрачно все пользователи системы.
В Linux для дисков OTFE рекомендуется использование crypto-loop в ядрах 2.4 (с возможными проблемами в безопасности) и dm-crypt в ядрах 2.6 (подключение дисков через механизм device mapper, с более простым и ясным кодом, чем crypto-loop). От crypto-loop рекомендуется уходить. Кроме того, для ядер 2.6 существует стандарт LUKS - Linux Unified Key Setup).

Crypto-loops [eng] - описание методики создания и использования криптографических файловых систем.

Скорость доступа к зашифрованным разделам, естественно, ниже, чем к обычным. Сравнение производительности ряда алгоритмов шифрования можно посмотреть здесь.

Для организации и работы с криптографическими файловыми системами в ALTLinux:

Ссылки


Вторым вариантом является использование файловых систем пользовательского уровня. В этом случае уровень шифрования лежит над обычной файловой системой, что позволяет, например, проводить резервное копирование защищённых данных без необходимости ввода паролей и пр. К ним относятся:

  • EncFS - криптографическая файловая система, работающая через FUSE и настраиваемая не на общесистемном уровне, а для отдельного пользователя. EncFS работает на уровне отдельных файлов, а не целиком блочных устройств. При работе с EncFS после ввода правильного ключа доступ к файлам обеспечивается только для конкретного пользователя.
  • eCryptFS GPL - файловая система типа gnupgfs, ключи к файлу хранятся в самом файле.

Ссылки

  • "Locking up Linux: Creating a Cryptobook" - обзор возможностей и сравнение EncFS, CryptoFS и LUKS.
  • "How to hide an entire filesystem" - описание различных способов организации защищенной файловой системы в Linux/FreeBSD.
  • Mandos GPL - клиент-серверная система для автоматического получения клиентами ключей для файловых систем. Основная идея - во время загрузки клиент обращается к серверу за ключом и получает его, с авторизацией и защитой передачи через TLS. Сервер отслеживает состояние клиентов, и в случае продолжительного отключения клиента отказывает ему в автоматическом получении ключа.

Дата создания: 2006-05-24 15:11:51 (Фетисов Н. А. (naf))
Последнее изменение: 2010-09-11 13:09:16 (Фетисов Н. А. (naf))
Владелец: Фетисов Н. А. (naf)
Версия: 26  Все версии


  Не показывать комментарии



Wiki::Admin   Оглавление  Карта раздела  Изменения за сутки  Изменения за неделю  Изменения за месяц



Valid XHTML 1.0 Transitional  Valid CSS!  [Valid RSS]