Alternatif untuk Enkripsi File.
Sebelum kita menyelam lebih dalam ke enkripsi file, mari pertimbangkan alternatifnya dan lihat apakah enkripsi file sesuai dengan kebutuhan Anda. Data sensitif dapat dienkripsi pada berbagai tingkat perincian: enkripsi disk penuh, tingkat sistem file, tingkat basis data, dan tingkat aplikasi. Ini artikel melakukan pekerjaan dengan baik membandingkan pendekatan ini. Mari kita rangkum mereka.
Enkripsi disk penuh (FDE) masuk akal untuk perangkat yang rentan terhadap kehilangan atau pencurian fisik, seperti laptop. Tetapi FDE tidak akan melindungi data Anda dari banyak hal lain termasuk upaya peretasan jarak jauh dan tidak cocok untuk mengenkripsi file individual.
Dalam kasus enkripsi tingkat sistem file, sistem file melakukan enkripsi secara langsung. Hal ini dapat dicapai dengan menumpuk sistem file kriptografi di atas yang utama atau mungkin dibangun di dalamnya. Menurut Ini wiki, beberapa kelebihannya adalah: setiap file dapat dienkripsi dengan kunci terpisah (dikelola oleh sistem) dan kontrol akses tambahan melalui kriptografi kunci publik. Tentu saja, ini memerlukan modifikasi konfigurasi OS dan mungkin tidak cocok untuk semua pengguna. Namun, ia menawarkan perlindungan yang cocok untuk sebagian besar situasi, dan relatif mudah digunakan. Ini akan dibahas di bawah.
Enkripsi tingkat basis data dapat menargetkan bagian data tertentu seperti kolom tertentu dalam tabel. Namun, ini adalah alat khusus yang menangani konten file daripada seluruh file dan dengan demikian berada di luar cakupan artikel ini.
Enkripsi tingkat aplikasi, mungkin optimal ketika kebijakan keamanan memerlukan pengamanan data tertentu. Aplikasi dapat menggunakan enkripsi untuk melindungi data dalam banyak cara, dan mengenkripsi file tentu saja salah satunya. Kami akan membahas aplikasi untuk mengenkripsi file di bawah ini.
Mengenkripsi file dengan Aplikasi
Ada beberapa alat yang tersedia untuk mengenkripsi file di Linux. Ini artikel daftar alternatif yang paling umum. Mulai hari ini, GnuPG tampaknya menjadi pilihan yang paling mudah. Mengapa? Karena, kemungkinan besar, itu sudah diinstal pada sistem Anda (tidak seperti ccrypt), baris perintahnya sederhana (tidak seperti menggunakan openssl secara langsung), sedang dikembangkan dengan sangat aktif dan dikonfigurasi untuk menggunakan cypher terkini (AES256 mulai hari ini ).
Jika Anda belum menginstal gpg, Anda dapat menginstalnya dengan menggunakan manajer paket yang sesuai untuk platform Anda seperti apt-get:
pi@raspberrypi:~ $ sudo apt-get install gpgMembaca daftar paket… Selesai
Membangun pohon ketergantungan
Membaca informasi status… Selesai
Enkripsi file dengan GnuPG:
pi@raspberrypi:~ $ rahasia kucing.txtBarang Rahasia Teratas!
pi@raspberrypi:~ $ gpg -c rahasia.txt
pi@raspberrypi:~ $ file rahasia.txt.gpg
rahasia.txt.gpg: Data terenkripsi simetris GPG (sandi AES256)
pi@raspberrypi:~ $rm rahasia.txt
Sekarang, untuk mendekripsi:
pi@raspberrypi:~ $ gpg --dekripsi rahasia.txt.gpg >rahasia.txtgpg: data terenkripsi AES256
gpg: dienkripsi dengan 1 frasa sandi
pi@raspberrypi:~ $ rahasia kucing.txt
Barang Rahasia Teratas!
Harap perhatikan "AES256" di atas. Ini adalah sandi yang digunakan untuk mengenkripsi file dalam contoh di atas. Ini adalah varian ukuran blok 256 bit (aman untuk saat ini) dari setelan sandi "Standar Enkripsi Lanjutan" (juga dikenal sebagai Rijndae). Lihat ini artikel Wikipedia untuk informasi lebih lanjut.
Menyiapkan Enkripsi tingkat Sistem File
Menurut Ini halaman wiki fscrypt, sistem file ext4 telah mendukung enkripsi file. Ini menggunakan fscrypt API untuk berkomunikasi dengan kernel OS (dengan asumsi fitur enkripsi diaktifkan). Ini menerapkan enkripsi di tingkat direktori. Sistem dapat dikonfigurasi untuk menggunakan kunci yang berbeda untuk direktori yang berbeda. Ketika sebuah direktori dienkripsi, begitu juga semua data terkait nama file (dan metadata) seperti nama file, kontennya, dan subdirektori. Metadata non-nama file, seperti stempel waktu, dikecualikan dari enkripsi. Catatan: fungsi ini tersedia di Linux 4.1 rilis.
Sementara ini Baca aku memiliki instruksi, berikut adalah ikhtisar singkat. Sistem ini menganut konsep "pelindung" dan "kebijakan". "Kebijakan" adalah kunci aktual yang digunakan (oleh kernel OS) untuk mengenkripsi direktori. "Pelindung" adalah frasa sandi pengguna atau yang setara yang digunakan untuk melindungi kebijakan. Sistem dua tingkat ini memungkinkan pengontrolan akses pengguna ke direktori tanpa harus mengenkripsi ulang setiap kali ada perubahan pada akun pengguna.
Kasus penggunaan yang umum adalah menyiapkan kebijakan fscrypt untuk mengenkripsi direktori home pengguna dengan frasa sandi masuk mereka (diperoleh melalui PAM) sebagai pelindung. Melakukan hal itu akan menambah tingkat keamanan tambahan dan memungkinkan pengamanan data pengguna bahkan jika penyerang berhasil mendapatkan akses admin ke sistem. Berikut adalah contoh yang menggambarkan seperti apa pengaturannya:
pi@raspberrypi:~ $ fscrypt mengenkripsi ~/secret_stuff/Haruskah kita membuat pelindung baru? [y/T] y
Sumber pelindung berikut tersedia:
1 - Frasa sandi login Anda (pam_passphrase)
2 - Frasa sandi khusus (custom_passphrase)
3 - Kunci 256-bit mentah (raw_key)
Masukkan nomor sumber untuk pelindung baru [2 - custom_passphrase]: 1
Masukkan frasa sandi masuk untuk pi:
"/home/pi/secret_stuff" sekarang dienkripsi, tidak dikunci, dan siap digunakan.
Ini bisa benar-benar transparan bagi pengguna setelah diatur. Pengguna dapat menambahkan tingkat keamanan tambahan ke beberapa subdirektori dengan menentukan pelindung yang berbeda untuk mereka.
Kesimpulan
Enkripsi adalah subjek yang dalam dan kompleks dan masih banyak lagi yang harus dibahas dan juga merupakan bidang yang berkembang pesat, terutama dengan munculnya komputasi kuantum. Sangat penting untuk tetap berhubungan dengan perkembangan teknologi baru karena apa yang aman saat ini dapat dipecahkan dalam beberapa tahun. Rajin dan perhatikan berita.
Karya dikutip
- Memilih Pendekatan Enkripsi yang Tepat Thales eSecurity Buletin, 1 Februari 2019
- Enkripsi tingkat sistem file Wikipedia, 10 Juli 2019
- 7 Alat untuk Mengenkripsi/Mendekripsi dan Melindungi File dengan Kata Sandi di Linux TecMint, 6 Apr 2015
- Fscrypt Arch Linux Wiki, 27 Nov 2019
- Wikipedia Standar Enkripsi Tingkat Lanjut, 8 Des 2019