LASG - Encrypting services / data
Шифрование сервисов и данных
Шифрование данных и почты
Шифрование жесткого диска
Сетевое шифрование
Источники случайных данных
Как спрятать данные на диске
Имеется много программ для шифрования. Часть работает на уровне файла
(PGP, GnuPG), часть на уровне устройства (Cryptographic File System).
Это используется в основном для хранения данных. Передача сопряжена с рядом
проблем: одинаковые программы, совместимые версии программ и обмен ключами по
защищенному каналу, что сложно. Системы дисковой защиты наподобие CFS
(Cryptographic FileSystem) просты в использовании и требуют только чтобы
пользователь ввел определенный ключ для доступа к файлам. Хорошая статья о
выборе размеров ключа есть на
http://www.cryptosavvy.com, рекомендую ознакомиться, так как там
рассмотрен ряд несколько неожиданных проблем.
Это одна из популярнейших программ для публичного шифрования. Она
перенесена на Unix, Windows и Macintosh. К сожалению, это теперь
коммерциализировано, что закончилось потерей качества для пользователей. Я
лично полагаю, что любое программное обеспечение используемое, чтобы
шифровать или иначе защищать данные ДОЛЖНО иметь открытые исходные коды
(а как еще Вы убедитесь что это безопасно?). PGP сейчас продан Network
Associates и я не могу его честно рекомендовать. PGP можно скачать с
ftp://ftp.zedz.net,
http://www.pgp.com и с
http://www.pgpi.org.
Альтернатива PGP, GnuPG (GPG) с полностью открытым исходным кодом и
GNU licensed. Доступна на http://www.gnupg.org
, в исходниках и откомпилированных модулях для windows и RPM. Моя статья
о GnuPG есть на
http://www.securityportal.com/closet/closet19990922.html.
pgp4pine PGP-shell для pine, позаоляет легко работать с PGP/GnuPG из pine.
Скачать можно с
http://www.rhrk.uni-kl.de/~lamm/pgp4pine.
HardEncrypt генератор записей времени и набор утилит для работы с ними. В
теории каждая такая запись практически непробиваема. Идеален для передачи
важных данных. Скачать HardEncrypt можно с
http://www.csuglab.cornell.edu/Info/People/jcr13/HardenedCriminal/main.html
.
secret-share позволяет Вам разрывать файл на так много кусков, на сколько
Вы посчитаете нужным. Все части шифруются и необходимы для прочтения файла.
Скачать можно с
http://www.mindrot.org/code/secret-share.php3.
CFS хранит все аднные на жестком диске в зашифрованном виде и просто
использует для их шифрования какую-либо программу (например, PGP).
Официальный сайт:
http://www.cryptography.org,
RPM доступен на
ftp://ftp.zedz.net/pub/replay/linux/redhat, а Debian binaries есть на
http://www.debian.org/Packages/unstable/non-us/cfs.html.
TCFS представляет собой утилиту уровня ядра для шифрования данных, похожую
на CFS. Поскольку реализована она на уровне ядра, работает куда быстрее.
Благодаря интеграции с NFS Вы можете распространять зашифрованные данные за
пределами локальной машины. Дешифровка производится на машине клиента, что
позволяет передавать по сети пароли и прочуб критичную информацию. Скачать
TCFS можно с http://tcfs.dia.unisa.it.
PPDD позволяет создать зашифрованный раздел на диске. Это может быть
настоящий раздел или loopback device (который расположен в файле, но
монтируется как файловая система). Он использует довольно хороший и быстрый
алгоритм. Скачать PPDD можно с
http://linux01.gwdg.de/~alatham.
Encrypted Home Directory похож на CFS, но ориентирован на шифрование
одиночного каталога. Обычно он создает файл размера X в /crypt с Вашим UID и
монтирует его как loopback device, чтобы Вы могли к нему обратиться. Данные
шифруются и дешифруются на лету по мере доступа к ним (аналогично CFS).
Скачать можно с
http://members.home.net/id-est.
BestCrypt коммерческий продукт с исходниками доступными для Windows и
Linux. Скачать можно с http://www.jetico.com
.
IP Sec посвящен целый раздел.
В основном SSL применяется для защиты отдельных ресурсов (например, WWW).
Хороший FAQ есть на
http://www2.psy.uq.edu.au/~ftp/Crypto. OpenSSL, OpenSource-реализация
библиотек SSL, доступна на
http://www.openssl.org.
В процессе шифрования часто нужны хорошие случайные числа. В Linux для их
построения специально предусмотрены устройства /dev/random и /dev/urandom,
которые являются хорошими, но не всегда большими. Часть уравнения измеряет
'произвольные' события, обрабатывает эти данные и делает их доступными
(через (u)random). Эти произвольные события включают: ввод с клавиатуры и
мыши, прерывания, чтение диска и т.д.
Однако, многие серверы не имеют никакой клавиатуры и мыши, а новые
"blackbox" изделия часто не содержат жесткого диска. Так что найти
источник произвольных данных становится трудновато. Есть много решений, но
одно из них наиболее реально. Это встроенный в PIII генератор случайных
чисел, который меряет разницу температур CPU.
Зашифрованные файлы сами по себе привлекают внимание, о чем часто
забывают. Вывод: надо запрятать данные так, чтобы даже следов не осталось.
StegHide прячет данные в файлах картинок и звуков, где в байте
используются не все биты. Так как данные шифрованы, доказать их наличие очень
трудно. Единственная проблема связана с объемами: для сокрытия мегабайта
шифрованных данных понадобится звук или картинка размеров порядка нескольких
мегабайт. Скачать StegHide можно с
http://www.stego.com.
Steganographic File System фактически скрывает данные на диске, делая
трудным доказательство того, что они вообще есть. Это может быть очень
полезно, поскольку нападавший сначала должен найти данные, уже не говоря о
том, что они зашифрованы. Скачать StegFS можно с
http://ban.joh.cam.ac.uk/~adm36/StegFS.
OutGuess прячет данные в файлах картинок, так что файлы можно передавать
не привлекая к ним лишнего внимания. Скачать можно с
http://www.outguess.org.
Back
|