Encriptación de algunos TB de datos [cerrado]

Navega tus respuestas
27

Estoy planeando encriptar una gran biblioteca multimedia. He buscado diferentes soluciones, pero pensé que debería preguntarle a la comunidad cuáles son sus pensamientos.

  • No quiero cifrar cada archivo individualmente, me gustaría crear un contenedor que descifre una vez al montar.
  • Tengo 1,4 TB de datos que consisten principalmente en archivos de 2 a 4 GB, aunque algunos archivos superan los 4 GB (lo que significa que comprimir no es una opción).
  • Idealmente, me gustaría que la solución fuera multiplataforma (incluso si eso significa solo la línea de comandos).

Mi mejor solución actual es usar GPG. Me gustaría crear un archivo de mi directorio de 1.4 TB y luego cifrar ese archivo con mi clave GPG. Aunque no tengo mucha experiencia en la compresión, creo que esto no es ideal para tar 1.4 TB. Lo que también significa que navegar por los archivos será engorroso, a menos que se desactive que duplicaría el almacenamiento necesario junto con muchos otros inconvenientes.

¿Tiene alguna sugerencia sobre otras formas en que debería hacerlo? No necesito una solución para ser increíblemente seguro, priorizando la conveniencia para este caso de uso.

Más información: Actualmente utilizo el método de cifrado integrado de OSX para crear un archivo .dmg y montarlo para acceder a los contenidos. Esperando una versión multiplataforma de esto.

    
pregunta Huckleberry Finn 27.06.2017 - 15:46
fuente

5 respuestas

59

¿Por qué no usar una aplicación de uso común para hacerlo? VeraCrypt es una buena opción, ya que reemplazó la respetada aplicación TrueCrypt y le permite crear un contenedor de cifrado que puede montar como una unidad.

    
respondido por el ISMSDEV 27.06.2017 - 15:56
fuente
41

Encuentro algunos de tus comentarios curiosos. En particular,

  

Intento mantenerme alejado de los métodos que dependen de una aplicación, y hacerlo manualmente, ya que me siento más en "control".

y

  

No necesito una solución para ser increíblemente seguro, priorizando la conveniencia para este caso de uso.

parecen estar en desacuerdo unos con otros.

Primero, deberías dedicar un tiempo a pensar en tu modelo de amenaza. ¿Está preocupado principalmente por el robo del dispositivo físico, o está preocupado por los ataques a través de una red mientras su sistema está funcionando y funcionando, o está preocupado por los ataques de un adversario motivado que está atacando a usted específicamente? y tiene la capacidad de obtener acceso físico a sus sistemas repetidamente, ¿o qué?

Para la mayoría de las personas, las dos amenazas más grandes que deben considerarse tienden a ser:

  • pérdida de datos, debido a errores de medios y condiciones similares ("fallas en el disco duro"), y
  • pérdida de control de datos, por ejemplo, Debido al robo de un sistema que ha sido cerrado

El primer punto se maneja fácilmente haciendo copias de seguridad regulares y verificando que se puedan restaurar. El cifrado puede agregar una capa adicional de complejidad a esto, pero no fundamentalmente cambie mucho de nada; por ejemplo, con el cifrado en la imagen, debe considerar cómo manejaría el caso en el que pierde la clave de descifrado y / o la frase de contraseña.

El segundo punto es básicamente lo que el cifrado de disco completo está diseñado para resolver.

Por lo tanto, probablemente debería buscar soluciones de cifrado de disco completo (FDE). Me abstendré específicamente de recomendar productos específicos, pero hay opciones disponibles para los principales sistemas operativos.

De esa manera, (aunque la terminología tiende a variar ligeramente) "abrirá" un "contenedor" (que requiere que proporcione la frase de contraseña correspondiente o similar), usará sus datos como desee y luego "cerrará" el contenedor que hace que los datos sean inaccesibles sin la frase de contraseña asociada al contenedor.

Cada vez que almacena algo en una computadora, incluso si lo elimina después, a menos que se tomen medidas especiales, algunos o todos los datos permanecen. Esto es remanencia de datos , y es un gran habilitador de forenses digitales . Si todo lo que hace es hacer clic en "eliminar" en la interfaz del usuario y tal vez vaciar la papelera, es muy probable que los datos permanezcan trivialmente recuperables utilizando herramientas disponibles que cualquier persona pueda descargar y usar, o comprar por unas pocas decenas de dólares.

Si utiliza el cifrado completo del disco correctamente (por ejemplo, si no copia los datos en una ubicación no cifrada), mientras los datos aún estarán en el disco, lo hará en forma de cifrado . De esa manera, incluso si alguien puede analizar lo que está escrito en los medios de almacenamiento, a menos que conozcan la frase de contraseña, no podrán averiguar el significado de los datos.

La ventaja de esto es que mientras utiliza los datos, realmente no tendrá que pensar en el hecho de que está cifrado en absoluto; simplemente es.

Aún puede hacer algo como su esquema de cifrado / descifrado GnuPG de cosecha propia si así lo desea, y para algunos archivos puede tener sentido hacerlo para protegerse contra un ataque en línea. (En este contexto, un ataque "en línea" es, por ejemplo, alguien que puede engañarlo para que ejecute el código de su elección, que copia los archivos de su sistema mientras se abre el contenedor cifrado , lo que habilita el texto simple acceso.)

    
respondido por el a CVn 27.06.2017 - 16:42
fuente
5

Uso LUKS para esto, que está muy bien integrado en la distribución de mi elección de Linux. El descifrado es posible durante el arranque, o usando cryptsetup luksOpen [...] si el sistema ya se está ejecutando. Puede agregar una capa de cifrado alrededor de los discos físicos ( /dev/sda ), particiones ( /dev/sda1 ), RAID ( /dev/md0 ), LVM-LVs ( /dev/mapper/vg-lv ).

Sin embargo, no tengo idea de cómo / si esto es compatible con plataformas que no son Linux.

    
respondido por el C-Otto 29.06.2017 - 12:44
fuente
2

Como han señalado otros, debe usar un esquema de cifrado de disco completo.

GPG encripta archivos creando otro archivo con el contenido encriptado (en | de). Así que, como señaló, necesita procesar todo el directorio de 1.4 Tb, para cifrar, y procesarlo nuevamente para descifrar Incluso si estuviera descomprimiendo sobre la marcha para evitar los requisitos de espacio (por ejemplo, < store.tar.gpg gpg -d | tar -x specific-file ), necesitaría en promedio recorrer la mitad del contenedor para cada extracción.

Por otro lado, las soluciones para estos se basan en una clave dada y luego cada bloque se basa en eso (como el uso de Modo CTR ). La clave de disco se almacena en un bloque de metadatos, se protege con una contraseña, etc., pero en general, hay una clave de disco en la memoria que permite el acceso aleatorio al disco. Lo que resuelve el problema de explorar la colección, dejando rastros de los archivos temporales no comprimidos y teniendo que duplicar el espacio de almacenamiento necesario.

    
respondido por el Ángel 28.06.2017 - 01:46
fuente
0

GPG para tarball grande será extremadamente lento. Definitivamente no es la mejor manera si tiene algunos casos de uso diario.

Como han dicho otros, FDE es una opción. Si necesita una solución similar a un contenedor, eche un vistazo a Tomb:

respondido por el f1nn 28.06.2017 - 12:20
fuente

Lea otras preguntas en las etiquetas

¿Cómo sabe el atacante qué algoritmo y sal usar en un ataque de diccionario? ¿Debo tener una longitud máxima de contraseña?