¿Qué opciones existen para el cifrado de disco completo autenticado?

Navega tus respuestas
3

El título lo dice todo de verdad.

Estoy jugando con la idea de almacenar algunas imágenes de disco en "la nube", pero me preocupa la posibilidad de que un atacante manipule el cipertexto para hacer cosas malas una vez que se desencripta, por lo que me gustaría un sistema que autentique el texto cifrado y me asegura que no ha sido manipulado.

Entiendo que esto requerirá una (¿pequeña?) cantidad de almacenamiento local, que no sea en la nube, que es un costo que estoy dispuesto a pagar.

No he podido encontrar ningún paquete estándar que haga esto (o tal vez no sé cómo hacerlo con las herramientas existentes). ¿Alguien puede indicarme la dirección correcta?

Tendré que llamar a leer discos de Linux y Windows (por separado, es decir, imágenes de Windows e imágenes de Linux).

    
pregunta randomdude 09.04.2015 - 05:23
fuente

4 respuestas

2

Por tu ejemplo, creo que la respuesta es bastante sencilla. Creo que hay varias formas de hacerlo dependiendo de su flujo de trabajo preferido, pero la más sencilla es probablemente ...

Cuando actualices la imagen, toma un hash de la imagen antes de subirla. Luego, cuando lo descargue, verifique el hash antes de usarlo.

Por supuesto, eso solo es razonable si no actualiza la imagen con tanta frecuencia. De lo contrario, necesita automatizar el flujo de trabajo.

Más detalles dependen del sistema operativo en el que estés usando la imagen. La buena noticia es que, dado que usted tiene el control del hash, probablemente no necesite preocuparse demasiado por el algoritmo de hash que utiliza. Algunos han detectado fallas, pero creo que, en este caso, probablemente eso no te preocupará demasiado.

Usted podría ir más lejos y firmar digitalmente la imagen y ciertamente existen herramientas que lo harán por usted. Echa un vistazo a algunas de las copiadoras de discos forenses. El uso de esta herramienta le dará un alto grado de confianza de que los datos no se han alterado.

    
respondido por el Julian Knight 09.04.2015 - 19:10
fuente
0

Bueno, si veo las cosas bien, hiciste dos preguntas:

  1. ¿Qué opciones existen para el cifrado de disco completo autenticado?
  2. ¿Cómo puedo almacenar de forma segura las imágenes de disco en la nube?

Ahora para responder a tus preguntas:

  1. No existe el cifrado de disco completo autenticado (FDE). FDE necesita que usted tenga acceso aleatorio a cada sector en la unidad, por lo que tendría que autenticar cada sector para mantener un rendimiento agradable. Esto significaría que reduciría la cantidad de almacenamiento para el usuario entre un 10 y un 50%, lo que se considera inaceptable, por lo que no hay ningún producto que haga esto. Todos los productos se basan en la "autenticación de los pobres" para garantizar la integridad, lo que significa que si modifica algunos datos, el bloqueo se codificará y el sistema operativo / la aplicación lo notará y dará una alerta.
  2. Si necesita un acceso altamente aleatorio, tiene que escribir su propia herramienta, proporcionándole la autenticación que necesita (AES-GCM) (a nivel de bloque) o tiene que vivir con la autenticación de un hombre pobre.
    Si solo necesita un acceso un tanto aleatorio, puede dividir la imagen en fragmentos de 100-1000MB y encriptar y autenticar cada uno de ellos (AES-GCM), de modo que aún tenga autenticación, pero necesitará fragmentos mucho más grandes para descargar (que supongo que está bien para las copias de seguridad). No conozco ningún producto que proporcione esta funcionalidad. Sin embargo, puede hacerlo usted mismo o puede usar el sistema de archivos ZFS con el cifrado y la verificación de integridad SHA-256, que debería funcionar.

Espero que esto te ayude.

    
respondido por el SEJPM 09.04.2015 - 12:24
fuente
0

Permítame primero reunir sus requisitos y suposiciones:

  1. El almacenamiento de datos aparece en el sistema como un disco montable
  2. Todos los datos en el almacenamiento de datos están encriptados
  3. La sincronización con la nube no es necesaria con frecuencia. La carga / descarga completa de la imagen es suficiente

Con estas suposiciones, cualquier solución de disco virtual con cifrado de datos almacenados puede satisfacer sus requisitos. Uno de los productos más famosos aquí que se ejecuta tanto en Windows como en Linux es TrueCrypt. Lamentablemente, se suspendió recientemente, pero algunos tenedores están vivos (por ejemplo, Veracrypt)

También hay una solución nativa para Windows. Puede usar contenedores VHD integrados + cifrado de BitLocker ( enlace ).

No estoy tan familiarizado con las soluciones nativas de Linux. Puede ver la capa de cifrado sobre el sistema de archivos EncFS ( enlace ). Cifra los archivos en la carpeta que se pueden sincronizar con el almacenamiento en la nube. Alternativamente, hay un enfoque de disco virtual que utiliza dm-crypt y LUKS ( link ) .

    
respondido por el Artem Zankovich 06.07.2015 - 17:09
fuente
0

Parece que GELI de BSD proporciona esto, desde la página de manual : 

Can optionally perform data authentication (integrity verifica-
       tion) utilizing one of the following algorithms: HMAC/MD5,
       HMAC/SHA1, HMAC/RIPEMD160, HMAC/SHA256, HMAC/SHA384 or
       HMAC/SHA512.
    
respondido por el randomdude 10.07.2015 - 21:53
fuente

Lea otras preguntas en las etiquetas

Autenticidad del documento PDF impreso desde Word (archivos de registro httpd) ¿Qué tipo de ataque es? ¿Cómo puedo prevenirlo? [duplicar]