Almacenamiento externo encriptado usando sshfs y cryptsetup / dm-crypt / LUKS

1

Estoy interesado en un esquema de almacenamiento externo cifrado, pero no quiero depender del proveedor para el cifrado. Tengo una idea para hacerlo combinando sshfs con cryptsetup / dm-crypt / LUKS, pero me gustaría saber si hay algún problema obvio con este esquema. Esencialmente,

  1. Use sshfs para montar una unidad remota
  2. Crea un volumen cifrado aleatorio a través de head -c 10MB /dev/urandom > volume
  3. Haz un contenedor LUKS con cryptsetup -y luksFormat ./volume
  4. Abra el volumen cifrado con cryptsetup luksOpen ./volume myvol
  5. Formatea el volumen a través de mkfs.ext4 /dev/mapper/myvol
  6. Montar el volumen cifrado mount /dev/mapper/myvol /mnt
  7. Cuando termine, desmonte el volumen cifrado, ciérrelo y desmonte la unidad remota

Después de que todo esté configurado, solo usaría los pasos 1, 4, 6, 7. De todos modos, nuevamente, solo me interesa algún tipo de esquema de almacenamiento cifrado fuera del sitio en el que no tengo que preocuparme si mi host está espiando o no. Me interesa si hay algunos problemas posibles con el esquema que describí anteriormente usando sshfs combinado con cryptsetup / dm-crypt / LUKS.

    
pregunta wyer33 16.06.2014 - 01:01
fuente

2 respuestas

1

Para manejar unidades remotas, probablemente esté mejor usando un sistema de cifrado a nivel de archivo como eCryptFS . Alternativamente, si solo está buscando almacenar copias de seguridad o algo similar, puede usar el cifrado incorporado en herramientas como la duplicidad (que usa GnuPG para el cifrado).

El uso de LUKS como lo ha descrito debería estar bien, y básicamente está creando un contenedor cifrado, pero probablemente tendrá un rendimiento subóptimo y será más difícil si alguna vez desea cifrar más datos de los que ha preparado. el contenedor para.

    
respondido por el David 16.06.2014 - 01:07
fuente
1

Esta es una excelente manera de mantener los datos confidenciales en un host relativamente poco confiable.

Hago lo mismo con TrueCrypt (estar en Windows). Siempre que el cifrado tenga lugar en su computadora cliente (confiable) en lugar de en el servidor, estará listo para comenzar.

No olvide guardar copias de las claves y encabezados que puedan ser necesarios para recuperar el volumen, en caso de que haya algún problema.

Como dice @David en su respuesta, el cifrado a nivel de archivo también funciona aunque puede filtrar información del nombre del archivo (lo siento, no puedo recordar si eCryptFS aleatoriza los nombres de los archivos) & solo para copias de seguridad, se preferiría una solución de copia de seguridad encriptada como la duplicidad mencionada o una herramienta comercial como CrashPlan (que tiene una versión de uso gratuito).

    
respondido por el Julian Knight 16.06.2014 - 09:05
fuente

Lea otras preguntas en las etiquetas