¿Cómo hacer una copia de seguridad de los datos cifrados a través de una conexión VPN? ¿El contenedor encriptado, los datos dentro o archivos individuales encriptados?

5

Dado un volumen cifrado (TrueCrypt) en un dispositivo A, ¿cuál es la forma más segura de realizar una copia de seguridad a través de una conexión VPN al dispositivo B físicamente alejado?

  • Haga una copia de seguridad de los datos: requiere que el volumen se monte en ambos dispositivos, que un intruso físico podría abusar para obtener uno de ellos mientras el contenedor está abierto, lo que hace que el cifrado sea inútil. Por otro lado, una copia de seguridad incremental es fácil. La transmisión en sí, por supuesto, todavía debe estar asegurada ...
  • Copia de seguridad del contenedor: Ningún dispositivo requiere que los contenedores permanezcan abiertos. Sin embargo, a menos que los cambios de archivos pequeños solo cambien porciones pequeñas del contenedor y estos cambios sean rastreados, esto implica rápidamente una gran cantidad de tráfico de datos innecesario
  • Copia de seguridad de archivos cifrados individualmente en su lugar (no usa TrueCrypt pero, por ejemplo, encFs): parece eliminar las desventajas de los otros dos métodos. Pero como el cifrado debe estar vinculado a una sola frase de contraseña / archivo de claves / ... esto aumenta el riesgo de un ataque de texto plano conocido, en caso de que se encripten demasiados archivos triviales.

Entonces, ¿hay la solución de respaldo segura?

    
pregunta Tobias Kienzler 03.10.2012 - 13:32
fuente

2 respuestas

4

Realice una copia de seguridad utilizando una copia basada en diff de la imagen de volumen cifrada. TrueCrypt usa XTS como su modo de operación, lo que significa que a lo sumo modificará dos sectores cifrados (sector n y sector n+1 ) por sector no cifrado que modifique. Cada vez que modifique un sector (o archivo) en el disco, solo tendrá que cargar ese sector y el siguiente sector.

Los sectores son 4096 bytes por defecto en NTFS, lo que significa que transferirá un mínimo de 8kB cada vez que realice un cambio. Sin embargo, en la mayoría de los casos, las escrituras se realizarán en sectores adyacentes, lo que significa que si escribe 1 MB en el disco, en realidad solo tendrá que realizar una copia de seguridad de 1 MB + 4 KB, ya que el efecto en cascada significa que solo se modifica un sector adicional. p>     

respondido por el Polynomial 03.10.2012 - 13:54
fuente
3

Para expandir la respuesta de @ polinomio, el método binary-diff es el método correcto que se debe usar para un contenedor encriptado sin montar (TrueCrypt, DMCrypt / LUKS, u otro).

El método más rápido (y más eficiente) que he encontrado es usar el comando 'rsync'. Le indicaré la página de wikipedia que describe el algoritmo en detalle, basta con decir que está optimizado para maneje los datos binarios de forma casi precisa como lo describe @polynomial.

Saludos.

    
respondido por el Sean Madden 03.10.2012 - 15:43
fuente

Lea otras preguntas en las etiquetas