Question:
Crypter quelques To de données
Huckleberry Finn
2017-06-27 18:46:13 UTC
view on stackexchange narkive permalink

Je prévois de chiffrer une de mes grandes bibliothèques multimédias. J'ai examiné différentes solutions, mais j'ai pensé que je devrais demander à la communauté ce que vous pensez.

  • Je ne veux pas chiffrer chaque fichier individuellement, j'aimerais créer un conteneur que je déchiffre une fois lors du montage.
  • J'ai 1,4 To de données consistant principalement en 2 à 4 Go de fichiers, bien que certains fichiers dépassent 4 Go (ce qui signifie que la compression n'est pas une option).
  • Idéalement J'aimerais que la solution soit multiplateforme (même si cela signifie uniquement la ligne de commande).

Ma meilleure solution actuelle est d'utiliser GPG. Je créerais une archive tar de mon répertoire de 1,4 To puis chiffrerais ce fichier avec ma clé GPG. Bien que je n'ai pas beaucoup d'expertise en compression, je pense que ce n'est pas idéal pour goudronner 1,4 To. Ce qui signifie également que la navigation dans les fichiers sera fastidieuse, à moins que je ne décompresse ce qui doublerait le stockage nécessaire ainsi que de nombreux autres inconvénients.

Avez-vous des suggestions pour d'autres façons de procéder? besoin d'une solution pour être incroyablement sécurisée, en privilégiant la commodité pour ce cas d'utilisation.

Plus d'informations: J'utilise actuellement la méthode de chiffrement intégrée d'OSX pour créer un fichier .dmg et le monter sur accéder au contenu. En espérant une version multiplateforme de celui-ci.

Adversité pour mon propre projet open source: https://github.com/netheril96/securefs.Cela peut convenir à votre cas d'utilisation.
Remarque: `tar` n'a rien à voir avec la compression ... (enfin, certaines versions ont des options pour compresser intégrées, mais elles sont juste équivalentes à envoyer la sortie` tar` via `gzip` ou similaire :))
Devrait probablement être sur https://softwarerecs.stackexchange.com/
Pensez à utiliser des disques durs avec chiffrement intégré du disque intégral (FDE).La gamme de SSD Samsung Evo Pro fonctionne très bien.Je suppose que pour plusieurs To, vous voulez un disque dur mécanique.Je ne suis pas sûr de l'état actuel des choses, mais il y a quelques années, de nombreux fabricants avaient des options FDE qui n'étaient qu'un peu plus chères.
pouvez-vous expliquer pourquoi "certains fichiers dépassent 4 Go (ce qui signifie que la compression n'est pas une option)"
Les fichiers ZIP classiques @FilipBartuzi utilisent un champ 32 bits pour stocker la taille des fichiers compressés et non compressés.Voir https://en.wikipedia.org/wiki/Zip_(file_format)#File_headers.Cependant, il existe * [ZIP64] (https://en.wikipedia.org/wiki/Zip_ (file_format) # ZIP64) qui supprime en grande partie ces limites en pratique, sinon en théorie.
Je n'ai pas assez de connaissances sur le sujet pour justifier une réponse complète, mais ma solution à un problème similaire était encfs.Voici une variante de ma configuration qui peut vous guider dans la bonne direction: https://bitbucket.org/gesis/plexacd
Cinq réponses:
ISMSDEV
2017-06-27 18:56:47 UTC
view on stackexchange narkive permalink

Pourquoi ne pas utiliser une application couramment utilisée pour le faire? VeraCrypt est un bon choix car il a remplacé l'application TrueCrypt respectée et vous permet de créer un conteneur de chiffrement que vous montez en tant que lecteur.

J'essaie de rester à l'écart des méthodes qui dépendent d'une application et de le faire manuellement - car je me sentirais plus en «contrôle».Cela étant dit, je ne peux pas vraiment critiquer la facilité d'utilisation de VeraCrypt, donc j'irai probablement avec une solution comme celle-là.Merci pour la suggestion!
Juste une suggestion.Je suis allé pour la facilité d'utilisation et la sécurité fiable.:)
Il vaut toujours mieux utiliser des protocoles bien mis en œuvre par des professionnels.
@HuckleberryFinn Votre programme zip, programme gpg etc. sont également des applications.
J'ai fini par emprunter la route VeraCrypt, car le montage et le démontage ne prennent pas beaucoup de temps.De plus, je peux utiliser VC sur toutes les plates-formes dont j'ai actuellement besoin.Merci encore pour celui-ci.
Aucun problème.Heureux que cela ait été utile :)
VeraCrypt avec le système de fichiers exFat fonctionnera facilement sur toutes les plates-formes.
@mikebabcock Il est cependant facile de dire «toujours» lorsque vous ajoutez de tels qualificatifs aux implémentations.Dans le monde réel, la ligne pour «bien mis en œuvre» et «professionnel» n'est pas toujours aussi claire: P
@deviantfan plus, VeraCrypt * a * des outils de ligne de commande.
@deviantfan Je pense qu'il faisait référence par "application" à une interface graphique, ce qui est un bon point.Je ferais probablement la même erreur de nomenclature.
@DarrenRinger c'est facile à dire et c'est vrai.Je réponds au désir du PO de «le faire manuellement» au lieu de «me fier à une application».
a CVn
2017-06-27 19:42:00 UTC
view on stackexchange narkive permalink

Je trouve certains de vos commentaires curieux. En particulier,

J'essaie de rester à l'écart des méthodes qui dépendent d'une application, et de le faire manuellement - car je me sentirais plus en «contrôle».

et

Je n'ai pas besoin de solution pour être incroyablement sécurisé, donnant la priorité à la commodité pour ce cas d'utilisation.

semble un peu en contradiction les uns avec les autres.

Premièrement, vous devriez vraiment prendre le temps de réfléchir à votre modèle de menace. Êtes-vous principalement préoccupé par le vol de l'appareil physique, ou êtes-vous préoccupé par des attaques via un réseau alors que votre système est opérationnel, ou êtes-vous préoccupé par les attaques d'un adversaire motivé qui vous cible spécifiquement vous et avoir la possibilité d'accéder à plusieurs reprises physiquement à vos systèmes, ou quoi?

Pour la plupart des gens, les deux plus grandes menaces à prendre en compte sont généralement:

  • perte de données, due à des erreurs de support et à des conditions similaires ("crash du disque dur"), et
  • perte de contrôle des données, par ex. suite au vol d'un système qui a été arrêté

Le premier point est facilement traité en faisant des sauvegardes régulières et en vérifiant qu'elles sont restaurables. Le chiffrement peut ajouter une couche supplémentaire de complexité à cela, mais ne change rien fondamentalement ; par exemple, avec le chiffrement dans l'image, vous devez réfléchir à la façon dont vous gérez le cas où vous perdez la clé de déchiffrement et / ou la phrase de passe.

Le deuxième point est en gros le chiffrement complet du disque est conçu pour résoudre.

Vous devriez donc probablement envisager des solutions de chiffrement intégral du disque (FDE). Je m'abstiendrai spécifiquement de recommander des produits spécifiques, mais il y a des choix disponible pour tous les principaux systèmes d'exploitation.

De cette façon, vous allez (bien que la terminologie ait tendance à varier légèrement) "ouvrir" un "conteneur" (qui vous oblige à fournir la phrase de passe correspondante ou similaire), utiliser vos données comme vous le souhaitez, puis "fermer" le conteneur qui rend les données inaccessibles sans la phrase de passe associée au conteneur.

Chaque fois que vous stockez quelque chose sur un ordinateur, même si vous le supprimez par la suite, à moins que des mesures spéciales ne soient prises, tout ou partie les données restent en fait. Il s'agit de la rémanence des données, et c'est un grand catalyseur de la criminalistique numérique. Si vous ne faites que cliquer sur «supprimer» dans l’interface utilisateur et peut-être vider la corbeille, les données resteront très probablement triviales récupérables à l’aide d’outils disponibles dans le commerce que tout le monde peut télécharger et utiliser, ou acheter pour quelques dizaines de dollars.

Si vous utilisez correctement le chiffrement complet du disque (par exemple, ne copiez pas les données vers un emplacement non chiffré), alors que les données seront toujours sur le disque, il en sera ainsi sous forme cryptée . De cette façon, même si quelqu'un est capable d'analyser ce qui est écrit sur le support de stockage, à moins qu'il ne connaisse la phrase secrète, il ne pourra pas comprendre la signification des données.

L'avantage est que pendant que vous utilisez les données, vous n'aurez pas vraiment à penser au fait qu'elles sont cryptées du tout; c'est juste.

Vous pouvez toujours faire quelque chose comme votre schéma de chiffrement / déchiffrement GnuPG local si vous le souhaitez, et pour certains fichiers, il peut même être judicieux de le faire pour protéger contre une attaque en ligne. (Une attaque «en ligne», dans ce contexte, est par exemple quelqu'un qui est capable de vous tromper en exécutant le code de son choix qui copie les fichiers de votre système pendant que le conteneur chiffré est ouvert permettant ainsi le texte en clair accès.)

Merci beaucoup pour cette réponse complète!Pour clarifier mes deux points, j'ai aimé la simplicité de taper `gpg -d -o / unlocked / lock`.Cela m'est facile à exécuter, et les applications requises sont minimes et largement prises en charge.Alors que je n'ai pas seulement dû installer VeraCrypt sur mon Mac, mais aussi le package OSXFuse (pas la fin du monde).Une autre chose à noter, c'est que ce sera sur un lecteur externe avec d'autres utilisations, donc FDE ne sera pas une option dans ce scénario.Ma principale préoccupation est le vol du support physique ou l'espionnage d'autres personnes ayant accès, ira probablement avec VC pour cela.
@HuckleberryFinn VeraCrypt prend en charge les fichiers, les partitions et les disques entiers en tant que conteneur.Si vous choisissez l'un des premiers, vous pouvez également stocker d'autres données sur le disque.
si vous devez déchiffrer les données pour les utiliser, et que vous devez déchiffrer plus qu'il n'en tient dans votre RAM, il y aura une copie non chiffrée sur votre disque à un certain moment.Sauf si vous utilisez une option de suppression sûre à chaque fois que vous vous en débarrassez, vous avez des problèmes.
C-Otto
2017-06-29 15:44:37 UTC
view on stackexchange narkive permalink

J'utilise LUKS pour cela, qui est extrêmement bien intégré dans ma distribution Linux de choix. Le déchiffrement est possible au démarrage, ou en utilisant cryptsetup luksOpen [...] si le système est déjà en cours d'exécution. Vous pouvez ajouter une couche de chiffrement autour des disques physiques ( / dev / sda ), des partitions ( / dev / sda1 ), des RAID ( / dev / md0 ), LVM-LVs ( / dev / mapper / vg-lv ).

Je n'ai aucune idée de comment / si cela est pris en charge sur des plates-formes non Linux, cependant.

Selon Wikipedia, il est compatible avec [LibreCrypt] (https://en.wikipedia.org/wiki/FreeOTFE) sur Windows.Avis de non-responsabilité: je n'ai aucune expérience personnelle de LibreCrypt.
Ángel
2017-06-28 04:46:37 UTC
view on stackexchange narkive permalink

Comme d'autres l'ont souligné, vous devriez utiliser un schéma de chiffrement complet du disque.

GPG crypte les fichiers en créant un autre fichier avec le contenu crypté (en | dé). Ainsi, comme vous l'avez souligné, vous devez traiter tout le répertoire de 1,4 To, pour le chiffrement, et le traiter à nouveau pour le déchiffrer, même si vous décompressiez à la volée afin d'éviter les besoins en espace (par exemple. < store .tar.gpg gpg -d | tar -x fichier-spécifique ), vous auriez besoin en moyenne de parcourir la moitié du conteneur pour chaque extraction.

D'un autre côté, les solutions sont basé sur une clé donnée, puis chaque bloc est basé sur cela (comme l'utilisation du mode CTR). La clé de disque est stockée dans un bloc de métadonnées, protégé par un mot de passe, etc. mais dans l'ensemble, il y a une clé de disque en mémoire qui permet un accès aléatoire au disque. Ce qui résout le problème de parcourir la collection, de laisser des traces des fichiers temporaires non compressés et de devoir doubler l'espace de stockage nécessaire.

f1nn
2017-06-28 15:20:55 UTC
view on stackexchange narkive permalink

GPG pour une grande archive tar sera extrêmement lent. Ce n'est certainement pas le meilleur moyen si vous avez des cas d'utilisation quotidiens.

Comme d'autres l'ont dit, FDE est un choix. Si vous avez besoin d'une solution de type conteneur, jetez un œil à Tomb:



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...