監査のためにデータベース(elasticsearch)のデータを暗号化する必要があります。私は暗号化については全く知らない人です。インターネット検索の後、ディスクレベルで暗号化があることに気づきました(マスターパスワードを入力する必要があるか、TPMモジュールを使用してOSをロードする)、ディスク全体が復号化されます。第2のタイプの暗号化はファイルシステムレベルに存在する。これは、データがファイルまたはパーティションごとに即座に暗号化/暗号化解除される場合です。
LUKS で dm_crypt を使用することも推奨されますが、どこかで LUKS が背後で dm_crypt を使用し、ディスク全体を暗号化するためだけに使用されることを記録します (つまり、OS が起動するとすべてのデータが復号されます).と記録します暗号化とdm_cryptはファイルを動的に暗号化/復号化します。
両方のメカニズムが必要であるか、少なくともFSレベルの暗号化が必要です。起動後、ブロックレベルの暗号化にLUKSを使用し、動的ファイル暗号化にdm_cryptを使用できますか?
答え1
(オペレーティングシステムのロード時またはTPMモジュールの使用にはマスターパスワードが必要です。)その後、ディスク全体が復号化されます。
実際にはそれはうまくいきません。
フルディスク(またはファイルシステム)暗号化は、実際にディスク全体を一度に復号化しません。大型HDDでは、これには数時間かかることがあります。代わりに、暗号化されたディスクデバイス(たとえば/dev/sda2
)のパスワードを入力すると、カーネルは2番目のデバイス(たとえば)を設定します/dev/mapper/crypt_sda2
。最初のデバイスのコンテンツに2番目のデバイスを介してアクセスできます。まるでカーネルが入力/出力操作を傍受し、すべての読み取りを復号化し、すべての動的書き込みを暗号化するため、パスワードは復号化されます。
誰かが暗号化されたディスクがインストールされているシステムに侵入すると、ハッカーは暗号化されていない通常のディスクのようにディスクにアクセスできます。ただし、システムの実行中に誰かがシステムからディスクを取り出して読み取りしようとすると、読み取ることができるのはブートローダー、カーネル、initramfs、およびパーティションのLUKSヘッダーであり、デフォルトではsda2
パーティション内の他のすべての項目と区別できません。ランダムデータ。誰かがコンピュータの電源を切っている間にコンピュータを盗んで起動しようとすると、Please enter the passphrase for /dev/sda2:
他のものが表示されます。
dm_crypt
カーネルのディスク暗号化インフラストラクチャLUKSは、パーティションまたは他のディスクボリュームを暗号化するためのヘッダー形式です。お互いにうまく動作します。ただし、LUKS ヘッダーがある場合、コンピューターを確認する人は常に「ここに暗号化されたボリュームがあります」という内容を見ることができます。これが望ましくない場合は、dm_crypt
TrueCrypt / VeraCrypt互換モードを使用できます。これにより、2つの別々のパスワードを使用してアクセスできる「拒否可能な」暗号化パーティションを持つことができます。 1つのパスワードは1セットのコンテンツを公開し(無害な餌に設定することができます)、他に何かがあることを示していません... 。 。もちろん、デコイモードで「空の」スペースを100%いっぱいにすると、「実際の」データが上書きされます。
答え2
ブロックデバイスがオフラインの場合、コンテンツ全体はランダムなデータの束のように見えます。
ディスク上のデータは常にランダムなデータの束のように見えます。プレーンテキストデータがディスクに書き込まれることはありません(フルディスク暗号化を使用している場合)。セクタNを読み取ると、暗号化されたデータはそのセクタから読み取られ、RAMに復号されます。あなたのアプリケーションはこれをRAMで使用します。アプリケーションが後でセクタNに書き込む場合、RAMのプレーンテキストデータはディスクへの書き込み操作の一部として暗号化される。