cryptctl
2.3
Cryptctl هي أداة لإعداد تشفير القرص باستخدام طريقة Luks الراسخة الشهيرة. إنه ينشئ أرقامًا عشوائية لاستخدامها كمفاتيح تشفير ، ويحتفظ بأمان المفاتيح على خادم مفتاح مركزي. يمكن أن تشفر الدلائل التعسفية في أقسام القرص المشفرة.
يقوم الخادم الرئيسي بتخزين جميع مفاتيح التشفير في دليل قاعدة البيانات (افتراضيًا/var/lib/cryptctl/keydb) ويخدم المفاتيح عبر بروتوكول RPC عبر TCP (افتراضيًا على المنفذ 3737) لأجهزة الكمبيوتر العميل. الخادم الرئيسي هو المكون المركزي لإعداد التشفير ، وبالتالي يجب نشره مع تدابير أمان فعلية/شبكة إضافية ؛ يجب تنفيذ نسخة احتياطية منتظمة لقاعدة البيانات الرئيسية لضمان توفرها. يتم حماية الاتصالات بين الخادم الرئيسي وأجهزة الكمبيوتر العميل بواسطة TLS عبر شهادة ، ويتم ترخيصها عبر كلمة مرور محددة بواسطة مسؤول النظام أثناء الإعداد الأولي لخادم المفتاح.
يقوم روتين التشفير بإعداد أنظمة الملفات المشفرة باستخدام تشفير AES-XTS-Plain64 ، مع مفتاح ثابت (512 بت) تم إنشاؤه من تجمع عشوائي التشفير. سيتم دائمًا تركيب الدلائل المشفرة تلقائيًا عند تمهيد النظام عن طريق استرداد مفاتيح التشفير الخاصة بها من خادم المفاتيح تلقائيًا ؛ تتحمل هذه العملية فشل الشبكة المؤقت أو وقت الخادم الرئيسي من خلال إجراء محاولات مستمرة حتى النجاح ، لمدة أقصاها 24 ساعة.
يمكن لمسؤول النظام تحديد عدد الحد الأعلى لأجهزة الكمبيوتر التي يمكن أن تحصل على مفتاح في وقت واحد. بعد أن يسترجع جهاز كمبيوتر عميل بنجاح مفتاحًا ، سيستمر في تقديم الإبلاغ إلى الخادم الرئيسي بأنه متصل بالإنترنت ، ويتتبع الخادم الرئيسي عن كثب IP واسم المضيف والطابع الزمني ، من أجل تحديد عدد أجهزة الكمبيوتر بنشاط باستخدام المفتاح ؛ إذا تم الوصول إلى عدد الحد الأعلى لأجهزة الكمبيوتر ، فلن يتم توزيع المفتاح تلقائيًا ؛ يمكن لمسؤول النظام دائمًا استرداد مفاتيح التشفير باستخدام كلمة مرور الوصول إلى خادم المفتاح.
يمكن لـ CryptCTL الاستفادة اختياريًا جهاز إدارة المفاتيح الخارجي الذي يفهم KMIP V1.3 لتخزين مفاتيح تشفير القرص الفعلية. إذا اخترت استخدام الجهاز الخارجي ، يمكنك إدخال تفاصيل اتصال KMIP مثل اسم المضيف والمنفذ والشهادة وبيانات اعتماد المستخدم أثناء تسلسل تهيئة الخادم. إذا كنت لا ترغب في استخدام الجهاز الخارجي ، فسيقوم CryptCTL بتخزين مفاتيح التشفير في قاعدة البيانات الخاصة به.
لتجربة ميزات cryptctl ، يمكنك نشر كل من خادم المفاتيح والقسم المشفر على نفس الكمبيوتر ؛ ضع في اعتبارك أن القيام بفهم الهزائم بفصل البيانات الرئيسية عن البيانات المشفرة ، وبالتالي نشر الخادم الرئيسي دائمًا في سيناريوهات ضمان الجودة وسيناريوهات الإنتاج.
يتم دعم CryptCTL تجاريًا بواسطة "Suse Linux Enterprise Server لتطبيقات SAP".
بناء cryptctl مع GO 1.8 أو إصدارات أحدث. يعتمد فقط على مكتبة GO القياسية ، لا يتم استخدام مكتبة الطرف الثالث.
قم بتثبيت Cryptctl Binary مع ملفات التكوين وخدمات SystemD من ospackage/ الدليل إلى كل من الخادم الرئيسي وأجهزة الكمبيوتر العميل. بعد ذلك ، يرجى قراءة الصفحة اليدوية بعناية ospackage/man/cryptctl.8 للحصول على تعليمات الإعداد والاستخدام.
يمكن العثور على ملف RPM الخاص بـ RPM و RPM هنا: https://build.opensuse.org/package/show/security/cryptctl
CryptCTL هو برنامج مجاني مفتوح المصدر ، يمكنك إعادة توزيعه و/أو تعديله بموجب شروط الإصدار 3 من ترخيص GNU General Public كما تم نشره بواسطة Free Software Foundation.
راجع ملف LICENSE لشروط وأحكام الترخيص الكاملة.
