cryptctl

Cryptctl ist ein Dienstprogramm zum Einrichten der Festplattenverschlüsselung mithilfe der beliebten gut etablierten Luks-Methode. Es generiert zufällige Zahlen, die als Verschlüsselungsschlüssel verwendet werden sollen, und die Schlüssel auf einem zentralisierten Schlüsselserver sicher aufbewahren. Es kann willkürliche Verzeichnisse in verschlüsselte Festplattenpartitionen verschlüsseln.

Der Schlüsselserver speichert alle Verschlüsselungsschlüssel in einem Datenbankverzeichnis (standardmäßig/var/lib/cryptctl/keyDB) und bedient die Schlüssel über ein RPC -Protokoll über TCP (standardmäßig auf Port 3737) an Client -Computer. Der Schlüsselserver ist die zentrale Komponente des Verschlüsselungsaufbaus. Daher muss er mit zusätzlichen Maßnahmen zur physischen/Netzwerksicherheit bereitgestellt werden. Eine regelmäßige Sicherung der wichtigsten Datenbank muss durchgeführt werden, um die Verfügbarkeit zu gewährleisten. Die Kommunikation zwischen wichtigen Server- und Client -Computern wird durch TLS über ein Zertifikat geschützt und über ein vom Systemadministrator angegebener Kennwort während des ersten Setups des Schlüsselservers autorisiert.

Die Verschlüsselungsroutine legt verschlüsselte Dateisysteme mithilfe von AES-XTS-Plain64-Cipher mit einem aus dem Kryptographie-Zufallspool generierten Taste mit fester Größe (512-Bit) ein. Verschlüsselte Verzeichnisse werden immer automatisch nach dem Systemstart montiert, indem ihre Verschlüsselungsschlüssel vom Schlüsselserver automatisch abgerufen werden. Dieser Betrieb toleriert den temporären Netzwerkausfall oder die Ausfallzeit des Key Server, indem sie maximal 24 Stunden lang kontinuierliche Versuche unternommen haben.

Der Systemadministrator kann eine Obergrenze von Computern definieren, die gleichzeitig einen Schlüssel erhalten. Nachdem ein Client -Computer einen Schlüssel erfolgreich abgerufen hat, meldet er weiterhin an den Schlüsselserver, dass er online ist, und der Schlüsselserver verfolgt seinen IP, den Hostnamen und den Zeitstempel genau, um die Anzahl der Computer aktiv mithilfe des Schlüssels zu bestimmen. Wenn die Obergrenze von Computern erreicht ist, wird der Schlüssel nicht mehr automatisch verteilt. Der Systemadministrator kann Verschlüsselungsschlüssel jederzeit mithilfe des Zugriffskennworts des Schlüsselservers abrufen.

Cryptctl kann optional ein externes Schlüsselmanagement -Gerät verwenden, das KMIP v1.3 versteht, um die tatsächlichen Festplattenverschlüsselungsschlüssel zu speichern. Wenn Sie die externe Appliance verwenden möchten, können Sie KMIP -Konnektivitätsdetails wie Hostname, Port, Zertifikat und Benutzeranmeldeinformationen während der Server -Initialisierungssequenz eingeben. Wenn Sie die externe Appliance nicht verwenden möchten, speichert Cryptctl Verschlüsselungsschlüssel in seiner eigenen Datenbank.

Um mit Cryptctl -Funktionen zu experimentieren, können Sie sowohl den Schlüsselserver als auch die verschlüsselte Partition auf demselben Computer vorübergehend bereitstellen. Beachten Sie, dass das Ziel des Ziels, Schlüsseldaten von verschlüsselten Daten zu trennen, das Ziel besiegt und daher immer wichtiger Server-Stand-Alone in QA- und Produktionsszenarien bereitgestellt wird.

Cryptctl wird kommerziell von "SUSE Linux Enterprise Server für SAP -Anwendungen" unterstützt.

Bauen Sie Cryptctl mit GO 1.8 oder neueren Versionen auf. Es hängt ausschließlich von der Go -Standardbibliothek ab, keine Bibliothek der Drittanbieter.

Installieren Sie Cryptctl -Binary zusammen mit Konfigurationsdateien und Systemdiensten von ospackage/ Verzeichnis sowohl auf Schlüsselserver als auch auf Client -Computer. Lesen Sie dann bitte die manuelle Seite ospackage/man/cryptctl.8 für Setup- und Nutzungsanweisungen sorgfältig durch.

Eine bereitgestellte RPM -Spezifikationsdatei und ein RPM -Paket finden Sie hier: https://build.opensuse.org/package/show/security/cryptctl

Cryptctl ist eine Open -Source -Software. Sie können sie neu verteilt und/oder unter den Bestimmungen der GNU General Public Lizenz Version 3, wie sie von der Free Software Foundation veröffentlicht wurden, ändern.

LICENSE Lizenzdatei finden Sie in den vollständigen Lizenzbedingungen.