cryptctl

CryPTCTL es una utilidad para configurar el cifrado de disco utilizando el popular método LUKS bien establecido. Genera números aleatorios para usar como claves de cifrado y mantiene las claves de forma segura en un servidor de claves centralizado. Puede cifrar directorios arbitrarios en particiones de disco encriptadas.

El servidor clave almacena todas las claves de cifrado en un directorio de base de datos (por defecto/var/lib/cryptctl/keydb) y sirve las claves a través de un protocolo RPC a través de TCP (por defecto en el puerto 3737) a las computadoras del cliente. El servidor clave es el componente central de la configuración de cifrado, por lo tanto, debe implementarse con medidas de seguridad físicas/de red adicionales; La copia de seguridad regular de la base de datos clave debe llevarse a cabo para garantizar su disponibilidad. La comunicación entre el servidor clave y las computadoras del cliente está protegida por TLS a través de un certificado y autorizada a través de una contraseña especificada por el administrador del sistema durante la configuración inicial del servidor clave.

La rutina de cifrado establece sistemas de archivos cifrados utilizando CIPHER AES-XTS-PLAIN64, con una tecla de tamaño fijo (512 bits) generado a partir de la criptografía aleatoria. Los directorios cifrados siempre se montarán automáticamente al arrancar el sistema recuperando sus claves de cifrado del servidor clave automáticamente; Esta operación tolera la falla de la red temporal o el tiempo de inactividad del servidor clave al hacer intentos continuos hasta el éxito, durante un máximo de 24 horas.

El administrador del sistema puede definir un número límite superior de computadoras que pueden obtener una clave simultáneamente. Después de que una computadora cliente recupera con éxito una clave, seguirá informando al servidor clave que está en línea, y el servidor clave rastrea de cerca su IP, nombre de host y marca de tiempo, para determinar el número de computadoras activamente utilizando la clave; Si se alcanza el número de límite superior de computadoras, la clave ya no se entregará automáticamente; El administrador del sistema siempre puede recuperar claves de cifrado utilizando la contraseña de acceso del servidor de clave.

CryPTCTL puede utilizar opcionalmente un dispositivo de administración de claves externo que comprende KMIP V1.3 para almacenar las claves de cifrado de disco reales. Si elige usar el dispositivo externo, puede ingresar detalles de conectividad de KMIP, como el nombre del host, el puerto, el certificado y las credenciales del usuario durante la secuencia de inicialización del servidor. Si no desea utilizar el dispositivo externo, CryPTCTL almacenará claves de cifrado en su propia base de datos.

Para experimentar con las características de CryPTCTL, puede implementar temporalmente el servidor clave y la partición cifrada en la misma computadora; Tenga en cuenta que hacer derrota el objetivo de separar los datos clave de los datos encriptados, por lo tanto, siempre implementa el servidor clave independiente en el control de calidad y los escenarios de producción.

CryPTCTL es compatible comercialmente por "Suse Linux Enterprise Server para aplicaciones SAP".

Construya cryptctl con versiones GO 1.8 o más nuevas. Depende únicamente de la biblioteca estándar de GO, no se usa una biblioteca de terceros.

Instale el binario CryPTCTL junto con los archivos de configuración y los servicios Systemd desde ospackage/ Directorio hasta computadoras de servidor clave y cliente. Luego, lea cuidadosamente la página manual ospackage/man/cryptctl.8 para las instrucciones de configuración y uso.

Aquí se puede encontrar un archivo RPM de RPM listo para RPM y un paquete RPM: https://build.opensuse.org/package/show/security/cryptctl

CryPTCTL es un software gratuito de código abierto, puede redistribuirlo y/o modificarlo bajo los términos de la versión 3 de Licencia Pública General GNU publicada por la Free Software Foundation.

Consulte el archivo LICENSE para los términos y condiciones de licencia completa.