cryptctl

CryptCTL est un utilitaire pour configurer le chiffrement du disque en utilisant la méthode LUKS bien établie populaire. Il génère des nombres aléatoires à utiliser comme clés de chiffrement et conserve les clés en toute sécurité sur un serveur de clés centralisé. Il peut crypter des répertoires arbitraires en partitions de disque cryptées.

Le serveur clé stocke toutes les clés de chiffrement dans un répertoire de base de données (par défaut / var / lib / cryptctl / keydb) et sert les clés via un protocole RPC sur TCP (par défaut sur le port 3737) aux ordinateurs clients. Le serveur clé est le composant central de la configuration du chiffrement, il doit donc être déployé avec des mesures de sécurité physique / réseau supplémentaires; La sauvegarde régulière de la base de données clé doit être effectuée pour garantir sa disponibilité. La communication entre le serveur clé et les ordinateurs clients est protégée par TLS via un certificat et autorisée via un mot de passe spécifié par l'administrateur système lors de la configuration initiale du serveur de clé.

La routine de chiffrement configure des systèmes de fichiers chiffrés à l'aide de l'utilisation du chiffre AES-XT-PLain64, avec une clé de taille fixe (512 bits) générée à partir du pool aléatoire de cryptographie. Les répertoires cryptés seront toujours montés automatiquement lors du démarrage du système en récupérant automatiquement leurs clés de chiffrement à partir du serveur de clés; Cette opération tolère une défaillance temporaire du réseau ou un temps d'arrêt du serveur clé en faisant des tentatives continues jusqu'au succès, pendant un maximum de 24 heures.

L'administrateur système peut définir un nombre de limites supérieures d'ordinateurs qui peuvent saisir simultanément une clé. Une fois qu'un ordinateur client a réussi à récupérer une clé, il continuera de rapporter à Key Server qu'il est en ligne, et le serveur clé suit étroitement son IP, son nom d'hôte et son horodatage, afin de déterminer le nombre d'ordinateurs à l'aide de la clé; Si le nombre de limites supérieures d'ordinateurs est atteinte, la clé ne sera plus distribuée automatiquement; L'administrateur système peut toujours récupérer les clés de chiffrement en utilisant le mot de passe d'accès de Key Server.

CryptCTL peut éventuellement utiliser un appareil de gestion de clé externe qui comprend KMIP V1.3 pour stocker les clés de cryptage du disque réelles. Si vous choisissez d'utiliser l'appliance externe, vous pouvez saisir des détails de connectivité KMIP tels que le nom d'hôte, le port, le certificat et les informations d'identification de l'utilisateur pendant la séquence d'initialisation du serveur. Si vous ne souhaitez pas utiliser l'appareil externe, CryptCTL stockera les clés de cryptage dans sa propre base de données.

Pour expérimenter les fonctionnalités CryptCTL, vous pouvez déployer temporaire à la fois le serveur clé et la partition chiffrée sur le même ordinateur; Gardez à l'esprit que la réalisation de l'objectif de séparer les données clés des données cryptées, déployez donc toujours le serveur clé autonome dans les scénarios QA et de production.

CryptCTL est commercialement pris en charge par "SUSE Linux Enterprise Server pour les applications SAP".

Construisez CryptCTL avec Go 1.8 ou des versions plus récentes. Cela dépend uniquement de la bibliothèque standard GO, aucune bibliothèque tiers n'est utilisée.

Installez CryptCTL Binary avec les fichiers de configuration et les services SystemD de ospackage/ Directory aux ordinateurs de serveur clé et client. Ensuite, lisez soigneusement la page manuelle ospackage/man/cryptctl.8 pour les instructions de configuration et d'utilisation.

Un fichier de spécifications RPM prêt et un package RPM peut être trouvé ici: https://build.opensese.org/package/show/security/cryptctl

CryptCTL est un logiciel libre open source, vous pouvez le redistribuer et / ou le modifier en vertu des termes de la version 3 de la licence générale GNU General Public tel que publié par la Free Software Foundation.

Voir le fichier LICENSE pour les termes et conditions complets de licence.