cryptctl

Cryptctl adalah utilitas untuk menyiapkan enkripsi disk menggunakan metode Luks yang sudah mapan yang populer. Ini menghasilkan angka acak untuk digunakan sebagai kunci enkripsi, dan dengan aman menyimpan kunci pada server kunci terpusat. Ini dapat mengenkripsi direktori sewenang -wenang ke dalam partisi disk terenkripsi.

Server Key menyimpan semua tombol enkripsi di direktori database (secara default/var/lib/cryptctl/keydb) dan menyajikan kunci melalui protokol RPC melalui TCP (secara default pada port 3737) ke komputer klien. Server kunci adalah komponen sentral dari pengaturan enkripsi, karenanya harus digunakan dengan langkah -langkah keamanan fisik/jaringan tambahan; Cadangan reguler dari database utama harus dilakukan untuk memastikan ketersediaannya. Komunikasi antara server utama dan komputer klien dilindungi oleh TLS melalui sertifikat, dan diizinkan melalui kata sandi yang ditentukan oleh administrator sistem selama pengaturan awal server kunci.

Enkripsi rutin mengatur sistem file terenkripsi menggunakan menggunakan cipher AES-XTS-PLAIN64, dengan kunci ukuran tetap (512-bit) yang dihasilkan dari kumpulan acak kriptografi. Direktori terenkripsi akan selalu dipasang secara otomatis pada boot sistem dengan mengambil kunci enkripsi mereka dari server kunci secara otomatis; Operasi ini mentolerir kegagalan jaringan sementara atau waktu down server utama dengan melakukan upaya berkelanjutan sampai sukses, selama maksimal 24 jam.

Administrator sistem dapat menentukan jumlah batas atas komputer yang dapat mendapatkan kunci secara bersamaan. Setelah komputer klien berhasil mengambil kunci, itu akan terus melaporkan kembali ke server kunci bahwa itu online, dan server kunci secara erat melacak IP, nama host, dan stempel waktu, untuk menentukan jumlah komputer secara aktif menggunakan kunci; Jika jumlah batas atas komputer tercapai, kunci tidak akan lagi dibagikan secara otomatis; Administrator sistem selalu dapat mengambil kunci enkripsi dengan menggunakan kata sandi akses server kunci.

Cryptctl dapat secara opsional menggunakan alat manajemen kunci eksternal yang memahami KMIP v1.3 untuk menyimpan kunci enkripsi disk yang sebenarnya. Jika Anda memilih untuk menggunakan alat eksternal, Anda dapat memasukkan detail konektivitas KMIP seperti nama host, port, sertifikat, dan kredensial pengguna selama urutan inisialisasi server. Jika Anda tidak ingin menggunakan alat eksternal, Cryptctl akan menyimpan kunci enkripsi di basis data sendiri.

Untuk bereksperimen dengan fitur cryptctl, Anda dapat menggunakan server utama dan partisi terenkripsi di komputer yang sama; Perlu diingat bahwa melakukan kekalahan tujuan memisahkan data utama dari data terenkripsi, oleh karena itu selalu menggunakan server utama yang berdiri sendiri dalam QA dan skenario produksi.

Cryptctl didukung secara komersial oleh "SUSE Linux Enterprise Server untuk aplikasi SAP".

Bangun cryptctl dengan Go 1.8 atau versi yang lebih baru. Ini semata -mata tergantung pada perpustakaan GO Standard, tidak ada perpustakaan pihak ke -3 yang digunakan.

Instal Cryptctl Binary bersama dengan file konfigurasi dan layanan SystemD dari ospackage/ Direktori ke komputer server dan klien utama. Kemudian, tolong baca dengan cermat halaman manual ospackage/man/cryptctl.8 untuk instruksi pengaturan dan penggunaan.

File spesifikasi RPM yang siap dibuat dan paket RPM dapat ditemukan di sini: https://build.opensuse.org/package/show/security/cryptctl

Cryptctl adalah perangkat lunak bebas sumber terbuka, Anda dapat mendistribusikannya kembali dan/atau memodifikasinya berdasarkan ketentuan Lisensi Publik Umum GNU Versi 3 seperti yang diterbitkan oleh Yayasan Perangkat Lunak Gratis.

Lihat File LICENSE untuk Syarat dan Ketentuan Lisensi Lengkap.