cryptctl

O CryptCTL é um utilitário para configurar a criptografia de disco usando o popular método Luks bem estabelecidos. Ele gera números aleatórios para usar como teclas de criptografia e mantenha as teclas com segurança em um servidor de chave centralizado. Ele pode criptografar diretórios arbitrários em partições de disco criptografadas.

O Key Server armazena todas as teclas de criptografia em um diretório de banco de dados (por padrão/var/lib/Cryptctl/keydb) e serve as chaves por meio de um protocolo RPC sobre o TCP (por padrão na porta 3737) para computadores clientes. O servidor de chaves é o componente central da configuração de criptografia, portanto, deve ser implantado com medidas extras de segurança física/de rede; O backup regular do banco de dados principal deve ser realizado para garantir sua disponibilidade. A comunicação entre os principais computadores do servidor e do cliente é protegida pelo TLS por meio de um certificado e autorizada através de uma senha especificada pelo administrador do sistema durante a configuração inicial do Key Server.

A rotina de criptografia configura sistemas de arquivos criptografados usando a cifra AES-XTS-Plain64, com uma tecla de tamanho fixo (512 bits) gerado a partir do pool aleatório de criptografia. Os diretórios criptografados sempre serão montados automaticamente após a inicialização do sistema, recuperando suas teclas de criptografia do servidor de chaves automaticamente; Esta operação tolera falha temporária da rede ou tempo de inatividade do servidor, fazendo tentativas contínuas até o sucesso, por máximo de 24 horas.

O administrador do sistema pode definir um número limite superior de computadores que podem se apossar de uma chave simultaneamente. Depois que um computador cliente recupera uma chave com sucesso, ele continuará se reportando ao Key Server que está online e o servidor de chaves rastreia de perto seu IP, nome do host e registro de data e hora, a fim de determinar o número de computadores usando ativamente a chave; Se o número limite superior de computadores for atingido, a chave não será mais distribuída automaticamente; O administrador do sistema sempre pode recuperar as teclas de criptografia usando a senha de acesso do Key Server.

O CryptCTL pode opcionalmente utilizar um dispositivo de gerenciamento de chaves externas que entende o KMIP v1.3 para armazenar as teclas de criptografia de disco real. Se você optar por usar o dispositivo externo, você poderá inserir detalhes de conectividade KMIP, como nome do host, porta, certificado e credenciais do usuário durante a sequência de inicialização do servidor. Se você não deseja usar o dispositivo externo, a CryptCTL armazenará as teclas de criptografia em seu próprio banco de dados.

Para experimentar os recursos do CryptCTL, você pode implantar temporário o servidor de chaves e a partição criptografada no mesmo computador; Lembre-se de que fazer derrota o objetivo de separar os principais dados dos dados criptografados, portanto, sempre implanta autônoma do servidor de chaves nos cenários de controle de qualidade e produção.

O CryptCTL é suportado comercialmente pelo "SUSE Linux Enterprise Server para aplicativos SAP".

Construa Cryptctl com versões GO 1.8 ou mais recentes. Depende apenas da Biblioteca Padrão Go, não é usada nenhuma biblioteca de terceiros.

Instale o binário do CryptCTL, juntamente com os arquivos de configuração e os serviços do SystemD do ospackage/ diretório para os principais computadores do servidor e do cliente. Em seguida, leia cuidadosamente a página manual ospackage/man/cryptctl.8 para obter instruções de configuração e uso.

Um arquivo de especificação RPM pronto e o pacote RPM podem ser encontrados aqui: https://build.opensuse.org/package/show/security/cryptctl

O CryptCTL é um software livre de código aberto, você pode redistribuí -lo e/ou modificá -lo nos termos da versão 3 da GNU Geral Public License, conforme publicado pela Free Software Foundation.

Consulte o arquivo LICENSE para obter os termos e condições completos de licenciamento.