cryptctl

CryptCtl-это утилита для настройки шифрования диска с использованием популярного хорошо известного метода Luks. Он генерирует случайные числа для использования в качестве клавиш шифрования, и безопасно сохраняет ключи на централизованном сервере ключей. Он может шифровать произвольные каталоги в зашифрованные дисковые перегородки.

Ключевой сервер хранит все клавиши шифрования в каталоге базы данных (по умолчанию/var/lib/cryptctl/keydb) и обслуживает ключи с помощью протокола RPC по TCP (по умолчанию на порту 3737) для клиентских компьютеров. Ключевой сервер является центральным компонентом настройки шифрования, поэтому он должен быть развернут с дополнительными физическими/сетевыми мерами безопасности; Регулярное резервное копирование базы данных ключей должно быть выполнено, чтобы обеспечить ее доступность. Связь между сервером ключей и клиентскими компьютерами защищена TLS через сертификат и авторизована через пароль, указанный системным администратором во время начальной настройки сервера ключей.

Рутина шифрования устанавливает зашифрованные файловые системы с использованием шифра AES-XTS-Plain64 с ключом с фиксированным (512-битным), сгенерированным из криптографии случайного пула. Зашифрованные каталоги всегда будут автоматически монтируются при загрузке системы путем автоматического извлечения их клавиш шифрования с сервера ключей; Эта операция переносит временный сбой сети или простоя простоя к серверу ключей, предпринимая непрерывные попытки до успеха, в течение 24 часов.

Системный администратор может определить верхнее предельное количество компьютеров, которые могут одновременно удерживать ключ. После того, как клиент -компьютер успешно получает ключ, он будет продолжать отчетность на сервере ключей, что он онлайн, и сервер ключей внимательно отслеживает свой IP, имя хоста и временной метки, чтобы определить количество компьютеров, активно используя ключ; Если достигнуто верхнее предельное количество компьютеров, ключ больше не будет раздаваться автоматически; Системный администратор всегда может получить клавиши шифрования, используя пароль доступа к серверу ключей.

CROPTCTL может при желании использовать внешнее устройство управления ключами, которое понимает KMIP V1.3 для хранения фактических клавиш шифрования диска. Если вы решите использовать внешнее устройство, вы можете ввести данные подключения KMIP, такие как имя хоста, порт, сертификат и учетные данные пользователя во время последовательности инициализации сервера. Если вы не хотите использовать внешнее устройство, CryptCtl будет хранить ключи шифрования в своей собственной базе данных.

Чтобы экспериментировать с функциями CryptCtl, вы можете временно развернуть как сервер, так и зашифрованный раздел на одном компьютере; Имейте в виду, что выполняет поражение цели отделения ключевых данных от зашифрованных данных, поэтому всегда используйте автономные ключевые серверы в QA и сценариях производства.

CROPTCTL коммерчески поддерживается «SUSE Linux Enterprise Server для приложений SAP».

Создайте CryptCtl с GO 1.8 или более новыми версиями. Это зависит исключительно от стандартной библиотеки GO, ни одна из сторонней библиотеки не используется.

Установите двоичный файл cryptctl вместе с файлами конфигурации и службами Systemd от ospackage/ Directory в клавишные и клиентские компьютеры. Затем, пожалуйста, внимательно прочитайте ручную страницу ospackage/man/cryptctl.8 для инструкций по настройке и использованию.

Подготовленные файлы Spec и пакет RPM можно найти здесь: https://build.opensuse.org/package/show/security/cryptctl

CryptCtl - это бесплатное программное обеспечение с открытым исходным кодом, вы можете перераспределить его и/или изменить его в соответствии с условиями общей общедоступной лицензии GNU, опубликованной Фондом Free Software.

См. Файл LICENSE для полных условий лицензирования.