cryptctl

Cryptctl เป็นยูทิลิตี้สำหรับการตั้งค่าการเข้ารหัสดิสก์โดยใช้วิธี LUKS ที่ได้รับความนิยมเป็นอย่างดี มันสร้างตัวเลขสุ่มเพื่อใช้เป็นปุ่มเข้ารหัสและเก็บคีย์ไว้อย่างปลอดภัยบนเซิร์ฟเวอร์คีย์ส่วนกลาง มันสามารถเข้ารหัสไดเรกทอรีโดยพลการลงในพาร์ติชันดิสก์ที่เข้ารหัส

คีย์เซิร์ฟเวอร์เก็บคีย์การเข้ารหัสทั้งหมดในไดเรกทอรีฐานข้อมูล (โดยค่าเริ่มต้น/var/lib/cryptctl/keydb) และให้บริการคีย์ผ่านโปรโตคอล RPC ผ่าน TCP (โดยค่าเริ่มต้นบนพอร์ต 3737) ไปยังคอมพิวเตอร์ไคลเอนต์ เซิร์ฟเวอร์คีย์เป็นส่วนประกอบสำคัญของการตั้งค่าการเข้ารหัสดังนั้นจึงต้องปรับใช้กับมาตรการความปลอดภัยทางกายภาพ/เครือข่ายเพิ่มเติม ต้องดำเนินการสำรองฐานข้อมูลหลักเป็นประจำเพื่อให้แน่ใจว่ามีความพร้อมใช้งาน การสื่อสารระหว่างคีย์เซิร์ฟเวอร์และคอมพิวเตอร์ไคลเอนต์ได้รับการปกป้องโดย TLS ผ่านใบรับรองและได้รับอนุญาตผ่านรหัสผ่านที่ระบุโดยผู้ดูแลระบบในระหว่างการตั้งค่าเริ่มต้นของเซิร์ฟเวอร์คีย์

รูทีนการเข้ารหัสตั้งค่าระบบไฟล์ที่เข้ารหัสโดยใช้ Cipher AES-XTS-PLAIN64 ด้วยคีย์ขนาดคงที่ (512-bit) ที่สร้างขึ้นจากพูลสุ่ม ไดเรกทอรีที่เข้ารหัสจะถูกติดตั้งโดยอัตโนมัติเมื่อทำการบูตระบบโดยดึงคีย์การเข้ารหัสจากคีย์เซิร์ฟเวอร์โดยอัตโนมัติ การดำเนินการนี้จะทนต่อความล้มเหลวของเครือข่ายชั่วคราวหรือเซิร์ฟเวอร์คีย์ลงเวลาโดยพยายามอย่างต่อเนื่องจนกว่าจะประสบความสำเร็จสูงสุด 24 ชั่วโมง

ผู้ดูแลระบบสามารถกำหนดจำนวนขีด จำกัด บนของคอมพิวเตอร์ที่สามารถถือคีย์ได้พร้อมกัน หลังจากที่คอมพิวเตอร์ไคลเอนต์ดึงคีย์สำเร็จแล้วมันจะรายงานกลับไปยังคีย์เซิร์ฟเวอร์ว่าออนไลน์และเซิร์ฟเวอร์คีย์จะติดตาม IP ชื่อโฮสต์และการประทับเวลาอย่างใกล้ชิดเพื่อกำหนดจำนวนคอมพิวเตอร์อย่างแข็งขันโดยใช้คีย์ หากถึงจำนวนขีด จำกัด สูงสุดของคอมพิวเตอร์คีย์จะไม่ถูกส่งออกโดยอัตโนมัติอีกต่อไป ผู้ดูแลระบบสามารถดึงคีย์การเข้ารหัสโดยใช้รหัสผ่านการเข้าถึงของคีย์เซิร์ฟเวอร์

CryptCTL สามารถเลือกใช้อุปกรณ์การจัดการคีย์ภายนอกที่เข้าใจ KMIP v1.3 เพื่อจัดเก็บคีย์การเข้ารหัสดิสก์จริง หากคุณเลือกที่จะใช้อุปกรณ์ภายนอกคุณสามารถป้อนรายละเอียดการเชื่อมต่อ KMIP เช่นชื่อโฮสต์พอร์ตใบรับรองและข้อมูลรับรองผู้ใช้ในระหว่างลำดับการเริ่มต้นเซิร์ฟเวอร์ หากคุณไม่ต้องการใช้อุปกรณ์ภายนอก CryptCTL จะเก็บคีย์การเข้ารหัสในฐานข้อมูลของตัวเอง

ในการทดลองกับคุณสมบัติ cryptctl คุณสามารถปรับใช้ทั้งเซิร์ฟเวอร์คีย์และพาร์ติชันที่เข้ารหัสได้ชั่วคราวบนคอมพิวเตอร์เครื่องเดียวกัน โปรดทราบว่าการเอาชนะวัตถุประสงค์ของการแยกข้อมูลคีย์ออกจากข้อมูลที่เข้ารหัสดังนั้นจึงปรับใช้คีย์เซิร์ฟเวอร์แบบสแตนด์อโลนใน QA และสถานการณ์การผลิตเสมอ

Cryptctl ได้รับการสนับสนุนในเชิงพาณิชย์โดย "Suse Linux Enterprise Server สำหรับแอปพลิเคชัน SAP"

สร้าง cryptctl ด้วย GO 1.8 หรือรุ่นใหม่ ขึ้นอยู่กับห้องสมุดมาตรฐาน GO แต่เพียงผู้เดียวไม่มีการใช้ห้องสมุดบุคคลที่สาม

ติดตั้ง Cryptctl ไบนารีพร้อมกับไฟล์การกำหนดค่าและบริการ SystemD จาก ospackage/ DIRECTORY ไปยังทั้งคอมพิวเตอร์คีย์เซิร์ฟเวอร์และคอมพิวเตอร์ไคลเอนต์ จากนั้นโปรดอ่านหน้าคู่มือ ospackage/man/cryptctl.8 อย่างระมัดระวังสำหรับคำแนะนำการตั้งค่าและการใช้งาน

ไฟล์ข้อมูลจำเพาะ RPM ที่พร้อมแล้วและแพ็คเกจ RPM สามารถดูได้ที่นี่: https://build.opensuse.org/package/show/security/cryptctl

Cryptctl เป็นซอฟต์แวร์ฟรีโอเพ่นซอร์สคุณสามารถแจกจ่ายและ/หรือแก้ไขภายใต้เงื่อนไขของ GNU ทั่วไปใบอนุญาตสาธารณะรุ่น 3 ที่เผยแพร่โดย Free Software Foundation

ดูไฟล์ LICENSE สำหรับข้อกำหนดและเงื่อนไขการออกใบอนุญาตที่สมบูรณ์