Szyfrowanie folderów współdzielonych vs klucz

[adjustin]

Hej,
mam takie dziwne pytanie.
Zastanawia mnie od dłuższego czasu temat kluczy do szyfrowania folderów współdzielonych.
Może nie rozumiem, ale może ktoś mi wytłumaczyć ideę trzymania kluczy na pendrive'ie?
OK, jest plus, że folder automatycznie się odszyfrowuje z klucza trzymanego na nośniku zewnętrznym. Ale to szyfrowanie jest po to, żeby w sytuacji np. kradzieży serwera lub próby nieuprawnionego fizycznego dostępu dane były zaszyfrowane.
(Wiadomym jest, że ścieżka jest ograniczona, ale to osobny temat).
Więc jeśli dochodzi do kradzieży, to raczej serwera + włożonego do niego pendrive'a. Stąd nie kumam tej idei. Chyba, że można zaciągać klucze np. z innego serwera NAS.

[mikhnal]

A to nie jest tak, że klucz na penie służy do awaryjnego odszyfrowania folderu?

[krowka1978]

Pendrive jest potrzebny przy uruchomieniu, żeby automatycznie podmontował zaszyfrowane udziały. Po zamontowaniu folderów usuwa się go z NAS-a, włączonego raczej złodziej niósł nie będzie Po ponownym włączeniu NAS-a dane nie będą dostępne.
Jeżeli dane nie mogą być cały czas odszyfrowane podczas pracy NAS, to cóż, trzeba to robić na żądanie.

[adjustin]

Dzięki bardzo.
Czyli jeżeli kolokuję serwer gdzieś w innym miejscu, to musze ręcznie podawać plik klucza (bądź hasło).
Nie wiem czemu ubzdurało mi się, że jest coś takiego jak zdalny serwer kluczy czy cos w tym stylu. Przez moment cos podobnego mi przemknęło przed oczami w Synology, ale raczej coś mylę.

A jakie macie doświadczenie z zapisywaniem klucza poprzez menedżer kluczy na dysku lokalnym? Ten klucz jest niedostępny gdy wkręcę dysk i spróbuję się dostać do struktury danych? niedostępny to dość ogólne stwierdzenie: zaszyfrowany, zahashowany z saltacją czy coś takiego?

[bebek]

A jakie macie doświadczenie z zapisywaniem klucza poprzez menedżer kluczy na dysku lokalnym? Ten klucz jest niedostępny gdy wkręcę dysk i spróbuję się dostać do struktury danych? niedostępny to dość ogólne stwierdzenie: zaszyfrowany, zahashowany z saltacją czy coś takiego?

KeePass - na systemy MS lub np. KeePassXC na Linux/MacOS.
Bez szans na otwarcie bazy haseł bez znajomości np. hasła głównego. Trochę więcej na ten temat tutaj.

[look12]

Nie wiem czemu ubzdurało mi się, że jest coś takiego jak zdalny serwer kluczy czy cos w tym stylu. Przez moment cos podobnego mi przemknęło przed oczami w Synology, ale raczej coś mylę.

Zdalny serwer kluczy można wskazać przy szyfrowaniu woluminów.
https://kb.synology.com/pl-pl/DSM/help ... ?version=7

[adjustin]

KeePass - na systemy MS lub np. KeePassXC na Linux/MacOS.
Bez szans na otwarcie bazy haseł bez znajomości np. hasła głównego. Trochę więcej na ten temat tutaj.

Przepraszam za złe sfomułowanie. Chodziło mi o lokalny dysk w NASie. W opcjach jest możliwość zapisu klucza w serwerze NAS. KeePassXC używam od lat i nie zamieniłbym na nic innego (z różnych powodów )

[adjustin]

Zdalny serwer kluczy można wskazać przy szyfrowaniu woluminów.
https://kb.synology.com/pl-pl/DSM/help ... ?version=7

Chyba o to mi chodziło. Ale muszę się bardziej zagłębić w temat. Jeśli dobrze rozumiem, to w przypadku, gdy klucz zostanie zapisany w serwerze, to "w przypadku" kradzieży serwera (np. kolokowanego) serwer będzie działał i bazował na swoich wewnętrznych blokadach typu poświadczenia dostępowe itd... Gdyby ktoś próbował wykręcić dyski, to już się do nich nie dostanie. Widzę, że opiera się to o LKS, jak to bywa w większości Linuxów. Zastanawia mnie, gdzie jest przechowywany klucz i w jakiej formie. Bo przykładowo w kompach jest to w TPMie.
Fakt że w przypadku TPMów jest wiele teorii i sprawdzonych metod włamu, ale przy nowszych to raczej niewykonywalne (jak dotąd).
Ale wracając, zastanawia mnie, inna sprawa. Jest tam możliwość zdalnego klucza na innym urządzeniu. No jeśli mato być ograniczone do sieci lokalnej, to trochę bez sensu (przykleję karteczkę: "Jak kradniesz to pamiętaj też o drugim serwerze obok )". No chyba, że zdalnie się da.
Ale musze się w to wczytać, jednakże bardzo ogólne są informacje na stronie Synology.

Pytam, gdyż mam styczność z sytuacją, gdzie serwer musi być serwerem NAS (w tym przypadku Synology) i musi być kolokowany w innej lokalizacji (miasto) do kopii i innych rzeczy. Przy czym wewnętrzne procedury organizacji wymagają szyfrowanej kolokacji (nie mówię o transmisji).

[bebek]

Przepraszam za złe sfomułowanie. Chodziło mi o lokalny dysk w NASie. W opcjach jest możliwość zapisu klucza w serwerze NAS. KeePassXC używam od lat i nie zamieniłbym na nic innego (z różnych powodów )

To zmienia postać rzeczy

Zastanawia mnie, gdzie jest przechowywany klucz i w jakiej formie.

Na początku woluminu który jest szyfrowany znajduje się nagłówek przechowujący 8 slotów (miejsc na klucze). W przypadku użycia LUKS2 tych slotów jest 32. Opisów jak to działa jest naprawde sporo w sieci.

[BWaliszewski]

Nie zauważyłem wątku - a akurat też "gryzę" temat.

Dla mnie idea kluczy przetrzymywanych na Pendrive była spoko. Klucze mam zapisane i ja i klient. Ja mam postać plików i numerów [tak w razie czego], a klient ma Pendriva, który jest przechowywany w "pewnym" miejscu, którego nikt nie zna. Użył go kilka razy po utracie napięcia i wyłączeniu serwera przez UPS [ponowny restart po włożeniu pendriva].

Natomiast bardzo mnie interesuje kwestia zdalnego magazynu, na innym serwerze - w innej lokalizacji, poza firmą. Wszystko super - póki nie dojdę do certyfikatów. Może to głupie - ale to mnie pokonało