From Fedora Project Wiki

Глава 4. Шифрование

Есть два основных типа данных, которые должны быть защищены: хранящиеся данные и передающиеся данные. Эти разные типы данных защищаются сходным образом, с использованием похожих технологий, но реализация таких средств может быть совершенно разной. Любое отдельно взятое средство защиты не может обеспечить безопасность информации от всех возможных угроз, так как в разные моменты времени одна и та же информация может как храниться, так и передаваться.

Хранящиеся данные

Хранящиеся данные это данные записанные на жесткий диск, магнитную ленту, CD-, DVD-диски или любой другой носитель информации. Наибольшая угроза, связанная с этим типом данных, заключается в возможности ее физической кражи. Ноутбуки в аэропортах, диски пересылаемые по почте, «плохо лежащие» носители с резервными копиями – всё это примеры того, как данные могут быть скомпрометированы путем кражи. Если пропавшая на носителе информация была зашифрована, то вы можете не слишком сильно волноваться о её раскрытии злоумышленниками.

Защита хранящихся данных

Полное шифрование диска

Полное шифрование диска или раздела это лучший метод защиты ваших данных, так как защищается не только каждый файл в отдельности, но и области диска использовавшиеся для временного хранения данных, которые могут содержать части этих фалов. Полное шифрование диска защищает все файлы, так что вам не придется указывать какие именно файлы вы хотите шифровать и, соответственно, вы никогда не забудете о каком-либо важном файле.

Fedora 9 имеет встроенную поддержку LUKS шифрования. LUKS осуществляет полное шифрование разделов диска и, таким образом, пока ваш компьютер выключен информация на дисках защищена. Защищена она будет и в случае попыток задействовать однопользовательский режим для входа в систему, или получения доступа к информации каким-либо другим путем.

В Fedora 8 LUKS можно установить вручную.

Ограничения полного шифрования диска
Средства полного шифрования диска, такие как LUKS, защищают информацию только пока компьютер выключен. Когда компьютер работает и LUKS расшифровывает считываемые данные, файлы становятся доступны всем тем пользователям, которые имеют права доступа к ним. Для защиты файлов при работе компьютера используйте полное шифрование диска в сочетании с другими средствами защиты, такими как шифрование файлов. Не забывайте также блокировать доступ к системе, когда вы отходите от компьютера. Хранитель экрана с парольной защитой настроенный на запуск после нескольких минут бездействия пользователя – хороший способ предотвращения взлома системы.

Шифрование файлов

GnuPG (GPG) — версия PGP с открытым исходным кодом, которая позволяет шифровать и генерировать цифровую подпись для файлов или сообщений электронной почты; может использоваться как средство поддержания целостности и конфиденциальности информации содержащейся в файлах и почтовых сообщениях.

В случае с сообщениями электронной почты, GPG предоставляет двойную защиту: защищаются не только хранящиеся данные, но и передающиеся данные, когда сообщение пересылается по сети.

Ограничения шифрования файлов
Шифрование файлов рассчитано на защиту информации после того, как она покидает компьютер, к примеру при отправке CD-диска по почте. Некоторые средства шифрования файлов оставляют на компьютере части шифруемой информации и, при определенных условиях, взломщик, имеющий физический доступ к вашему компьютеру, может завладеть ими. Для защиты от подобных ситуаций используйте шифрование файлов совместно с другими средствами, такими как полное шифрование диска.

Передающиеся данные

Передающиеся данные это данные, которые передаются по сети. Наибольшая угроза для передающихся данных это перехват и изменение. Ваши имя пользователя и пароль никогда не должны передаваться по сети в открытом виде, так как они могут быть перехвачены и использованы в дальнейшем другим лицом для совершения действий от вашего имени или получения доступа к конфиденциальной информации. Другая секретная информация, к примеру, относящаяся к банковскому счету также должна быть защищена при передаче по сетям. Если для сеанса связи использовалось шифрование, вы можете не слишком сильно волноваться о том, что передаваемые данные могут быть раскрыты злоумышленниками.

Защита передающихся данных

Передающиеся данные особенно уязвимы для атак, потому что атакующему необязательно находиться рядом с компьютером хранящим эти данные, ему необходимо лишь быть где-то на пути их следования. В такой ситуации защитить информацию помогут зашифрованные туннели.

Виртуальные частные сети

Виртуальные частные сети (Virtual Private Networks, VPN) обеспечивают передачу данных через зашифрованные туннели между компьютерами или компьютерными сетями для всех портов. При действующей VPN, весь сетевой трафик от клиента пересылается на сервер через зашифрованный туннель. Это означает, что логически клиент располагается в той же сети, что и сервер, к которому он подключен посредством VPN.

VPN широко распространены, просты в настройке и использовании.

SSH (Secure Shell – безопасная оболочка)

SSH, как и VPN, создает зашифрованные туннели между компьютерами, но использует при этом лишь один порт. SSH предоставляет возможность перенаправления портов через SSH-туннель, где вся передаваемая информация будет зашифрована. Такое решение, правда, не обладает естественностью VPN.


2. Безопасная установка Содержание 4.1 LUKS; шифрование дисков