Ẩn toàn bộ file hệ thống như thế nào

Ẩn toàn bộ file hệ thống như thế nào.Mã hoá file đơn giản có ích lợi riêng của nó, nhưng đôi khi sẽ còn ích lợi hơn nếu mã hoá được toàn bộ file hệ thống hoặc mã hoá toàn bộ ổ đĩa. Như trong trường hợp bạn cần bảo vệ một tập hợp lớn các file, hoặc đôi khi không chỉ bảo vệ mà bạn còn cần ẩn toàn bộ sự hiện diện của dữ liệu nhạy cảm trước những con mắt tò mò. Trong những trường hợp như vậy, giải pháp nào hữu hiệu cho bạn? Bài này...
Nội dung trích xuất từ tài liệu:
Ẩn toàn bộ file hệ thống như thế nàoẨn toàn bộ file hệ thống như thế nàoMã hoá file đơn giản có ích lợi riêng của nó, nhưng đôi khi sẽ còn ích lợihơn nếu mã hoá được toàn bộ file hệ thống hoặc mã hoá toàn bộ ổ đĩa.Như trong trường hợp bạn cần bảo vệ một tập hợp lớn các file, hoặc đôikhi không chỉ bảo vệ mà bạn còn cần ẩn toàn bộ sự hiện diện của dữ liệunhạy cảm trước những con mắt tò mò. Trong những trường hợp nhưvậy, giải pháp nào hữu hiệu cho bạn? Bài này sẽ cung cấp một số lựachọn giúp bạn bảo vệ an toàn hơn cho hệ thống của mình.Nếu đã có một phân vùng hay ổ đĩa mã hoá chuyên dụng, cái bạn cần bây giờchỉ là một mật khẩu hoặc khoá giải mã để mở tất cả các file được bảo vệ. Mộtsố giải pháp thậm chí cho phép bạn mã hoá cả phân vùng gốc và phân vùngtrung gian. Song, có một số nhược điểm là đôi khi tốc độ thực thi bị giảmđáng kể (và đáng tiếc, đây lại là một trong các tiêu chí đánh giá bảo mật). Sựthật là, nếu một kẻ tấn công nào đó tìm ra khoá giải mã của bạn (hoặc có khido chủ nhân sơ ý để lộ) thì bạn có thể nói lời tạm biệt với tất cả các file đượcbảo vệ của mình.Thiết bị lặp vòng và dm-cryptHiện nay, phương thức chính được sử dụng trong mã hoá file hệ thống ở nhânLinux là trình điều khiển thiết bị lặp vòng và hệ thống ánh xạ thiết bị (sửdụng đích dm-crypt). Nếu bạn có ý định sử dụng thiết bị lặp vòng thì loop-AES là lựa chọn tốt nhất. Đó là một trong các phương thức mã hoá đĩa cứnghoàn chỉnh nhất dành cho Linux và file hướng dẫn README thông minh củanó cung cấp một số ví dụ thực đáng kể trong mã hoá file hệ thống.Dm-crypt được đóng gói với loạt kernel 2.6 và cung cấp khả năng thực thi tốthơn, bảo mật hơn trình điều khiển thiết bị lặp vòng. Thành phần của nó cũngphong phú hơn.Dự án sử dụng dm-cryp nhiều triển vọng nhất hiện nay dường như là LUKS.Mục đích của dự án là cung cấp một kiểu định dạng trên đĩa tiêu chuẩn, giúpviệc chuyển dời dữ liệu được bảo vệ giữa các phân phối dễ dàng hơn. Bêncạnh đó, nó cung cấp chương trình quản lý đa khoá (một mở rộng lớn) và cácphân vùng mã hoá có thể được truy cập trong Windows qua FreeOTFE (mởrộng thậm chí còn lớn hơn).Các phương thức sử dụng FUSEHai ứng dụng khác lại có đường lối khác. Cả CryptoFS và EncFS đều là filehệ thống được mã hoá chạy trên đầu FUSE, tức một gói cho phép người dùngtạo file hệ thống trong không gian người dùng và thao tác với nó mà khôngcần phải có đặc quyền root cùng với nhiều thứ khác. Với các ứng dụng này,file (và tên của chúng) được mã hoá và chứa trong một thư mục bình thường.Người dùng phải chọn thư mục khác với vai trò như một điểm đặt cho file hệthống được mã hoá: dữ liệu mã hoá sẽ được giải mã ở đó, sử dụng một khoágiải mã. Nếu không có khoá giải, sẽ không có cách nào mở được thư mục vớicác file đã được giải mã.CryptoFS và EncFS đạt được tỷ lệ cân bằng tốt giữa bảo mật và sự tiện lợitrong sử dụng cho người dùng. Các file hệ thống được tạo với FUSE có thểtăng lên bất kỳ độ lớn nào, tương phản với phương thức lặp vòng đòi hỏi phảitạo phân vùng với kích thước cố định. Tuy nhiên, với đối tượng người dùngcẩn thận thì họ nhận thấy có một nhược điểm lớn trong sử dụng file hệ thốngFUSE là: nếu nhìn vào bên trong thư mục thông thường, bất kỳ ai cũng sẽvẫn thấy tổng số file mã hoá là bao nhiêu, tính toán được kích thước thực củachúng và kiểm tra quyền hạn có thể có.Một nghiên cứu mới đây so sánh giữa EncFS và CryptoFS với LUKS chỉ rarằng LUKS “cao tay” hơn trong thực thi file. eCryptfs Một lựa chọn khác có xu hướng ngược lại trong nhân Linux là eCryptfs. Bạn sẽ cần đến mô-đun kernel và các tiện ích không gian người dùng đểcài đặt và sử dụng nó. eCryptfs cung cấp một hệ thống file mã hoá ngăn xếp,nghĩa là nó làm việc phía trên của một hệ thống file khác đã có trước đó vàngăn xếp lời gọi của nó (bởi vậy, một số file hệ thống như XFS có thể lànguyên nhân gây ra nhiều vấn đề).Một điểm cải tiến khi dùng eCryptfs đủ cho bạn an tâm là: eCryptfs là mộtkiểu hệ thống file tự nhiên trong Linux và không cần hoạt động qua các lờigọi FUSE hay RPC. Như thế có nghĩa là nó có ít phụ thuộc hơn và dễ dàngphát triển hơn. Siêu dữ liệu mật mã của mỗi file được lưu trữ trong phần tiêuđề của chúng, giúp việc chuyển dịch dữ liệu và sao lưu dễ dàng hơn. Cácthành phần như quản lý khoá đã được cung cấp. Một số thành phần khác, nhưmã hoá tên file đang được lên kế hoạch trong tương lai gần.Mã hoá có thể từ chốiTrong một số trường hợp, dữ liệu không chỉ cần được bảo vệ mà còn cầntránh con mắt tò mò của nhiều người khác. Ở một số nước đã từng có luậtquy định công dân có thể sẽ bị bỏ tù nếu từ chối cung cấp khoá giải mã cácfile mã hoá cho các nhà chức trách. Do đó, liệu pháp bảo vệ tốt nhất đôi khilà đừng có hiện dữ liệu mã hoá lên.Một số công cụ steganographic cho phé ...