我有一台服务器,我想要保护内容。 服务器位于客户端。
有没有办法encryptionRAID磁盘的内容(在硬件级别)? 我需要的是,只要没有提供所需的密码(encryption密钥),服务器将无法启动,
我会给Miles最好的答案,虽然答案不完全是我的问题。 但从所有的评论看来,这似乎是不能做硬件或..不能按我的意思去做。
是。 您可以使用TrueCrypt或任何其他全盘encryption软件encryptionRAID卷。 不pipe加电的人是谁,卷的内容在没有encryption密钥的情况下都是不可读的。
硬件encryption的传统“好处”是增加性能,而不是增加安全性。 由于当今的许多高端处理器都支持硬件辅助的AESencryption,因此使用软件encryption可能会遇到类似(甚至更好)的性能。
不要这样做。
我正在尝试从encryption的RAIDarrays中恢复失败的数据,这已经比我的雇主付出了更多的代价。 如果你必须encryption,要么encryption单个磁盘,要么为重要的东西创build一个encryption的分区。
已经是一个很好的答案,但我也会在我的答案中折腾。
就像所有的安全一样,它总是归结为你所能接受的。 你的系统需要多less安全? 你所谈论的所有事情都可以通过更好的人身安全来解决,例如更好的门,更好的门锁和警卫。
一旦系统启动(我猜它有时会被启动)Windows上的SYSTEM帐户和Linux上的Root帐户通常可以完全访问磁盘的内容而不pipeencryption如果有人真正黑客入侵系统其中一个帐户他们将有权访问数据。 你真的要防止的是有人拉动车,并采取实际行动。
如果您的数据在获得尽可能多的安全性后,需要(BY公司的政策,法律或合同)encryption,那么您又需要询问多less?
我需要closuresRAID控制器上的内存caching吗?
如果您同时encryption逻辑磁盘(使用TrueCrypt)和RAID本身,则可以防止某人只能在未encryption的硬盘中进行交换,并且不能从软件端的Windows / Linux存储库中恢复密钥。 他们会要求两个。
为什么你没有使用硬件光纤通道差异备份镜像Raid?
是的,ii知道这是不常见的,但它有很多advantes …你的团队只是raid 0与6 hdds(是剥离),每个硬盘都build立在硬件encription,所以Attaquer(离线模式)会需要猜测6 passphares,是真的我preffer硬盘与USB端口的关键…太贵,我知道…在硬盘上的电源需要encryption狗(1GiB)连接,Attaquer将需要这样的1GiB,硬盘拷贝这样的技嘉内部RAM(是的,硬盘有一个2千兆高速caching,一个用于密钥,一个做快速读/写caching,它也有一个红色/绿色的二极pipe,当绿色时,你可以断开与硬盘的USB,键现在在硬盘内部ram …其中有6个硬件encryption非常安全… Attaquer将需要猜测高达6千兆字节的密钥,哇!在这个你使用6 sata-iii RAID控制器,与光纤通道自动差分远程备份。 ..你得到最好的!
如何运作? 简单的方法是:用六个usb 1GiBencryption狗直接连接每一个硬盘(hdd有一个特殊的端口,不需要64个字符的弱密码,它使用一个1GB的密码),所以有6个gigas总之,毕竟去绿色,删除六个USB随身碟,并把他们放在一个安全的地方(如银行的情况下,但在你的build筑物),然后袭击0(条纹)将看到六个驱动器,将使一个非常快(接近4GiB / s)的大磁盘,你可以把你的操作系统,现在我谈论安全的数据对失败,不需要备份,既没有raid 6(好于突袭5,但也没有价值),我说的raid控制器有一个光纤通道连接到一个不同的远程备份存储,所以你将有这么大的磁盘镜像,但具有历史性的扇区每扇区备份,所以你可以在线的整个磁盘状态在你需要的每一秒钟,dissaster过来,好吧,只要更换硬盘,并告诉光纤通道在特定时间的特定秒钟内看到它的状态 生病把这种状态放到新的磁盘上。
价格是最糟糕的部分…控制成本近1万英镑,每个磁盘的成本接近2 thounsand和背板存储这样的差异将需要在另一个星球城市整个build筑sercive …每月的成本和技嘉可能太多,但是这又不是价格,我说的是保证。
好的,我只使用一个简单的XOR密码,一个字节的数据用它自己的一个密钥来使用字节,所以Attaquer将会看到一个等于数据长度的密钥长度,不需要complesalgorithm,只需一个简单的异或就足够了Cyper [X] = Plain [X] XOR Key [MyAlgorith(X)],使用快速algorithm计算密钥字节的位置(不等于数据字节位置),换句话说,密钥长度> =普通长度。 如果你不知道密钥的话,这在math上是可以被置于101%安全的,演示就像这个短语一样简单:你可以拥有尽可能多的不同的密钥作为可能的数据状态。 所以,如果你有一个8GiB的pendrive,你将拥有一个8GiB的密钥,这样就可以得到2 ^ 8GiB不同的密钥,并且你有2 ^ 8GiB的不同的数据状态,每一个数据位都有自己的密钥位,键只用于一位数据,如果你尝试一个暴力,所有可能的键都是一组等于可能的数据状态的集合,所以没有办法知道哪一个是正确的。 密钥只用于这种磁盘。
也可以使用一个背景大小的关键字,因为MyAlgorith会使得相同位的关键字被使用的方式不会被知道/猜测,这样的algorithm使用部分关键字来创buildXtoY翻译,多个X值会给出相同的Y(注意不要使用简单的模式操作,它必须更复杂),所以一个简单的8GiB的密钥将生成一个完整的HDD长度密钥相同的集合,很复杂,但我会尝试:给定数据的X位置,将使用什么字节的密钥? 对关键数据进行定位,取决于这样的X上的关键数据an,但是X + 1不是Y + 1,其中X在明文数据上的位置和Y在关键数据上的位置,这将使得蛮力需要用testing密钥的每个字节testing每个被testing的encryption数据的字节,所以最后它将是一个具有2 ^ hdd大小可能状态的集合。 基本的是:你没有这个8GiB密钥,所以你创build了一个2 ^ 8GiB密钥集,每个密钥都必须testing解密器,但是由于每个字节数据所使用的密钥的位置也依赖于另一个密码短语你需要在每个字节的数据上加上2 ^(8 * 64)个可能的位置(key长度为8GiB = 2 ^ 33),所以实际上每个字节的数据需要用key的每个字节进行testing,if密钥全部有0到255字节的可能值,它将减lesstes,所以每个字节需要与每个2 ^ 8(256)个可能的值进行XOR,因此对于每个字节的数据获得256个可能的值,因此在math上不可能知道什么是好的,因为这个过程必须跟随每个字节,你会得到一个强大的附加,给出一个2 ^(可能的硬盘大小)可能的普通数据,不能猜测任何明白的数据字节。
该algorithm在字节基础上工作,但这种想法对于512字节字(而不是1字节字)也是有效的,并且对于任何长度也是有效的。
因此,为了安全起见,最好的是拥有一个巨大的尺寸和一个好的X到Yalgorithm,并使用一个简单的异或来代替密码。
注意:备份是通过硬件将每个扇区写入操作发送到历史远程存储服务器来完成的,因此您可以在给定的毫秒或date时间内获得状态…发送到远程服务器的这些信息是写在磁盘上的真实数据,所以它是cyphered,不是简单的…它就像克隆硬盘的信息。
光纤通道如何工作? 容易:hdd在内部写入数据时,通过光纤通道发送副本到raid控制器,然后raid控制器通过外部光纤重新发送数据到一个远程大的非常大的存储系统。
如何重build工程? 简单:控制器要求date时间状态(确切的毫秒),然后远程服务器查找每个硬盘扇区表(使用最近状态的这个扇区,date时间低于或等于)扇区发送到控制器和控制器发回然后hdd把它写到盘子里,…重build完所有的hdds后,就会得到它在那个毫秒级的精确克隆。
所有这些工作都与有效的稳定分区状态快照点一起工作,所有这些工作都是为了创build一个巨大的安全和安全的存储系统。
系统工作时的星期点:系统工作时的攻击,中间人附加,用克隆主板总线信息的USBdebugging设备等等,而不能logging使用的密钥(除非引导服务器的pipe理员将是一个白痴),它可以清楚地看到主板上的数据,但是由于这是不可能被避免的(对于Attaquer需要主板的物理访问),系统和其他薄弱的部分一样安全(互联网连接等)。笑,但这是真的:一个白痴pipe理员启动计算机,而看到大量的电缆和设备是addes计算机,这样的傻人如何启动它? 如果您看到计算机已在离线状态下操作,则不要启动它,直到您确认这些操作是正确和安全的。
一个工作项目(testingsuhconfiguration)的Otal价格:每月1毫英镑,为一年的工作testing项目。
PD:我不授权jey公开控制器名称,但可以在谷歌和YouTube上创build一些testing(与审查部分)video,我不知道如果链接在这个论坛上承认,我不想被看到作为供应商。