我在这里有一个问题。 因为这可能是“不问正确的问题”的情况下忍受我。 背景:使用Apple Mail。 想要encryption/解密电子邮件,但雪豹不支持GPGMail(显然PGP)。 基本上我需要创build一个S / MIME证书用于电子邮件encryption。 我不想要,也不关心证书颁发机构。 我只是想要一个快速和肮脏的证书。 这甚至有可能(使用OPENSSL等),还是整个过程取决于更高的权威,迫使我要么build立一个全面的CA或与一个公司(如Verisign,Thawte)处理证书? 我的标准是即时满足,而且是免费的。 最好。
我想在所有备份磁带上启用encryption。 我或多或less知道如何在技术上做到这一点,但是实现这一点的程序和人力因素是棘手的。 我使用带有bacula的HP LTO4驱动器,它没有任何密钥pipe理function。 实际上,它对硬件encryption的支持是在读写之前调用外部脚本来设置驱动器上的密钥。 我的问题: 我应该如何跟踪哪些磁带有encryption? 我已经有几百个没有encryption的磁带了。 即使我花时间用encryption来重新编写它们,也会有几个月的重叠,有些有重叠,有些则没有重叠。 在阅读给定的录像带之前,bacula如何知道是否设定了密钥? 即使设置了密钥,驱动器是否足够聪明以读取未encryption的磁带? 如果关键是妥协,我们将不得不改变它,我们将有#1相同的问题。 如果密钥丢失,我们实际上已经丢失了所有的备份。 我怎样才能减轻这个风险而不增加风险呢? 钥匙是否应该定期更换? 每年一次? 最佳做法是什么? 大型ISV备份系统如何处理这些问题?
我正在build立一些新的Ubuntu服务器,我想要保护他们的数据免遭盗窃。 威胁模型是攻击者需要硬件或者是天真的攻击者需要的数据。 请注意这一部分。 威胁模型不包括需要数据的智能攻击者; 我想他们会做以下一项或多项: 将UPS连接到电源线以保持机器持续运行。 在计算机和networkingterminal之间插入一对以太网网桥,以便在主机维持networking连接的足够范围的无线networking上桥接stream量。 打开盒子,使用内存总线上的探针来抓取有趣的东西。 使用TEMPEST设备来探测主机正在做什么。 使用法律手段(例如法院命令)强迫我披露这些数据 等等 所以我想要的是在encryption分区上的磁盘上的一些或理想的所有数据,以及在某种外部媒体上访问它所需的关键资料。 我能想到的两种存储关键材料的方法是: 将其存储在可通过networking访问的远程主机上,并configuration足够的networking以便在引导过程中进行检索。 只允许检索分配给安全主机的IP地址(如果在另一个networking连接上启动,则不允许访问encryption数据),如果发现机器被盗,pipe理员可以禁用该function。 将其存储在USB存储设备上,这种设备比主机本身更难以窃取。 将其远离主机(例如在通往房间另一angular落的五米USB电缆或甚至另一个房间的末端)可能显着降低攻击者采取攻击的可能性。 以某种方式保护它,比如通过将其链接到不可移动的东西,甚至把它放到安全的地方,将会更好。 那么我有什么select来设置呢? 正如我之前所说,我宁愿拥有一切(除了可能是一个小的启动分区,不包含/ etc)encryption,所以我不必担心我把文件放在哪里,重新意外着陆。 我们正在运行Ubuntu 9.04,如果它有任何区别。
除了常规的现场备份(保存在防火安全区域)之外,我们还会每个月发送一次磁带,并使用AES进行encryption。 所以如果我们的网站有一天被外来的热射线蒸发,我们至less应该有一个最近的备份恢复。 除了128位encryption密钥只存储在现场。 所以在真正的灾难中,我们实际上只剩下一个encryption的备份了, 没办法解密 。 问题:在场外存储encryption密钥的最佳策略是什么? 无论select什么方法都需要通过安全审计,所以“留在家里”是不够的,“与异地磁带保持一致”明显地打破了encryption他们的目的! 我们正在考虑的几个选项包括: 银行的保险箱 以密码保护的forms存储在云中或地理上独立的networking上(例如使用Keepass或Password Safe等软件) 当然,第二个选项提出了另一个问题:我们如何保持密码安全。
我们在ESXi上运行一些Solaris / Linux虚拟机,这些虚拟机包含非常敏感的encryption数据,最终在内存中根据需要进行解密。 除了可能存储一些解密数据的ESXi交换文件之外,一切都很好,樱桃最重要的是在主机崩溃的情况下这些文件不会被删除。 有什么办法可以完全禁用这些文件吗? 我们已经尝试将整个分配的RAM保留在每个虚拟机的VM上,但这些文件仍然被创build。 ESXi交换完全禁用整个主机或仅针对某些虚拟机需要做什么?
为了遵守马萨诸塞州新的个人信息保护法,我公司需要(除其他外)确保在个人信息通过电子邮件发送的任何时候,它都是encryption的。 什么是最简单的方法来做到这一点? 基本上,我正在寻找的东西,将需要收件人的努力量最less。 如果可能的话,我真的想要避免他们不得不下载一个程序或者通过任何步骤来生成一个密钥对等,所以命令行GPGtypes的东西不是一个选项。 我们使用Exchange Server和Outlook 2007作为我们的电子邮件系统。 有没有一个程序,我们可以用它来轻松encryption一封电子邮件,然后传真或使用密钥给收件人打电话? (或者,也许我们的电子邮件可以包含我们网站的链接,包含我们的公钥,收件人可以下载解密邮件?)我们不必发送很多这些encryption的电子邮件,但将要发送的人不是特别的技术,所以我希望它尽可能简单。 任何好的节目recs会很好。 谢谢。
当encryption文件发送给协作者时,我看到这个消息: gpg: using subkey XXXX instead of primary key YYYY 为什么会这样? 我注意到,当他们发给我一个encryption文件时,它也似乎被encryption到我的子项,而不是我的主键。 对我来说,这似乎不成问题; gpg(1.4.x,macosx)只是处理它并继续前进。 但是对于他们来说,通过自动化的工具设置,这似乎是一个问题,他们要求我确定使用他们的主键。 我试图做一些阅读,我有订单的迈克尔·卢卡斯的“GPG&PGP”书,但我不明白为什么有这种区别。 我已经读过,用于签名的密钥和用于encryption的密钥是不同的,但是我首先假定是公钥和私钥。 如果这是一个信任/validation问题,我经历了比较指纹和validation的过程,是的,我相信这个密钥。 当我这样做时,我注意到主键和子键有不同的“用法”注释: primary: usage: SCA subkey: usage: E “E”似乎意味着“encryption”。 但是,我一直没有find任何文件。 而且,我的合作者已经使用这些工具和技术已经有好几年了,为什么这只是我的一个问题?
我刚刚从GoDaddy.com获得了“高级EV SSL证书”。 显然截至8个月前,GoDaddy不提供3类证书。 ( http://support.godaddy.com/groups/go-daddy-customers/forum/topic/what-class-is-my-cert/ )他们还提到证书的使用是: 个人第1类,用于电子邮件。 第2类机构,需要身份certificate。 第3类用于服务器和软件签名,对身份和权限的独立validation和检查由发证机构完成。 第4类用于公司之间的在线业务交易。 第5类为私人组织或政府安全 EV证书validation是否与3类validation相同? 为什么EV证书不仅仅是3级? 人们使用4类证书吗? 从技术上讲,我们使用我们的证书来进行B到B的SOAP。 哪个属于第4类。真的需要第4类吗? CA的名单和他们颁发的证书在哪里? 既然归结为encryption,除了validation之外,证书之间还有什么主要的区别,你说你是谁? 什么决定了CA能否颁发Class 2与Class 3和Class 4证书? 谢谢!
我相信我已经禁用了我的Web服务器上的SSL 2.0(Windows Server 2003)。 为了确保它现在使用SSL 3.0,我该如何检查? 禁用2.0并在Web服务器上启用3.0的正确方法是什么?
我打算在Linux中为一个LUKSencryption的Z-RAID池安装一套3x 2TB 7200rpm驱动器(对于NAS解决scheme)。 我对手头问题的理解是要实现这一目标的唯一方法是将luksFormat每个物理设备,然后从解锁的LUKS容器中组装一个zpool。 我对此有以下担忧: 这不会严重阻碍写入性能吗? 在此设置中,冗余数据被encryption多次,因为LUKS不能“察觉”Z-RAID。 在LUKS-on-mdadm解决scheme中,数据被encryption一次,而且只是多次写入磁盘。 我的CPU支持Intel AES-NI。 在设备映射器LUKS容器上操作时,ZFS是否会注意到磁盘故障而不是物理设备? 重复数据删除和其他ZFSfunction如何?