Connect with us

Ciencia y tecnología

Guía de inicio rápido de cifrado nativo OpenZFS

Published

3 años ago

on

Agrandar / El cifrado en disco es un tema complejo, pero este artículo debería darle una buena idea de la implementación de OpenZFS.

Una de las muchas características que trae OpenZFS a la mesa es el cifrado nativo ZFS. Introducido por primera vez en OpenZFS 0.8, el cifrado nativo permite al administrador del sistema cifrar de forma transparente los datos en reposo en el propio ZFS. Esto evita la necesidad de herramientas independientes como LUJO, VeraCrypt, o entonces Bitlocker.

El algoritmo de cifrado de OpenZFS está predeterminado en aes-256-ccm (antes de 0.8.4) o aes-256-gcm (> = 0.8.4) cuando encryption=on Está establecido. Pero también se puede especificar directamente. Los algoritmos admitidos actualmente son:

  • aes-128-ccm
  • aes-192-ccm
  • aes-256-ccm (predeterminado en OpenZFS <0.8.4)
  • aes-128-gcm
  • aes-192-gcm
  • aes-256-gcm (predeterminado en OpenZFS> = 0.8.4)

Sin embargo, el cifrado nativo de OpenZFS no se limita a los algoritmos utilizados. Por lo tanto, intentaremos brindarle una base breve pero sólida desde el punto de vista de un administrador del sistema sobre el «por qué» y el «qué», así como el simple «cómo».

¿Por qué (o por qué no) el cifrado nativo OpenZFS?

Un administrador de sistema inteligente que quiera proporcionar cifrado en reposo, obviamente, no necesita cifrado OpenZFS nativo. Como se mencionó en la introducción, LUKS, VeraCrypt, y hay muchos otros esquemas disponibles que pueden colocarse debajo o encima del propio OpenZFS.

Primero el «por qué no»

Pon algo como linux LUKS bajo OpenZFS tiene una ventaja: con el todo disco cifrado, un atacante emprendedor ya no puede ver los nombres, tamaños o propiedades de ZFS datasets y zvols sin acceso a la llave. De hecho, el atacante no puede ver necesariamente que ZFS está en uso.

Pero hay importantes inconvenientes que se deben poner LUKS (o similar) en OpenZFS. Uno de los más molestos es que cada individual el disco que formará parte del grupo debe estar cifrado, cada volumen se debe cargar y descifrar antes del grupo ZFS import paso. Esto puede ser un desafío notable para los sistemas ZFS con muchos discos; en algunos casos, muchos decenas discos. Otro problema con el cifrado en ZFS es que la capa adicional es una cosa más que puede salir mal, y puede anular todas las garantías de integridad normales de ZFS.

READ  El iPhone Mini podría descontinuarse después del evento de Apple esta semana después de tres años de funcionamiento

Poniendo LUKS o similar en OpenZFS elimina los problemas mencionados anteriormente: un LUKS cripta zvol solo necesita una clave independientemente del número de discos involucrados, y el LUKS La capa no puede anular las garantías de integridad de OpenZFS desde aquí. Desafortunadamente, el cifrado en ZFS presenta un nuevo problema: debilita efectivamente la compresión en línea de OpenZFS, porque los datos cifrados generalmente son incompresibles. Este enfoque también necesita el uso de un zvol por sistema de archivos cifrado, así como un sistema de archivos invitado (por ejemplo, ext4) para formatear el LUKS volumen mismo con.

Ahora el «por qué»

El cifrado nativo OpenZFS divide la diferencia: funciona sobre las capas normales de almacenamiento de ZFS y, por lo tanto, no socava las garantías de integridad de ZFS. Pero tampoco interfiere con la compresión ZFS: los datos se comprimen antes de guardarse en un archivo cifrado. dataset o entonces zvol.

Sin embargo, existe una razón aún más convincente para elegir el cifrado OpenZFS nativo, que se denomina «carga sin procesar». La replicación ZFS es ridículamente rápida y eficiente, a menudo varios órdenes de magnitud más rápida que las herramientas independientes del sistema de archivos como rsync– y el envío sin procesar no solo permite replicar cifrado datasetla arena zvols, pero hacerlo sin exponer la llave al sistema remoto.

Esto significa que puede utilizar la replicación ZFS para realizar una copia de seguridad de sus datos en un no hay confianza ubicación, sin preocuparse por leer sus datos privados. Con el envío sin procesar, sus datos se replican sin nunca ser descifrados y sin que el objetivo de la copia de seguridad pueda descifrarlos. Esto significa que puede replicar sus copias de seguridad fuera del sitio en la casa de un amigo o en un departamento de ventas como rsync.net o entonces zfs.rent sin comprometer su privacidad, incluso si el servicio (o amigo) en sí está comprometido.

READ  Aleatorio: ¿Captaste este huevo de Pascua del Equipo Estrella en Pokémon Escarlata y Violeta?

En caso de que necesite recuperar su copia de seguridad externa, simplemente puede replicarla. espalda en su propia ubicación, entonces, y Sólo luego cargue la clave de descifrado para acceder realmente a los datos. Esto funciona para la replicación completa (moviendo cada bloque en el cable) o la replicación incremental asincrónica (comenzando desde una instantánea común y moviendo solo los bloques que han cambiado desde esa instantánea).

¿Qué está cifrado y qué no?

El cifrado nativo de OpenZFS no es un esquema de cifrado de disco completo: está habilitado o deshabilitado por conjunto de datos / por zvol, y no se puede habilitar para grupos completos como un todo. El contenido de los conjuntos de datos cifrados o zvols están protegidos contra la indagación en reposo, pero los metadatos que describen los conjuntos de datos / zvols en sí no lo están.

Digamos que creamos un conjunto de datos cifrado llamado pool/encryptedy, a continuación, creamos varios conjuntos de datos secundarios más. la encryption La propiedad de los hijos se hereda de forma predeterminada del conjunto de datos principal, por lo que podemos ver lo siguiente:

root@banshee:~# zfs create -o encryption=on -o keylocation=prompt -o keyformat=passphrase banshee/encrypted
Enter passphrase: 
Re-enter passphrase: 

root@banshee:~# zfs create banshee/encrypted/child1
root@banshee:~# zfs create banshee/encrypted/child2
root@banshee:~# zfs create banshee/encrypted/child3

root@banshee:~# zfs list -r banshee/encrypted
NAME                       USED  AVAIL     REFER  MOUNTPOINT
banshee/encrypted         1.58M   848G      432K  /banshee/encrypted
banshee/encrypted/child1   320K   848G      320K  /banshee/encrypted/child1
banshee/encrypted/child2   320K   848G      320K  /banshee/encrypted/child2
banshee/encrypted/child3   320K   848G      320K  /banshee/encrypted/child3

root@banshee:~# zfs get encryption banshee/encrypted/child1
NAME                      PROPERTY    VALUE        SOURCE
banshee/encrypted/child1  encryption  aes-256-gcm  -

Por ahora, todos nuestros conjuntos de datos cifrados están reunidos. Pero incluso si los desmontamos y descargamos la clave de cifrado, haciéndolos inaccesibles, todavía podemos ver que existir, así como sus propiedades:

root@banshee:~# wget -qO /banshee/encrypted/child2/HuckFinn.txt http://textfiles.com/etext/AUTHORS/TWAIN/huck_finn

root@banshee:~# zfs unmount banshee/encrypted
root@banshee:~# zfs unload-key -r banshee/encrypted
1 / 1 key(s) successfully unloaded

root@banshee:~# zfs mount banshee/encrypted
cannot mount 'banshee/encrypted': encryption key not loaded

root@banshee:~# ls /banshee/encrypted/child2
ls: cannot access '/banshee/encrypted/child2': No such file or directory

root@banshee:~# zfs list -r banshee/encrypted
NAME                       USED  AVAIL     REFER  MOUNTPOINT
banshee/encrypted         2.19M   848G      432K  /banshee/encrypted
banshee/encrypted/child1   320K   848G      320K  /banshee/encrypted/child1
banshee/encrypted/child2   944K   848G      720K  /banshee/encrypted/child2
banshee/encrypted/child3   320K   848G      320K  /banshee/encrypted/child3

Como podemos ver arriba, después de descargar la clave de cifrado, ya no podemos ver nuestra copia recién descargada de Finn arándano dentro /banshee/encrypted/child2/. Lo que lata todavía vemos la existencia – y estructura – de todo nuestro árbol encriptado ZFS. También podemos ver las propiedades de cada conjunto de datos cifrados, incluidos, entre otros, los USED, AVAIL, y REFER de cada conjunto de datos.

READ  Te recomendamos estas 5 acciones para las Aventuras Dinamax de Pokémon Espada y Escudo - Nintenderos

Cabe señalar que intentar ls un conjunto de datos cifrado cuya clave no está cargada no necesariamente producirá un error:

root@banshee:~# zfs get keystatus banshee/encrypted
NAME               PROPERTY   VALUE        SOURCE
banshee/encrypted  keystatus  unavailable  -
root@banshee:~# ls /banshee/encrypted
root@banshee:~#

Esto se debe a que existe un directorio simple en el host, incluso cuando el conjunto de datos real no está montado. Recargar la clave no carga automáticamente el conjunto de datos:

root@banshee:~# zfs load-key -r banshee/encrypted
Enter passphrase for 'banshee/encrypted': 
1 / 1 key(s) successfully loaded
root@banshee:~# zfs mount | grep encr
root@banshee:~# ls /banshee/encrypted
root@banshee:~# ls /banshee/encrypted/child2
ls: cannot access '/banshee/encrypted/child2': No such file or directory

Para acceder a nuestra nueva copia de Finn arándano, también necesitaremos montar los conjuntos de datos recién recargados:

root@banshee:~# zfs get keystatus banshee/encrypted/child2
NAME                      PROPERTY   VALUE        SOURCE
banshee/encrypted/child2  keystatus  available    -

root@banshee:~# ls -l /banshee/encrypted/child2
ls: cannot access '/banshee/encrypted/child2': No such file or directory

root@banshee:~# zfs mount -a
root@banshee:~# ls -lh /banshee/encrypted/child2
total 401K
-rw-r--r-- 1 root root 554K Jun 13  2002 HuckFinn.txt

Ahora que ambos hemos cargado la clave necesaria y montado los conjuntos de datos, podemos revisar nuestros datos cifrados.

Related Topics:

Soy un profesional de gestión deportiva con conocimientos adecuados sobre la industria del deporte en España. Tengo varias habilidades que me han ayudado a trabajar en diferentes sectores del deporte en España, incluyendo eventos deportivos, desarrollo de base para el deporte e infraestructura deportiva.

Continue Reading
Click to comment

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Ciencia y tecnología

La fuga de Pixel 9, 9 Pro, 9 Pro XL y 9 Pro Fold sugiere colores apagados

Published

4 horas ago

on

mayo 19, 2024

By

La fuga de Pixel 9, 9 Pro, 9 Pro XL y 9 Pro Fold sugiere colores apagados

Los nombres codificados por colores de los próximos dispositivos de Google a menudo se filtran mucho antes que los recursos oficiales o las imágenes en vivo. Hoy, los colores de Pixel 9, Pixel 9 Pro, Pixel 9 Pro XL y Pixel 9 Pro Fold van de la mano con los fondos de pantalla.

Nombres codificados por colores, que es posible que no todos se publiquen o cambien antes de esta fecha, compartidos por Autoridad de Android están:

Píxel 9

  • Obsidiana
  • Porcelana
  • Jade
  • Peonía

Píxeles 9 Pro y 9 Pro XL

  • Obsidiana
  • Porcelana
  • Avellana
  • Rosa

Píxel 9 Pro plegable

  • Obsidiana
  • Porcelana u “oro”

La obsidiana es de un negro simple, como se ve en imágenes en vivo filtradas. Una cosa a tener en cuenta es el papel que desempeñarán los acabados brillante (Pixel 9) y mate (Pixel 9 Pro) en el panel posterior.

La porcelana es la otra cosa que estos cuatro teléfonos tienen en común. En el Pixel 8a (visto arriba), se inclina mucho hacia el beige en lugar del blanco brillante.

En términos de colores únicos, tenemos a Jade en el Pixel 9. El año pasado, Jade terminó siendo un color avellana oscuro en el Pixel 8 que podría confundirse con gris. Era incluso más oscuro que el Hazel del 7 Pro. Peony sería otra repetición que resultaría en Rose en el lanzamiento.

Píxel 7 Pro, Píxel 8

En la serie Pixel 9 Pro, tenemos a Hazel y Rose. Estos son, en particular, los colores finales de lanzamiento del teléfono pequeño del año pasado. Sin embargo, si estos son solo nombres en clave hoy, eso sugiere que el color/nombre será diferente en el lanzamiento.

READ  Google Chat añade mensajes de voz e interoperabilidad con Slack

Ambos serían un poco más discretos que el Mint and Bay que tenemos hoy en el 8 Pro, y Google no espera opacar la vitalidad que ayudó al Pixel 8 Pro azul a destacarse. El rosa definitivamente no se ve tan atrevido como el coral del Pixel 7a.

Píxel 7a, Píxel 8

En la parte frontal del Pixel 9 Pro Fold, nos preparamos para una posible repetición con la porcelana actual definitivamente teñida de oro en mis ojos.

Plegado de píxeles

FTC: Utilizamos enlaces de afiliados automáticos que generan ingresos. Más.

Continue Reading

Ciencia y tecnología

Según se informa, iOS 17.5 resurge imágenes que fueron eliminadas hace años

Published

1 día ago

on

mayo 18, 2024

By

Según se informa, iOS 17.5 resurge imágenes que fueron eliminadas hace años

Un error en iOS 17.5 haría que las fotos eliminadas hace años resurjan para algunos usuarios de iPhone, dice a publicaciones en Reddit. Los usuarios de iPhone afectados afirman que después de la actualización a iOS 17.5, lanzada el lunes, hace años se eliminaron varias imágenes de la aplicación Fotos.

17 de mayo de 2024 actualizar a continuación…

iOS 17.5 tiene un problema bastante grande con la aplicación Fotos

Las imágenes en cuestión aparecerían como las imágenes más recientes en la aplicación Fotos después de instalar iOS 17.5. Un usuario dice:

Durante una conversación con mi pareja, fui a enviar una foto y vi que las últimas fotos eran material NSFW que hicimos hace años cuando vivíamos separados. ¿Se eliminó permanentemente hace años, pero mágicamente ha vuelto?

Revisé mi iPad y también tiene fotos (obras de arte que hice hace años). Me siento tan incómodo.

«Lo mismo ocurre. Tengo cuatro fotos de 2010 que reaparecen como las últimas fotos cargadas en iCloud. Las he eliminado varias veces», escribió otro usuario en el hilo de Reddit.

Hay varios informes de situaciones similares en el hilo de Reddit. Algunos usuarios ven reaparecer en sus bibliotecas imágenes eliminadas de hace años, mientras que otros ven imágenes de principios de este año.

De forma predeterminada, la aplicación Fotos tiene una función «Eliminadas recientemente» que mantiene las imágenes eliminadas durante 30 días. Eso no es lo que está sucediendo aquí, ya que la mayoría de las imágenes en cuestión tienen meses o años, no días.

Apple no ha comentado sobre el tema, pero surge naturalmente innumerable inquietudes y preguntas sobre privacidad y retención de datos. Algunos usuarios de Reddit creen que iOS 17.5 puede haber realizado cambios en la aplicación Fotos que requirieron que la aplicación reindexara las bibliotecas de fotos.

READ  Google Chat añade mensajes de voz e interoperabilidad con Slack

Aún así, incluso si la aplicación Fotos se somete a algún tipo de proceso de reindexación en iOS 17.5, no hay excusa para que reaparezcan las imágenes que los usuarios pensaban que habían sido eliminadas.

¿Has notado que reaparecen imágenes antiguas en tu aplicación Fotos después de actualizar a iOS 17.5? Háganos saber en los comentarios.

Actualizado el 17 de mayo de 2024:

Como usuario en Reddit reclamos que sus fotos antiguas reaparecieron en un iPad que vendieron, tengo razones para creer que esta afirmación no es cierta.

Apple aún tiene que comentar sobre estos informes. Actualizaremos esta historia a medida que surjan más detalles.

FTC: Utilizamos enlaces de afiliados automáticos que generan ingresos. Más.

Continue Reading

Ciencia y tecnología

Una interrupción global afectó al iPhone iMessage anoche

Published

1 día ago

on

mayo 17, 2024

By

Una interrupción global afectó al iPhone iMessage anoche

No eres tú, es Apple.

Si no recibiste un mensaje de texto ayer, es porque iMessage no estuvo disponible durante aproximadamente una hora.

Poco después de las 6 p. m. del jueves por la noche, se informaron más de 14.000 interrupciones de iMessage, según Outage Tracker. detector de fallas.


El sitio web System Status de Apple informó un problema con iMessage, pero dice que ya se resolvió. DenPhoto – stock.adobe.com

Algunos usuarios recibieron un mensaje de «No entregado» al intentar utilizar la aplicación, y otros se vieron obligados a enviar un texto que no era de iMessage con la temida burbuja verde.

oficial de Apple Estado del sistema El rastreador marcó el problema de iMessage como «resuelto» alrededor de las 7:30 p. m. del jueves, y señaló que algunos usuarios no pudieron utilizar el servicio entre las 5:49 p. m. y las 6:35 p. m.

El rastreador también dijo que los usuarios estaban experimentando problemas con Apple Messages for Business y FaceTime.

También se han informado cortes en Canadá y el Reino Unido.

No está claro qué causó las interrupciones, pero algunos usuarios informaron haber logrado reenviar mensajes.

El Post se ha puesto en contacto con Apple para solicitar comentarios.

Algunos usuarios también acudieron en masa a X, anteriormente Twitter, para expresar su frustración por la interrupción.


Una persona sosteniendo un iPhone.
Al menos 500 australianos han informado problemas con su servicio iMessage a Down Detector en las últimas 24 horas. chinnarach – stock.adobe.com

«Apple está arruinando las relaciones al desactivar iMessage», una persona bromeó.

“El mensaje está roto. besa la burbuja verde”, otro a escrito.

«No es de extrañar que iMessage no haya respondido en 2 semanas», alguien más bromeó.

Continue Reading

Trending