Ciencia y tecnología

Guía de inicio rápido de cifrado nativo OpenZFS

Published

3 años ago

junio 24, 2021

Agrandar / El cifrado en disco es un tema complejo, pero este artículo debería darle una buena idea de la implementación de OpenZFS.

Una de las muchas características que trae OpenZFS a la mesa es el cifrado nativo ZFS. Introducido por primera vez en OpenZFS 0.8, el cifrado nativo permite al administrador del sistema cifrar de forma transparente los datos en reposo en el propio ZFS. Esto evita la necesidad de herramientas independientes como LUJO, VeraCrypt, o entonces Bitlocker.

El algoritmo de cifrado de OpenZFS está predeterminado en aes-256-ccm (antes de 0.8.4) o aes-256-gcm (> = 0.8.4) cuando encryption=on Está establecido. Pero también se puede especificar directamente. Los algoritmos admitidos actualmente son:

aes-128-ccm
aes-192-ccm
aes-256-ccm (predeterminado en OpenZFS <0.8.4)
aes-128-gcm
aes-192-gcm
aes-256-gcm (predeterminado en OpenZFS> = 0.8.4)

Sin embargo, el cifrado nativo de OpenZFS no se limita a los algoritmos utilizados. Por lo tanto, intentaremos brindarle una base breve pero sólida desde el punto de vista de un administrador del sistema sobre el «por qué» y el «qué», así como el simple «cómo».

¿Por qué (o por qué no) el cifrado nativo OpenZFS?

Un administrador de sistema inteligente que quiera proporcionar cifrado en reposo, obviamente, no necesita cifrado OpenZFS nativo. Como se mencionó en la introducción, LUKS, VeraCrypt, y hay muchos otros esquemas disponibles que pueden colocarse debajo o encima del propio OpenZFS.

Primero el «por qué no»

Pon algo como linux LUKS bajo OpenZFS tiene una ventaja: con el todo disco cifrado, un atacante emprendedor ya no puede ver los nombres, tamaños o propiedades de ZFS datasets y zvols sin acceso a la llave. De hecho, el atacante no puede ver necesariamente que ZFS está en uso.

Pero hay importantes inconvenientes que se deben poner LUKS (o similar) en OpenZFS. Uno de los más molestos es que cada individual el disco que formará parte del grupo debe estar cifrado, cada volumen se debe cargar y descifrar antes del grupo ZFS import paso. Esto puede ser un desafío notable para los sistemas ZFS con muchos discos; en algunos casos, muchos decenas discos. Otro problema con el cifrado en ZFS es que la capa adicional es una cosa más que puede salir mal, y puede anular todas las garantías de integridad normales de ZFS.

READ Los auriculares Bose Ultra Open parecen joyas de alta tecnología

Poniendo LUKS o similar en OpenZFS elimina los problemas mencionados anteriormente: un LUKS cripta zvol solo necesita una clave independientemente del número de discos involucrados, y el LUKS La capa no puede anular las garantías de integridad de OpenZFS desde aquí. Desafortunadamente, el cifrado en ZFS presenta un nuevo problema: debilita efectivamente la compresión en línea de OpenZFS, porque los datos cifrados generalmente son incompresibles. Este enfoque también necesita el uso de un zvol por sistema de archivos cifrado, así como un sistema de archivos invitado (por ejemplo, ext4) para formatear el LUKS volumen mismo con.

Ahora el «por qué»

El cifrado nativo OpenZFS divide la diferencia: funciona sobre las capas normales de almacenamiento de ZFS y, por lo tanto, no socava las garantías de integridad de ZFS. Pero tampoco interfiere con la compresión ZFS: los datos se comprimen antes de guardarse en un archivo cifrado. dataset o entonces zvol.

Sin embargo, existe una razón aún más convincente para elegir el cifrado OpenZFS nativo, que se denomina «carga sin procesar». La replicación ZFS es ridículamente rápida y eficiente, a menudo varios órdenes de magnitud más rápida que las herramientas independientes del sistema de archivos como rsync– y el envío sin procesar no solo permite replicar cifrado datasetla arena zvols, pero hacerlo sin exponer la llave al sistema remoto.

Esto significa que puede utilizar la replicación ZFS para realizar una copia de seguridad de sus datos en un no hay confianza ubicación, sin preocuparse por leer sus datos privados. Con el envío sin procesar, sus datos se replican sin nunca ser descifrados y sin que el objetivo de la copia de seguridad pueda descifrarlos. Esto significa que puede replicar sus copias de seguridad fuera del sitio en la casa de un amigo o en un departamento de ventas como rsync.net o entonces zfs.rent sin comprometer su privacidad, incluso si el servicio (o amigo) en sí está comprometido.

READ ¿Verizon realmente lanzó una actualización estable de Android 13 para el Galaxy S22?

En caso de que necesite recuperar su copia de seguridad externa, simplemente puede replicarla. espalda en su propia ubicación, entonces, y Sólo luego cargue la clave de descifrado para acceder realmente a los datos. Esto funciona para la replicación completa (moviendo cada bloque en el cable) o la replicación incremental asincrónica (comenzando desde una instantánea común y moviendo solo los bloques que han cambiado desde esa instantánea).

¿Qué está cifrado y qué no?

El cifrado nativo de OpenZFS no es un esquema de cifrado de disco completo: está habilitado o deshabilitado por conjunto de datos / por zvol, y no se puede habilitar para grupos completos como un todo. El contenido de los conjuntos de datos cifrados o zvols están protegidos contra la indagación en reposo, pero los metadatos que describen los conjuntos de datos / zvols en sí no lo están.

Digamos que creamos un conjunto de datos cifrado llamado pool/encryptedy, a continuación, creamos varios conjuntos de datos secundarios más. la encryption La propiedad de los hijos se hereda de forma predeterminada del conjunto de datos principal, por lo que podemos ver lo siguiente:

root@banshee:~# zfs create -o encryption=on -o keylocation=prompt -o keyformat=passphrase banshee/encrypted
Enter passphrase: 
Re-enter passphrase: 

root@banshee:~# zfs create banshee/encrypted/child1
root@banshee:~# zfs create banshee/encrypted/child2
root@banshee:~# zfs create banshee/encrypted/child3

root@banshee:~# zfs list -r banshee/encrypted
NAME                       USED  AVAIL     REFER  MOUNTPOINT
banshee/encrypted         1.58M   848G      432K  /banshee/encrypted
banshee/encrypted/child1   320K   848G      320K  /banshee/encrypted/child1
banshee/encrypted/child2   320K   848G      320K  /banshee/encrypted/child2
banshee/encrypted/child3   320K   848G      320K  /banshee/encrypted/child3

root@banshee:~# zfs get encryption banshee/encrypted/child1
NAME                      PROPERTY    VALUE        SOURCE
banshee/encrypted/child1  encryption  aes-256-gcm  -

Por ahora, todos nuestros conjuntos de datos cifrados están reunidos. Pero incluso si los desmontamos y descargamos la clave de cifrado, haciéndolos inaccesibles, todavía podemos ver que existir, así como sus propiedades:

root@banshee:~# wget -qO /banshee/encrypted/child2/HuckFinn.txt http://textfiles.com/etext/AUTHORS/TWAIN/huck_finn

root@banshee:~# zfs unmount banshee/encrypted
root@banshee:~# zfs unload-key -r banshee/encrypted
1 / 1 key(s) successfully unloaded

root@banshee:~# zfs mount banshee/encrypted
cannot mount 'banshee/encrypted': encryption key not loaded

root@banshee:~# ls /banshee/encrypted/child2
ls: cannot access '/banshee/encrypted/child2': No such file or directory

root@banshee:~# zfs list -r banshee/encrypted
NAME                       USED  AVAIL     REFER  MOUNTPOINT
banshee/encrypted         2.19M   848G      432K  /banshee/encrypted
banshee/encrypted/child1   320K   848G      320K  /banshee/encrypted/child1
banshee/encrypted/child2   944K   848G      720K  /banshee/encrypted/child2
banshee/encrypted/child3   320K   848G      320K  /banshee/encrypted/child3

Como podemos ver arriba, después de descargar la clave de cifrado, ya no podemos ver nuestra copia recién descargada de Finn arándano dentro /banshee/encrypted/child2/. Lo que lata todavía vemos la existencia – y estructura – de todo nuestro árbol encriptado ZFS. También podemos ver las propiedades de cada conjunto de datos cifrados, incluidos, entre otros, los USED, AVAIL, y REFER de cada conjunto de datos.

READ La IA está cambiando la tecnología y Apple se está quedando atrás con Siri

Cabe señalar que intentar ls un conjunto de datos cifrado cuya clave no está cargada no necesariamente producirá un error:

root@banshee:~# zfs get keystatus banshee/encrypted
NAME               PROPERTY   VALUE        SOURCE
banshee/encrypted  keystatus  unavailable  -
root@banshee:~# ls /banshee/encrypted
root@banshee:~#

Esto se debe a que existe un directorio simple en el host, incluso cuando el conjunto de datos real no está montado. Recargar la clave no carga automáticamente el conjunto de datos:

root@banshee:~# zfs load-key -r banshee/encrypted
Enter passphrase for 'banshee/encrypted': 
1 / 1 key(s) successfully loaded
root@banshee:~# zfs mount | grep encr
root@banshee:~# ls /banshee/encrypted
root@banshee:~# ls /banshee/encrypted/child2
ls: cannot access '/banshee/encrypted/child2': No such file or directory

Para acceder a nuestra nueva copia de Finn arándano, también necesitaremos montar los conjuntos de datos recién recargados:

root@banshee:~# zfs get keystatus banshee/encrypted/child2
NAME                      PROPERTY   VALUE        SOURCE
banshee/encrypted/child2  keystatus  available    -

root@banshee:~# ls -l /banshee/encrypted/child2
ls: cannot access '/banshee/encrypted/child2': No such file or directory

root@banshee:~# zfs mount -a
root@banshee:~# ls -lh /banshee/encrypted/child2
total 401K
-rw-r--r-- 1 root root 554K Jun 13  2002 HuckFinn.txt

Ahora que ambos hemos cargado la clave necesaria y montado los conjuntos de datos, podemos revisar nuestros datos cifrados.

Carlos Santander

Soy un profesional de gestión deportiva con conocimientos adecuados sobre la industria del deporte en España.
Tengo varias habilidades que me han ayudado a trabajar en diferentes sectores del deporte en España, incluyendo eventos deportivos, desarrollo de base para el deporte e infraestructura deportiva.

Ciencia y tecnología

Google confirma que llegarán actualizaciones de Wear OS 5 y Android TV

Published

14 horas ago

abril 25, 2024

Carlos Santander

Google confirma que llegarán actualizaciones de Wear OS 5 y Android TV

Estamos a solo unas semanas de Google I/O 2024, y la compañía aparentemente ha revelado que se avecinan actualizaciones importantes en forma de Wear OS 5 y una nueva versión de Android TV.

El jueves, Google reveló una parte importante del calendario de I/O 2024, que (aparte de la serie habitual de sesiones centradas en los desarrolladores) incluye muchas pistas sobre los principales anuncios que se llevarán a cabo. Puede consultar nuestra cobertura más amplia para obtener más información sobre lo que hay en la tienda:

Sin embargo, dos sesiones llamaron especialmente nuestra atención. La primera se centra en «el futuro de Wear OS», y en la descripción, Google parece confirmar que «Wear OS 5» se anunciará en un futuro muy próximo.

En esta presentación, aprenderemos sobre las nuevas funciones de Wear OS 5. Esto incluye avances en el formato de la esfera del reloj y cómo diseñar y construir para la creciente gama de tamaños de dispositivos.

Ya hemos hablado de la próxima actualización de Wear OS 5, que se espera que se base en Android 14. Aquí, Google ha compartido el enfoque en el “Formato de esfera del reloj”, diseñado para hacer que las esferas del reloj sean más efectivas y dinámicas, y el diseño del reloj. aplicaciones para adaptarse a más «tamaños de dispositivos». Este último pilar tiene especial sentido a la luz de los rumores de que Google está preparando una variante más grande de 45 mm del Pixel Watch 3.

Entretiempo, otra sesión indica que pronto estará disponible una actualización a nivel del sistema operativo en dispositivos Android TV y Google TV.

Conozca las nuevas mejoras en la experiencia del usuario en Google TV y las últimas incorporaciones en la próxima actualización de la plataforma del sistema operativo Android TV. Descubra cómo las herramientas de desarrollo actualizadas en Compose para TV y Android Studio hacen que crear excelentes aplicaciones de TV sea más fácil que nunca.

La última actualización que recibimos en el frente de la televisión fue el verano pasado, cuando Google lanzó una versión beta de Android TV 14 y simultáneamente abandonó el trabajo en Android TV 13. Por ahora, la última versión del sistema operativo utilizada por los dispositivos Android TV es Android 12 de 2021. 5, esperamos que algunos dispositivos basados en Android TV (incluido el próximo Chromecast con el sucesor de Google TV 4K) vean pronto una actualización actualizada a Android 14.

READ El iPhone Mini podría descontinuarse después del evento de Apple esta semana después de tres años de funcionamiento

Hasta el momento, Google no ha dado ninguna pista sobre qué esperar de la «actualización de la plataforma del sistema operativo Android TV», aunque la sesión de E/S ofrecerá orientación actualizada a los desarrolladores de aplicaciones de TV.

¿Qué es lo que más esperas de las actualizaciones de Wear OS 5 y Android TV 14? Háganos saber en los comentarios a continuación.

FTC: Utilizamos enlaces de afiliados automáticos que generan ingresos. Más.

Carlos Santander

Ciencia y tecnología

Tim Cook adelanta el próximo gran accesorio para iPad para el evento Let Loose

Published

22 horas ago

abril 25, 2024

Carlos Santander

Tim Cook adelanta el próximo gran accesorio para iPad para el evento Let Loose

Apple acaba de anunciar su próximo gran evento, al que la compañía ha llamado Let Loose, y todo apunta a que los nuevos modelos de iPad serán el principal anuncio de la feria del 7 de mayo. Pero Tim Cook se lanzó a la plataforma de redes sociales para provocar un nuevo accesorio para iPad: una nueva versión del Apple Pencil.

En su mensaje, el CEO de Apple nos pidió «¡designarnos para el 7 de mayo!». »con un emoji de lápiz después. También hay un vídeo que comienza con una mano sosteniendo un lápiz blanco. Luego pasa a varias interpretaciones artísticas del logo de Apple dibujado en lo que podría ser la pantalla de un iPad. Esto termina con el lápiz óptico volviendo a caer en la mano digital.

¡Inscríbenos para el 7 de mayo! ✏️ #AppleEvent pic.twitter.com/1tvyB7h45023 de abril de 2024

Entre la mención de la palabra lápiz, el emoji, el lápiz óptico en el video y el video que presenta el logotipo de Apple creado digitalmente, Cook parece sugerir que algo relacionado con el Apple Pencil aparecerá en el evento del 7 de mayo.

Dado que el Apple Pencil de segunda generación se lanzó en 2018, definitivamente es hora de que Apple lance un nuevo modelo en forma de Apple Pencil 3. (Un modelo USB-C lanzado en 2023, pero no fue una actualización completa) .

(Crédito de la imagen: Apple)

El Apple Pencil 2 trajo mejoras inteligentes con respecto al original, incluido un diseño mate, un agarre más cómodo, un gesto de doble toque y carga magnética. Entre estas y las funciones que ofrece el Apple Pencil original, parece que Apple ha cubierto la mayoría de las funciones que podría esperar de un lápiz óptico. Será interesante ver qué aporta la compañía al Apple Pencil de tercera generación.

READ Los espectadores critican a Twitch por otorgarle un premio comunitario al robot literal

Hasta ahora hemos escuchado rumores sobre la integración de Find My y puntas magnéticas intercambiables. un informe de 9To5Mac sugiere que el último Apple Pencil podría agregar un gesto de toque a su conjunto de funciones.

Si bien se espera que los últimos modelos de iPad se roben el show en el evento Let Loose, esperamos que cualquier nuevo accesorio para iPad cause sensación. Basado en el revuelo que Cook está tratando de generar en las redes sociales con su anuncio del 7 de mayo.

Más información sobre la guía de Tom

Carlos Santander

Ciencia y tecnología

WhatsApp ahora está implementando soporte de contraseñas para usuarios de iPhone

Published

1 día ago

abril 25, 2024

Carlos Santander

WhatsApp ahora está implementando soporte de contraseñas para usuarios de iPhone

WhatsApp ha estado probando internamente la compatibilidad con contraseñas en su aplicación para iPhone durante algún tiempo. Sin embargo, esta opción todavía no estaba disponible para la mayoría de los usuarios. Pero eso parece estar cambiando ahora, ya que Meta está implementando lentamente la opción de contraseña para los usuarios de WhatsApp en iPhone con la última versión de la aplicación.

Los usuarios de WhatsApp en iPhone ahora pueden habilitar el código de acceso

Como se ha señalado EngadgetMeta ahora ha confirmado que los usuarios de iPhone también tendrán la opción de habilitar un código de acceso para proteger su cuenta de WhatsApp. La función se presentó por primera vez a los usuarios de Android en octubre del año pasado. Según Meta, la función debería estar disponible para todos los usuarios de WhatsApp en las próximas semanas.

“La verificación de contraseña hará que volver a conectarse a WhatsApp sea más fácil y seguro. Estamos entusiasmados de lanzar esto en WhatsApp y brindar a los usuarios una capa adicional de seguridad”, dijo en un comunicado Alice Newton-Rex, jefa de producto de WhatsApp.

Para habilitar la contraseña en su cuenta de WhatsApp, siga estos pasos:

Abrir WhatsApp
Ir a configuraciones
Grifo Cuenta
Elegir Palabras clave
Grifo crear una contraseña
Confirmar con identificación facial O Identificación táctil

Más información sobre contraseñas

Passkey es una tecnología desarrollada por FIDO Alliance en colaboración con importantes empresas como Apple, Google y Microsoft. En lugar de las contraseñas tradicionales, permite a los usuarios iniciar sesión utilizando métodos seguros como el reconocimiento facial o la biometría, eliminando la necesidad de crear e ingresar una contraseña.

READ El iPhone Mini podría descontinuarse después del evento de Apple esta semana después de tres años de funcionamiento

Aunque Apple introdujo soporte para contraseñas con iOS 16, la integración con aplicaciones de terceros no se agregó hasta iOS 17. Se puede sincronizar una contraseña a través de iCloud Keychain o un administrador de contraseñas compatible como 1Password.

FTC: Utilizamos enlaces de afiliados automáticos que generan ingresos. Más.