kdpv - Reuters
Ger hûn serverek kirê bikin, wê hingê hûn ne xwediyê kontrola tam li ser wê ne. Ev tê vê wateyê ku di her kêliyê de mirovên bi taybetî perwerdekirî dikarin werin mêvandar û ji we bixwazin ku hûn yek ji daneyên xwe peyda bikin. Û mazûvan dê wan vegerîne eger daxwaz li gor qanûnê fermî be.
Hûn bi rastî naxwazin têketinên servera weya malperê an daneyên bikarhêneran ji kesek din re derxînin. Ne mimkûn e ku parastineke îdeal bê avakirin. Hema hema ne gengaz e ku meriv xwe ji mêvandarek ku xwediyê hîpervisor e û makîneyek virtual peyda dike biparêze. Lê dibe ku ew ê gengaz be ku xetereyan hinekî kêm bike. Şîfrekirina otomobîlên kirê ne ew qas bêkêr e ku di nihêrîna pêşîn de xuya dike. Di heman demê de, em li tehdîdên derxistina daneyê ji serverên laşî binêrin.
Modela gefan
Wekî qaîdeyek, mêvandar dê hewl bide ku berjewendîyên xerîdar bi qanûnê bi qasî ku pêkan biparêze. Ger nameya rayedarên fermî tenê têketinên gihîştinê xwestibe, mêvandar dê hemî makîneyên weya virtual bi databasan re nehêle. Bi kêmanî divê nebe. Ger ew hemî daneyan bipirsin, mêvandar dê dîskên virtual bi hemî pelan re kopî bike û hûn ê pê nizanin.
Bêyî senaryoya, armanca weya sereke ev e ku hûn êrîşê pir dijwar û biha bikin. Bi gelemperî sê vebijarkên xeternak ên sereke hene.
Karbidest
Bi gelemperî, nameyek kaxez ji nivîsgeha fermî ya mêvandar re tê şandin û hewce dike ku daneyên pêwîst li gorî rêziknameya têkildar peyda bike. Ger her tişt rast were kirin, mêvandar têketinên gihîştina pêwîst û daneyên din ji rayedarên fermî re peyda dike. Bi gelemperî ew tenê ji we dipirsin ku hûn daneyên pêwîst bişînin.
Car carinan, heke bê guman hewce be, nûnerên saziyên dadrêsî bi kesane têne navenda daneyê. Mînakî, dema ku we servera xweya xwerû hebe û daneyên ji wir tenê dikarin bi fîzîkî werin girtin.
Li hemû welatan, ji bo bidestxistina milkên taybet, lêgerîn û çalakiyên din delîl hewce dike ku ew dane dikarin ji bo vekolîna sûcek agahdariya girîng hebin. Digel vê yekê, biryara lêgerînê ya ku li gorî hemî rêziknameyê tê meşandin hewce ye. Dibe ku hûrgelên bi taybetmendiyên qanûnên herêmî ve girêdayî hene. Ya sereke ku hûn hewce ne ku fêm bikin ev e ku ger riya fermî rast be, nûnerên navenda daneyê dê nehêlin kes ji dergehê derbas bibe.
Wekî din, li pir welatan hûn nekarin tenê amûrên xebitandinê derxînin. Mînakî, li Rûsyayê, heya dawiya sala 2018-an, li gorî Xala 183 ya Qanûna Dadweriya Ceza ya Federasyona Rûsyayê, beşê 3.1, garantî bû ku di dema desteserkirinê de, desteserkirina medyaya hilanînê ya elektronîkî bi beşdariyê hate kirin. ya pispor. Li ser daxwaza xwediyê qanûnî ya medyaya hilanînê ya elektronîkî ya desteserkirî an jî xwediyê agahdariya ku li ser wan heye, pisporê beşdar di desteserkirinê de, bi amadebûna şahidan, agahdariya ji medyaya hilanînê ya elektronîkî ya desteserkirî ji medyayên hilanîna elektronîkî yên din re kopî dike.
Paşê mixabin ev xal ji gotarê hat derxistin.
Veşartî û nefermî
Jixwe ev der qada çalakiya hevalên taybet ên perwerdekirî yên NSA, FBI, MI5 û rêxistinên din ên sê tîpî ye. Pir caran, qanûnên welatan ji bo avahiyên weha hêzek pir berfireh peyda dike. Digel vê yekê, hema hema her gav qedexeyek qanûnî li ser eşkerekirina rasterast an nerasterast ya rastiya hevkariyê bi van saziyên dadrêsî re heye. Li Rûsyayê jî yên bi vî rengî hene .
Di bûyera xeterek wusa ya li ser daneyên we de, ew ê hema bê guman werin derxistin. Digel vê yekê, ji bilî desteserkirina hêsan, tevahiya arsenala nefermî ya paşîn, qelsiyên zero-roj, derxistina daneyê ji RAM-a makîneya weya virtual, û şahiyên din dikarin werin bikar anîn. Di vê rewşê de, mêvandar dê mecbûr be ku bi qasî ku gengaz be alîkariya pisporên dadrêsî bike.
Karmendê bêwijdan
Hemû mirov bi heman awayî ne baş in. Dibe ku yek ji rêvebirên navenda daneyê biryar bide ku dravê zêde bide û daneyên we bifroşe. Pêşveçûnên bêtir bi hêz û gihîştina wî ve girêdayî ye. Tiştê herî acizker ev e ku rêveberek ku xwe bigihîne konsolê virtualkirinê xwedan kontrola bêkêmasî li ser makîneyên we ye. Hûn dikarin her gav bi hemî naverokên RAM-ê re wêneyek bikşînin û dûv re hêdî hêdî wê bixwînin.
Vds
Ji ber vê yekê we makîneyek virtual heye ku mêvandar daye we. Hûn çawa dikarin şîfrekirinê bicîh bikin da ku xwe biparêzin? Bi rastî, di pratîkê de tiştek tune. Digel vê yekê, tewra servera veqetandî ya kesek din jî dibe ku bibe makîneyek virtual ku tê de amûrên pêwîst têne danîn.
Ger peywira pergala dûr ne tenê hilanîna daneyan e, lê pêkanîna hin hesaban e, wê hingê vebijarka yekane ji bo xebata bi makîneyek nebawer re dê bicîhkirina be. . Di vê rewşê de, pergal dê hesaban pêk bîne bêyî ku ew fêm bike ka ew bi rastî çi dike. Mixabin, lêçûnên sererd ên ji bo pêkanîna şîfrekirinek wusa ew qas zêde ne ku karanîna pratîkî ya wan niha bi karên pir teng re sînordar e.
Zêdeyî, di dema ku makîneya virtual dimeşîne û hin çalakiyan pêk tîne, hemî cildên şîfrekirî di rewşek gihîştî de ne, wekî din OS-ê bi hêsanî dê nikaribe bi wan re bixebite. Ev tê vê wateyê ku bi gihîştina konsola virtualkirinê, hûn dikarin her gav wêneyek makîneyek xebitandinê bikêşin û hemî bişkokan ji RAM-ê derxînin.
Gelek firoşkaran hewl dane ku şîfrekirina hardware ya RAM-ê organîze bikin da ku tewra mêvandar jî negihîje vê daneyê. Mînakî, teknolojiya Intel Software Guard Extensions, ku di cîhê navnîşana virtual de deverên ku ji xwendin û nivîsandina ji derveyî vê deverê ji hêla pêvajoyên din ve têne parastin, di nav de kernelê pergala xebitandinê, birêxistin dike. Mixabin, hûn ê nikaribin bi tevahî ji van teknolojiyan bawer bikin, ji ber ku hûn ê bi makîneya xweya virtual ve sînordar bin. Wekî din, mînakên amade jixwe hene ji bo vê teknolojiyê. Dîsa jî, şîfrekirina makîneyên virtual ne ew qas bêwate ye ku ew xuya dike.
Em daneyan li ser VDS şîfre dikin
Bihêle ez tavilê veqetandek bikim ku her tiştê ku em li jêr dikin, nayê parastinek tam. Hîpervisor dê bihêle ku hûn kopiyên pêwîst bêyî sekinandina karûbarê û bêyî haya we çêbikin.
- Ger, li ser daxwazê, mêvandar wêneyek "sar" ya makîneya weya virtual veguherîne, wê hingê hûn bi rengek ewledar in. Ev senaryoya herî gelemperî ye.
- Ger mêvandar wêneyek tevahî ya makîneyek xebitandinê dide we, wê hingê her tişt pir xirab e. Hemî dane dê di pergalê de bi rengek zelal werin danîn. Wekî din, dê mimkun be ku di nav RAM-ê de di lêgerîna mifteyên taybet û daneyên mîna wan de bigerin.
Ji hêla xwerû, heke we OS-ê ji wêneyek vanilla bicîh kir, mêvandar xwedan gihîştina root tune. Hûn dikarin her gav medyayê bi wêneya rizgarkirinê re siwar bikin û şîfreya root bi chrootkirina hawîrdora makîneya virtual biguhezînin. Lê ev ê ji nû ve dest pê bike, ku dê were dîtin. Zêdeyî, hemî dabeşên şîfrekirî yên siwarkirî dê bêne girtin.
Lêbelê, heke bicîhkirina makîneyek virtual ne ji wêneyek vanilla, lê ji pêş-amadekirî tê, wê hingê mêvandar pir caran dikare hesabek îmtiyazê zêde bike da ku di rewşek acîl de li xerîdar bibe alîkar. Mînakî, ji bo guheztina şîfreyek root ya jibîrkirî.
Tewra di rewşek wêneyek bêkêmasî de jî, ne her tişt ew qas xemgîn e. Heke hûn wan ji pergala pelan a dûr a makîneyek din siwar bikin dê êrîşkar pelên şîfrekirî wernegire. Erê, di teorîyê de, hûn dikarin hêlîna RAM-ê hilbijêrin û bişkojkên şîfrekirinê ji wir derxînin. Lê di pratîkê de ev ne pir piçûk e û ne gengaz e ku pêvajo ji veguheztina pelê ya hêsan derbas bibe.
Siparîş bike erebeyekê
Ji bo mebestên ceribandina me, em makîneyek hêsan tê de digirin . Em ne hewceyê gelek çavkaniyan in, ji ber vê yekê em ê vebijarka dayîna megahertz û seyrûsefera ku bi rastî hatî xerc kirin bigirin. Tenê bes ji bo play li dora bi.
Dm-cryptê ya klasîk ji bo tevahiya dabeşkirinê derneket. Bi xwerû, dîsk bi yek perçeyê, bi root ji bo tevahiya dabeşkirinê tê dayîn. Kêmkirina dabeşek ext4 li ser yeka ku li ser root-siwarkirî ye bi pratîkî li şûna pergala pelan keriyek garantîkirî ye. Min ceriband) Tembûrê feyde nekir.
Afirandina konteynirek krîpto
Ji ber vê yekê, em ê tevahiya dabeşkirinê şîfre nekin, lê em ê konteynerên krîptoyê yên pelan bikar bînin, ango VeraCrypt-a venêrandî û pêbawer. Ji bo armancên me ev bes e. Pêşîn, em pakêtê bi guhertoya CLI re ji malpera fermî derdixin û saz dikin. Hûn dikarin di heman demê de îmzeyê kontrol bikin.
wget https://launchpad.net/veracrypt/trunk/1.24-update4/+download/veracrypt-console-1.24-Update4-Ubuntu-18.04-amd64.deb
dpkg -i veracrypt-console-1.24-Update4-Ubuntu-18.04-amd64.deb
Naha em ê konteynerê bi xwe li cîhek xaniyê xwe biafirînin da ku em karibin wê bi destan li ser ji nû ve saz bikin. Di vebijarka danûstendinê de, mezinahiya konteynerê, şîfre û algorîtmayên şîfrekirinê bicîh bikin. Hûn dikarin şîfreya welatparêz Grasshopper û fonksiyona hash a Stribog hilbijêrin.
veracrypt -t -c ~/my_super_secretNaha em nginx saz bikin, konteynerê siwar bikin û wê bi agahdariya veşartî tije bikin.
mkdir /var/www/html/images
veracrypt ~/my_super_secret /var/www/html/images/
wget https://upload.wikimedia.org/wikipedia/ru/2/24/Lenna.pngKa em /var/www/html/index.nginx-debian.html hinekî rast bikin da ku rûpela xwestinê bistînin û hûn dikarin wê kontrol bikin.
Girêdan û kontrol bikin
Konteynir tê siwarkirin, dane tê gihîştin û şandin.
Û li vir makîneya piştî rebootkirinê ye. Daneyên bi ewlehî di ~/my_super_secret de têne hilanîn.
Heke hûn bi rastî jê re hewce ne û wê hişk dixwazin, wê hingê hûn dikarin tevahiya OS-ê şîfre bikin da ku gava ku hûn ji nû ve saz bikin ew hewce dike ku bi ssh-ê ve were girêdan û şîfreyek têkevin. Ev jî di senaryoya bi tenê vekişandina "daneyên sar" de dê bes be. Vir û şîfrekirina dîska dûr. Her çend di rewşa VDS de dijwar û zêde ye.
metal tazî
Sazkirina servera xwe li navendek daneyê ne ew qas hêsan e. Dibe ku veqetandina kesek din bibe makîneyek virtual ku tê de hemî cîhaz têne veguheztin. Lê tiştek balkêş di warê parastinê de gava ku we derfet hebe ku hûn servera xweya laşî ya pêbawer li navendek daneyê bi cîh bikin dest pê dike. Li vir hûn dikarin bi tevahî dm-crypt, VeraCrypt an şîfreyek din a bijareya xwe bi tevahî bikar bînin.
Pêdivî ye ku hûn fêhm bikin ku ger şîfrekirina tevahî were bicîh kirin, dê server piştî nûvekirinê nikaribin bi serê xwe vegere. Pêdivî ye ku meriv pêwendiya bi IP-KVM, IPMI an navbeynkariya din a din re zêde bike. Piştî ku em bi destan têkevin mifteya sereke. Di warê domdarî û tolerasyona xeletiyê de nexşe wusa xuya dike, lê heke daneyan ew qas hêja bin alternatîfek taybetî tune.
NCipher nShield F3 Modula Ewlekariya Hardware
Vebijarkek nermik dihesibîne ku dane hatine şîfrekirin û mift rasterast li ser serverê bixwe di HSM-ek taybetî (Modula Ewlekariya Hardware) de ye. Wekî qaîdeyek, ev amûrên pir bikêr in ku ne tenê şîfrekirina hardware peyda dikin, lê di heman demê de mekanîzmayên ji bo tespîtkirina hewildanên hakkirina laşî jî hene. Ger kesek dest bi gerîdeya goşeyê li dora servera we bike, HSM bi dabînkirina hêzek serbixwe dê mifteyên ku di bîranîna xwe de hilîne ji nû ve bike. Êrîşkar dê mincemeatê şîfrekirî bistîne. Di vê rewşê de, reboot dikare bixweber çêbibe.
Rakirina mifteyan ji aktîvkirina bombeyek termît an girtina elektromagnetîk vebijarkek pir zûtir û mirovahîtir e. Ji bo cîhazên weha, hûn ê ji bo demek pir dirêj ji hêla cîranên xwe ve li refika navenda daneyê werin lêdan. Ji bilî vê, di rewşa bikaranîna şîfrekirina li ser medyayê bixwe, hûn bi rastî tu sermayê nabînin. Hemî ev bi zelalî ji OS-ê re dibe. Rast e, di vê rewşê de pêdivî ye ku hûn ji Samsung-ya şertûbawer bawer bikin û hêvî bikin ku ew xwedan AES256 rastdar e, û ne XOR-ya banal.
Di heman demê de, divê em ji bîr nekin ku hemî portên nehewce divê bi laşî bêne seqet kirin an jî bi tenê bi tevlihevî bêne dagirtin. Wekî din, hûn firsendê didin êrîşkaran ku pêk bînin . Ger we PCI Express an Thunderbolt heye, tevî USB-ya bi piştgiriya wê, hûn xedar in. Êrîşkarek dê bikaribe bi rêya van portan êrîşek pêk bîne û rasterast bi kilîtan bigihîje bîranînê.
Di guhertoyek pir sofîstîke de, êrîşkar dê bikaribe êrîşek bootek sar pêk bîne. Di heman demê de, ew bi tenê beşek baş a nîtrojena şil dirijîne nav servera we, bi qasê çîpên bîranîna cemidî radike û bi hemî bişkokan re ji wan qut dike. Bi gelemperî, spreyek sarbûnê ya birêkûpêk û germahiya li dora -50 pileyî ji bo pêkanîna êrîşê bes in. Vebijêrkek rasttir jî heye. Ger we barkirina ji amûrên derveyî neçalak kiribe, wê hingê algorîtmaya êrîşkar dê hê hêsantir be:
- Bêyî vekirina dozê çîpên bîranînê cemidînin
- Flash USB-ya xweya bootable ve girêdin
- Karûbarên taybetî bikar bînin da ku daneyên ji RAM-ê yên ku ji nûvekirina ji ber cemidandinê xilas bûne rakirin.
Dabeşandin û perçekirin
Ok, me tenê makîneyên virtual hene, lê ez dixwazim bi rengekî xetereyên rijandina daneyê kêm bikim.
Hûn dikarin, di prensîbê de, hewl bidin ku mîmariyê ji nû ve guhezînin û hilanîn û pêvajoykirina daneyê li seranserê dadweriyên cihêreng belav bikin. Mînakî, pêşiya bi bişkojkên şîfrekirinê ji mêvandarê Komara Çek ye, û paşiya bi daneyên şîfrekirî li cîhek Rûsyayê ye. Di doza hewldanek desteserkirina standard de, pir ne gengaz e ku ajansên dadrêsiyê nikaribin vê yekê bi hevdemî di dadwerên cihêreng de pêk bînin. Zêdeyî, ev bi qismî me li hember senaryoya kişandina wêneyek sîgorte dike.
Welê, an hûn dikarin vebijarkek bi tevahî paqij bifikirin - Şîfrekirina End-to-End. Bê guman, ev ji çarçoweya taybetmendiyê wêdetir e û nayê vê wateyê ku hesabên li kêleka makîneya dûr têne kirin. Lêbelê, ev vebijarkek bêkêmasî pejirandî ye dema ku ew tête hilanîn û hevdengkirina daneyan. Mînakî, ev di Nextcloud de pir bi hêsanî tête bicîh kirin. Di heman demê de, hevdemkirin, guhertokirin û tiştên din ên server-side dê neçin.
Tevahî
Pergalên bêkêmasî yên ewledar tune. Armanc tenê ev e ku meriv êrîşê ji qezenca potansiyel zêdetir bi nirx bike.
Hin kêmkirina xetereyên gihîştina daneyan li ser malperek virtual dikare bi berhevkirina şîfrekirinê û hilanîna veqetandî bi mêvandarên cihêreng re were bidestxistin.
Vebijarkek hindiktir pêbawer ev e ku meriv servera xweya hardware bikar bîne.
Lê mêvandar hîn jî pêdivî ye ku meriv bi rengekî din were pêbawer kirin. Tevahiya pîşesaziyê li ser vê yekê radiweste.
Source: www.habr.com