Crittografia File System

irciverson · 02-01-2008, 15:10

Ciao ragazzi, (...intanto buon anno a tutti...

)

Qualcuno sa spiegarmi le differenze dei sistemi di crittografia usati su file system windows (EFS) e quelli usati,invece, su file system linux ??

grazie in anticipo!

irciverson · 03-01-2008, 15:17

nessuno?

acyd · 03-01-2008, 15:56

Ma hai delle domande in particolare o solo in generale?
E' un argomento un pò vasto. Per racchiuderlo in poche parole possiamo prendere in considerazione il metodo di encrypting Efs dove invece in Linux è a tua scelta. Non che in windows non possa usare altri software e quindi usare algoritmi che vuoi, ma è meno "incluso", passami il termine.

irciverson · 04-01-2008, 00:01

non mi è chiaro,per esempio, se EFS sia una cosa inclusa nel SO, ossia che viene già applicata "all'insaputa dell'utente" (?) o se esso sia comunque un software "esterno" ..
per sistemi unix ho visto che ci sono solo software "esterni" (?).. tipo loop-aes, ma di per se il sistema non prevede un qualcosa per la crittografia del file system?

EFS che algoritmi usa? cos'è che va a crittografare nello specifico?

grazie!

wizard1993 · 04-01-2008, 10:56

efs è un sistema interno se non sbalgio disponibile su xp pro e vista; che algoritmo usi non lo so

acyd · 04-01-2008, 18:53

Si come dice bene wizard1993 è un'applicazione, diciamo, di sistema. Ovviamente devi darne avvio tu, non lo fa da solo senza che tu lo sappia.
Per l'algoritmo sa Desx e 3Des ma non ricordo ora su quali sistemi ci sia il 3des, comunque basta una ricerca irciverson e dovresti trovarlo.

Michelinux · 05-01-2008, 02:21

irciverson sei per caso alle prese con l'esame si S.O.S. ?

Chiacchere a parte, ho trovato che gli algoritmi crittografici usati da EFS sono diversi a seconda della versione del MS-OS montato:

- Windows 2000, utilizza soltanto DESX (eXtended Data Encryption Standard)
- versioni di Windows XP precedenti al SP1 utilizzano soltanto DESX o Triple-DES (3DES)
- Windows XP con SP1 o piu recente può utilizzare DESX, 3DES, o AES

Premetto che non ho molta esperienza su sistemi MS, ma da cio che ho capito EFS usa un device-mapper: un framework generico utilizzato per mappare una periferica a blocchi all’interno di un’altra, e cripta/decripta in tempo reale tutti i dati come in una pipe-line. Questo sistema è supportato soltanto su NTFS. E' l'unico nativo supportato da MS-OS e quindi è gia ben descritto sul sito di MS e non mi dilungo a descriverlo. Volendo si possono installare software di terze parti che possono creare e crittografare partizioni dell'hardisc usando Blowfish o AES 128-256, etc...

Linux offre diversi sistemi per crittografare porzioni di hardisc, come crypto-loop, dm-crypt, loop-AES, svnd (oBSD), GBDE (fBSD).
crypto-loop è un modulo di cifratura del disco che fa uso della CryptoAPI della serie kernel 2.6. La sua funzionalità è incorporata nel device mapper: un framework generico utilizzato per mappare una periferica a blocchi all’interno di un’altra. Questo strumento può creare file system crittografati dentro un file regolare sul FS: una volta che il file è criptato, può essere mosso su un’altro storage device. Questo è reso possibile grazie al loop device, uno pseudo device che permette che un file normale sia montato come se gosse un device fisico. Criptando I/O nel loop device ogni dato a cui verrà fatto accessso dovrà prima essere decrittato prima di passare attraverso il file system regolare, e il contrario vale per la memorizzazione di file nel loop device. Con questo sistema Linux ha introdotto la possibilità di tenere un file di loopback criptato in real-time su disco, demandandone la gestione direttamente al kernel. Non necessita di patch al kernel, è in grado di utilizzare tutti i cifrari supportati dal kernel e lavora in real-time. Il difetto principale è che è sensibile ad attacchi di tipo watermarks, è piu lento degli altri sistemi, non permette di criptare lo swap ed è sconsigliato su FS journaled.
dm-crypt è un sottosistema di cifratura del disco trasparente, a partire dal kernel 2.6. Il sistema si basa sullo stesso principio di crypto-loop, con la differenza che è stato progettato per supportare operazioni in modalità avanzate, come ESSIV e LRW in modo da evitare attacchi di tipo watermarking. Questa applicazione supporta la cifratura di interi dischi, partizioni, volumi logici, cosi come fils e può essere usato con qualsiasi file-system. Supporta la cifratura dello spazio di swap e i FS journaled, ed è piu veloce di crypto-loop.
loop-AES è un sistema sviluppato per sopperire ai problemi rilevati negli altri metodi di gestione dell'encryption con particolare attenzione verso le performance e si basa su una applicazione che legge da stdin e scrive su stdout chiamata aes-pipe. Loop-AES ha un'esecuzione estremamente veloce ed altamente ottimizzata di Rijndael (AES) in linguaggio assembler e quindi fornisce le prestazioni massime su una CPU IA-32 (x86). Quello che fa sostanzialmente Loop AES è basarsi su una applicazione che legge da stdin e scrive su stdout chiamata aes-pipe, ed è quindi molto veloce e adatta al lavoro in real-time di grandi volumi. Tuttavia necessita di patch esterne al kernel ed allo userland, che richiedono molta cura nel setup e nella manutenzione.
svnd è l’equivalente di Loop-AES per oBSD si presta purtroppo ad attacchi offline basati su dizionario. E' molto veloce, ma supporta solo Blowfish
GBDE è equivalente di Loop-AES per fBSD, utilizza crittografia forte con diversi algoritmi, autenticazione a due fattori, e l'utilizzo di un salt per evitare attacchi offline basati su password. E' ritenuta l'implementazione più sicura tra quelle illustrate.

Queste sono alcune tra le tecnologie piu conosciute nel modo GNU linux/unix per la crittografia del FS, ma non esiste una risposta universale. Dipende dal compromesso che riusciamo a stabilire tra necessità di riservatezza, semplicità di utilizzo e funzionalità necessarie disponibili. Inoltre non è possibile utilizzare più di uno di questi meccanismi sullo stesso sistema. Il principale motivo è la personalizzazione degli strumenti in userspace.

Spero di non essere andato [OT]

irciverson · 05-01-2008, 17:33

grazie a tutti,soprattutto a te michelinux!

[OT]P.s. .....si ...in effetti sto avendo a che fare con s.o.s.

tu ne sai qualcosa? [/OT]

Michelinux · 10-01-2008, 23:46

Quote:

Originariamente inviato da irciverson

grazie a tutti,soprattutto a te michelinux!

[OT]P.s. .....si ...in effetti sto avendo a che fare con s.o.s.

tu ne sai qualcosa? [/OT]

Figurati! Il mio motto è "se nessuno sa quel che tu sai, il tuo sapere serve a poco", quindi cio che so lo metto volentieri a disposizione. Domani ci sarò anche io tra i candidati SI... e spero di presentare una sola volta a quell'appello

Tuttavia seguirei di nuovo il corso, solo per il piacere di sentirlo spiegare

secondo me è davvero bravo!

In bocca al lupo per domani, ci si vede sul campo

02-01-2008, 15:10	#1
irciverson Member Iscritto dal: Jul 2007 Messaggi: 134	Crittografia File System Ciao ragazzi, (...intanto buon anno a tutti... ) Qualcuno sa spiegarmi le differenze dei sistemi di crittografia usati su file system windows (EFS) e quelli usati,invece, su file system linux ?? grazie in anticipo!

03-01-2008, 15:56	#3
acyd Member Iscritto dal: Feb 2006 Messaggi: 206	Ma hai delle domande in particolare o solo in generale? E' un argomento un pò vasto. Per racchiuderlo in poche parole possiamo prendere in considerazione il metodo di encrypting Efs dove invece in Linux è a tua scelta. Non che in windows non possa usare altri software e quindi usare algoritmi che vuoi, ma è meno "incluso", passami il termine. __________________ Aiutaci contro lo spam

04-01-2008, 10:56	#5
wizard1993 Senior Member Iscritto dal: Apr 2006 Messaggi: 22462	efs è un sistema interno se non sbalgio disponibile su xp pro e vista; che algoritmo usi non lo so __________________ amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb\|\| asus g1 Se striscia fulmina, se svolazza l'ammazza

04-01-2008, 18:53	#6
acyd Member Iscritto dal: Feb 2006 Messaggi: 206	Si come dice bene wizard1993 è un'applicazione, diciamo, di sistema. Ovviamente devi darne avvio tu, non lo fa da solo senza che tu lo sappia. Per l'algoritmo sa Desx e 3Des ma non ricordo ora su quali sistemi ci sia il 3des, comunque basta una ricerca irciverson e dovresti trovarlo. __________________ Aiutaci contro lo spam

03-01-2008, 15:17	#2
irciverson Member Iscritto dal: Jul 2007 Messaggi: 134	nessuno?

04-01-2008, 00:01	#4
irciverson Member Iscritto dal: Jul 2007 Messaggi: 134	non mi è chiaro,per esempio, se EFS sia una cosa inclusa nel SO, ossia che viene già applicata "all'insaputa dell'utente" (?) o se esso sia comunque un software "esterno" .. per sistemi unix ho visto che ci sono solo software "esterni" (?).. tipo loop-aes, ma di per se il sistema non prevede un qualcosa per la crittografia del file system? EFS che algoritmi usa? cos'è che va a crittografare nello specifico? grazie!

05-01-2008, 02:21	#7
Michelinux Junior Member Iscritto dal: Sep 2006 Messaggi: 6	irciverson sei per caso alle prese con l'esame si S.O.S. ? Chiacchere a parte, ho trovato che gli algoritmi crittografici usati da EFS sono diversi a seconda della versione del MS-OS montato: - Windows 2000, utilizza soltanto DESX (eXtended Data Encryption Standard) - versioni di Windows XP precedenti al SP1 utilizzano soltanto DESX o Triple-DES (3DES) - Windows XP con SP1 o piu recente può utilizzare DESX, 3DES, o AES Premetto che non ho molta esperienza su sistemi MS, ma da cio che ho capito EFS usa un device-mapper: un framework generico utilizzato per mappare una periferica a blocchi all’interno di un’altra, e cripta/decripta in tempo reale tutti i dati come in una pipe-line. Questo sistema è supportato soltanto su NTFS. E' l'unico nativo supportato da MS-OS e quindi è gia ben descritto sul sito di MS e non mi dilungo a descriverlo. Volendo si possono installare software di terze parti che possono creare e crittografare partizioni dell'hardisc usando Blowfish o AES 128-256, etc... Linux offre diversi sistemi per crittografare porzioni di hardisc, come crypto-loop, dm-crypt, loop-AES, svnd (oBSD), GBDE (fBSD). crypto-loop è un modulo di cifratura del disco che fa uso della CryptoAPI della serie kernel 2.6. La sua funzionalità è incorporata nel device mapper: un framework generico utilizzato per mappare una periferica a blocchi all’interno di un’altra. Questo strumento può creare file system crittografati dentro un file regolare sul FS: una volta che il file è criptato, può essere mosso su un’altro storage device. Questo è reso possibile grazie al loop device, uno pseudo device che permette che un file normale sia montato come se gosse un device fisico. Criptando I/O nel loop device ogni dato a cui verrà fatto accessso dovrà prima essere decrittato prima di passare attraverso il file system regolare, e il contrario vale per la memorizzazione di file nel loop device. Con questo sistema Linux ha introdotto la possibilità di tenere un file di loopback criptato in real-time su disco, demandandone la gestione direttamente al kernel. Non necessita di patch al kernel, è in grado di utilizzare tutti i cifrari supportati dal kernel e lavora in real-time. Il difetto principale è che è sensibile ad attacchi di tipo watermarks, è piu lento degli altri sistemi, non permette di criptare lo swap ed è sconsigliato su FS journaled. dm-crypt è un sottosistema di cifratura del disco trasparente, a partire dal kernel 2.6. Il sistema si basa sullo stesso principio di crypto-loop, con la differenza che è stato progettato per supportare operazioni in modalità avanzate, come ESSIV e LRW in modo da evitare attacchi di tipo watermarking. Questa applicazione supporta la cifratura di interi dischi, partizioni, volumi logici, cosi come fils e può essere usato con qualsiasi file-system. Supporta la cifratura dello spazio di swap e i FS journaled, ed è piu veloce di crypto-loop. loop-AES è un sistema sviluppato per sopperire ai problemi rilevati negli altri metodi di gestione dell'encryption con particolare attenzione verso le performance e si basa su una applicazione che legge da stdin e scrive su stdout chiamata aes-pipe. Loop-AES ha un'esecuzione estremamente veloce ed altamente ottimizzata di Rijndael (AES) in linguaggio assembler e quindi fornisce le prestazioni massime su una CPU IA-32 (x86). Quello che fa sostanzialmente Loop AES è basarsi su una applicazione che legge da stdin e scrive su stdout chiamata aes-pipe, ed è quindi molto veloce e adatta al lavoro in real-time di grandi volumi. Tuttavia necessita di patch esterne al kernel ed allo userland, che richiedono molta cura nel setup e nella manutenzione. svnd è l’equivalente di Loop-AES per oBSD si presta purtroppo ad attacchi offline basati su dizionario. E' molto veloce, ma supporta solo Blowfish GBDE è equivalente di Loop-AES per fBSD, utilizza crittografia forte con diversi algoritmi, autenticazione a due fattori, e l'utilizzo di un salt per evitare attacchi offline basati su password. E' ritenuta l'implementazione più sicura tra quelle illustrate. Queste sono alcune tra le tecnologie piu conosciute nel modo GNU linux/unix per la crittografia del FS, ma non esiste una risposta universale. Dipende dal compromesso che riusciamo a stabilire tra necessità di riservatezza, semplicità di utilizzo e funzionalità necessarie disponibili. Inoltre non è possibile utilizzare più di uno di questi meccanismi sullo stesso sistema. Il principale motivo è la personalizzazione degli strumenti in userspace. Spero di non essere andato [OT]

05-01-2008, 17:33	#8
irciverson Member Iscritto dal: Jul 2007 Messaggi: 134	grazie a tutti,soprattutto a te michelinux! [OT]P.s. .....si ...in effetti sto avendo a che fare con s.o.s. tu ne sai qualcosa? [/OT]

Strumenti
Mostra una versione stampabile Invia questa pagina per email