标签: encryption

这是我的Encrypting absolute everything...问题的后续。

重要提示：这与更常见的 IPSec 设置无关，您希望在其中加密两个 LAN 之间的流量。

我的基本目标是加密一家小公司局域网内的所有流量。一种解决方案可能是 IPSec。我刚刚开始了解 IPSec，在我决定使用它并深入研究之前，我想大致了解一下它的外观。

• 是否有良好的跨平台支持？它必须适用于 Linux、MacOS X 和 Windows 客户端、Linux 服务器，并且不需要昂贵的网络硬件。

• 我可以为整台机器启用 IPSec（因此不会有其他流量传入/传出）或网络接口，还是由单个端口的防火墙设置决定/...？

• 我可以轻松禁止非 IPSec IP 数据包吗？还有“Mallory's evil”IPSec 流量由某个密钥签名，但不是我们的？我的理想构想是让 LAN 上不可能有任何此类 IP 流量。

• 对于 LAN 内部流量：我会在“传输模式”中选择“带身份验证的 ESP（无 AH）”、AES-256。这是一个合理的决定吗？

• 对于 LAN-Internet 流量：它将如何与 Internet 网关配合使用？我会用

  • “隧道模式”创建从每台机器到网关的IPSec隧道？或者我也可以使用
  • “传输模式”到网关？我问的原因是，网关必须能够解密来自 LAN 的包，所以它需要密钥来做到这一点。如果目标地址不是网关的地址，这可能吗？或者在这种情况下我必须使用代理吗？

• 还有什么我应该考虑的吗？

我真的只需要对这些事情进行快速概述，而不是非常详细的说明。

我有一个带有 git 存储库的生产服务器（Ubuntu，24/7 运行）和一些客户端计算机，每台计算机都有一个该存储库的工作副本。在客户端计算机上，简单地使用主文件夹加密似乎可以解决在硬件被盗的情况下没有人可以访问git中的文件的问题。

我如何加密 git 存储库的远程端以确保在硬件被盗的情况下没有人可以重新配置和克隆 git 存储库？

起初，我想加密git用户的主目录，但后来我意识到这没有任何意义，因为它应该在什么时候由谁解密？

我可以将 git 存储库放在我自己的主目录/链接中，以便只有在我通过 SSH 登录到服务器时才能使用它吗？或者有没有类似的解决方案来解决这个问题？

感谢您提前提供任何提示！

Linux 上的 ZFS 是否已经支持加密？如果没有，是否有计划？

我找到了大量关于 ZFS+LUKS 的信息，但这绝对无趣：我想要 ZFS 加密，以便我可以使用 zfs 发送到“不受信任的”备份服务器进行复制。即，zfs 发送片段应该被加密。

如果 ZoL 不支持加密，除了创建 zVols 并在其上使用 LUKS+EXT（失去许多 ZFS 优势）之外，还有其他更优雅的方法吗？

我对此的结论是通过 EoIP 隧道传输 VLAN 中继并将其封装在硬件辅助的 IPSec 中。两对相当便宜的 Mikrotik RB1100AHx2 路由器被证明能够使 1 Gbps 连接饱和，同时增加不到 1 毫秒的延迟。

我想加密两个数据中心之间的流量。站点之间的通信作为标准提供商网桥 (s-vlan/802.1ad) 提供，以便我们的本地 vlan 标签 (c-vlan/802.1q) 保留在主干上。通信经过提供商网络中的几个第 2 层跃点。

两侧的边界交换机都是带有 MACSec 服务模块的 Catalyst 3750-X，但我认为 MACSec 是不可能的，因为我看不到任何方法可以确保中继上的交换机之间的 L2 平等，尽管这可能是可能的通过提供者桥。MPLS（使用 EoMPLS）肯定会允许此选项，但在这种情况下不可用。

无论哪种方式，始终可以更换设备以适应技术和拓扑选择。

我如何寻找可行的技术选项，以通过以太网运营商网络提供第 2 层点对点加密？

编辑：

总结一下我的一些发现：

• 提供多种硬件 L2 解决方案，起价为 60,000 美元（低延迟、低开销、高成本）

• 在许多情况下，MACSec 可以通过 Q-in-Q 或 EoIP 进行隧道传输。硬件起价 5,000 美元（中低延迟、中低开销、低成本）

• 提供多种硬件辅助 L3 解决方案，起价为 5,000 美元（高延迟、高开销、低成本）

我正在使用 Windows Server 2012 R2 上的测试域。我在尽可能高的功能级别上运行，并且在我的小型测试环境中没有向后兼容性问题。但是，我意识到尽管我支持Kerberos AES 身份验证，但默认情况下没有为任何用户启用它。我必须实际进入用户的属性并勾选“此帐户支持 Kerberos AES 128 位加密”和/或“此帐户支持 Kerberos AES 256 位加密”以启用它。

（我第一次意识到这一点是在向“受保护的用户”组添加测试帐户时，该组将策略设置为需要 AES。之后，我所有的网络登录都开始失败，直到我选中这些框。）

我认为默认情况下可能会禁用此功能以确保某些系统的向后兼容性，但我找不到为所有用户启用此功能的方法，甚至无法解释当前行为。

有任何想法吗？

我有一个 .p7b 格式的 SSL 证书，我需要将其转换为 .pfx。如果我通过 Windows 证书管理尝试此操作，则专家作为 .pfx 的选项将被禁用。

尝试使用 openssl 我发现以下两个命令可以进行转换：

openssl pkcs7 -print_certs -in certificate.p7b -out certificate.cer
openssl pkcs12 -export -in certificate.cer -inkey privateKey.key -out certificate.pfx -certfile CACert.cer

但我不确定 esecond 命令使用什么密钥，或者 CACert.cer 指的是什么证书。

如何将此密钥转换为 .pfx 格式？

我已经阅读了有关 Microsoft 的 Office 2007 加密的各种文章，从我收集到的信息，2007 使用所有默认选项是安全的，因为它使用 AES，并且 2000 和 2003 可以通过将默认算法更改为 AES 来进行安全配置。我想知道是否有其他人阅读过任何其他文章或知道与他们如何实施加密有关的任何特定漏洞。我希望能够告诉用户，只要他们使用 AES 和强密码，他们就可以使用它来发送半敏感文档。谢谢提供信息。

我的 Linux 服务器花费了大量时间来计算 LUKS 加密。有没有办法硬件加速它（例如使用PCI Express卡）？

我正在考虑在 Azure VM 上托管符合 HIPAA 标准的 Web 应用程序。对于数据库，现在我倾向于使用带有 SQL 2014 标准版的 VM。

由于标准版不提供 TDE，我将只使用 BitLocker 来加密整个驱动器。但是，根据我所读到的内容，如果不使用某种第三方服务（如CloudLink），就不可能对 Azure VM 上的操作系统驱动器进行加密。

然而，来自 MSDN 的这篇文章暗示可以使用 BitLocker 来加密数据驱动器。因此，我想我的问题有两个方面：

1) 是否可以在 Azure VM 上使用 BitLocker 加密数据驱动器？

2) 如果我使用 SQL Standard 获得 Azure VM，是否需要加密操作系统驱动器以保持 HIPAA 合规性？

我管理一个虚拟办公室，我们的员工使用 SSH 密钥和密码进行身份验证。如果我们的一名员工忘记了他的密码，有没有办法使用他的公共 RSA ssh 密钥来加密临时密码，以便我可以通过电子邮件将其发送给他？

我已经看到与此相关的其他问题，但是“答案”通常建议不要使用公共/私有 SSH 密钥来执行一般加密/解密，并且实际上并没有说明这是否可行。我想知道是否确实可能，以及加密然后解密密码的步骤是什么。