标签: encryption

TrueCrypt 允许用户在文件上创建加密卷，或者在驱动器或分区上托管加密的设备上创建加密卷。其中一个的优势或劣势是什么？

有没有人已经尝试过这种方法？我真的在考虑：不是依赖基于网络的 IDS 等，每个数据包都必须使用由我自己的 CA 颁发的证书发起的加密。

• 每个客户端都获得一个唯一的客户端证书
• 每台服务器都获得一个唯一的服务器证书
• 每个服务都需要登录。

SSL 和 SSH 都可以。对互联网的访问将通过通往网关的 SSL 隧道完成。

可行吗？它会产生实际问题吗？如何实现和执行？你怎么认为？

更多细节

我的目标是简化LAN 的安全概念 - 我还不确定，如果这是一个疯狂的想法！但我觉得，保护 HTTPS 或 SSH 服务器免受互联网威胁（如果使用相互身份验证）有时比监控 LAN 的狂野世界中可能发生的一切更容易。

在未加密的 LAN 上，我觉得要领先于潜在攻击者真的很难，因为存在以下威胁：

• 低级别攻击，如 ARP 欺骗、端口窃取、...
• WLAN 访问（例如，每个开发人员都将被允许从 (W)LAN 访问 SVN 服务器 - 我认为不会通过 VPN...）

=> 为简单起见，假设 LAN 中始终存在攻击者不是更容易吗？

=> 我是否可以通过将其视为 WAN 来简化（小公司的）LAN 安全概念？或者我宁愿让它复杂化？

IPSec 和替代方案

IPSec 听起来很有前途，但我也对 IPSec 的替代方案感兴趣 - 每个服务单独使用 SSL/SSH 并为网关创建 Stunnel？也许使用 Kerberos？... IPSec 或其他的优势是什么？

如果您能帮助我更好地掌握 IPSec，请参阅我专门针对 IPSec 的后续问题。

我需要为我的应用程序和 Sql Server 2008 之间的传输实现 SSL。

我使用的是 Windows 7、Sql Server 2008、Sql Server Management Studio，我的应用程序是用 c# 编写的。

我试图按照 MSDN 页面上的创建证书以及“特定客户端的加密”下的这个页面进行操作，但我感到非常困惑。我需要一些小步骤才能在成功实施加密的道路上走得更远。

首先，我不了解MMC。我在那里看到很多证书......这些证书是我应该用于我自己的加密还是用于已经存在的东西？另一件事，我假设所有这些证书都是位于我本地计算机上的文件，那么为什么会有一个名为“个人”的文件夹？

其次，为了避免上述问题，我做了一个自签名程序集的小实验。如上面的 MSDN 链接所示，我使用在 SSMS 中执行的 SQL 创建了一个自签名证书。然后我使用以下连接字符串进行连接：

 Data Source=myServer;Initial Catalog=myDatabase;User ID=myUser;Password=myPassword;Encrypt=True;TrustServerCertificate=True

它连接，工作。然后我删除了我刚刚创建的证书，它仍然有效。显然它从来没有做任何事情，但为什么不呢？我如何判断它是否真的“有效”？我想我可能错过了（以某种方式？）将文件从 SSMS 移到客户端的中间步骤？

我一点也不知道我在做什么，因此非常感谢您能给我的任何帮助、建议、评论和参考。

先感谢您。:)

我使用dm-crypt来加密分区。我正在使用消费者（或专业消费者）类别的硬件构建一个小型办公服务器。这让我想知道，硬件辅助加密多年来一直是一个悬而未决的概念，它是现实吗？

我的问题的两个关键点是：

• 主流制造商（华硕、技嘉等）是否使用这些（便宜的）芯片出货产品？
• Linux 内核是否有（相当旧的）硬件实现以及与 dm-crypt 的集成？

奖励：与TPM 芯片相同的两个问题。制造商是否已经将它们集成到他们的硬件中？它们受 Linux 支持吗？他们会加速吗？他们有什么性能优势吗？

我需要知道我的服务器是否安装了 TPM。它离我 10000 英里，所以去那里查看 BIOS 不是一种选择。无论如何，戴尔网站或维基百科上也没有对其进行描述。因此，请仅在您知道如何通过远程桌面确定我的服务器上是否安装了 TPM时才回答。谢谢

我认为使用“encfsctl passwd path/to/encrypted”更改密码会更改所有文件名。但它没有用。任何想法为什么？

我得到了这个，所以密码被正确更改：

Enter current Encfs password
EncFS Password:
Enter new Encfs password
New Encfs Password:
Verify Encfs Password:
Volume Key successfully updated.

安全原则说，如果其他人可以物理访问一台机器，那么就没有安全/隐私。我想知道在我想要一个带有全盘加密的托管虚拟专用服务器 (VPS) 的情况下的一些示例。在安装 Ubuntu 时，您可以选择设置这种加密，其中您的每个分区（root、home、swap 等）都在一个大的 LUKS 加密卷中。

假设您没有在此 VPS 上设置自动输入 LUKS 密码（而是在每次重新启动时通过 SSH 手动输入，使用创造性的解决方案，如https://unix.stackexchange.com/questions/5017/ssh-to -decrypt-encrypted-lvm-during-headless-server-boot），以便其他人尝试重新启动您的系统必须知道密码。

这种解决方案有哪些安全或隐私风险？VPS 托管公司的员工或某些中间人能否以某种方式访问​​您的数据？当然他们可以随时拍摄整个服务器的快照，但是为了启动它，他们需要密码，那么他们如何访问图像中的内容？

他们能以某种方式窥探 SSH 密钥或加密密码吗？

因为他们在托管 VPS 实例的物理机器上拥有 root 权限，所以他们怎么可能在我的 VPS 上获取 root 权限？

他们可以记录通过 SSH 发送到 VPS 的击键吗？如果 SSH 只保护通信，直到它在服务器上被解密，那么他们能看到您实际发送到服务器的内容吗？

我假设您的服务器正在运行时可能会损坏，而不是在服务器关闭时，对吗？那么当服务器运行时（在你已经输入了 LUKS 密码之后），他们能做什么？如果他们拍摄了您的系统的快照，他们可以用它做什么？

只是试图通过在其他人可以物理访问的服务器（即 VPS）上进行全盘加密来了解我获得的安全/隐私与我没有获得的安全/隐私。

在 Amazon AWS 上，我应该加密虚拟私有云中实例之间的敏感流量吗？更具体地说，这种 VPC 中的实例之间的流量是私有的，如虚拟网络中的，还是可以拦截的？

在文档中找不到此信息。

“可以使用”我的意思是：

• MTA 代理从我的服务器接收电子邮件会拒绝我的电子邮件吗
• 如果没有，他们是否会对我的电子邮件进行其他类型的不良处理（标记为垃圾邮件、不安全等...）？

...还是坚持使用未加密的电子邮件是更好的主意？

擦除支持SED的 SSD 的一个很好的方法是更改密码/密钥。但是如何处理那些没有 SED 支持的呢？

这篇文章说

幸运的是，可以擦除大多数 SSD，尽管这更接近于“重置”而不是擦除。“ATA Secure Erase”命令指示驱动器清除所有存储的电子，迫使驱动器“忘记”所有存储的数据。该命令实质上将所有可用块重置为“擦除”状态，这是 TRIM 用于垃圾收集目的的。

题

我想这是可以用 来完成的hdparm，那么有谁知道执行此操作的命令是什么？