标签: encryption

我正在尝试使用 VPN IPsec 连接到交易对手。我有一个带有单个静态 IP 地址的标准有线宽带连接。对方要求我提供“分配给 VPN 设备的公共 IP 地址”以及我的“加密域”。

什么是加密域？（这是我主机的内部IP地址吗）。

我怀疑构建 CRL 缓存的过程可能会导致某些应用程序出现延迟。

我们有几个 .NET 应用程序，它们偶尔会在没有 CPU 或磁盘访问的情况下“运行缓慢”。我怀疑他们在尝试验证证书时挂断了身份验证，因为超时几乎是 20 秒。

根据这篇 MSFT 文章

大多数应用程序没有指定 CryptoAPI 使用累积超时。如果未启用累积超时选项，CryptoAPI 将使用 CryptoAPI 默认设置，即每个 URL 的超时时间为 15 秒。如果应用程序指定了累积超时选项，那么 CryptoAPI 将使用默认设置 20 秒作为累积超时。第一个 URL 接收的最大超时时间为 10 秒。每个后续 URL 超时是累积超时值中剩余余额的一半。

由于这是一项服务，我如何检测和记录我拥有源代码的应用程序以及第 3 方的 CryptoAPI 挂起

我不是在这里谈论 EFS 或 Bitlocker。

我在问是否有办法防止文件被加密。我在某种程度上指的是勒索软件，但特别是我想要以下场景：

• 带共享的 Windows 文件服务器（在 E: 驱动器上）

我想要一种方法来告诉上述服务器“不允许任何人或任何软件/进程对 E: 驱动器上的文件进行加密。”

我找不到在 NTFS 级别执行此操作的任何方法，缺少“读取”访问权限。修改访问权限允许对文件进行加密。

我在网上四处搜索，但得到了一堆与我手头的问题无关的 EFS/bitlocker/勒索软件链接。

所以各位专家。有什么办法可以用粗体来做上面的事情吗？我不是在询问防止勒索软件等的方法。粗体区域正是我所追求的。

Windows 10，服务器 2012 R2 域

我对离线恢复 bitlocker 加密驱动器的选项感到困惑。

假设我正在使用 TPM（不将密钥存储在 USB/软盘驱动器上）使用 bitlocker 加密域计算机的 HDD，并将密钥备份到 AD，并且这些密钥可供我使用。

我可以从这些 TPM bitlocker 加密计算机中的其中一台拉出硬盘驱动器，然后将其作为外部驱动器连接到另一台计算机（使用 USB 到 SATA 电缆或其他任何东西），然后从 AD 恢复该驱动器的 bitlocker 密钥并使用它来解密它和读取数据？

我已经为我的服务器编译了 ZFS 0.8.1，它运行良好。我还能够创建像 mypool/myencfs 这样的加密文件系统。

但是，mypool 也是一个文件系统，似乎我无法对其启用加密：

zfs set encryption=on mypool
cannot set property for 'mypool': 'encryption' is readonly

该池将使用来自另一个加密驱动器的密钥文件进行解密，因此我希望将可继承的属性设置得尽可能高，当我不小心将某些内容复制到 mypool/ 时，也不会冒未加密数据的风险

在 Windows 10 企业中，企业环境（如果重要的话）。我有一个文件，其中包含我想要保护的信息，并且我只想加密这个文件。而且我只想在Windows中执行此操作，如果只是win10也可以。

我右键单击该文件，然后执行“属性”-“常规”-“高级”，然后选中“加密内容以保护数据”。

产生的错误是应用属性时出错 - 为此系统配置的恢复策略包含无效的恢复证书。

• 这个错误是什么意思？
• 有什么方法可以只加密单个文件（win7 或 win10）？如果没有必要，我不想使用第三方软件。
• 这是企业安装类型的错误/问题，还是我应该期望任何 win10 home/pro/enterprise 版本都能够像打开/创建 .zip 文件一样执行此操作？

为了在 TrueNAS 12 中使用新的加密方法，我通过复制任务将所有数据从旧加密的 FreeNAS 池复制到新格式化的池中。

复制后，目标池中似乎几乎缺少 GiB：

复制后的源池：已使用 8.06 TiB，可用 733.91 GiB

复制后的目标池：已使用 7.24 TiB，可用 1.56 TiB

对于复制，我使用了这些设置（基本模式）：

• 源/目标“在此系统上”
• 未选中“递归”和“复制自定义快照”（因为我没有使用快照）
• 未选中“加密”
• 复制计划：运行一次
• 取消选中“使目标数据集只读”
• 目标快照生存时间：与源相同

找出缺少的东西diff需要很长时间。

我试过了，rsync -avun --delete $TARGET $SOURCE | grep "^deleting "但没有输出。

我还能做些什么来在合理的时间内检查目标上丢失的文件？是否有一些与 ZFS 相关的内容可能会占用空间并且尚未被复制任务复制？那可能是什么？

在我的场景中，我有一些未加密的旧 EBS 卷。为了满足新的公司安全措施，所有数据都需要加密，因此我需要制定一个计划，以破坏性最小的方式加密未加密的数据（理想情况下没有停机）？

谁能建议实现此目标的最佳方法是什么？

我什至不能 100% 确定这涉及什么，但我目前的理解是：

• 仅对网络流量使用经批准的加密算法（很简单，我们使用 SSL 并将算法锁定为仅使用真正强大的算法）。

• 某种形式的物理数据保护，包括磁盘加密和物理防篡改包装。

显然，如果我们需要防篡改产品，我们只能靠自己。但是加密软件呢？我的猜测是只使用LUKS（虽然安全）将不会被认证，因为它是开源的（政府似乎有点偏向于这里的专有解决方案）。

有人提到了Guardian Edge，但这似乎是完全基于 Windows 的。所以我们需要类似的东西，经过认证的FIPS-140兼容我们可以在 Linux 上使用。

我们都有很多内部服务需要通过某种 PKI 来提供加密和身份验证。

为每个服务使用不同的私钥/公钥对所带来的安全收益是否证明了额外的工作是合理的？

或者每个服务器使用单个密钥对就足够了？

例如，我所有的 *nix 服务器都运行 rsyslog、Bacula 和 Puppet。在所有三个服务中使用通用的、特定于服务器的密钥对是否会打开我忽略的攻击向量？