Network-Bound Disk Encryption

Das Verschlüsseln von Festplatten ist im Grunde ein alter Hut. LUKS Volumes werden mittlerweile standardmässig als Teil einer System Installation eingerichtet. Allerdings ist für das Freischalten der Festplatte beim Systemstart die manuelle Angabe einer Passphrase notwendig.

Mit dem Framework Clevis und Tang lässt sich dieser Schritt automatisieren. Tang ist ein Server der dafür sorgt, dass Daten automatisch entschlüsselt werden können, solange sich die Daten auf einem Rechner befinden der Teil eines bestimmten sicheren Netzwerkes ist. Tang erfordert kein TLS da keine sensiblen Daten über das Netzwerk ausgetauscht werden. Anders als klassische Escrow-Systeme kennt Tang selbst auch keine Passphrases zum Entschlüsseln der Daten.

Clevis ist eine Client-Komponente die zum automatischen Entschlüsseln von LUKS-Volumes zum Einsatz kommen kann. Hierfür setzt Clevis auf eine PIN die auf Basis des McCallum-Relyea Algorithmus auf dem Client berechnet wird. Dies funktioniert allerdings nur dann, wenn der Client Zugriff auf den Tang Server besitzt.

Referent:

Thorsten ScherfThorsten Scherf arbeitet als Product-Lead für Identity-Management im Support Engineering Team des Linux-Distributors Red Hat.

 

 

 

Download Größe
Network-Bound-Disk-Encryption.pdf 677.37 KB