Apakah kepemilikan root dan akses eksklusif menyiratkan enkripsi?


11

Jika saya memiliki file dengan izin dan kepemilikan seperti:, -rw------- 1 root rootapakah file ini dienkripsi?

Saya menanyakan ini karena saya bertanya-tanya bagaimana file tersebut benar-benar dilindungi agar tidak dibaca sebagai byte polos dan kemudian direkonstruksi oleh beberapa pengguna non-root, atau oleh seorang penyerang.

Jawaban:


23

apakah file ini dienkripsi?

Tidak. File tersebut masih seperti apa file tersebut. Jika seseorang reboot ke sesi langsung file tersebut dapat dilihat oleh pengguna APAPUN yang melakukan reboot. Sama jika seseorang mengeluarkan harddisk dan memasangnya ke sistem lain di mana mereka menjadi admin.

File yang dienkripsi tidak dapat diakses namun metode yang Anda gunakan.

Yang -rw------- 1 root rootdilakukan adalah membuat file dapat dibaca dan ditulis oleh pengguna "root" dan bukan oleh grup "root" dan bukan oleh "orang lain". Cukup ketat tetapi tidak cukup baik jika Anda tidak pernah ingin seseorang membukanya.

Metode HANYA yang berfungsi untuk mencegah akses oleh siapa pun pada suatu sistem tidak menyimpan file pada sistem itu.


1
"Metode HANYA yang bekerja untuk mencegah akses oleh siapa pun di suatu sistem tidak menyimpan file di sistem itu." Atau mengenkripsi itu.
Marc Cayuela Rafols

4
Program enkripsi tidak sempurna. Enkripsi adalah "sempurna" kecuali ada pengetahuan sebelumnya tentang data terenkripsi (kan?).
Marc Cayuela Rafols

3
@MarcCayuelaRafols "Enkripsi adalah" sempurna "kecuali ..." - Skema enkripsi (bukan implementasi!), Pada umumnya, * tidak sempurna! Atau setidaknya, tidak bisa dibuktikan begitu. Misalnya, cipher Vigenère rusak karena desain, karena mudah diserang dengan analisis frekuensi. Sebagai contoh lain, DES telah cukup tahan terhadap serangan seperti itu, tetapi kunci pendeknya (56bit) mudah dipaksakan dengan sumber daya modern, menjadikannya benar-benar rusak dalam arti praktis. AES, cipher simetris yang paling banyak digunakan saat ini adalah melakukan dengan baik sejauh ini tetapi kami tidak dapat membuktikan bahwa ia tidak memiliki cacat yang membuat itu mudah pecah.
marcelm

2
"Enkripsi BUKAN sempurna" OK, tapi untuk semua tujuan praktis itu berfungsi dengan baik, menggunakan cipher yang tidak rusak dan panjang kunci yang dapat diterima. Satu peringatan umum adalah bahwa kebanyakan orang tidak menyadari FDE tidak melindungi data saat sistem dihidupkan.
Andrea Lazzarotto

2
Sekali lagi, kutipan terkenal dari Kevin Mitnick pasti menarik, tetapi jika Anda ingin bekerja IRL Anda harus mengenkripsi dan menyimpan file di suatu tempat.
Andrea Lazzarotto

9

Tidak, hanya karena file dimiliki oleh misalnya rootatau pengguna yang berbeda dari milik Anda tidak mengenkripsi itu.

Bergantung pada izin file yang ditetapkan untuk pemilik, grup, dan yang lainnya, sistem akan memberikan atau menolak pengguna untuk mengakses file dengan cara tertentu. Tentu saja, perlindungan ini hanya bekerja terhadap proses lain, sementara sistem sedang berjalan dan mengendalikan semua file I / O. Anda dapat membaca file apa pun hanya dengan mem-boot sistem operasi yang berbeda dan memasang disk Anda.


7

Singkatnya, tidak . Kepemilikan file dan izin akses adalah semacam kontrol akses. Enkripsi dan kontrol akses adalah konsep ortogonal (di sini berarti "independen"). Keduanya adalah metode untuk menerapkan / menegakkan otorisasi .

Enkripsi

berarti bahwa hanya agen yang memiliki kunci dekripsi yang dapat memperoleh akses ke "teks biasa" yang didekripsi dari file atau objek data. Akses ini dapat (sementara) diperluas ke agen lain, misalnya pengguna dari sistem yang sama yang menyimpan kunci dekripsi dalam memori.

Kontrol akses

berarti bahwa otoritas, misalnya sistem operasi yang berjalan di komputer, memutuskan siapa yang mendapatkan jenis akses ke sumber daya mana (yang mungkin berupa file, objek data, atau yang lainnya).

Mengapa mereka mandiri?

Sistem operasi mungkin tahu cara mendekripsi objek data terenkripsi untuk mendapatkan akses ke teks biasa, tetapi itu tidak berarti bahwa ia memperluas akses ini ke semua penggunanya. Biasanya akan menggunakan database kontrol akses untuk memutuskan kepada siapa akan memperluas akses (jika sama sekali).

Sebaliknya, pengguna mungkin memiliki akses ke dataset terenkripsi tetapi, karena tidak memiliki kunci dekripsi yang valid, tidak dapat memahaminya, yaitu tidak dapat mengakses teks polosnya. (Saat ini tidak dimungkinkan dengan sistem file dan alat sistem file apa pun yang dikirimkan dengan Ubuntu tetapi fitur tersebut sedang dalam pengembangan untuk Ubuntu out-of-the-box dalam bentuk fitur ext4 baru dan sudah tersedia di sistem file lain, misalnya ZFS dan NTFS, meskipun belum tentu di Linux.)


-1

Meskipun saya bukan pro di bidang TI, saya percaya tidak ada yang begitu miskin sehingga tidak ada yang bisa diberikan. Enkripsi hanya berarti bahwa format file diubah dan hanya pemilik yang diinginkan yang memiliki kunci untuk mendekripsi.

Ada dua metode keamanan komputer yaitu kriptografi dan keaslian. Saya akan memanggil otentikasi ini tetapi tidak enkripsi.

Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.