Слои защиты. Три уровня шифрования в сетевых хранилищах QNAP - «Новости»

За­шиф­рован­ный том мож­но заб­локиро­вать, в резуль­тате чего том будет раз­монти­рован. Это тоже занима­ет доволь­но мно­го вре­мени (при­мер­но пять минут на нашей тес­товой сис­теме QNAP TS-453Be). Веро­ятно, с точ­ки зре­ния раз­работ­чиков бло­киров­ка зашиф­рован­ного тома не счи­тает­ся рутин­ной опе­раци­ей и, соот­ветс­твен­но, не нуж­дает­ся в опти­миза­ции.

Ключ шиф­рования мож­но сох­ранить в файл с рас­ширени­ем .key, раз­мером 256 байт. Спо­соб пре­обра­зова­ния клю­ча LUKS в содер­жимое фай­ла не иссле­довал­ся. Содер­жимое фай­ла меня­ется каж­дый раз при его сох­ранении, поэто­му опре­делить, меня­ется ли ключ пос­ле изме­нения пароля, не уда­лось.

Раз­бло­киро­вать том мож­но, вве­дя пароль или пре­дос­тавив файл с клю­чом.

Раз­бло­киров­ка тома на тес­товом устрой­стве QNAP TS-453Be занима­ет око­ло пяти минут. Это еще одно дей­ствие, которое поль­зовате­ли не будут совер­шать регуляр­но, а посему в опти­миза­ции не нуж­дающееся.

Па­роль шиф­рования мож­но сме­нить через поль­зователь­ский интерфейс. Сме­на пароля так­же отно­сит­ся к заняти­ям ред­ким и потому, оче­вид­но, не нуж­дающим­ся в опти­миза­ции. (В скоб­ках: и заг­рузка NAS тоже отно­сит­ся к таким не нуж­дающим­ся в опти­миза­ции про­цес­сам. Мне хотелось бы взгля­нуть на пол­ный спи­сок таких вещей, что­бы знать точ­но, что имен­но, с точ­ки зре­ния раз­работ­чиков QTS, я не дол­жен делать регуляр­но.) Сме­на пароля тре­бует раз­монти­рова­ния зашиф­рован­ного тома (пять минут) и его пос­леду­юще­го мон­тирова­ния (еще пять минут). Ито­го — десять минут на сме­ну пароля.

Детали реализации

Как уже было ска­зано, QNAP исполь­зует механизм cryptsetup и шифр AES-256. Под­робные инс­трук­ции по мон­тирова­нию зашиф­рован­ных томов есть на стра­нице Mounting QNAP encrypted volumes; пароль для это­го необ­ходим.