Network Bound Disk Encryptionとは

Jun 9, 2019 | Publisher: moriwaka | Category: Technology |  | Collection: Red Hat | Views: 3 | Likes: 1

Network Bound Disk Encryptionとは レッドハット株式会社株式会社 2018-09-25 森若 和雄 kmoriwak@redhat.com> 2 Copyright Red Hat K.K. All rights reserved. このスライドの位置付けと目的スライドの位置付けと目的のスライドの位置付けと目的位置付けと目的けと目的 ● 対象 ● セキュリティ向上のためストレージ暗号化と、自動的に暗号向上のためストレージ暗号化と、自動的に暗号のためストレージ暗号化と、自動的に暗号ストレージ暗号化と、自動的に暗号暗号化と、自動的に暗号と、自動的に暗号自動的に暗号に暗号暗号 化と、自動的に暗号解除するするNBDEを活用したい人活用したい人したい人人 ● 目的に暗号 ● RHEL 7.4から提供が始まった提供が始まったが始まった始まったまったNetwork Bound Disk Encryption(NBDE)の概要紹介 ● NBDEが始まった解決するストレージ暗号化の問題と、解決しない問するストレージ暗号化と、自動的に暗号暗号化と、自動的に暗号の問題と、解決しない問と、自動的に暗号解決するストレージ暗号化の問題と、解決しない問しない人問 題と、解決しない問を活用したい人把握するする 3 Copyright Red Hat K.K. All rights reserved. 概要 ● 通常のストレージ暗号化のストレージ暗号化と、自動的に暗号暗号化と、自動的に暗号 ● Network Bound Disk Encryption(NBDE)とは ● tangサーバとはとは? ● clevisとは? ● tangサーバとはを活用したい人どこに暗号置くかくか? ● RHELでNBDEを活用したい人利用したい人する 4 Copyright Red Hat K.K. All rights reserved. 通常のストレージ暗号化のスライドの位置付けと目的ストレージ暗号化暗号化 ● LUKSストレージ暗号化と、自動的に暗号暗号化と、自動的に暗号 ● ストレージ暗号化と、自動的に暗号に暗号暗号化と、自動的に暗号された鍵を保存を活用したい人保存 ● ユーザーが始まったパスフレーズを入力を活用したい人入力 ● パスフレーズを入力で鍵を保存を活用したい人復号 ● 暗号化と、自動的に暗号/復号化と、自動的に暗号を活用したい人しなが始まったら提供が始まったストレージ暗号化と、自動的に暗号を活用したい人読み書きみ書き書きき アプリケーション プログラム 暗号化/復号化 ファイルシステム I/O 鍵 ストレージ パス フレーズ #%&*?! linux kernel 人が入力が入力入力 5 Copyright Red Hat K.K. All rights reserved. ストレージ暗号化暗号化のスライドの位置付けと目的目的 ● ストレージ暗号化と、自動的に暗号を活用したい人紛失しても情報が漏れないようにするしても情報が漏れないようにする情報が漏れないようにするが始まった漏れないようにするれない人ように暗号する ● 想定している問題してい人る問題と、解決しない問: 物理的に暗号盗難、自動的に暗号移動中の紛失、不適切の紛失しても情報が漏れないようにする、自動的に暗号不適切 な廃棄 etc. ※目的に暗号ではない人(実現されないされない人)こと: ● システムに侵入されてデータを盗まれることの予防に暗号侵入されてデータを盗まれることの予防を活用したい人盗まれることの予防 ● 特定している問題のアプリケーション以外からはデータを参照でき以外からはデータを参照できから提供が始まったはデータを盗まれることの予防を活用したい人参照できでき ない人ように暗号制限するする 6 Copyright Red Hat K.K. All rights reserved. ストレージ暗号化暗号化のスライドの位置付けと目的課題 ● 「ストレージ暗号化と、自動的に暗号を活用したい人紛失しても情報が漏れないようにするしても情報が漏れないようにする情報が漏れないようにするが始まった漏れないようにするれない人」ようにすように暗号す るためストレージ暗号化と、自動的に暗号、自動的に暗号ストレージ暗号化と、自動的に暗号の中の紛失、不適切に暗号鍵を保存そのも情報が漏れないようにするのは置くかけない人 → 最初に人間がパスフレーズを入力するに暗号人間がパスフレーズを入力するが始まったパスフレーズを入力を活用したい人入力する ● 問題と、解決しない問に暗号なるケース ● システムに侵入されてデータを盗まれることの予防台数が多い場合が始まった多い場合い人場合 ● 負荷に応じてシステムを増減させたい場合に暗号応じてシステムを増減させたい場合じてシステムに侵入されてデータを盗まれることの予防を活用したい人増減させたい場合させたい人場合 ● その他短い時間でストレージを使いはじめたい場合い人時間がパスフレーズを入力するでストレージ暗号化と、自動的に暗号を活用したい人使いはじめたい場合い人はじめストレージ暗号化と、自動的に暗号たい人場合 7 Copyright Red Hat K.K. All rights reserved. Network Bound Disk Encryptionとは ● ストレージ暗号化と、自動的に暗号のパスフレーズを入力を活用したい人自動的に暗号に暗号生成するする ● 「特定している問題のサーバとは(tang サーバとは)群」ようにすに暗号アクセスできる =パスフレーズを入力を活用したい人生成するできる =自動的に暗号に暗号暗号化と、自動的に暗号を活用したい人解除するできる ● 冗長化と、自動的に暗号のためストレージ暗号化と、自動的に暗号複数が多い場合のtangサーバとはを活用したい人利用したい人して、自動的に暗号あら提供が始まったかじめストレージ暗号化と、自動的に暗号 決するストレージ暗号化の問題と、解決しない問めストレージ暗号化と、自動的に暗号た台数が多い場合以上のためストレージ暗号化と、自動的に暗号に暗号アクセスできた場合に暗号鍵を保存を活用したい人生成する ● それぞれのtangサーバとはは独自の鍵を保存を活用したい人持ち共有しないち共有しない共有しないしない人 ※ストレージ暗号化と、自動的に暗号とtangサーバとは秘密鍵を保存の両方が漏洩すると暗号化解除されるが始まった漏れないようにする洩すると暗号化解除されるすると暗号化と、自動的に暗号解除するされる 8 Copyright Red Hat K.K. All rights reserved. tangサーバとはとは? ● 何か文字列を送ると秘密鍵で変換してから返信するだけか文字列を送ると秘密鍵で変換してから返信するだけを活用したい人送ると秘密鍵で変換してから返信するだけると秘密鍵を保存で変換してから返信するだけしてから提供が始まった返信するだけするだけ ● クライアン以外からはデータを参照できトでさら提供が始まったに暗号変換してから返信するだけしてパスフレーズを入力を活用したい人生成する 使い捨てランダム文字列い捨てランダム文字列捨てランダム文字列てランダム文字列ランダム文字列 変換された文字列された文字列文字列 クライアント株式会社 tangサーバ 通信内容を見てもを見ても見てもてランダム文字列も ストレージの鍵は鍵は わからない捨てランダム文字列 秘密鍵で変換変換された文字列 秘密鍵、使い捨てランダム文字列い捨てランダム文字列捨てランダム文字列てランダム文字列文字 列、tangサーバ応答から応答からから パスフレーズを見ても生成 ストレージを見ても 見てもてランダム文字列も、 クライアントの鍵は 秘密鍵だけで変換 パスフレーズは わからない捨てランダム文字列 tangサーバ応答からの鍵は秘密鍵は 漏洩しても更新できるしてランダム文字列も更新できるで変換きる (定期的な更新を推奨な更新できるを見ても推奨) 9 Copyright Red Hat K.K. All rights reserved. clevisとは? ● 複数が多い場合のtangサーバとは、自動的に暗号TPMなどを活用したい人組み合わせて利用するみ書き合わせて利用したい人する 仕組み合わせて利用するみ書き ● 例: ● tangサーバとは2台以上のためストレージ暗号化と、自動的に暗号に暗号接続できると自動的にパスフレーできると自動的に暗号に暗号パスフレー ズを入力を活用したい人生成するできる ● tangサーバとは2台以上のためストレージ暗号化と、自動的に暗号に暗号接続できると自動的にパスフレーできるかTPM2.0で保存され た鍵を保存が始まったあれば自動的に自動的に暗号に暗号パスフレーズを入力を活用したい人生成するできる 10 Copyright Red Hat K.K. All rights reserved. NBDEイメージ暗号化図 tang サーバ応答から tang サーバ応答から tang サーバ応答から クライアント クライアント クライアント クライアント 暗号化 ストレージ 暗号化 ストレージ 暗号化 ストレージ 暗号化 ストレージ たとえば自動的に2台以上のためストレージ暗号化と、自動的に暗号のtangサーバとはに暗号アクセスできると復号できる 11 Copyright Red Hat K.K. All rights reserved. tangサーバとははどこに置くか置くか? ● tangサーバとはの秘密鍵を保存と、自動的に暗号clevisが始まった管理するメタを盗まれることの予防データを盗まれることの予防の 両方が漏洩すると暗号化解除されるが始まった揃うとストレージの暗号化を解除できるうとストレージ暗号化と、自動的に暗号の暗号化と、自動的に暗号を活用したい人解除するできる ● 仮想化と、自動的に暗号を活用したい人利用したい人する場合に暗号tangサーバとはの鍵を保存と暗号化と、自動的に暗号スト レージ暗号化と、自動的に暗号が始まった同一のストレージに配置されないようにするのストレージ暗号化と、自動的に暗号に暗号配置くかされない人ように暗号する ● そも情報が漏れないようにするそも情報が漏れないようにする暗号化と、自動的に暗号した目的に暗号は「ストレージ暗号化と、自動的に暗号を活用したい人紛失しても情報が漏れないようにするしても情報が漏れないようにする情 報が漏れないようにするが始まった漏れないようにするれない人ように暗号する」ようにすこと ● 別のデータセンタに置いてのデータを盗まれることの予防セン以外からはデータを参照できタを盗まれることの予防に暗号置くかい人てVPNで接続できると自動的にパスフレーする等 12 Copyright Red Hat K.K. All rights reserved. RHELでNBDEを利用するする ● tangサーバとは側 # yum install tang # systemctl enable --now tangd.socket ● 暗号化と、自動的に暗号ストレージ暗号化と、自動的に暗号利用したい人側 # yum install clevis-luks clevis-dracut clevis-systemd # clevis luks bind -d /dev/sdX tang \ '{“url”:”http://tang.example.com”}' → tangサーバとはのキーを活用したい人確認し、既存のパスフレーズを入力し、自動的に暗号既存のパスフレーズを入力を活用したい人入力 # dracut -f ※ root fsを活用したい人暗号化と、自動的に暗号する場合DHCPではなく固定している問題のネットワーク設定している問題が始まったdracutで必要。 ※ root fs以外からはデータを参照できを活用したい人暗号化と、自動的に暗号する場合 /etc/crypttab etc/etc/crypttab crypttab で _netdev netdev 指定している問題を活用したい人おこなう。 13 Copyright Red Hat K.K. All rights reserved. Thank You 14 Copyright Red Hat K.K. All rights reserved. 関連資料 ● RHEL 7ドキュメン以外からはデータを参照できト「Security Guide」ようにす内「Network Bound Disk Encryption」ようにす ● https://access.redhat.com/documentation/en-us/ red_hat_enterprise_linux/7/html/security_guide/sec- using_network-bound_disk_encryption ● clevis ● https://github.com/latchset/clevis ● tang ● https://github.com/latchset/tang ● 理論的に暗号な背景であるであるMcCallum-Relyea exchangeの説明 15 Copyright Red Hat K.K. All rights reserved. 想定Q&A(1/2) ● 今はストレージを暗号化していないけど後からはストレージ暗号化と、自動的に暗号を活用したい人暗号化と、自動的に暗号してい人ない人けど後からから提供が始まったin-placeで暗号化と、自動的に暗号 するように暗号変更できるできる? ● できません ● 既存パスフレーズを入力は使いはじめたい場合えなくなるの? ● clevisは既存のパスフレーズを入力の他に暗号自動暗号化と、自動的に暗号解除するを活用したい人使いはじめたい場合えるように暗号 構成するします ● 暗号化と、自動的に暗号するとパフォーマン以外からはデータを参照できスは落ちるち共有しないる? ● はい人。暗号/復号のためストレージ暗号化と、自動的に暗号CPUが始まった消費されます。ストレージされます。ストレージ暗号化と、自動的に暗号I/Oが始まった多い場合い人 場合は事前に影響を確認してください。に暗号影響を確認してください。を活用したい人確認し、既存のパスフレーズを入力してください人。 16 Copyright Red Hat K.K. All rights reserved. 想定Q&A(2/2) ● tangの鍵を保存の更できる新ってどうするのってどうするの? ● tangサーバとはで新ってどうするのしい人鍵を保存を活用したい人作成する ● クライアン以外からはデータを参照できトでclevis bind luksを活用したい人再度実行 ● 古い鍵を使うクライアントがなくなったあとい人鍵を保存を活用したい人使いはじめたい場合うクライアン以外からはデータを参照できトが始まったなくなったあとtangサーバとはから提供が始まった古い鍵を使うクライアントがなくなったあとい人 鍵を保存を活用したい人削除する 17 Copyright Red Hat K.K. All rights reserved. (おまけ)tangサーバとはのスライドの位置付けと目的仕組みみ ● 登録 クライアン以外からはデータを参照できト側 クライアン以外からはデータを参照できトの秘密A ラン以外からはデータを参照できダムに侵入されてデータを盗まれることの予防なパスフレーズを入力Kを活用したい人生成する Kを活用したい人使いはじめたい場合い人ストレージ暗号化と、自動的に暗号暗号化と、自動的に暗号 a=gA, b, k=KbAを活用したい人保存 AとKを活用したい人破棄 ● 回復 使いはじめたい場合い人捨てのてのXを活用したい人作り x = agX を活用したい人送ると秘密鍵で変換してから返信するだけ信するだけ → k÷(xB ÷bX) でKを活用したい人回復  tangサーバとは側 サーバとはの秘密B ← b = gB を活用したい人送ると秘密鍵で変換してから返信するだけ信するだけ     ← xBを活用したい人送ると秘密鍵で変換してから返信するだけ信するだけ 18 Copyright Red Hat K.K. All rights reserved. (おまけ)複数tangサーバとはに置くかよる回復 ● 「シャミアの秘密分散法」を利用」ようにすを活用したい人利用したい人 ● パスフレーズを入力を活用したい人回復するためストレージ暗号化と、自動的に暗号に暗号必要なサーバとは数が多い場合を活用したい人k台 とする ● 関数が多い場合 f(x)=a0+a1x+a2x2+...+ak-1xk-1 として、自動的に暗号パスフレー ズを入力回復に暗号使いはじめたい場合う秘密を活用したい人a0とする。a1から提供が始まったak-1は乱数が多い場合 ● tangサーバとはから提供が始まった回復した鍵を保存が始まったそれぞれf(x)上のためストレージ暗号化と、自動的に暗号の異なるなる 点(ただしx!=0)を活用したい人示すよう構成するすよう構成するする ● k-1次関数が多い場合上のためストレージ暗号化と、自動的に暗号のk個の点が確定するとの点が始まった確定している問題するとf(x)が始まった確定している問題 し、自動的に暗号f(0)=a0を活用したい人求めることができるので秘密が回復でめストレージ暗号化と、自動的に暗号ることが始まったできるので秘密が始まった回復で きる 3点を通るを見ても通る2次関数はは 一意に定まるが、に定まるが、定まるが入力、 2点を通るしかわからない捨てランダム文字列と 関数はは定まらない捨てランダム文字列

Comments

You must log in to comment

×

Modal Header

Modal body