Ciencia y tecnología

Guía de inicio rápido de cifrado nativo OpenZFS

Published

3 años ago

junio 24, 2021

Guía de inicio rápido de cifrado nativo OpenZFS

Agrandar / El cifrado en disco es un tema complejo, pero este artículo debería darle una buena idea de la implementación de OpenZFS.

Una de las muchas características que trae OpenZFS a la mesa es el cifrado nativo ZFS. Introducido por primera vez en OpenZFS 0.8, el cifrado nativo permite al administrador del sistema cifrar de forma transparente los datos en reposo en el propio ZFS. Esto evita la necesidad de herramientas independientes como LUJO, VeraCrypt, o entonces Bitlocker.

El algoritmo de cifrado de OpenZFS está predeterminado en aes-256-ccm (antes de 0.8.4) o aes-256-gcm (> = 0.8.4) cuando encryption=on Está establecido. Pero también se puede especificar directamente. Los algoritmos admitidos actualmente son:

aes-128-ccm
aes-192-ccm
aes-256-ccm (predeterminado en OpenZFS <0.8.4)
aes-128-gcm
aes-192-gcm
aes-256-gcm (predeterminado en OpenZFS> = 0.8.4)

Sin embargo, el cifrado nativo de OpenZFS no se limita a los algoritmos utilizados. Por lo tanto, intentaremos brindarle una base breve pero sólida desde el punto de vista de un administrador del sistema sobre el «por qué» y el «qué», así como el simple «cómo».

¿Por qué (o por qué no) el cifrado nativo OpenZFS?

Un administrador de sistema inteligente que quiera proporcionar cifrado en reposo, obviamente, no necesita cifrado OpenZFS nativo. Como se mencionó en la introducción, LUKS, VeraCrypt, y hay muchos otros esquemas disponibles que pueden colocarse debajo o encima del propio OpenZFS.

Primero el «por qué no»

Pon algo como linux LUKS bajo OpenZFS tiene una ventaja: con el todo disco cifrado, un atacante emprendedor ya no puede ver los nombres, tamaños o propiedades de ZFS datasets y zvols sin acceso a la llave. De hecho, el atacante no puede ver necesariamente que ZFS está en uso.

Pero hay importantes inconvenientes que se deben poner LUKS (o similar) en OpenZFS. Uno de los más molestos es que cada individual el disco que formará parte del grupo debe estar cifrado, cada volumen se debe cargar y descifrar antes del grupo ZFS import paso. Esto puede ser un desafío notable para los sistemas ZFS con muchos discos; en algunos casos, muchos decenas discos. Otro problema con el cifrado en ZFS es que la capa adicional es una cosa más que puede salir mal, y puede anular todas las garantías de integridad normales de ZFS.

READ Spotify pospone planes para agregar compatibilidad con AirPlay 2 a su aplicación iOS

Poniendo LUKS o similar en OpenZFS elimina los problemas mencionados anteriormente: un LUKS cripta zvol solo necesita una clave independientemente del número de discos involucrados, y el LUKS La capa no puede anular las garantías de integridad de OpenZFS desde aquí. Desafortunadamente, el cifrado en ZFS presenta un nuevo problema: debilita efectivamente la compresión en línea de OpenZFS, porque los datos cifrados generalmente son incompresibles. Este enfoque también necesita el uso de un zvol por sistema de archivos cifrado, así como un sistema de archivos invitado (por ejemplo, ext4) para formatear el LUKS volumen mismo con.

Ahora el «por qué»

El cifrado nativo OpenZFS divide la diferencia: funciona sobre las capas normales de almacenamiento de ZFS y, por lo tanto, no socava las garantías de integridad de ZFS. Pero tampoco interfiere con la compresión ZFS: los datos se comprimen antes de guardarse en un archivo cifrado. dataset o entonces zvol.

Sin embargo, existe una razón aún más convincente para elegir el cifrado OpenZFS nativo, que se denomina «carga sin procesar». La replicación ZFS es ridículamente rápida y eficiente, a menudo varios órdenes de magnitud más rápida que las herramientas independientes del sistema de archivos como rsync– y el envío sin procesar no solo permite replicar cifrado datasetla arena zvols, pero hacerlo sin exponer la llave al sistema remoto.

Esto significa que puede utilizar la replicación ZFS para realizar una copia de seguridad de sus datos en un no hay confianza ubicación, sin preocuparse por leer sus datos privados. Con el envío sin procesar, sus datos se replican sin nunca ser descifrados y sin que el objetivo de la copia de seguridad pueda descifrarlos. Esto significa que puede replicar sus copias de seguridad fuera del sitio en la casa de un amigo o en un departamento de ventas como rsync.net o entonces zfs.rent sin comprometer su privacidad, incluso si el servicio (o amigo) en sí está comprometido.

READ Descarga los nuevos fondos de pantalla de macOS Monterey aquí

En caso de que necesite recuperar su copia de seguridad externa, simplemente puede replicarla. espalda en su propia ubicación, entonces, y Sólo luego cargue la clave de descifrado para acceder realmente a los datos. Esto funciona para la replicación completa (moviendo cada bloque en el cable) o la replicación incremental asincrónica (comenzando desde una instantánea común y moviendo solo los bloques que han cambiado desde esa instantánea).

¿Qué está cifrado y qué no?

El cifrado nativo de OpenZFS no es un esquema de cifrado de disco completo: está habilitado o deshabilitado por conjunto de datos / por zvol, y no se puede habilitar para grupos completos como un todo. El contenido de los conjuntos de datos cifrados o zvols están protegidos contra la indagación en reposo, pero los metadatos que describen los conjuntos de datos / zvols en sí no lo están.

Digamos que creamos un conjunto de datos cifrado llamado pool/encryptedy, a continuación, creamos varios conjuntos de datos secundarios más. la encryption La propiedad de los hijos se hereda de forma predeterminada del conjunto de datos principal, por lo que podemos ver lo siguiente:

root@banshee:~# zfs create -o encryption=on -o keylocation=prompt -o keyformat=passphrase banshee/encrypted
Enter passphrase: 
Re-enter passphrase: 

root@banshee:~# zfs create banshee/encrypted/child1
root@banshee:~# zfs create banshee/encrypted/child2
root@banshee:~# zfs create banshee/encrypted/child3

root@banshee:~# zfs list -r banshee/encrypted
NAME                       USED  AVAIL     REFER  MOUNTPOINT
banshee/encrypted         1.58M   848G      432K  /banshee/encrypted
banshee/encrypted/child1   320K   848G      320K  /banshee/encrypted/child1
banshee/encrypted/child2   320K   848G      320K  /banshee/encrypted/child2
banshee/encrypted/child3   320K   848G      320K  /banshee/encrypted/child3

root@banshee:~# zfs get encryption banshee/encrypted/child1
NAME                      PROPERTY    VALUE        SOURCE
banshee/encrypted/child1  encryption  aes-256-gcm  -

Por ahora, todos nuestros conjuntos de datos cifrados están reunidos. Pero incluso si los desmontamos y descargamos la clave de cifrado, haciéndolos inaccesibles, todavía podemos ver que existir, así como sus propiedades:

root@banshee:~# wget -qO /banshee/encrypted/child2/HuckFinn.txt http://textfiles.com/etext/AUTHORS/TWAIN/huck_finn

root@banshee:~# zfs unmount banshee/encrypted
root@banshee:~# zfs unload-key -r banshee/encrypted
1 / 1 key(s) successfully unloaded

root@banshee:~# zfs mount banshee/encrypted
cannot mount 'banshee/encrypted': encryption key not loaded

root@banshee:~# ls /banshee/encrypted/child2
ls: cannot access '/banshee/encrypted/child2': No such file or directory

root@banshee:~# zfs list -r banshee/encrypted
NAME                       USED  AVAIL     REFER  MOUNTPOINT
banshee/encrypted         2.19M   848G      432K  /banshee/encrypted
banshee/encrypted/child1   320K   848G      320K  /banshee/encrypted/child1
banshee/encrypted/child2   944K   848G      720K  /banshee/encrypted/child2
banshee/encrypted/child3   320K   848G      320K  /banshee/encrypted/child3

Como podemos ver arriba, después de descargar la clave de cifrado, ya no podemos ver nuestra copia recién descargada de Finn arándano dentro /banshee/encrypted/child2/. Lo que lata todavía vemos la existencia – y estructura – de todo nuestro árbol encriptado ZFS. También podemos ver las propiedades de cada conjunto de datos cifrados, incluidos, entre otros, los USED, AVAIL, y REFER de cada conjunto de datos.

READ El tema oscuro de Chrome para Android ahora es un poco más oscuro

Cabe señalar que intentar ls un conjunto de datos cifrado cuya clave no está cargada no necesariamente producirá un error:

root@banshee:~# zfs get keystatus banshee/encrypted
NAME               PROPERTY   VALUE        SOURCE
banshee/encrypted  keystatus  unavailable  -
root@banshee:~# ls /banshee/encrypted
root@banshee:~#

Esto se debe a que existe un directorio simple en el host, incluso cuando el conjunto de datos real no está montado. Recargar la clave no carga automáticamente el conjunto de datos:

root@banshee:~# zfs load-key -r banshee/encrypted
Enter passphrase for 'banshee/encrypted': 
1 / 1 key(s) successfully loaded
root@banshee:~# zfs mount | grep encr
root@banshee:~# ls /banshee/encrypted
root@banshee:~# ls /banshee/encrypted/child2
ls: cannot access '/banshee/encrypted/child2': No such file or directory

Para acceder a nuestra nueva copia de Finn arándano, también necesitaremos montar los conjuntos de datos recién recargados:

root@banshee:~# zfs get keystatus banshee/encrypted/child2
NAME                      PROPERTY   VALUE        SOURCE
banshee/encrypted/child2  keystatus  available    -

root@banshee:~# ls -l /banshee/encrypted/child2
ls: cannot access '/banshee/encrypted/child2': No such file or directory

root@banshee:~# zfs mount -a
root@banshee:~# ls -lh /banshee/encrypted/child2
total 401K
-rw-r--r-- 1 root root 554K Jun 13  2002 HuckFinn.txt

Ahora que ambos hemos cargado la clave necesaria y montado los conjuntos de datos, podemos revisar nuestros datos cifrados.

Carlos Santander

Soy un profesional de gestión deportiva con conocimientos adecuados sobre la industria del deporte en España.
Tengo varias habilidades que me han ayudado a trabajar en diferentes sectores del deporte en España, incluyendo eventos deportivos, desarrollo de base para el deporte e infraestructura deportiva.

Ciencia y tecnología

Tendrás otra oportunidad de reservar la PS5 con temática retro hoy

Published

2 semanas ago

octubre 29, 2024

Carlos Santander

Tendrás otra oportunidad de reservar la PS5 con temática retro hoy

Está a punto de tener otra oportunidad si se perdió la breve ventana de reserva de Sony para su Consola PS5 30 aniversario. El hardware de temática retro se agotó en un instante durante su período de pedido anticipado inicial el 26 de septiembre, dejando a los fanáticos furiosos con el predecible y frustrante proceso de pedido de Sony. Una alerta en la página del producto Sony (a través de kotaku) indica que la segunda ronda se llevará a cabo el martes 29 de octubre al mediodía ET.

Las consolas y accesorios de edición limitada tienen una apariencia retro que recuerda a la PlayStation original, que se lanzó en Japón en 1994. Esto incluye una elegante combinación de colores grises que le da espacio al logotipo de Playstation de la vieja escuela para resaltar.

El mensaje (“Verifique nuevamente el 29 de octubre a partir de las 9:00 a. m. PDT”) solo aparece en las páginas de productos del 30.° aniversario de la Paquete delgado de PS5 de $ 500 Y Controlador DualSense de $ 80. Desafortunadamente, no aparece ningún mensaje de este tipo al revertir Paquete profesional de PS5 O Portal de PlayStation páginas de productos.

Suponiendo que solo esté disponible el paquete Slim, esta será su segunda (y posiblemente última) oportunidad de obtener la más barata de las dos consolas. Incluye la PS5 Slim digital (¡sin unidad de disco!), un controlador DualSense estándar (también temático para la ocasión), una carcasa de conector de cable retro, bridas para cables con forma de PlayStation y un soporte vertical. Ah, y hay algunos obsequios adicionales como una calcomanía, un póster y un clip de PlayStation, que solo podemos imaginar se venderán por tres cifras en eBay después de que llegue el paquete el 21 de noviembre.

READ Descarga los nuevos fondos de pantalla de macOS Monterey aquí

Carlos Santander

Ciencia y tecnología

Google ahora vende teléfonos Pixel a precios con grandes descuentos gracias a su nuevo programa de reacondicionado certificado

Published

2 semanas ago

octubre 29, 2024

Carlos Santander

Google ahora vende teléfonos Pixel a precios con grandes descuentos gracias a su nuevo programa de reacondicionado certificado

Lo que necesitas saber

Google ha anunciado el lanzamiento y la disponibilidad de varios Pixel de generación anterior en su tienda a través del programa Teléfono reacondicionado certificado.
Los consumidores pueden obtener un Pixel 7, 7 Pro, 6, 6 Pro o 6a en Google Store hoy (28 de octubre) con piezas nuevas y originales y el último sistema operativo Android.
Google dice que trabajará para incorporar más generaciones de Pixel a este programa, pero probablemente pasará mucho tiempo antes de que aparezca el Pixel 9.

Google lanza un programa de teléfonos reacondicionados para consumidores que ofrece píxeles «asequibles»

en un Publicación de palabras claveGoogle ha anunciado el lanzamiento de su programa de teléfonos reacondicionados certificados para consumidores estadounidenses. Con el lanzamiento del programa, la compañía dice que los consumidores pueden explorar una selección de dispositivos Pixel 7, 7 Pro, 6, 6 Pro y 6a reacondicionados en Google Store. Sin embargo, esto parece ser solo el comienzo, ya que Google dice que la gente podrá volver más tarde para ver qué otras generaciones de Pixel se han agregado.

Estos teléfonos reacondicionados de generaciones anteriores recibirán envío gratuito y son elegibles para devoluciones gratuitas. Los dispositivos mencionados anteriormente son disponible en Google Play Store hoy (28 de octubre). En su listado, el Pixel 7 Pro cuesta $629 (menos $270) mientras que el Pixel 6 Pro cuesta $339 (menos $260).

Además, Google no ha dado una fecha (o qué teléfonos esperar), por lo que probablemente habrá un anuncio futuro sobre esta disponibilidad.

Luego, Google detalló qué hace que un teléfono sea elegible para la etiqueta «reacondicionado». Según su mensaje, inspeccionará la batería, la «carcasa» y las pantallas de un Pixel. Si algún aspecto requiere cuidados adicionales, enviará el teléfono a sus técnicos quienes reemplazarán las áreas dañadas con piezas “genuinas”. Además, Google garantiza que cada uno de sus Pixel reacondicionados recibe «el último software de Android».

READ Spotify pospone planes para agregar compatibilidad con AirPlay 2 a su aplicación iOS

Los consumidores que compren un Pixel reacondicionado también recibirán una garantía limitada de un año y acceso a su atención al cliente.

En aras de un planeta más limpio, Google dice que cualquier teléfono reacondicionado que los consumidores puedan comprar estará empaquetado en cajas 100% libres de plástico.

(Crédito de la imagen: Harish Jonnalagadda / Android Central)

El enfoque de Google en teléfonos reacondicionados con un programa es algo bueno, especialmente porque Samsung (y Apple) lideraron la carga en este departamento hace unos años. Además, Google está siguiendo los pasos de Samsung al ofrecer una garantía limitada de un año para estos teléfonos actualizados. Samsung también continuó expandiendo su programa Certified Re-Newed para teléfonos inteligentes al agregar el Galaxy S23 Ultra a principios de este año.

Es probable que pase un tiempo antes de que los usuarios vean un dispositivo de la serie Pixel 9 en Google Store con una etiqueta de «reacondicionado». De todos modos, quienes compraron la serie más nueva recibieron aún más asistencia con las reparaciones del hogar. Google ofrece manuales de reparación de Pixel 9 en un sitio web de soporte que los usuarios pueden descargar. Aunque los manuales que se ofrecen no son cortos (a menudo cientos de páginas), aparentemente son fáciles de digerir.

La llegada de dichos manuales probablemente sea el resultado de que los ejecutivos de Google hayan declarado anteriormente que «quieren que todos» puedan reparar su dispositivo.

Carlos Santander

READ Luna Azul: cuando y como ver este fenómeno astronómico en México, que ocurre cada dos años y medio

Ciencia y tecnología

El nuevo Magic Mouse USB-C todavía tiene el puerto de carga en la parte inferior

Published

2 semanas ago

octubre 29, 2024

Carlos Santander

El nuevo Magic Mouse USB-C todavía tiene el puerto de carga en la parte inferior

Hay muchos memes en Internet sobre el Magic Mouse de Apple porque los usuarios tienen que darle la vuelta para enchufarlo al cargador. Pero si pensaba que Apple cambiaría eso con el lanzamiento del nuevo Magic Mouse hoy, tenemos malas noticias. Aunque ahora tiene USB-C, el puerto de carga todavía está en la parte inferior del mouse.

El puerto USB-C del nuevo Magic Mouse todavía está en la parte inferior

Junto con el nuevo iMac M4, Apple anunció el lunes nuevas versiones de sus accesorios «Magic» para Mac, incluidos un nuevo mouse, teclado y trackpad Magic. Como predijimos, las nuevas versiones son prácticamente iguales a las anteriores, excepto que ahora tienen un puerto de carga USB-C en lugar de Lightning.

Pero ¿qué pasa con uno de los aspectos más criticados del Magic Mouse? Aunque las imágenes de marketing de Apple no muestran el nuevo mouse desde muchos ángulos, el archivo 3D utilizado para obtener una vista previa del nuevo iMac en realidad aumentada confirma que el puerto de carga del Magic Mouse todavía está en la parte inferior.

El primer Magic Mouse se presentó en 2009 y se distinguía por su superficie multitáctil. En ese momento, el mouse funcionaba con baterías extraíbles, por lo que los usuarios podían simplemente reemplazar las baterías y continuar usando el mouse. En 2015, Apple lanzó el Magic Mouse 2 con el mismo diseño, pero ahora con una batería interna recargable.

El puerto Lightning para cargar se ha colocado en la parte inferior del ratón, lo que ha generado muchas críticas por parte de los usuarios. No es posible utilizar el Magic Mouse 2 mientras se está cargando. Aunque muchos afirman que cargar el mouse solo toma unos minutos, este tiempo puede ser crítico cuando la batería se agota mientras está en funcionamiento.

READ Resultados de la encuesta semanal: fuerte demanda del Galaxy S22 Ultra, los otros dos están a la sombra

A lo largo de los años, muchas personas han propuesto diferentes soluciones para el diseño del Magic Mouse, entre ellas Cajas con el puerto en el lateral. o con Soporte para cargador Qi. El problema es que Apple impide que el Magic Mouse funcione cuando está encendido. Este no es el caso del Magic Keyboard o Trackpad, que se pueden utilizar mientras se carga.

Apple vende el nuevo Magic Mouse USB-C por 79 dólares en su sitio weby hay una versión en negro por $99 (aunque tienen el mismo hardware). La empresa no vende las versiones en color, que se envían con el iMac, por separado. Aún puedes comprar la versión Lightning con descuento en Amazon.