Meraba, Çalıştığım firmada hazırladığımız bir ürün var, ve bunun üzerinde Debian Etch koşuyor. Güvenlik ihtiyacı sebebiyle sunucu üzerindeki bazı disk bölümlerini şifrelemek istiyoruz. Bununla ilgili yaptığım araştırmalarda bulduğum kullanılan iki yöntem dm-crypt ve loop-aes. Bunların ikisini de kurdum ve ilgili bölüm şifreli bir şekilde çalışıyor. Fakat sorunum şu ki, hem dm-crypt'de hem de loop-aes'de disk bölümü sisteme bağlanırken şifre soruluyor. Sunucumuzun imajını dd'yle çoğaltıp müşterilere ürün olarak verdiğimiz için, müşteriden de makinanın yeniden başlatılma durumlarında şifre girmesini bekleyemeyeceğimiz için disk bölümü bağlanırken şifre sorulmaması gerekiyor. Bunun bir yolu olarak loop-aes'de gpg anahtarı kullanıp, gpg anahtarı için alt anahtar üreterek şifre sorulmasının önüne geçilebiliyormuş (http://www.gnupg.org/faq.html#q4.14). Loop-aes'i kurmak için okuduğum dökümanlarda (http://riseuplabs.org/grimoire/storage/encryption/loop-aes/) ilgili geridönüş aygıtı için gpg anahtarı oluştururken simetrik anahtar oluşturulmasını anlatıyor. Fakat, bu simetrik anahtar oluşturulduktan sonra da anahtara ait bir key id gibi benzeri bilgiler verilmiyor.
Sormak istediğim şu, gpg'de simetrik anahtar üretildiğinde (gpg --symmetric), açık anahtar kriptografiyle üretilen yöntemin (gpg --gen-key) tersine key id üretilmiyor mu? http://www.gnupg.org/faq.html#q4.14 bağlantısında belirtilen yöntemi uygulayabilmem için gpg --gen-key komutunu kullanarak bir anahtar çifti mi üretmeli miyim? Ya da gpg'nin dışına çıkarsak, loop-aes gibi bir çözümü kullanıcıya şifre sorulmadan nasıl kullanabilirim? Elbette şifre girilmesinin engellenmesi önemli bir güvenlik zaafıdır diyebilirsiniz, buna diyecek bir şeyim yok,sunucuları aralıklarla yeniden başlattığımız ve müşteriden de gerektiği zaman şifre girmesini bekleyemeyeceğimiz için bu yönteme mecburuz. Yoksa benim de tercihim makinanın başına geçilip şifre girilmesinden yana. Bu konuda deneyim yaşamış arkadaşlar varsa yardımınızı rica ediyorum. Baya bir zamandır bu konuyla ilgileniyorum. Ve birçok döküman inceledim. Kendi başıma yapabileceklerimin sonuna geldiğimi hissettiğim için size danışmak istedim. Teşekkür Ederim Azer Demir _______________________________________________ Linux-guvenlik mailing list [email protected] http://liste.linux.org.tr/mailman/listinfo/linux-guvenlik
