사서함에 빠르게 액세스하고 검색할 수 있으면서 사서함을 암호화하고 저장하는 좋은 방법이 있습니까?

사서함에 빠르게 액세스하고 검색할 수 있으면서 사서함을 암호화하고 저장하는 좋은 방법이 있습니까?

다음이 가능한지 알고 싶습니다.

  1. 시스템 관리자(예: 루트)가 볼 수 없는 방식으로 메일함을 저장합니다.
  2. 유효한 자격 증명을 가진 사용자는 이를 볼 수 있으며 바람직하게는 http를 통해 액세스할 수 있습니다.

나는 다음을 할 수 있다는 것을 알고 있습니다.

  • 암호화는 파티션 수준에서 수행되지만 시스템 관리자가 파티션 내 파일을 보는 것을 방지하지는 않습니다.
  • 이메일은 GPG 시스템을 사용하여 암호화되지만 이를 전체 편지함(예: 이 편지함에 있는 과거 및 미래의 이메일)에 적용할지 여부와 방법을 모르겠습니다.
  • roundcube와 같은 오픈 소스 웹 메일을 통해 사서함에 액세스하지만 그가 암호화된 사서함에 액세스할 수 있는지, 어떻게 액세스할 수 있는지 모르겠습니다.

이것이 가능한지 알고 계십니까?

답변1

이는 불가능합니다. 루트는 항상 모든 데이터에 액세스할 수 있습니다. 암호화하더라도 액세스 권한을 얻기 위해 암호를 해독하자마자 루트는 데이터를 스누핑하고 자격 증명을 스누핑할 수 있습니다. 로컬 루트에서는 어떤 것도 보호할 수 없습니다.

관리자를 신뢰하지 않는 컴퓨터에 파일을 저장할 수 있지만 파일을 암호화하고 서명해야 합니다. 즉, 신뢰할 수 있는 컴퓨터에서만 검색할 수 있습니다. 신뢰할 수 없는 컴퓨터에 이메일 및 검색 색인을 저장할 수 있지만 검색은 신뢰할 수 있는 컴퓨터에서 수행되어야 합니다. 가지다지속적인 연구암호화된 형태의 검색을 허용하는 것은 가능하지만 그것은 어려울 것입니다(검색 가능한 것과 암호화된 것은 근본적으로 모순됩니다). 소프트웨어가 조만간 출시될 것이라고는 기대하지 마십시오.

답변2

나는 이론적으로 이메일 사용자의 공개 키를 사용하여 서버에 들어오는 모든 이메일을 암호화하는 것이 가능해야 한다고 생각합니다. 그런 다음 이메일 사용자가 로컬 컴퓨터의 서버에서 이메일을 검색하면 개인 키를 사용하여 이메일을 해독할 수 있습니다.

수신 메일이 수신 측에서 여전히 가로채질 수 있기 때문에 아직 완벽하지는 않습니다. 물론 실제 보낸 사람의 서버에 이메일을 계속 저장하고 있을 수도 있습니다. 그러나 두 가지 측면에서 아무것도 없는 것보다 있는 것이 낫습니다. 1) 루트가 모든 트래픽을 지속적으로 모니터링하지 않으면 루트는 수신되고 저장된 메시지를 해독할 수 없습니다. 2) 대부분의 사람들이 그렇게 하려고 하거나 할 수 없기 때문에 연락처에 강제로 pgp나 암호화를 사용하지 않고도 자신의 서버에서 사용할 수 있다는 점에서 연락하기 쉽습니다. 이는 피크 루트, 오프라인 및 핫 백업의 대부분의 남용을 방지합니다. 적극적인 도청에 반대하는 것은 아닙니다(엄격하게 정부의 증거는 아니지만 여전히 강화되어 있습니다).

그러나 이것은 이론적인 것이므로 어떻게 해야 할지 모르겠습니다. 전체 폴더를 암호화하면 이메일 서버가 개별 메시지를 제공하지 못할 수도 있습니다. 일부 서버에서 단지 나가는 메시지 대신에 들어오는 메시지에 pgp 적용을 허용한다면 좋을 것입니다. 해결 방법은 암호화된 폴더를 다시 동기화하고 로컬 설정이나 하나의 개인 메일 서버가 암호화하여 개인 메일 서버로 보내는(보내지는 않음) 다른 이중 메일 서버 솔루션에서 실제 메일을 검색하는 것입니다.

답변3

데이터를 직접 볼 때는 루트 액세스를 방지할 수 없다고 생각하지만, 데이터를 볼 때는 확실히 루트 액세스를 방지할 수 있습니다.아니요그걸 써.

가장 쉬운 방법은 아마도 ecryptfs일 것입니다. 이것은 우분투 및 다른 표준의 표준입니다.

이를 설정하는 방법에는 두 가지가 있습니다. 1. 새 사용자를 생성할 때 전체 홈 디렉터리를 암호화하도록 선택할 수 있습니다. 2. 또는 "개인" 디렉터리의 내용만 암호화하도록 설정할 수도 있습니다.

두 번째 사항은 매우 간단하게 수행할 수 있습니다.

ecryptfs-setup-private

일반적으로 암호 해독 비밀번호는 로그인 비밀번호와 동일합니다. 즉, 한 번만 입력하면 로그인할 때 파일 시스템이 자동으로 마운트됩니다. 하지만 주의하세요. 귀하의 비밀번호는 단방향 암호화로 시스템 passwd 파일에 저장됩니다. 누구도 직접 읽을 수는 없지만 시간이 지나면 해독될 수 있습니다.

Ecryptfs는 비밀번호를 전혀 저장하지 않습니다. 대신, 입력한 비밀번호를 비밀번호로 사용하여 올바른 암호화 키를 해독하므로 대체 비밀번호를 사용하는 것이 더 안전합니다.

귀하의 목적에 맞게 모든 파일을 안전한 디렉토리에 저장하도록 이메일 클라이언트에 지시할 수 있습니다. Thunderbird에서는 이 작업을 매우 쉽게 수행할 수 있으며 메일이 암호화된 경우에도 메일을 효율적으로 검색할 수 있도록 메일을 색인화합니다. 나는 눈에 띄는 성능 저하 없이 매우 큰 메일 폴더를 이런 방식으로 유지했습니다.

관련 정보