1. Forum
  2. Usenet
  3. LINUX.DEBIAN.USER.ITALIAN

  • Re: [OT] Consiglio per cifratura file

    From Leandro Noferini@21:1/5 to Alessandro Baggi on Mon Jan 27 17:10:01 2025
    Alessandro Baggi <[email protected]> writes:

    [...]

    Quali tra i due metodi è migliore?

    Non conosco il primo e uso il secondo estesamente ma in generale nel
    campo della crittografia lo soluzioni più usate sono quelle da seguire.

    --
    Ciao
    leandro

    --=-=-Content-Type: application/pgp-signature; name="signature.asc"

    -----BEGIN PGP SIGNATURE-----

    iQJNBAEBCAA3FiEEGgsSWy5NLa5OJkVRiPu7zHopZAsFAmeXrn4ZHGxub2Zlcmlu QGN5YmVydmFsbGV5Lm9yZwAKCRCI+7vMeilkC2K5D/4pn945ByqmUfFmQ/vlFTGi MzxSFFJcRALjwd2yW7kxU/Kj+o/MqRUrXg24ScfqvHqDA8HsKvj24qY9siZ8cDAy RT4TzORDul3gmWrlRHvuHnIlgdaBMe0PYggaPf5WVqt3YNchEr85Hf0cXNu8qsUo C5ZvSEJIg3s/OvfSf63tQyXxqDRNfwsMg4yLhjm7HUjlQ8fuWVpegkZGh2a6RbJ0 k5Ndff7Muj2N74l/MEqn1u1KvHAQP5SL6T/t9hpkGKrvz/V/+cm/VCaUuqMbkGHt DPC31yZawr2QrRq7hw0eTYrnxul54OuD4harIue2YZF44jSMGyIJLt00XDvg+wTX cwB3j2tpUxYeQDnGLK5tT8+RMoVq+UMOfrjTBixKJN5MezPkzH1jG7Dy/5iedUiU wn0pkqC7IU6PO2rIICY7xKU/4nVlkA7LjWBfRjM0LdrBOYv/jaflBmqvLjAX0riW 4sSpxj69asApApYmJXRnqG/w1VsuAaOoe4m9G/Ep2+sxWsh5kyJMYa7A5Nvap2FO oHWb+16sMk32stvwcRn/rJ2Nxny0uvb0VgTvHqE0Zna+A+fa0wf4dFZG5VKgDz4G agMGpTMa9basKsbRYcAoSQx7gBiEJFoYwD2wl3QlhXtj2ZQtUcxf51Pa+8XyNlAE DMo+QnyT0iG0hfnaDWXJFQ==uKeA
    -----END PGP SIGNATURE-----

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Leandro Noferini@21:1/5 to Alessandro Baggi on Tue Jan 28 10:30:02 2025
    Alessandro Baggi <[email protected]> writes:

    [...]

    gocryptfs è nato nel 2015 quindi è relativamente nuovo.

    E difatti non so quanto valga la pena rischiare che poi venga
    abbandonato e trovarsi con roba difficilmente recuperabile.

    Il tuo caso di utilizzo è il luks file container oppure luks su device reali?

    Device reali quindi ti aiuto poco con quello.

    Nel caso in cui il tuo caso d'uso sia simile al mio (quindi non su
    device), hai qualche consiglio o suggerimento?

    Per le directory in verità io uso ecryptfs e mi ci trovo assolutamente
    bene per lo meno per l'uso che ne faccio io, fondamentalmente directory
    con poche scritture come le home e cose così.

    --
    Ciao
    leandro

    --=-=-Content-Type: application/pgp-signature; name="signature.asc"

    -----BEGIN PGP SIGNATURE-----

    iQJNBAEBCAA3FiEEGgsSWy5NLa5OJkVRiPu7zHopZAsFAmeYodYZHGxub2Zlcmlu QGN5YmVydmFsbGV5Lm9yZwAKCRCI+7vMeilkCyzFD/4q2VasIEz4e9o3VXSk/Wek /9JKXQHx5bnImfyU1aCItnnq29I6s13pA97a4+DqcHGT3Qd8AEObHa3RdjbgswwT RVcyqvwk6YjUQS0JAXdF5eQce3vcIR1sRxCwESO5+aX/DA3Vme+AF+IjLmaxXmuo NZ1qb9LHG7zXpbdWJfm/JgdaXzOuJSDipPfGGvSsi8BGE+t6OWrlMPcdJnv5NM87 L5syJI9d7lYGGQOx8wz4fPv7ZxHuNkM+ygKcgY8e67j7ZYBvb94o09GvrfQWOA1d oHBgdfb3gTesUfVR/C6Gw9vA8IhvU0MNYNIJBCkA8bZOTvHuu7P2/Q3gAnAivJVR B5gia1Gxsfq8mvZ2zyZg72FgsR4/GiSg0HZYsRjGbokE47rL+uyQWSzLEIwNCJTp mkJEsJWh36AnpyhkPdnDohnPyEaMMkj/vmcXKIG9aDWnqXov75laTzVKI9KPl+LN qS1xPw9aS9SH+mEJMlbFKBvBRYIewanw8Jzt7JV40LwdCk77wNi+vSa2rTLTlN/w GZZWMnYtsOyPmSlNHUFgFYx7wmgeiQZQZrtSaxiR2zPTcmKYMm/2ikAJMhVowoeG DdNhCdBoTzlZf4PRuAn2tHac4A5PY0FQEYsX4tL2V+tCSUi92KF/362nklI9sArK VZ7np+0YAE+XG/MNDdIsGw==RD41
    -----END PGP SIGNATURE-----

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Leandro Noferini@21:1/5 to Alessandro Baggi on Tue Jan 28 11:40:01 2025
    Alessandro Baggi <[email protected]> writes:

    [...]

    avevo preso in considerazione ecryptfs perche era integrato nel
    kernel. L'unico problema è che, non ricordo dove l'ho letto, che è "deprecato" e che verrà eliminato dal kernel. Non so quanto sia verò
    ma girando in rete sembra poco usato e gli utenti preferiscono cose
    come cryfs, gocryptfs o fscrypt (per ext4).

    È probabile che sia poco usato ma la cosa dell'essere deprecato, da quel
    che so io, risale ad una (molto) vecchia versione e la situazione
    dovrebbe essere stata risolta perché è sempre lì e va che è una bellezza (io lo uso con homed) ;-)

    C'erano stati dei discorsi sul fatto che non è il più resistente agli attacchi di tutti ma qui si entra nel problema del sapere quale
    situazione si pensa di dover affrontare: le mie richieste sono
    abbastanza basilari, nel senso che se dovessi perdere il portatile i
    miei dati non sono a disposizione di chiunque, tutto qua.

    --
    Ciao
    leandro

    --=-=-Content-Type: application/pgp-signature; name="signature.asc"

    -----BEGIN PGP SIGNATURE-----

    iQJNBAEBCAA3FiEEGgsSWy5NLa5OJkVRiPu7zHopZAsFAmeYs6MZHGxub2Zlcmlu QGN5YmVydmFsbGV5Lm9yZwAKCRCI+7vMeilkC6QsEADEgfdBaFqt3mYWEXD74DZt kXrQ1hYYpVl752H1mEM5tVbg9i7k2+G4iJZiGKdqkN5GMXJyffPlLRnT163V8442 2nkwlLgEaLhn2h8+dAHcpxa++hoYmqYcQzL1ppdACnSnIaxOKEh8k3LzZlgBQoVg K3atpVFBPFSFg2HBwFhEnDR1hHVB4GEM0sgk/5i5TrhMZ7xikrVwLygCoG3TpDt2 pWcvThNGe9d+ZhNKNgOWsaCznaWGygO0il7GnbmxSf/msi7JcsTOFfdtafMpNpqg x303P53sBYGCvlE7QQHqp459JpkJnh5Hffgxo/a6Vr3lzZiFOwx/yDSvzQhu74Fo bb4o262X+xc89qqoIkmEwM+lC690XAwyHzkPiy0HRUJ/2dNQTU8Be8pbEbltUAOf SXkdt5z+GP2MED85obLTkGYavZWMI99Uv95DHfd2rcW/gvDMRT9e9yQAhPlSw/L/ 0OS5j0wdCPbaaOE572ZoO8/V7v/02FyQTHYoSxmmf20O4/uhAw4BblDuX61/0ZGu 4+s/vBAaup2OU/vxIydIaLSVn6ATtve3WzOJIf7Gg8YixqjDUx8y4WMQ5vcY4u/4 vnYSy+KM+Z7Dd0hqWAifO8RW20morAlthbhgixxsA4YsixDtYGEAmnsLtWWp1pJO iNBWwwhnhiT3DsqbX+GemQ==0tX8
    -----END PGP SIGNATURE-----

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Davide Prina@21:1/5 to All on Sun Feb 2 10:40:01 2025
    Alessandro Baggi ha scritto:

    Avrei bisogno di un consiglio per cifrare il contenuto di una directory
    (che può avere dimensione variabile) e che dovrà essere caricata online.

    però non hai indicato la tua esigenza.
    Perché vuoi adottare questa soluzione?

    Secondo me la cifratura è una protezione a tempo. Oggi può essere valida,
    ma domani può essere equiparata ad avere pubblicato i file in "chiaro".

    Cifrare e mettere on-line su qualcosa, magari accessibile da tutti, può essere, secondo me, un controsenso. A meno che quello che vuoi cifrare
    è un'informazione che deve avere una segretezza limitata nel tempo,
    dopodiché chiunque può leggerne il contenuto.

    Ciao
    Davide

    --
    La mia privacy non è affar tuo
    https://noyb.eu/it
    - You do not have my permission to use this email to train an AI -
    If you use this to train your AI than you accept to distribute under AGPL license >= 3.0 all the model trained, all the source you have used to
    training your model and all the source of the program that use that model

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Davide Prina@21:1/5 to All on Sun Feb 9 11:40:02 2025
    Alessandro Baggi ha scritto:

    Davide Prina ha scritto:

    La directory in questione è una directory che uso per i backup. Vorrei avere una copia offsite dei dati e usando rsync ho optato per l'utilizzo
    dei container LUKS.

    Secondo me la cifratura è una protezione a tempo. Oggi può essere valida, >> ma domani può essere equiparata ad avere pubblicato i file in "chiaro".

    Concordo ma con l'aggiornamento della tecnologia, si aggiorna anche il software che dovrà rispettare "il nuovo standard"

    <modalità paranoica=on>
    non è questo il problema.
    I dati che vengono messi sono dati che non devono essere pubblici mai?
    Dove per pubblici vuol dire che siano "accessibili" da terzi senza il tuo permesso.
    Ad esempio dati sanitari, segreti industriali (come potrebbe essere la "ricetta" per la cocacola, che è stata brevettata tralasciando delle
    parti per non renderla pubblica), ...

    Tieni presente che se tu metti tali dati su un server che non gestisci tu, allora sia che gestisce il server, sia organizzazioni che hanno o possono
    avere accesso a quel server possono fare copia dei tuoi dati cifrati, in
    attesa che venga scoperto un bug che permetta di accedervi.
    Lo stesso se qualcuno riesce ad intercettare il traffico dati.

    Ogni tanto leggo discorsi tra esperti di sicurezza e spesso quello che
    leggi ti lascia con l'amaro in bocca.
    Ad esempio con l'approvazione del TLS 1.3 diversi esperti indicavano che,
    pur essendo non ottimale, era meglio approvarlo in fretta per sopperire
    a tutti i problemi di sicurezza del TLS 1.2 (notare che attualmente in
    tutti gli standard e linee guida trovi TLS >= 1.2).
    Inoltre indicavano che se dovevano trasmettere un file sotto TLS 1.3
    bisognava perlomeno prima cifrarlo!

    Da quel che ho capito il problema del TLS è soprattutto nella parte di handshake iniziale che è fatta in chiaro. Questo punto potrebbe essere
    risolto usando l'mTLS, naturalmente ove possibile, come penso sia
    possibile nel tuo caso.

    Ciao
    Davide

    --
    La mia privacy non è affar tuo
    https://noyb.eu/it
    - You do not have my permission to use this email to train an AI -
    If you use this to train your AI than you accept to distribute under AGPL license >= 3.0 all the model trained, all the source you have used to
    training your model and all the source of the program that use that model

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Davide Prina@21:1/5 to All on Sun Feb 16 10:00:01 2025
    Alessandro Baggi ha scritto:

    Il 09/02/25 11:39, Davide Prina ha scritto:

    Ogni tanto leggo discorsi tra esperti di sicurezza e spesso quello che
    leggi ti lascia con l'amaro in bocca.
    Ad esempio con l'approvazione del TLS 1.3 diversi esperti indicavano che,
    pur essendo non ottimale, era meglio approvarlo in fretta per sopperire
    a tutti i problemi di sicurezza del TLS 1.2 (notare che attualmente in
    tutti gli standard e linee guida trovi TLS >= 1.2).
    Inoltre indicavano che se dovevano trasmettere un file sotto TLS 1.3
    bisognava perlomeno prima cifrarlo!

    Da quel che ho capito il problema del TLS è soprattutto nella parte di
    handshake iniziale che è fatta in chiaro. Questo punto potrebbe essere
    risolto usando l'mTLS, naturalmente ove possibile, come penso sia
    possibile nel tuo caso.

    Tutto molto interessante. Grazie per gli spunti. Anzi se hai qualche risorsa/paper/link da condividere per approfondimenti te ne sarei grato.

    Se ti riferisci:
    * a quanto dicevano gli esperti di sicurezza al momento dell'uscita del
    TLS 1.3, allora non nessun link o documento, bisogna cercarli
    * al fatto che l'handshake è in chiaro, è sufficiente leggersi o l'RFC o
    qualsiasi documento che spiega come funziona il TLS 1.3 o nello
    specifico lhandshake
    * all'uso dell'mTLS per risolvere diversi problemi del TLS puoi vedere
    anche wikipedia[¹] o altra fonte che spieghi in dettaglio l'mTLS.
    L'eliminazione del problema dell'handshake è banale, dato che ogni
    parte si autentica con la controparte usando il proprio certificato
    e ogni controporta ha la chiave pubblica dell'altro, cosa che permette
    di verificare chi sta dall'altra parte. La conversazione può iniziare
    subito cifrata proprio grazie alla chiave pubblica della controparte

    Ciao
    Davide

    [¹]
    https://en.wikipedia.org/wiki/MTLS#Defenses



    --
    La mia privacy non è affar tuo
    https://noyb.eu/it
    - You do not have my permission to use this email to train an AI -
    If you use this to train your AI than you accept to distribute under AGPL license >= 3.0 all the model trained, all the source you have used to
    training your model and all the source of the program that use that model

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)