パケットキャプチャを保護するために特定のパスワードを提供しない限り、過去にキャプチャされたすべてのパケット(またはほぼすべてのパケット)に完全にアクセスできないようにする方法は?
私の習慣は
マウント
ecryptパーティションmount -t ecryptfs /srv /srvtsharkバッファとして実行し、暗号化されたファイルシステムにファイルを保存します。/media/tshark -B 100k -i wlan0 -w /srv/capture-file.pcap
このアプローチの問題は、システムを削除した後にのみファイルにcapture-file.pcapアクセスできないことです。ecryptfs
システムに暗号化されていないバージョンのキャプチャがまったくない状態でどのようにキャプチャできますか?
ベストアンサー1
データ暗号化のための事実上の標準ツールは次のとおりです。GnuPG(または互換性のある排他的なプログラム特発性前立腺硬化症。
データを復号化するコンピュータでキーペア()を生成しますgpg --gen-key。公開鍵(gpg --export …)をエクスポートし、暗号化したいコンピュータにコピーします。 (もちろん、同じコンピュータで暗号化と復号化が実行されている場合は、この手順をスキップできます。)
tshark … -w - | gpg -e >capture.pcap.gpg
パスワードを復号化するには、を実行しますgpg capture.pcap.gpg。
代わりに、GnuPGはパスワードベースの暗号化を実行できます-c。-eこれは、次の2つの理由で安全性が低くなります。
- 人々は十分に強力ではないパスワードを選択する傾向があるため、覚えておくのに最適なパスワードでもランダムに生成されたキーほど強力ではありません。
- 暗号化に必要な情報は復号化にも十分であるため、非対称鍵ペアを使用すると復号化資格情報なしで暗号化できます。