У меня проблемы с поиском ответа на вопрос о защите незашифрованных данных. Я запускаю Ubuntu 12.04. Хотя я не уверен, что это актуально, я также упомяну, что я использую зашифрованный домашний каталог (и, следовательно, также имею зашифрованное пространство подкачки), но не использую полнодисковое шифрование. Мой жесткий диск отформатирован в ext4.
У меня есть текстовый файл, который содержит некоторые пароли приложений. Я храню этот файл в зашифрованном виде с помощью GPG. Всякий раз, когда я хочу отредактировать пароли в файле, я использую GPG для записи расшифрованного содержимого на диск, редактирую текст в моем любимом текстовом редакторе (в настоящее время Gedit), заставляю GPG повторно шифровать файл, а затем rm
незашифрованная версия.
Недавно я понял, что при записи на диск незашифрованный текст может быть прочитан с самого диска, если он не будет перезаписан. Я понимаю, что shred
действительно не работает для этой цели с файловой системой журналирования, такой как ext4. Я прочитал на https://stackoverflow.com/a/12289967 , что можно записать незашифрованный файл в tmpfs, т. Е. Непосредственно в RAM или подкачку. Пост, на который я ссылался, предлагает использовать / dev / shm; Тем не менее, я понимаю, что этот каталог предназначен для использования с операциями с общей памятью, а также не рекомендуется в пользу / run / shm. Звучит так, будто лучше написать / запустить, тогда
Если бы я записал расшифрованный файл в / run (или, в этом отношении, в / dev / shm), были бы какие-нибудь неблагоприятные последствия? Будет ли файл защищен больше, чем если бы он был записан прямо на диск (как я делал)? Является ли запись в эти каталоги плохой идеей по причинам, о которых я даже не подозреваю?
Я буду очень благодарен за любой совет, который вы можете предложить. Спасибо!
Если бы я должен был записать дешифрованный файл в выполненный / (или, в этом отношении, в/dev/shm), то там были бы какие-либо негативные последствия?
Файл был бы защищен больше, чем если бы он был записан прямо в диск (как, я делал)?
Запись является к тем каталогам плохой идеей по причинам, которые я даже не знаю для размышления?
gpg
мог очень хорошо закончить тем, что создал дешифрованный файл с мировыми-readble полномочиями.Наконец: Я не дам рекомендаций для менеджеров паролей, потому что я никогда не пробовал никого; однако, я действительно разрабатывал всестороннее шифрование GnuPG/OpenSSL (GUI) frontend записанный в Python, которым Вы могли бы интересоваться. Это не сохраняет файлов на диск (или к tmpfs), если Вы не говорите это, и это может дешифровать gpg
- зашифрованные файлы, отобразите их содержание для просмотра и редактирования, и затем позвольте Вам повторно шифровать их. Проверьте его на GitHub.