論題#
まず、簡単なシナリオから始めましょう。それは、まず私たちのローカルな活動について考えることです。これは、個人にとってはあまり重要ではない活動ですが、個人はほとんど攻撃に直面することはありません。危険な状況になる場合には、より一貫したシステム設計が必要ですが、ローカルでも同様です。
バックアップ#
個人が現在関心を持つべきは、バックアップと可用性です。ローカルデータの故障はよくあることです。この点で、クラウドバックアップと同期サービスが役立ちます。私が使用している一般的なサービスはあまり使っていません。OneDrive の同期ディレクトリはあまり使用しません。Google ドライブは GFW の制限があるため、国内のアプリに切り替える必要があります。
ファイル同期サービスはあまり使用しませんが(ただし、現在のソフトウェアにはそれぞれのクラウド同期、コードには Git リポジトリがあります)、ファイルのバックアップには国内のサービスが利用できます。もちろん、ここで話しているのは大容量のファイルバックアップではありません。なぜなら、それは秘密ではないからです(もちろん、本当に大容量の秘密のファイルがある場合は問題です。おそらく物理的なバックアップ(秘密のために独立したストレージが必要です - ハードディスクを保管するための金庫?もちろん、フルディスク暗号化もあります。)(もちろん、有料のクラウドエンドツーエンドの暗号化バックアップサービスもありますが、一般的な要件には無料のものの方が適しており、極端なセキュリティ要件の場合は、有料でさえ攻撃面になるかもしれません)。
小さなファイルのバックアップは、何に使用されますか?答えはそれほど多くありません。個人的には、電子書籍、小さなプログラムツール(これらのものは見つけるのが難しいです)、そして最も秘密の鍵のバックアップに使用しています。
はい、鍵のバックアップです。自動入力用のパスワードマネージャー、PGP キー、SSH キーなど、秘密のファイルには明文が一切含まれていないことを忘れないでください!暗号化されたアップロード、ローカル処理、同期処理を保証してください。これには、動的なファイル暗号化が関わってきます。
暗号化#
これは確かに問題です。
バックアップを作成していない場合、長期的な保存やオフラインアーカイブのために行っていない場合、他の人にファイルを安全に送信するために暗号化していない場合、仕事を完了するために仮想ドライブをマウント / アンマウントしていない場合、この暗号化は必要ありません。
この暗号化は長期的なバックアップではありません - 頻繁にアクセスされる可能性があり、オフラインではなく、送信に依存することは多かれ少なかれ公開鍵暗号に依存するため、仮想ドライブではなくファイルです(ただし、VeraCrypt はこの場合に使用できると思います)。
それでは、これは確かに問題です、特に、PGP のマスターキーのようなものについては、明文のバックアップはありません。したがって、アクセス可能性に要件があります - 実際には、USB ドライブ(そして暗号化されている)を使用して問題を解決していますが、複数の方法を考慮する必要があります - USB ドライブが紛失した場合でも、安全性とアクセスしやすさを確保する必要があります。
まず、キー自体は通常暗号化されているため、直接公開することができます - ただし、誰もそれを行いません。それを署名(キーの意図しない変更を防ぐため)して統合するため、最も簡単な方法は暗号化された圧縮ファイルです。完全性は署名によって保証されます(暗号化ツール自体が疑問に直面します:ソフトウェア自体が変更された悪意のあるバージョンではないことをどのように保証しますか?- これについては後で私のいくつかの考えを示しますが、厳しい条件下でこの問題は解決できないことを示唆しています)。
おすすめのツールはageです。少なくとも、それが目的を達成していると考えている人がいます。しかし、紳士淑女、これは鍵の問題を 2 つに分けるだけです。結局のところ、問題は -ローカルの暗号化は何を防御しているのですか?
これは確かに謎です。オフライン環境が危険にさらされている場合、物理的なソースの脅威を具体的な状況に応じて分析する必要があります。潜在的な物理的な脅威に対してのみの場合、ローカルの防御の強度は暗号化に関係ありません(これは物理的なものです)- それはクラウドのためのものです。
弱点はローカルデバイス自体にあります。
ここで、ローカルの問題の鍵を握るのが重要です:
デバイスのセキュリティ#
オープンソースのハードウェア?完全に制御できる完全なプロセスがある場合を除いて、それほど役に立ちません。もちろん、それほど極端なことを仮定する必要はありません。少し極端でなければ、通常のデバイスは(ただし、十分に考慮されていない携帯電話を含まない)十分です。
オペレーティングシステム#
Linux ディストリビューション(例:Debian)または極端なディストリビューション(例:Qubes、私は使用したことがありませんが)は十分です。頻繁に移動するシナリオでは、Tailsは選択肢の 1 つですが、移動シナリオのデバイスのセキュリティは偶発的な匿名性に依存します(どこでもデバイスが安全であることを保証することはできません)。自分自身のデバイスは必要ですが、携帯性のためにスマートフォンを使用する場合は、リスクを真剣に考慮する必要があります。iPhone は本当にいつも良いです、なぜかはわかりません、おそらく Apple の時価総額がこの信頼に値するからかもしれません。ただし、Android には操作の余地があります。これは技術的な問題です。
Windows は疑われていますが、極端な場合を除いては問題ありません。さらに、一般的にはそれ以上のものです - 確かに、これは運が良いことですが、接続を制御することがシステムの脆弱性よりも重要かもしれません。Mac も同様です。
これが日常的なセキュリティの本質です。完全に仮想マシンと上記のようなシステムを使用することはもちろん良いことですが、あまりにも日常的ではありません(もちろん、日常的な保護は必要ないようですが、問題はその間の領域です)。日常生活に影響を与えずに、できるだけ積極的な対策を取ることはもちろん可能です。ここでの尺度は私個人のものですが、具体的な設計は分離可能であり、正しく組み立てられればかなりのセキュリティを提供できます(製品の評価は議論の余地がありますが、代替可能なものは自分で代替できます)。
Windows を使用する場合、適切なセキュリティの更新とチェックを考慮する必要があります。細かいセキュリティの詳細についてはここでは詳しく説明しません(どこにでも見られるアドバイスを繰り返す必要はありません)。見かけによらず、ファイル整理という問題もあります -あなたが持っているものについての認識を持つこと、ツールに管理させることは忘れないでください。
ソフトウェア#
オープンソース + ポータブルソフトウェアは非常に良いです。ほとんどの問題を回避します。現在、私にとっては、圧縮、プロキシ、テキストエディタ、Markdown エディタ、プレーヤー、画像ビューア / エディタにはポータブルなオープンソース製品を使用しています。結局のところ、不要なプロプライエタリソフトウェアを避けることは常に良いことです。すでに多くの妥協をしているからです。
セキュリティに特化したソフトウェアは、リアルタイムデータをハードディスクに保存しないことを理解して(そして実装して)ほしいですが、これは必ずしも保証されていません。仮想マシンや外部ディスクなどがこれに役立つかもしれませんが、検証が必要です。
メタデータ#
ローカルのメタデータは事前に考慮することが重要です。もちろん、接続後に考慮することもできますが、なぜいくつかのことを事前に考慮しないのでしょうか?実際、メタデータの問題はオンライン時に十分に厄介です。ただし、他の形式もあります...
Office ドキュメントは非常に危険であり、メタデータをクリアする必要があります。PDF 形式のメタデータにも問題があるかもしれません。これらについては検討する必要があります。もちろん、これらを偽装に利用することもできます...
狂気#
ローカルの問題は終わりません - 極度の物理的な問題の場合、ローカルの計算リソースは一度に使用して、移動可能なストレージに保存することが最善です。しかし、一般の人々にとっては
個人はほとんど攻撃に直面することはありません。
ローカルバックアップは主に損失を防ぐためですが、これはクラウドバックアップと組み合わせる必要があり、両者のセキュリティレベルは異なります。
... 続く...