ref: https://itnext.io/helm-3-secrets-management-4f23041f05c3
Secret Management 的議題一直以來都是 CI/CD 流程中不可忽似的一部分,本篇文章作者不同於以往採用常見的解決方案(Hashicorp Vault, Helm Secret, SealedSecret),反而是使用 Helm 內建的 AES 加解密功能來實作 Heml Chart 資料的加解密需求。
作者認為一個良好的機密管理解決方案需要能夠為其團隊提供三個基本需求
1) 所有的機密資訊都要能夠存放到版本控制系統中(Git...etc)
2) 所有被上傳到 Chartmuseum 的 Helm Chart Package 都不能有任何 k8s secret 物件,要放的只能有加密後結果。反之使用者要使用時也必須要有能力去解密
3) 單一工具管理,以作者來說會希望能夠都使用 Helm 這個工具來處理,愈少的工具意味者依賴性愈少,同時在維護與管理上要花的心力也更少。
作者首先列舉了兩個現存的專案,分別是 Helm Secrets 以及 Hashicorp Vault 並且針對這兩者進行了簡單的介紹,並且舉出為什麼這兩個專案並不適合作者團隊的需求與使用情境。
作者最後開始認真研究 Helm 本身有什麼內建的加解密功能可以使用,最後發現 encryptAES 以及 descryptAWS 這兩個內建函式可以使用,譬如
value: encryptAES "secretkey" {{ .Values.valueToEncrypt }}
value: {{ .Values.valueToDecrypt }} | decryptAES "secretkey"
有了基本的概念與用法後,作者透過 shell script 實作一層 wrapper 來簡化整個處理流程。
最後將這些資訊也導入到 CI/CD 流程中來幫忙進行解密的相關動作,讓 CD 可以順利的將目標 Secret 給送到 Kubernetes 中。
個人心得: 採用加解密的系統個人還是喜歡採用 SealedSecret 的設計理念,將解密的時間點延後到 Kubernetes 內而並非 CI/CD 系統上,主要是 CI/CD 的 pipeline 要是沒有仔細設計其實很多人會不小心把過程命令給輸出的,這樣的話加解密的過程,使用的 Key 等都有可能會洩漏出去。
同時也有2部Youtube影片,追蹤數超過34萬的網紅Marco體驗師,也在其Youtube影片中提到,本片主題: 體驗《日常》追求愛情所誕生的APP,加密通訊軟體~ 本片感想: 愛情使人努力,每段愛情都有感人的故事! 下載網址: https://play.google.com/store/apps/details?id=yuh.secret_base64 ✏工商合作E-Mail : UT31...
aes解密 在 Pazu 薯伯伯 Facebook 的最佳解答
零基資安訓練營(十):簡易製作加密虛擬碟中碟
文:薯伯伯
電腦加密有不同的層次,其中一種必須做,是要把整個硬盤也加密,方法很容易,Mac 用戶只需要打開系統的 FileVault 便可,Windows 的用戶則只需打開 BitLocker,就能把整個裝置加密。把系統加密之後,如果沒有開機的密碼,理論上別人即使把硬碟取出來,也難把檔案抽出。當然不是所有人也擔心自己的電腦會被強行拆開並抽出硬碟,但還有其他情況,例如將來變賣電腦,又或是電腦被狗咬,系統加了密,感覺就安心一些。
具體的操作方法很簡單,問問 Google 就可以,這裡就不多說。
👉 搜尋:Mac FileVault 2 啟動磁碟加密
👉 搜尋:Windows BitLocker 開啟裝置加密
這篇文章主要想普及的一種資安保障,是在電腦中製作另一些「虛擬加密磁碟檔案」(virtual encrypted disk)。簡單來說,就是電腦上生成一個檔案,載入並輸入密碼之後,就會成為一個新的磁盤,像個「碟中碟」。
先說為甚麼電腦本身已經用 FileVault 或 BitLocker 加密了,何以仍然要再在裡面設置一個「虛擬加密磁碟檔案」,因為當你開機輸入密碼之後,電腦中的檔案便會即時解密,若然在操作過程中電腦受到攻擊,就會有很大風險。
另一個要考慮的情況,是現在有不少人把原生的檔案同步至 Google Drive 或 口程 Dropbox 作備份,用起來雖然方便,但這些服務便能讀取你的檔案內容。而如果你的 Google Drive 是由院校或公司提供(即 Google for Education 或 Google Enterprise),管理員雖然看不到檔案內容,但卻可以看到檔案名字,這是另一層的隱患。所以,除了裝置要加密,還需要加裝一個碟中碟,方為上策。
虛擬碟中碟,我推介用 VeraCrypt。
官方地址:https://www.veracrypt.fr/en/Downloads.html
免費,開源,跨三大電腦平台,在資安界裡評價一直很好
留意:一定要從官方網站下載,不要從第三方網站下載
這裡示範如何做一個 10GB 大小的虛擬加密碟中碟。
安裝 Veracrypt 後,在主畫面點擊 Create Volume,出現 Creation Wizard,跟著一步一步去做。
選擇 Create an encrypted file container,按 Next。
選擇 Standard VeraCrypt volume,按 Next。
選擇 Volume Location,點擊 Select File,點擊桌面位置,在 Save As 一欄輸入名字,這裡舉例叫做 10gb。之後選擇 Never save history,按 Next。
在 Encryption Algorithm 選擇 AES,下方的 Hash Algorithm 選 SHA-512,按 Next。
Volume Size 選擇 10 GB,按 Next。(小一點也可以,看自己需要。)
Volume Password,輸入密碼。下方的設定,全都不選,按 Next。
之後如果顯示 Large Files 一欄,選擇「I will store files larger than 4GB on the volume」,按 Next。
Format Options 選擇 Filesystem type: MacOS Extended 或 NTFS,按 Next。
Cross-Platform Support 選擇 I will mount the volume only on Mac OS X,按 Next。
之後在 Volume Format,不停無意地移動鼠標,軟件會蒐集隨機的訊息。建議不要只管打圈,也可以用鼠標寫寫詩,蒐集到的隨機數據越多越好。
之後按 FORMAT,等一會,檔案就會生成,按 Exit 就可以。
這時在桌面就會看到一個 10gb 的檔案,把檔案拖至 VeraCrypt 的主畫面,按 Mount,輸入密碼,這時就會在 Finder 或檔案總管,就會看到好像插入了一個 USB 手指一樣。把需要加密的檔案放進這個加密虛擬碟中碟。用完之後,在 VeraCrypt 上按 Dismount All 便會自動退出。
VeraCrypt 還有很多有趣的功能,例如有個 Hidden VeraCrypt volume,可以製作同一個檔案,但輸入不同密碼,卻會看到不同檔案。例如有人節磨你,要求你打開檔案,你不情不願,輸入密碼後,裡面只有愛情動作片。但實際上當你輸入另一組密碼時,卻會有個驚世大陰謀!是不是有點電影橋段的感覺了?
把電腦檔案加密存儲,可以有千百萬個不同的原因及動機,但要記住,做事光明磊落的人,做實事的人,是更應保護好檔案免受侵擾。檔案加把檔,是保障資訊安全的重要的一步,必須學習。
照片:Markus Winkler via Unsplash
▶️ Patreon: www.patreon.com/pazu
aes解密 在 OSSLab Geek Lab Facebook 的最佳貼文
OSSLab Geek Lab解讀一下最近鬧的滿城風雨的公民實驗室的Zoom安全報告
這是篇非常棒的如何拆解加密封包還原視訊跟音訊資安文...
1. H.264視訊碼流最小單位為NALU
一個NALU = 一組對應於視頻編碼的NALU頭部信息+ 一個原始字節序列負荷(RBSP,Raw Byte Sequence Payload).
這邊nal_unit_type都為0 ,無法判定類型.
不過最後有分析出NAL Payload有後面數據大小,為data slice解密後,組合後為H.264 video stream.
2.對電腦DRAM 做數位鑑識,發現名為conf.skey此為AES 128 key 全部使用者跟會議內容都用此key加密傳送跟接收後解密.
3.錄到封包後,要考慮到一個client都用同個SSRC,另外用時間戳組來拼順序,用key解密再組合成完整視訊raw檔案.
4.音訊一樣加密,推測用啥音訊codec ,是利用RTP間隔時間戳相隔多大來判定.640所以應該為Silk16 codec.
5.在Linux版本Zoom設定proxy上設為自建的mitmproxy, 會報警告說未驗證.從mitmproxy也可得到密鑰AES-128 conf.skey
6.測試中發現在加拿大跟美國通訊用戶 AES-key 是由52.81.151.250位於北京Server配送的
因此最終懷疑,確實有可能.若中國政府要求可取得此密鑰若有測錄封包就可解密還原內容.
7.最後Zoom官方的回應是
中國以外的用戶,會立即將中國大陸的數據中心從服務器中刪除。
圖片引用
UniHub 有你好棒
參考
https://citizenlab.ca/2020/04/move-fast-roll-your-own-crypto-a-quick-look-at-the-confidentiality-of-zoom-meetings/
http://0rz.tw/HOiaK
https://commons.erau.edu/cgi/viewcontent.cgi?article=1174&context=jdfsl
http://blog.gitdns.org/2017/03/14/h264/
#OSSLab #數位鑑識 #拜託國家訂的資安檢測要這樣水準
aes解密 在 Marco體驗師 Youtube 的精選貼文
本片主題:
體驗《日常》追求愛情所誕生的APP,加密通訊軟體~
本片感想:
愛情使人努力,每段愛情都有感人的故事!
下載網址:
https://play.google.com/store/apps/details?id=yuh.secret_base64
✏工商合作E-Mail :
UT314MARCO@GMAIL.COM
☟☟☟☟☟☟☟☟☟☟☟☟☟☟☟☟☟☟☟☟☟☟
如果你喜歡我的影片,也希望你們能贊助我哦!!
贊助Marco主機 100元 下面網址
https://p.allpay.com.tw/FsHK3
贊助Marco主機 500元 下面網址
https://p.allpay.com.tw/sTcp1
贊助Marco主機 1000元 下面網址
https://p.allpay.com.tw/Wyo76
謝謝你們的贊助哦~
☟☟☟☟☟☟☟☟☟☟☟☟☟☟☟☟☟☟☟☟☟☟
Marco 暗網全集在這
goo.gl/vLVdsE
Marco愛玩血染小鎮
goo.gl/hKVmcY
Marco遊戲體驗
https://goo.gl/whGwuW
Marco日常
https://goo.gl/tSmLoZ
Marco開箱
https://goo.gl/CVBrvS
☟☟☟☟☟☟☟☟☟☟☟☟☟☟☟☟☟☟☟☟☟☟
哈囉!我是✟體驗師 MARCO✟!!!
體驗各種事物,在用極短的影片,提供我個人,
對此次體驗的感受與評分!
如果想看什麼體驗,也能留言給我哦~
☢☢☢☢☢☢☢☢☢☢☢☢☢☢☢☢☢☢☢☢☢☢
體驗分數:
Rating 88
如果喜歡我的影片,請訂閱、分享、按讚我的頻道哦~
✏FB粉絲頁:
https://www.facebook.com/ut314marco/
✏關注微博:
https://goo.gl/TRSsyM
✏訂閱 YOUTUBE:
https://goo.gl/9j9Z7j
aes解密 在 hksubwoofer Youtube 的精選貼文
微軟XP官網修補程式下載地址:
https://www.microsoft.com/zh-TW/download/details.aspx?id=55245
微軟亦發佈Windows XP Embedded 、XP 64bit、Windows Vista、Windows 8、Server 2003和Server 2008 WannaCry勒索病毒特別修補程式
下載地址:
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
建議用Windows 10電腦下載修補程式到USB記憶棒內,再抄檔案到其他舊版本電腦內更新,最好在斷網絡的情況下安裝修補程式。
Wannacry Windows XP update patch KB4012598
aes解密 在 線上解AES好用工具 的推薦與評價
平常使用API都需要複雜AES加解密轉Base64 導致測試API都很麻煩今天找到幾個好用的網站整理一下. AES decryption AES encryption AES Hex Key ... ... <看更多>