Разное

Репо расшифровка: РЕПО — расшифровка термина, сделки РЕПО, операции РЕПО

26.09.2002

ОБНОВЛЕНИЕ МИДЛ-ОФИС 2.0 РЕЛИЗ 2.1.9.0

Поставленные задачи были успешно реализованы в согласованные сроки.

Иванова Т.Г.

Главный бухгалтер

Основным решающим фактором для нас было наличие в системе ключевых возможностей по ведению бухгалтерского учета на базе единого плана счетов, формирование проводок по ОСБУ, возможность учета справедливой стоимости активов по сложной методике, а также формирование в полном объеме бухгалтерской отчетности по операциям ДУ.

Калагина О.Ю.

Главный бухгалтер

Руководствуясь успешным опытом сотрудничества с ООО «Аванкор», будем рады взаимодействовать в будущем и по другим совместным проектам.

Буздин В.И.

Директор департамента информационных технологий

За время проведения работ, команда Аванкор продемонстрировала высокий профессионализм в предметной области, оперативность и организованность…

Макеенко О.А.

Главный бухгалтер

Мы высоко ценим наше партнерство с ООО «Аванкор» и уверены, что в дальнейшем наше сотрудничество будет также плодотворно.

Соборнова И.М.

Главный бухгалтер

Команда Аванкор обеспечивает высокое качество разработки и добросовестное отношение к сопровождению внедряемых решений. Мы высоко ценим партнерские отношения с ООО «Аванкор» и уверены в продолжении плодотворного сотрудничества.

Федотов А.Н.

Начальник управления ИТ, ВТБ Капитал

За время совместной работы команда ООО «Аванкор» проявила свой профессионализм и компетентность и зарекомендовала себя как надежный и добросовестный разработчик в области финансового сектора.

Леднев А.Е.

Заместитель исполнительного директора по экономике и финансам

ООО «УК КапиталЪ ПИФ» выражает благодарность компании ООО «Аванкор» в помощи по оптимизации бизнес-процессов направленных на автоматизацию учета активов паевых инвестиционных фондов.

Лепихова О.М.

Финансовый директор

Аванкор отличается гибкостью и умением быстро реагировать на меняющуюся действительность. Специалисты компании всегда на связи и готовы оказать любую помощь. ..

Чечулин М.П.

Генеральный директор УК Парма-менеджмент

ООО «УК ТДУ» готово рекомендовать систему «Аванкор:Паевые фонды» другим компаниям, и благодарит сотрудников компании за профессионализм в работе.

Лазутина Е.А.

Генеральный директор, УК ТОВАРИЩЕСТВО ДОВЕРИТЕЛЬНОГО УПРАВЛЕНИЯ

Компания ООО Аванкор зарекомендовала себя как устойчивое предприятие и надежный деловой партнер.

Салатова Т.Н.

Генеральный директор, РИК Капитал

Использование программы по автоматизации бизнес-процессов позволили значительно снизить временные затраты на выполнение ежедневных операций… Выражаем надежду на дальнейшее успешное сотрудничество.

Михайлов С.В.

Генеральный директор, УК Кремль

Мы высоко ценим совместную работу с ООО Аванкор, и выражаем искреннюю благодарность за предоставленный программный продукт. Надеемся на продолжение успешного сотрудничества.

Шевцов О.В.

Генеральный директор, УК ЮЛА

Мы считаем что компания Аванкор оказывает качественное и своевременное сервисное обслуживание.

Ярощук Т.В.

ВРИО Директора, МФЦ

О компании / НКО-ЦК «СПБ Клиринг» (АО)

Небанковская кредитная организация — центральный контрагент «СПБ Клиринг» (акционерное общество) является центральным контрагентом с 01 октября 2020 года на основании решения Банка России от 01.10.2020 о выдаче лицензии на осуществление банковских операций со средствами в рублях и иностранной валюте для небанковских кредитных организаций — центральных контрагентов.

Компания была создана 5 ноября 2009 года путем реорганизации в форме преобразования Некоммерческого партнерства «МОСКОВСКАЯ ФОНДОВАЯ БИРЖА», основанного в 1997 году, в открытое акционерное общество (предыдущие наименования компании – Открытое акционерное общество «МОСКОВСКАЯ ФОНДОВАЯ БИРЖА», Открытое акционерное общество «Клиринговый центр МФБ», Публичное акционерное общество «Клиринговый центр МФБ», с 25 июня 2018 года — Акционерное общество «Клиринговый центр МФБ»).

В 2012 году компанией была получена лицензия Банка России № 045-00006-000010 от 20.

12.12 на осуществление клиринговой деятельности.

До 30 мая 2013 года компания являлась биржей, организующей биржевые торги ценными бумагами и товарами, осуществляющей клиринговую деятельность на основании соответствующих лицензий, а также проводящей аукционы по реализации различных видов товаров и услуг и осуществляющей деятельность оператора электронной торговой площадки при проведении открытых торгов по продаже имущества (предприятия) должников в ходе процедур применяемых в деле о банкротстве.

В 2013 году руководством компании было принято решение об изменениях в стратегическом направлении развития, а именно о прекращении деятельности по организации торгов и об определении клиринговой деятельности в качестве основного направления деятельности.

30 мая 2013 на основании заявлений компании ФСФР России были приняты решения об аннулировании лицензии на организацию биржевой торговли Открытого акционерного общества «МОСКОВСКАЯ ФОНДОВАЯ БИРЖА» (лицензия № 97 от 13 июля 1998 года) и лицензии на осуществление деятельности по организации торговли на рынке ценных бумаг Открытого акционерного общества «МОСКОВСКАЯ ФОНДОВАЯ БИРЖА» (лицензия № 077-13418-000001 от 28 декабря 2010 года).

На основании указанных решений с 31 мая 2013 года компания прекратила осуществление деятельности по организации биржевой торговли и деятельности по организации торговли на рынке ценных бумаг. Деятельность в качестве оператора электронной площадки (ЭТП «МФБ») при проведении открытых торгов в электронной форме при продаже имущества (предприятия) должников в ходе процедур, применяемых в деле о банкротстве, была прекращена в декабре 2015 года.

С 2014 года КЦ МФБ осуществляет функции центрального контрагента и проводит клиринг по итогам сделок, заключаемых на организованных торгах, предметом которых являются ценные бумаги иностранных эмитентов. В настоящее время основными направлениями деятельности компании являются клиринговая деятельность, деятельность центрального контрагента. =..

09 июля 2020 года общим собранием акционеров компании, в рамках подготовки к получению статуса центрального контрагента в соответствии с Федеральным законом от 07.02.2011 № 7-ФЗ «О клиринге, клиринговой деятельности и центральном контрагенте» было принято решение об утверждении новой редакции Устава, содержащей в себе новое наименование: Небанковская кредитная организация — центральный контрагент «Клиринговый центр МФБ» (акционерное общество).

28 сентября 2020 года Управлением Федеральной налоговой службы по г. Москве осуществлена регистрация указанных изменений, внесенных в учредительные документы компании, в результате которой Акционерное общество «Клиринговый центр МФБ» переименовано в

Небанковскую кредитную организацию — центральный контрагент «Клиринговый центр МФБ» (акционерное общество).

с 29 июня 2021 КЦ входит в состав банковского холдинга, головной организацией которого является ПАО «СПБ Биржа».

20 апреля 2022 года общим собранием акционеров компании было принято решение об утверждении новой редакции Устава, содержащей в себе новое наименование: Небанковская кредитная организация — центральный контрагент «СПБ Клиринг» (акционерное общество).

03 июня 2022 года Управлением Федеральной налоговой службы по г. Москве осуществлена регистрация указанных изменений, внесенных в учредительные документы компании, в результате которой Небанковская кредитная организация — центральный контрагент «Клиринговый центр МФБ» (акционерное общество) переименовано в Небанковскую кредитную организацию — центральный контрагент «СПБ Клиринг» (акционерное общество).

Свидетельство о регистрации Управления Федеральной налоговой службы по г. Москва № 1097799031472 от 28.09.2020
Лицензии:
  1. Лицензия № 045-00006-000010 от 20.12.2012 на осуществление клиринговой деятельности.
  2. Лицензия № 3539-ЦК от 06.06.2022 на осуществление банковских операций со средствами в рублях и иностранной валюте для небанковских кредитных организаций-центральных контрагентов.

Справочная информация

НКО-ЦК «СПБ Клиринг» (АО) не является участником системы страхования вкладов. 

Банковские операции

НКО-ЦК «СПБ Клиринг» (АО) осуществляет следующие банковские операции:

  • открытие и ведение банковских счетов юридических лиц;
  • осуществление переводов денежных средств по поручению юридических лиц, в том числе банков-корреспондентов, по их банковским счетам.

Клиринговые услуги

Оказание клиринговых услуг является одним из стратегических направлений деятельности НКО-ЦК «СПБ Клиринг» (АО). НКО-ЦК «СПБ Клиринг» (АО) осуществляет клиринг на рынке ценных бумаг и биржевом товарном рынке.

Клиринг на рынке ценных бумаг

Централизованный клиринг Договоров купли-продажи ценных бумаг и Договоров репо, заключенных на биржевых торгах ПАО «СПБ Биржа»

Клиринг на товарном рынке

Простой нецентрализованный клиринг по сделкам с реальным товаром, заключенным на биржевых торгах товарами АО «Биржа «Санкт-Петербург».

Управление рисками

Одной из важных задач в деятельности клиринговой организации является построение современной системы управления рисками. В этих целях, из числа представителей Участников клиринга и сотрудников НКО-ЦК «СПБ Клиринг» (АО), сформирован Комитет по рискам.

Ставки риска

Расчет ставок риска, которые могут быть использованы для определения размера начальной маржи для клиентов брокеров.

git-secret

Intro

Существует известная проблема с развертыванием и настройкой программного обеспечения на серверах: как правило, вы должны хранить свои личные данные (например, пароли к базе данных, секретные ключи приложений, секретные ключи OAuth и т. д.) вне репозитория git.

Если вы решите хранить эти секреты в незашифрованном виде в своем репозитории git, даже если репозиторий частный, копирование представляет угрозу безопасности секреты везде, где вы проверяете свое репо.

Каковы некоторые недостатки хранения секретов отдельно от репозитория git?

  1. Версии этих файлов не контролируются. Имена файлов, местоположения и пароли время от времени меняются, или появляется новая информация, а другая информация удаляется. Когда секреты хранятся отдельно от вашего репо, вы не можете точно сказать, какая версия конфигурационного файла использовалась при каждом коммите или развернуть.

  2. При построении автоматизированной системы развертывания будет один дополнительный шаг: загрузите и разместите эти файлы секретной конфигурации там, где они должны быть. Это также означает, что вам нужно поддерживать дополнительные защищенные серверы, на которых хранятся все ваши секреты.

Как

git-secret решает эти проблемы?
  1. git-secret шифрует файлы и сохраняет их в вашем репозитории git , предоставляя историю изменений для каждой фиксации.
  2. git-secret не требует никаких дополнительных операций развертывания, кроме предоставления соответствующих закрытый ключ (чтобы разрешить расшифровку) и с помощью
    git secret раскрыть
    расшифровать все секретные файлы.

Что такое

git-secret ?

git-secret — это инструмент bash для хранения ваших личных данных в репозитории git .

Как это? По сути, он использует gpg для шифрования файлов с открытые ключи пользователей, которым вы доверяете и которые вы указали с помощью git secret говорит [email protected] id . Затем эти пользователи могут расшифровать эти файлы, используя свой личный секретный ключ.

Зачем иметь дело со всеми этими закрытыми/открытыми ключами? Чтобы упростить управление правами доступа. Если вы хотите удалить чей-то доступ, используйте git secret removeperson [email protected] чтобы удалить их открытый ключ из набора ключей git-secret вашего репозитория и повторно зашифровать файлы. Тогда они больше не смогут расшифровывать секреты.

Использование: Настройка git-secret в репозитории

Эти шаги охватывают основной процесс использования git-secret указать пользователей и файлы, которые будут взаимодействовать с git-secret , и для шифрования и расшифровки секретов.

  1. Перед запуском убедитесь, что вы создали gpg Пара ключей RSA: которые представляют собой открытый ключ и пару секретных ключей, идентифицируемых по вашему адресу электронной почты и хранится вместе с вашей конфигурацией gpg. Как правило, эта конфигурация gpg и ключи будут храниться где-то в вашем домашнем каталоге.

  2. Начните с существующего или нового репозитория git.

  3. Инициализируйте репозиторий git-secret , запустив git secret init . Будет создана папка

    .gitsecret/, с подкаталогами ключи/ и пути/, .gitsecret/keys/random_seed будет добавлено к .gitignore , и .gitignore будет настроен на , а не игнорировать файлы .secret .

Примечание все содержимое папки .gitsecret/ должно быть возвращено, /кроме/ файла random_seed . Это также означает, что из всех файлов в .gitsecret/ только 9Файл 0021 random_seed должен быть упомянут в вашем файле .gitignore .

  1. Добавьте первого пользователя в связку ключей репозитория git-secret , запустив git secret tell [email protected] id .

  2. Теперь пришло время добавить файлы, которые вы хотите зашифровать, в репозиторий git-secret . Это можно сделать, выполнив команду git secret add , которая также (начиная с 0.2.6) добавить записи к .gitignore , предотвращая добавление или фиксацию этих файлов в репозитории в незашифрованном виде.

  3. Затем запустите git secret hide , чтобы зашифровать файлы, которые вы добавили с помощью git secret add . Файлы будут зашифрованы открытыми ключами в связке ключей вашего репозитория git-secret, каждый соответствует электронной почте пользователя, которую вы использовали с , скажите .

После использования git secret hide для шифрования ваших данных можно безопасно фиксировать ваши изменения. ПРИМЕЧАНИЕ: Рекомендуется добавить команду git secret hide в хук pre-commit , чтобы не пропустить никаких изменений.

  1. Позже вы можете расшифровать файлы с помощью команды git secret раскрыть или вывести их содержимое на стандартный вывод с помощью команды Команда git secret cat . Если вы использовали пароль для своего ключа GPG (всегда рекомендуется), он запросит ваш пароль. И вы сделали!

Использование: добавление кого-либо в репозиторий с помощью git-secret

  1. Получите их открытый ключ gpg . Вам не понадобится их секретный ключ. Они могут экспортировать свой открытый ключ для вас с помощью такой команды: gpg --armor --export [email protected] > public_key.txt # --armor здесь делает его ascii

  2. Импортируйте этот ключ в связку ключей gpg ~/.gnupg или аналогичную), выполнив gpg --import public_key.txt

  3. Теперь добавьте этого человека в свой репозиторий секретов, запустив секрет git сообщите их@email. id (это будет адрес электронной почты, связанный с их открытым ключом)

  4. Теперь удалите открытый ключ другого пользователя из вашей личной цепочки ключей с помощью gpg --delete-keys it[email protected]

  5. Недавно добавленный пользователь еще не может читать зашифрованные файлы. Теперь повторно зашифруйте файлы, используя раскрытие секрета git; git secret hide -d , а затем зафиксируйте и отправьте только что зашифрованные файлы. (Параметры -d удаляют незашифрованный файл после его повторного шифрования). Теперь вновь добавленный пользователь сможет расшифровать файлы в репо, используя git-секрет раскрыть .

Обратите внимание: когда вы впервые добавляете пользователя в репозиторий git-secret, он не сможет расшифровать существующие файлы. пока другой пользователь не зашифрует файлы с помощью нового набора ключей.

Если вы не хотите добавить неожиданные ключи, вы можете настроить некоторую политику безопасности на стороне сервера с помощью хука pre-receive .

Использование gpg

Вы можете следовать краткому руководству по gpg на devdungeon. Вот самые полезные команды для начала:

Чтобы сгенерировать пару ключей RSA, выполните:

 gpg --gen-key
 

Чтобы экспортировать открытый ключ, выполните:

 gpg --armor --export [email protected] > public-key.gpg
 

Чтобы импортировать чужой открытый ключ (например, чтобы поделиться с ним секретом), выполните:

 gpg --import public-key.gpg
 

Чтобы убедиться, что вы получили оригинальные открытые ключи указанных лиц, обязательно используйте безопасный канал для их передачи или используйте службу, которой вы доверяете, предпочтительно ту, которая использует шифрование, например Keybase, для получения их открытого ключа. В противном случае вы можете по ошибке предоставить доступ к своим секретам не тому человеку!

Использование git-secret для непрерывной интеграции/непрерывного развертывания (CI/CD)

При использовании git-secret для CI/CD вы получаете преимущество, заключающееся в том, что любое развертывание обязательно выполняется с правильной конфигурацией, поскольку оно расположено рядом с изменениями в вашем коде.

Один из способов сделать это:

  1. создать ключ gpg для среды CI/CD. Вы можете выбрать любое имя и адрес электронной почты: например, Пример MyApp если ваше приложение называется MyApp, а поставщиком CI/CD является Example. Проще не определять парольную фразу для этого ключа. Однако, если определение парольной фразы неизбежно, используйте уникальную парольную фразу для закрытого ключа.
  2. запустите gpg --armor --export-secret-key [email protected] , чтобы получить значение вашего закрытого ключа
  3. Создайте переменную env на вашем сервере CI/CD GPG_PRIVATE_KEY и назначьте ей значение закрытого ключа. Если для закрытого ключа была настроена парольная фраза, создайте еще одну переменную окружения на сервере CI/CD GPG_PASSPHRASE и назначьте ему парольную фразу закрытого ключа.
  4. Затем напишите сценарий сборки Continuous Deployment. Например:
 # В качестве первого шага: установите git-secret,
# см. : https://git-secret.io/installation
# Создать файл закрытого ключа
эхо "$GPG_PRIVATE_KEY" > ./private_key.gpg
# Импортируйте закрытый ключ и избегайте ошибки «Неподходящий ioctl для устройства»
gpg --batch --yes --pinentry-mode loopback --import private_key.gpg
# Раскрыть секреты без взаимодействия с пользователем и с парольной фразой. Если нет пароля
# создан для ключа, удалите `-p $GPG_PASSPHRASE`
git секрет раскрыть -p "$GPG_PASSPHRASE"
# продолжайте со скриптом сборки, секретные файлы доступны ...
 

Примечание: ваш CI/CD может не позволить вам создать многострочное значение. В этом случае вы можете экспортировать его одной строкой:

 gpg --armor --export-secret-key [email protected] | тр '\n' ','
 

Затем вы можете создать файл закрытого ключа с помощью:

 echo "$GPG_PRIVATE_KEY" | tr ',' '\n' > ./private_key.gpg
 

Также обратите внимание: версия gpg на сервере CI/CD ДОЛЖНА ВЗАИМОДЕЙСТВОВАТЬ с версией, используемой локально. В противном случае может произойти сбой расшифровки gpg , что приведет к git secret раскрывает сообщает не может найти расшифрованную версию файла ошибка . Лучший способ убедиться в этом — использовать одну и ту же версию gnupg в разных системах.

Переменные среды и конфигурация

Вы можете настроить используемую версию gpg или расширение, используемое вашими зашифрованными файлами, в соответствии с вашим рабочим процессом. Для этого просто установите требуемую переменную в нужное вам значение. Это можно сделать в файле среды вашей оболочки или с каждым 9Команда 0021 git-secret . См. ниже или справочную страницу git-secret для объяснения переменных среды, которые использует git-secret .

Доступные для изменения настройки:

  • $SECRETS_VERBOSE — устанавливает флаг подробностей для всех команд git-secret ; идентично использованию -v для каждой команды, которая его поддерживает.

  • $SECRETS_GPG_COMMAND — устанавливает gpg альтернативы, по умолчанию gpg . Его можно изменить на gpg , gpg2 , pgp , /usr/local/gpg или любое другое значение. После этого перезапустите тесты, чтобы убедиться, что ничего не сломается. Протестировано с gpg и gpg2 .

  • $SECRETS_GPG_ARMOR — устанавливает режим gpg --armor . Можно установить на 1 , чтобы сохранить файл секретов в виде текста. По умолчанию 0 и хранить файлы как двоичные файлы.

  • $SECRETS_EXTENSION — устанавливает расширение секретных файлов, по умолчанию .secret . Его можно изменить на любое допустимое расширение файла.

  • $SECRETS_DIR — устанавливает каталог, в котором git-secret хранит свои файлы, по умолчанию . gitsecret . Его можно изменить на любое допустимое имя каталога.

  • $SECRETS_PINENTRY — позволяет пользователю указать настройку для параметра gpg --pinentry . Подробную информацию об опции gpg --pinentry см. в документации gpg .

Папка

.gitsecret (можно переопределить с помощью SECRETS_DIR )

Эта папка содержит информацию о файлах, зашифрованных git-secret, и о том, какие наборы открытых/закрытых ключей могут получить доступ к зашифрованным данным.

Имя этого каталога можно изменить с помощью переменной среды SECRETS_DIR.

Используйте различные команды git-secret для управления файлами в .gitsecret , вы не должны изменять данные в этих файлах напрямую.

Какие именно файлы существуют в папке .gitsecret и каково их содержимое немного различаются в разных версиях gpg. Кроме того, некоторые версии gpg может не работать со связками ключей, созданными или измененными с помощью более новых версий gpg. Таким образом, лучше всего использовать git-secret с той же версией gpg, которую используют все пользователи. Это можно сделать, установив соответствующие версии gpg. и используя SECRETS_GPG_COMMAND переменная среды.

Например, существует проблема между gpg версии 2.1.20 и более поздними версиями. что может вызвать проблемы с чтением и записью файлов ключей между системами (это проявляется в таких ошибках, как «gpg: пропущен пакет типа 12 в keybox»).

Это не единственная проблема, с которой можно столкнуться при обмене файлами между разными версиями. gpg . Как правило, вы, скорее всего, столкнетесь с проблемами между gpg версии, если вы используете git-secret, сообщите или git-secret removeperson , чтобы изменить ваш репозиторий git-secret keyring с использованием более новой версии gpg , а затем попробуйте работать на этом наборе ключей, используя более старую версию gpg .

Внутренние данные git-secret разделены на два каталога:

.gitsecret/paths

Этот каталог в настоящее время содержит только файл mapping.cfg , в котором перечислены все файлы, которые git-secret будет считать секретными. . Другими словами, сопоставления путей: какие файлы отслеживаются, чтобы быть скрытыми и открытыми.

Все остальные внутренние данные, используемые git-secret, хранятся в каталоге:

.gitsecret/keys

Этот каталог содержит данные, используемые git-secret и gpg для шифрования файлов доступ разрешенным пользователям.

В частности, этот каталог содержит связку ключей gnupg с открытыми ключами для электронных писем, используемых с Tell .

Это набор ключей, используемый для шифрования файлов с помощью git-secret-hide .

git-secret-reveal и git-secret-cat , которые расшифровывают секреты, вместо этого используйте закрытые ключи пользователя (которые, вероятно, находятся где-то вроде ~/. gnupg/). Обратите внимание, что закрытые ключи пользователя, необходимые для расшифровки, имеют номер , а не в каталоге .gitsecret/keys .

Вообще говоря, все файлы в этом каталоге , кроме random_seed , должны быть возвращены в ваше хранилище. По умолчанию git secret init добавит файл .gitsecret/keys/random_seed в ваш файл .gitignore .

Опять же, вы можете изменить имя этого каталога, используя переменную среды SECRETS_DIR.

Справочник команд

borg init — Borg — Документация по архиватору с дедупликацией 1.

2.2
 borg [общие параметры] init [параметры] [РЕПОЗИТОРИЙ]
 
Репозиторий
позиционные аргументы
  ХРАНИЛИЩЕ для создания
необязательные аргументы
  -e РЕЖИМ , --РЕЖИМ шифрования выбор режима ключа шифрования (обязательно)
  --только добавление создать репозиторий только для добавления. Обратите внимание, что это влияет только на низкоуровневую структуру репозитория, и запуск удалить или удалить по-прежнему будет разрешено. Дополнительные сведения см. в разделе Режим только для добавления (запретить сжатие) в дополнительных примечаниях.
  --storage-quota QUOTA Установить квоту хранилища для нового репозитория (например, 5G, 1,5T). По умолчанию: нет квоты.
  --создать-родительские-каталоги создать родительские каталоги каталога репозитория, если они отсутствуют.

Общие опции

Описание

Эта команда инициализирует пустой репозиторий. Репозиторий — это файловая система каталог, содержащий дедуплицированные данные из нуля или более архивов.

Режим шифрования TLDR

Режим шифрования можно настроить только при создании нового репозитория — вы не можете ни настроить его для каждого архива, ни изменить режим шифрования существующего репозитория.

Использовать repokey :

 borg init --encryption repokey /path/to/repo
 

Или repokey-blake2 в зависимости от того, что быстрее на ваших клиентских машинах (см. ниже):

 borg init --encryption repokey-blake2 /path/to/repo
 

Борг будет:

  1. Попросит вас придумать кодовую фразу.
  2. Создайте ключ борга (который содержит 3 случайных секрета. См. Файлы ключей).
  3. Зашифруйте ключ своей парольной фразой.
  4. Сохраните зашифрованный ключ borg в каталоге репозитория (в конфигурации репо). Вот почему важно использовать безопасную парольную фразу.
  5. Зашифруйте и подпишите свои резервные копии, чтобы предотвратить их чтение или подделку кем-либо, кроме тех, кто иметь ключ и знать кодовую фразу. Обязательно сохраните резервную копию ваш ключ за пределами репозитория — не запирайтесь «оставлять ключи в машине» (см. экспорт ключей borg). Для удаленных резервных копий шифрование выполняется локально — на удаленной машине. никогда не увидит вашу парольную фразу, ваш незашифрованный ключ или ваши незашифрованные файлы. Фрагментирование и генерация идентификатора также основаны на вашем ключе для улучшения ваша конфиденциальность.
  6. Используйте ключ при извлечении файлов, чтобы расшифровать их и убедиться, что содержимое резервные копии не были случайно или злонамеренно изменены.

Выбор парольной фразы

Убедитесь, что вы используете хорошую парольную фразу. Не слишком короткий, не слишком простой. Реальность ключ шифрования/дешифрования зашифрован/заблокирован вашей парольной фразой. Если злоумышленник получит ваш ключ, он не сможет разблокировать и использовать его, не зная пароль.

Будьте осторожны со специальными символами или символами, отличными от ascii, в вашей парольной фразе:

  • Borg обрабатывает кодовую фразу как unicode (и кодирует ее как utf-8), поэтому у него не возникает проблем даже с самыми странными персонажами.
  • НО: это не обязательно относится к вашей конфигурации ОС/ВМ/клавиатуры.

Поэтому лучше использовать длинную парольную фразу, состоящую из простых символов ascii, чем ту, которая включает не-ascii элементы или символы, которые сложно/невозможно ввести другая раскладка клавиатуры.

Вы можете изменить свою парольную фразу для существующих репозиториев в любое время, это не повлияет ключ шифрования/дешифрования или другие секреты.

Дополнительные режимы шифрования

Используйте --encryption none только в том случае, если вы не против любого, у кого есть доступ к ваш репозиторий может читать ваши резервные копии и вмешиваться в их содержимое без вашего ведома.

Если вам нужна защита с использованием фразы-пароля и наличия ключа, используйте --encryption keyfile . Ключ будет храниться в вашем домашнем каталоге (в ~/.config/borg/keys ).

Если вы делаете , а не , хотите зашифровать содержимое ваших резервных копий, но все же хотите обнаружить злонамеренное использование --Аутентификация шифрования .

Если BLAKE2b быстрее, чем SHA-256 на вашем оборудовании, используйте --encryption authentication-blake2 , --encryption repokey-blake2 или --encryption keyfile-blake2 . Примечание: для удаленного резервного копирования хеширование выполняется на вашей локальной машине.

Хэш/MAC Не зашифровано нет авторизации Не зашифровано, но проверено Зашифровано (AEAD с AES) и аутентифицированный
ША-256 нет аутентифицированный повторный ключ ключевой файл
БЛЕЙК2б н/д аутентифицированный-blake2 repokey-blake2 ключевой файл-blake2

Режимы , помеченные как в приведенной выше таблице, являются новыми в Borg 1.1 и не обратно совместим с Borg 1.0.x.

На современных процессорах Intel/AMD (кроме очень дешевых) AES обычно аппаратное ускорение. BLAKE2b быстрее, чем SHA256 на 64-битных процессорах Intel/AMD (кроме AMD Ryzen и будущих процессоров с расширениями SHA), что делает аутентифицировано-blake2 быстрее, чем none и аутентифицировано .

На современных процессорах ARM NEON обеспечивает аппаратное ускорение для SHA256, что делает его быстрее чем BLAKE2b-256 там. NEON также ускоряет AES.

Аппаратное ускорение всегда используется автоматически, если оно доступно.

repokey и ключевой файл используют AES-CTR-256 для шифрования и HMAC-SHA256 для аутентификация в конструкции «зашифровать-затем-MAC» (EtM). Хэш идентификатора чанка также HMAC-SHA256 (с отдельным ключом). Эти режимы совместимы с Borg 1.0.x.

repokey-blake2 и keyfile-blake2 также являются аутентифицированными режимами шифрования, но используйте BLAKE2b-256 вместо HMAC-SHA256 для аутентификации. Идентификатор чанка hash — это хэш BLAKE2b-256 с ключом. Эти режимы являются новыми и не совместим с Borg 1.0.x.

аутентифицированный режим не использует шифрование, но аутентифицирует содержимое репозитория через тот же хэш HMAC-SHA256, что и режимы repokey и keyfile (использует его как хэш идентификатора чанка). Ключ хранится как repokey . Этот режим является новым и , а не , совместимым с Borg 1.0.x.

authenticated-blake2 похож на аутентифицированный , но использует хэш BLAKE2b-256 с ключом от других режимов blake2. Этот режим новый и не совместим с Borg 1.0.x.

нет Режим не использует шифрование и аутентификацию. Он использует SHA256 как кусок Хэш идентификатора. Этот режим не рекомендуется, вам следует рассмотреть возможность использования аутентифицированного или режим аутентификации/шифрования. В этом режиме возможны проблемы с отказом в обслуживании при запуске borg создайте для содержимого, контролируемого злоумышленником. Используйте его только для новых репозиториев, где не требуется шифрование и при совместимости с 1.0.x важно. Если совместимость с 1.0.x не важна, используйте authentication-blake2 вместо или аутентифицируется .

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *