Forum Debian Users Gang

DeWu · 2013-11-23 12:36:18

Witam. Sporo czasu spędziłem na znalezieniu skutecznego sposobu zaszyfrowania prywatnych danych na laptopie. Dużo z nim podrużuję i ryzyko że go gdzieś zostawię lub ktoś mi go ukradnie jest na prawdę duże a mam tu dane które nie powinny wpaść w niepowołane ręce. Czytałem o trikach z truecrypt lub innymi programami szyfrującymi ale wymagają one klucza który jest zapisany na innej partycji (aby montować katalog przy starcie) lub na dysku zewnętrznym. Powiem że to mało bezpiecne z mojego punktu widzenia. Świetnym rozwiązaniem wydało mi się zaszyfrowaniie katalogu domowego komendą adduser --encrypt-home Tworzy ona katalog domowy zupełnie inaczej wyglądający niż inne i nieczytelny z poziomu innych użytkowników (nawet roota tak mi się wydaje) Jednak w związku z tym rodzigs się pytanie: jak mam przenieść swoje dane na tego uzytkownika? I nie chodzi mi tylko o dokumenty ale kompletny katalog domowy łacznie z ustawienia Gnome, katalogiem .wine, .ssh, .mc, .vnc itp. Z góry dziękuję za pomoc.

ArnVaker · 2013-11-23 12:58:42

DeWu napisał(-a):
Czytałem o trikach z truecrypt lub innymi programami szyfrującymi ale wymagają one klucza który jest zapisany na innej partycji (aby montować katalog przy starcie) lub na dysku zewnętrznym.

To jest opcja. Można oczywiście używać po prostu hasła.

megabajt · 2013-11-23 13:15:40

http://stolowski.blogspot.com/2011/06/debian-60-enc … artition.html

DeWu · 2013-11-23 13:20:13

I to jest właśnie to! Zaraz się biorę za setup.
Dzięki.

ArnVaker · 2013-11-23 14:07:49

To jest co innego akurat. W pierwszym poście pisałeś o ecryptfs, to z linka to dm-crypt.

yossarian · 2013-11-23 14:20:23

Tu masz trochę o szyfrowaniu:
http://dug.net.pl/tekst/239/#3

morfik · 2013-11-23 14:23:45

A czemu po prostu nie zaszyfrować całego sprzętu i wszelkich danych na nim?

megabajt · 2013-11-23 16:03:37

1) Szyfrując tylko /home możemy łatwo zalogować się na zrestartowanego hosta i wpisać przez ssh hasło. Jak zaszyfrujemy całego / to trzeba kombinować z busybox-em i dropbear-em.

2) Majć niezaszyfrowanego / wydajność jest wyższa (wiem - przy współczesnych platformach nikt nie zobaczy różnicy...)

3) Krytyczne dane są (powinny być) w /home, nie ma potrzeby szyfrowania całości (w większośći przypadków)

morfik · 2013-11-23 17:04:51

Nie zgodzę się co do punktu 3. W przypadku posiadania zaszyfrowanych danych na jakiejś maszynie, wszystkie pliki pozostałe są krytyczną potencjalną dziurą, która może przyczynić się do łatwego odszyfrowania tych supertajnych danych -- nie ma pewności co do zachowana integralność danych, bo ktoś może ci podmienić firefoxa na firefoxa+keyloger, co powoduje, że ty sobie odpalasz firefoxa, montujesz zaszyfrowany zasób i tyle z twojego szyfrowania, tylko takty procka się marnują. xD A w jaki sposób dojdziesz, który plik w systemie został świadomie zmieniony podczas twojej nieobecności? Sumny kontrolne 200k plików systemowych, które leżą w postaci odszyfrowanej i sprawdzanie ich za każdym razem gdy się chce zamontować zaszyfrowany zasób?

megabajt · 2013-11-23 18:51:02

Tylko, że ja szyfruje głównie po to, żeby w przypadku kradzieży nie wyciekły hasła, certyfikaty itp. Prawdopodobieństwo, że złodziej odda laptopa jest minimalne a że podmieni binarki i odda laptopa jeszcze mniejsze :D Chyba, że do rzeczonego komputera mają fizyczny dostęp, lub potencjalny dostęp osoby niepowołane lub potencjalnie niepowołane. Tylko, że jak jest uruchomiony to i ramu można odczytać informacje. Paranoja na punkcie bezpieczeństwa może postępować bardzo głęboko :)

morfik · 2013-11-23 19:18:32

Naturalnie, że z ramu można, pytanie czy to takie proste. Pamiętam np. wpis na niebezpieczniku, poniżej focia:

To są dane w schłodzonym ramie po odpowiednio: po 30 sekundach, 60 sekundach i 5 minutach:

Tylko to jest obrazek, załózmy teraz, że masz klucz szyfrujący w ramie, a on maja postać 01010101010101010101001011010110111101010.... tak jak ten obrazek, zmień teraz choć 1 bit, i już sobie możesz odzyskiwać dane tym kluczem. xD Na obrazkach to może i faktycznie fajnie wygląda ale gdy w grę wchodzi dokładność co do bita, to już tak fajnie nie jest.

Oczywiście to są dane w ramie wyciągnięte po schłodzeniu z działającej maszyny, inaczej sprawa się ma jak sobie zahibernujesz kompa i ci zrzuci ten klucz i hasło na dysk, wtedy masz wierną kopię. Poza tym, te dane z ramu się sczytuje przez porty usb lub inne dziury w kompie dokładnie na takiej samej zasadzie jak system robi zrzut pamięci przy przechodzeniu w hibernację, tylko nie opróżnia ramu i zamiast do swap zrzuca do zewnętrznego pliku, o ile ci się ten pen po wsadzeniu zamontuje... Inaczej szansa na odzyskanie czegokolwiek z pamięci w formie nadającej się do użycia graniczy z cudem.

Paranoja swoją drogą, zabezpieczenia swoją. Albo zabezpieczać się jak trza albo lepiej sobie odpuścić inaczej rozbudzamy w sobie tylko fałszywe poczucie bezpieczeństwa, które jest o wiele bardziej niebezpieczne niż najgorsze zabezpieczenia :)

Forum Debian Users Gang

Ogłoszenie

#1 2013-11-23 12:36:18

DeWu - Użytkownik

Szyfrowanie katalogu domowego

#2 2013-11-23 12:58:42

ArnVaker - Kapelusznik

Re: Szyfrowanie katalogu domowego

DeWu napisał(-a):

#3 2013-11-23 13:15:40

megabajt - Użytkownik

Re: Szyfrowanie katalogu domowego

#4 2013-11-23 13:20:13

DeWu - Użytkownik

Re: Szyfrowanie katalogu domowego

#5 2013-11-23 14:07:49

ArnVaker - Kapelusznik

Re: Szyfrowanie katalogu domowego

#6 2013-11-23 14:20:23

yossarian - Szczawiożerca

Re: Szyfrowanie katalogu domowego

#7 2013-11-23 14:23:45

morfik - Cenzor wirtualnego świata

Re: Szyfrowanie katalogu domowego

#8 2013-11-23 16:03:37

megabajt - Użytkownik

Re: Szyfrowanie katalogu domowego

#9 2013-11-23 17:04:51

morfik - Cenzor wirtualnego świata

Re: Szyfrowanie katalogu domowego

#10 2013-11-23 18:51:02

megabajt - Użytkownik

Re: Szyfrowanie katalogu domowego

#11 2013-11-23 19:18:32

morfik - Cenzor wirtualnego świata

Re: Szyfrowanie katalogu domowego

Stopka forum