Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
tak czy siak partycja /boot z kernelem jest nadal nie zaszyfrowana.
A grub pozwala już odpalać kernel z partycji zaszyfrowanej. I można na dzień dzisiejszy całkowicie zaszyfrować system.
Offline
Yampress napisał(-a):
tak czy siak partycja /boot z kernelem jest nadal nie zaszyfrowana.A grub pozwala już odpalać kernel z partycji zaszyfrowanej. I można na dzień dzisiejszy całkowicie zaszyfrować system.
Oczywiście ze nie można zaszyfrować wszystkiego bo przecież musi być coś niezaszyfrowane żeby w ogóle zacząć odszyfrowywać. Jak by wszystko było zaszyfrowane to gdzie byłby kod który zacząłby odszyfrowywanie ?
Tez byłby zaszyfrowany ? :D Nie wiem jak można zaszyfrować kernel skoro właśnie na poziomie kernela działa szyfrowanie
A jeśli chodzi o /boot to najwyżej będę go nosiła ze sobą w torebce
Ostatnio edytowany przez Elizabeth (2017-12-29 04:50:25)
Offline
Elizabeth napisał(-a):
A jeśli chodzi o /boot to najwyżej będę go nosiła ze sobą w torebce
jezu sorry za oftop ale sobie wyobrazilem jak Cie kiedyś koleżanki pytają co ty masz w torebce a pada odpowiedź "nie zaszyfrowany /boot" :D
Offline
Pakos napisał(-a):
Elizabeth napisał(-a):
A jeśli chodzi o /boot to najwyżej będę go nosiła ze sobą w torebce
jezu sorry za oftop ale sobie wyobrazilem jak Cie kiedyś koleżanki pytają co ty masz w torebce a pada odpowiedź "nie zaszyfrowany /boot" :D
To nie do końca prawda. Mam tam jeszcze key-file zaszyfrowane przez gpg więc do odszyfrowania dysku twardego potrzebny jest ten pendrive z tym key-filem i hasło do jego odszyfrowania.
Samo zdobycie pendrivea nic nie da.
Ale nie powinno się zostawiać tego pen-drive przy laptopie bo ktoś może coś namieszać na poziomie kernela. A tak to dla atakującego zostają tylko podejścia czysto sprzętowe
Offline
morfik napisał(-a):
W sumie to masz tam dwa dyski, to może być na obu i później będą decydować ustawienia w biosie, np. bez podpiętego drugiego dysku uruchomi się windows.
Teraz mam taki problem
ze nawet jak zmienie priorytet bootowania:
i zapiszę:
to i tak wraca to do pierwotnej postaci i potem uruchamia sie windows
jesli chce uruchomic gruba to musze zawsze wchodzic do biosu i ręcznie z boot menu,
nie wlacza sie sam bo powyzsza zmiana
prirytetow nie zapisuje sie w biosie
Dlaczego ?
Offline
Bateria podtrzymująca CMOS sprawna?
No i nie trzeba wchodzić do BIOS jeśli masz skrót klawiszowy do bootmenu.
Offline
arecki napisał(-a):
Bateria podtrzymująca CMOS sprawna?
Chyba to nie w tym rzecz, bo inne ustawienia zapamiętuje, np. hasło do bios działa
Offline
Powyższego problemu dalej nie rozwiązałam ale mam jeszcze następujące pytanie:
jeśli mam jeden dysk z partycją rozruchową ext2 i chce mieć (hipotetycznie) drugi taki sam dysk z partycją rozruchową to wystarczyłoby stworzyć partycje ext2 i przekopiować na poziomie systemu plików z pierwszego dysku do drugiego ? Czy jednak konieczne byłoby zrobienie obrazu partycji ?
Ostatnio edytowany przez Elizabeth (2017-12-30 12:04:00)
Offline
Po co się bawisz w jakiś prehistoryczny system plików ext2?
Możesz robić klona, a możesz sobie też kopiować pliki, tylko przy tym drugim rozwiązaniu trzeba "zainstalować" część kodu bootloader'a w VBR.
https://en.wikipedia.org/wiki/Volume_boot_record
Offline
problem z tym bootowaniem się rozwiązał okazało się że jest to błąd w biosie przez który priorytet bootowania nie zapisuje się przy wybraniu "exit saving changes" tylko trzeba wcześniej nacisnąć "save changes"
do tego wykonałam pełną kopie partycji z kernelem na wypadek zgubienia lub kradzieży pendrivea:
dd if=/dev/sdb1 conv=sync,noerror bs=1024K | gzip -c > image.gz
oraz przechowuje ją w postaci zaszyfrowanej:
gpg -c --cipher-algo AES256 image.gz
mam tylko pytanie, jak chcemy to sklonować na drugi dysk to musi mieć on przygotowany odpowiedni system plików czy coś, czy tylko ma być zamontowany a reszta nie ma znaczenia ? Po prostu: dd if=./image out=/dev/sdb1 conv=sync,noerror bs=1024K ?
Ostatnio edytowany przez Elizabeth (2017-12-31 16:39:04)
Offline
jest możliwość wymazania klucza z RAM bez wyłączania całego komputera ?
Coś takiego kiedyś czytałam, ale nie mogę teraz tego znaleźć.
Chodzi mi o zablokowanie komputera gdy muszę od niego na chwile odejść, bez jego całkowitego wyłączania.
Ostatnio edytowany przez Elizabeth (2018-01-13 16:25:55)
Offline
U mnie to wygląda tak:
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
sda 8:0 0 931.5G 0 disk
sda1 8:1 0 500M 0 part
sda2 8:2 0 149.5G 0 part
sda3 8:3 0 1K 0 part
sda5 8:5 0 781.5G 0 part
sda5_crypt 254:0 0 781.5G 0 crypt
debian--vg-root 254:1 0 762.4G 0 lvm /
debian--vg-swap1 254:2 0 19.1G 0 lvm [SWAP]
sdb 8:16 1 14.6G 0 disk
sdb1 8:17 1 14.6G 0 part /boot
sr0 11:0 1 1024M 0 rom
jest tam nawet kolumna MOUNTPOINT ale to chyba nie o to chodzi
tam było jeszcze jakieś "dev/mapper/cośtam"
----------
no więc jak w końcu
sudo umount i co wpisać ?
i to można tak po prostu w trybie graficznym odmontować ?
Przecież jak tak zrobię to się na 100% nie uda. Wywali mi błąd że urządzenie jest zajęte czy coś w tym rodzaju.
----------
edit: wydaje mi się jednak, że luks miał jakąś dedykowaną komende do tego celu.
edit: i tak się zastawnaiam, co to jest w ogole to sda/sda3
Ostatnio edytowany przez Elizabeth (2018-01-13 17:32:54)
Offline
No przecie procesy korzystają z dysku, który jest zaszyfrowany, to co się dziwisz? Jak usuniesz klucz z pamięci, to dysk przestanie być czytelny dla procesów systemowych -- to tak jak by wyciągnąć dysk z kompa. Raczej system się powiesi. xD
Poza tym, zacznij czytać manual cryptsetup:
luksSuspend <name> Suspends an active device (all IO operations will blocked and accesses to the device will wait indefinitely) and wipes the encryption key from kernel memory. Needs kernel 2.6.19 or later. After this operation you have to use luksResume to reinstate the encryption key and unblock the device or close to remove the mapped device. WARNING: never suspend the device on which the cryptsetup binary resides. <options> can be [--header].
I masz tam info, że nigdy nie usypaj urządzenia, na którym binarka cryptsetup'a sobie siedzi, czyli zapomnij o usypianiu partycji systemowej, tj. root.
Offline
Do USA/NSA jest dosyć daleko, także zawsze można klucz szyfrujący z kolei zaszyfrować kluczem schowanym w TPM.
Poza tym szybki dyzio SSD pozwoli zamykać lapka zamiast usypiać do RAM,
np przez S2disc, jeśli np mój Gentuś w tej chwili zajmuje 3734MB, to przy dyziu z szybkością zapis/odczyt 450MB/s + kompresją wyjdzie z 8-10 sekund maks na obudzenie go z s2disc.
Dłużej niż z s2ram, ale nie tragedia.
Do tego klucz na metalowym pendraku, pendrak na łańcuszku na szyi, i wiooo.
Względnie AMD w Ryzenach chwali się szyfrowaniem RAM, może świat mocniej pójdzie w tą stronę?
Ale gdzie wtedy jest przechowywany klucz do szyfrowania RAM,w TPM?
w rejestrach czy cache procka?
Ostatnio edytowany przez Jacekalex (2018-01-13 21:55:06)
Offline
morfik napisał(-a):
No przecie procesy korzystają z dysku, który jest zaszyfrowany, to co się dziwisz? Jak usuniesz klucz z pamięci, to dysk przestanie być czytelny dla procesów systemowych — to tak jak by wyciągnąć dysk z kompa. Raczej system się powiesi. xD
gdyby kod odpowiedzialny za obsługe zamrożenie załadował się całkowicie do pamięci RAM to przecie teoretycznie byłoby to możliwe. Powrót z blokady używałby jedynie pamięci RAM.
Pytanie tylko czy zostało to już zrealizowane przez programistow cryptsetupa, bo na pewno się da
W każdym razie coś takie obiło mi się o uszy - czy raczej oczy - ze już teraz da się zablokować bez wyłączania. Ale to może właśnie chodziło o sytuajce gdy /root nie jest szyfrowany.
jak nie to najwyżej sama sobie przerobie tego cryptsetupa :)
Offline
Możesz sobie zrobić initramfs z binarką cryptsetup albo skorzystać z tych obrazów, które Debian sobie generuje i po prostu je wypakować do pamięci RAM. Później chroot w to miejsce (+ mount kilku rzeczy, np. /dev ) i możesz wywoływać polecenia luks* . Jak to będzie działać to nie wiem. xD
Offline
1. Jakie są w praktyce możliwości wyjęcia klucza z pamięci ram w sytuacji, kiedy
mam dostęp do uruchomionego komputera, ale jest włączony lock screen gdm'a i nie znam
hasła użytkownika ani tymbardziej roota ?
Linux Memory Extractor zdaje się wymaga dostępu do powłoki z uprawnieniami roota.
A daloby sie np. przepiąć pamięć ram do innego komputera bez odłączania jej od zasilania ?
Zadziałałoby to ?
2. Jak dziala dokladnie ten keyring, ze mozna sobie wybrac do ośmiu haseł ?
Zdaje sie ze te klucze które
są widoczne dla użytkoniwka nie są bezposrednio uzywane do szyfrowania a jedynie do szyfrowania klucza glownego ? I w pamieci ram znajduje się jedynie klucz główny ?
Offline
Elizabeth napisał(-a):
1. Jakie są w praktyce możliwości wyjęcia klucza z pamięci ram w sytuacji, kiedy
mam dostęp do uruchomionego komputera, ale jest włączony lock screen gdm'a i nie znam
hasła użytkownika ani tymbardziej roota ?
Takie same możliwości jak w przypadku każdego normalnie działającego systemu.
https://youtu.be/Ej-Nr79bVjg?t=93
Elizabeth napisał(-a):
2. Jak dziala dokladnie ten keyring, ze mozna sobie wybrac do ośmiu haseł ?
Zdaje sie ze te klucze które
są widoczne dla użytkoniwka nie są bezposrednio uzywane do szyfrowania a jedynie do szyfrowania klucza glownego ? I w pamieci ram znajduje się jedynie klucz główny ?
Hasło jest używane w procesie odszyfrowania klucza (hasło można później zmienić bez zmiany klucza głównego), przynajmniej przy LUKS. Samo hasło jest przechowywane w pamięci do momentu aż się klucz odszyfruje. Później hasło można wywalić i zwykle jest wywalane (przepisywane) z pamięci, choć nie wszystkie aplikacje czyszczą pamięć z hasła, np. na potrzeby późniejszego użycia (otwieranie wielu kontenerów tym samym hasłem, itp), albo też jest ustawione opóźnienie np. 5 min. czy ile mają tam aplikacje na przechowywanie klucza w pamięci.
Offline
morfik, a czy obecnie w tym cryptsetup możliwe jest szyfrowanie tak jakby w trybie RAW
żeby nie dało się nawet udowodnić że na dysku znajdują się jakieś dane ?
Bo obecnie to są tam chyba jakieś nagłówki. Jak bootuje się z innego systemu to rozpoznaje, że tam jest zaszyfrowana partycja.
Offline
To używaj dm-crypt'a — on przyjmuje wszystkie parametry z linii poleceń, nie ma żadnych nagłówków, itp i nie zostawia żadnych śladów na dysku poza "zbyt" losowanymi danymi.
Poza tym, to nagłówki LUKS można trzymać osobno, i nie trzeba ich mieć na tym samym dysku co przechowuje szyfrowane dane. Zrób sobie pendrive, na nim wrzuć bootloader i nagłówki. Jak ktoś uzyska dostęp do dysku (zakładając, że komp wyłączony), to mu się ani system nie uruchomi, ani tym bardziej nie będzie wiadomo z jakiego powodu nie chce wystartować — może to błędna instalacja, czy kto tam go wie. xD
Ja swojego czasu opracowałem ukryty volumin LUKS, który był schowany pod systemem plików EXT4 w losowym miejscu na dysku. W taki sposób każdy kto by włączył mojego kompa, to zobaczy jedynie dane tego niezaszyfrowanego systemu plików, a kontenera LUKS/DM-Crypt i tak by nie dostrzegł. Z tym, że jakby ten ktoś zaczął zapisywać dane na tym systemie plików, to zniszczy praktycznie natychmiast ten ukryty kontener, ale też nikt się o tym fakcie w żaden sposób nie dowie, no i danych z tego kontenera już się odzyskać nie będzie dało. Ale to już zaawansowana sztuka władania zaszyfrowanymi kontenerami. xD
Offline
Czy ktoś się orientuje co mają na myśli procudenci dysków pisząc:
" Szyfrowanie AES metodą 256-bitową
Dyski SU700 obsługują szyfrowanie AES metodą 256-bitową, która zapewnia ochronę danych oraz prywatności użytkownika."
???
Na przykład tutaj:
https://www.x-kom.pl/p/363060-dysk-ssd-adata-120gb- … te-su700.html
I drugie pytanie: co to jest "System reserved" w Windowsie (to zaznaczone czerwoną strzałką) ? Czy to jest odpowiednik partycji /boot ?
Mam z tym problem, bo chce zaszyfrować windowsa VeraCryptem,
ale chce przenieść rozruch na dysk
zewnętrzny, aby utrudnić ewentualne próby wykonania ataku złośliwej pokojówki.
(przechwycenie hasła poprzez zmodyfikowanie bootloadera)
I dlatego nie wiem czy już przy instalacji umieścić "System reserved" na dysku zewnętrznym czy dopiero podczas szyfrowania veracrytem
będzie można umieścić sam bootloader veracrypta na dysku zewnętrznym ? Jak to zrobić ?
I na marginesie: czy da się ominąć hasło biosu bez usunięcia go tak żeby ofiara nic nie zauważyła ?
Chyba się nie da, ale i tak zawsze można wyjac dysk i zbootowac z innego komputera wiec tak
czy inaczej lepiej przeniesc rozruch na dysk zewnetrzny.
Offline
Szyfrowanie AES metodą 256-bitową
Dyski SU700 obsługują szyfrowanie AES metodą 256-bitową
lepiej szukaj proca, który ma wsparcie dla AES (standard w nowych klocach) i szyfruj LUKS-em z wykorzystaniem AES-a (osobiście i tak wolę Twofish, mega wydajny i otwarty standard symetryka)
I drugie pytanie: co to jest "System reserved" w Windowsie (to zaznaczone czerwoną strzałką) ? Czy to jest odpowiednik partycji /boot ?
taaa taaa to każdy windows od 7> robi sobie taką wydzieloną partycję, śmieszne no ale cóż windows to windows (w linuksie oddzielna partycja /boot jest zakładana tylko przy szyfrowaniu, masz tam initrd i bootloadera i jest to jedyny niezaszyfrowany obszar dyzia)
Ostatnio edytowany przez hi (2018-03-01 21:41:35)
Offline
lepiej szukaj proca, który ma wsparcie dla AES (standard w nowych klocach) i szyfruj LUKS-em z wykorzystaniem AES-a
wsparcie sprzętowe dla AES w procesorach to chyba jest już od dawna oczywistość
natomiast nie wiem o co chodzi producentom dysku, gdy piszą że dysk obsługuje szyfrowanie tak jak właśnie w tym dysku co podałam wyżej
raczej nie chodzi tutaj o takie sprzętowe szyfrowanie dla poufności (co czasem jest przy dyskach zewnętrznych spotykane)
możliwe że kontroler dysku szyfruje dane przed fizycznym zapisaniem - np. w celu możliwości zamazania dysku bez napisywania wszytskich komórek
coś takiego jest czasem stoswane w dyskach SSD
Offline