Forum Debian Users Gang

Obecnie jak masz Grub'a to możesz i boot zaszyfrować:
https://cryptsetup-team.pages.debian.net/cryptsetup … ted-boot.html

Ale to rozwiązanie póki co działa tylko z LUKSv1 i nie wiadomo kiedy Grub dorobi wsparcie dla tego LUKSv2.

loms czyli sugerujesz ,ze morfik nie ma racji ?

Ponawiam prośbę do administracji by zbanować tego loms'a. Pliss... xD

Witam :)
morfik nie wszystko dokadnie rozumie :( , lecz chciabym miec takie szyfrowanie fde ktore gwarantuje veracrypt pod windowsem.
Jak bys mogl mnie naprowadzic na jakis poradnik czy tutorial typu "Explain to me like I'm 5" (moze byc po angielsku byle do piecolatkow) xD

Ja szyfruje caly dysk, oprocz /boot ktory jest na osobnej partycji (BTRFS) a cala reszta dysku to szyfrowany LVM ( F2FS) ( SSD). Jesli ktos wyciagnie dysk to tez nie widac na nim zadnych partycji oprocz tej jednej. Uwazam to za zensowne rozwiazanie, wg mnie nawet praktyczniejsze, niz dzielenie na 'fizyczne' woluminy i potem traktowanie LUKS'em. Tak mam na lapku, na PC mam podobnie i tutaj dochodza 2 HDD 'wpiete' pod LVM i widoczne jako jedna wielka dostepna przestrzen. Nie jest to zaden serwer itp, wiec RAID sobie odpuscilem, ale na domowe sprawy sie sprawdza.

Przykladowy poradnik LVM+LUKS to np: https://www.youtube.com/watch?v=wShiEsQtSsE

Moze nie tyczy sie typowo Debiana, ale sam LUKS i zasada pozostaja niezmienne.

Pozdrawiam

@morfik
Jesli mieliby sie bawic tym specjalisci od analizowania danych np FBI ( ups, teraz mnie obserwuja skoro to napisalem xD ) i inne nawet rodzime, to pewnie jakos by to zlamali. Szczerze? nie popadam w skrajnosc, nie nosze na glowie pod czapka folii aluminiowej xD i nie owijam nia przedmiotow elektronicznych :)
Szyfruje np lapka, bo mam bardzo mobilna robote, laptop czesto zostaje w aucie i jak jakis 'cFaniak' buchnie, to raczej nie ogarnie o co tutaj chodzi, bo przeciez nawet nie ma Windows'a. Odepnie, sformatuje itp i tyle. Laptop ma kilkanascie lat, a backup robiony w miare na bierzaco ;)

Btw...mozesz mi podac info, jak taki zielony user ( lamer ) jak ja, moglby sobie zobaczyc, gdzie widnieje info "dotyczące jak ten dysk systemowy odszyfrować" ? ;) - tak z czystej...dziennikarskiej nazwijmy to...ciekawosci ;)

"Jak to miło madrego po szkole posluchac" ;)

EDIT:

Ok, nie daje mi to spokoju, a czlowiek uczy sie cale zycie, wiec pytanko/a ;)

Zeby w moim przypadku poznac jaka metoda szyfruje, gdzie trzymam klucz ( keyfile ) to...trzeba by chocby wylistowac /etc/fstab i mamy wieszkosc info poczawszy od UUID woluminu - OK
Zeby poznac moje haslo skladajace sie ze 128 losowych znakow nalezaloby odpytac dm-crypt ( dmsetup table --showkeys ) - OK

Wszystko, jak na dloni. Ale...to przy znajomosci chocby hasla root'a ( tak to rozumiem ) - prawda? :)
Czy...jedyna w miare bezpieczna opcja, to 'wyciagnac' np keyfile 'na zewnatrz'? ( np pendrive ) :)

Ostatnio edytowany przez BlackEvo (2019-10-08 23:06:36)

robert93 napisał(-a):

BlackEvo napisał(-a):

"Jak to miło madrego po szkole posluchac" ;)

Pozdro

Witam
I co tam zobaczyles ?
Jest haslo?

Nie.

BlackEvo napisał(-a):

Zeby poznac moje haslo skladajace sie ze 128 losowych znakow nalezaloby odpytac dm-crypt ( dmsetup table --showkeys ) - OK

Wszystko, jak na dloni. Ale...to przy znajomosci chocby hasla root'a ( tak to rozumiem ) - prawda? :)
Czy...jedyna w miare bezpieczna opcja, to 'wyciagnac' np keyfile 'na zewnatrz'? ( np pendrive ) :)

W dmsetup znajdował się odszyfrowany klucz szyfrujący dane w kontenerach. Po to właśnie (między innymi) wymyślili LUKSv2, by już żaden user (nawet root) nie był w stanie wyciągnąć klucza szyfrującego w działającym systemie — już ich nie ma w  `dmsetup table --showkeys`. Same klucze zaś zostały przeniesione do keyring'a kernela, co znacznie poprawiło bezpieczeństwo tych kluczy szyfrujących. O hasło/keyfile trzeba zadbać sobie samemu, żeby nic go nie przechwyciło, np. jakiś keyloger zaszyty w MBR/MBR-GAP. Dlatego jedyną bezpieczna opcją jest wyprowadzenie całego bootloader'a wraz z nagłówkami zaszyfrowanych partycji na osobny nośnik i odpalanie kompa z niego, tak jak ja to sobie zrobiłem z telefonem.

robert93 napisał(-a):

morfik Z tego co zrozumialem to:
1 nie da sie zlamac hasla (wystarczajaco silnego) kradnac wylaczonego laptopa

Da się — po to są klastry graficzne i właśnie po to stworzyli LUKSv2, by uzbroić hasła do kluczy szyfrujących w argon2. Np. moje kontenery do odszyfrowania wymagają 1GiB RAM i każdy wątek do łamania hasła będzie skutkował alokowaniem 1 GiB RAM i łamanie hasła przy pomocy klastrów graficznych staje się już wysoce nieefektywne. xD Dlatego jak tylko wprowadzili ten LUKSv2, to ja od razy na niego zmigrowałem, podobnie mam z keepassxc, który również oferuje zbrojenie haseł przy pomocy argon2.

robert93 napisał(-a):

2 mozna wczescniej cos tam podinstalowac zeby ofiara sama podala nam haslo jesli widoczny jest /boot/ czy program rozruchowy o mam, atak sprzataczki https://security.stackexchange.com/questions/159173 … l-maid-attack
Chyba veracrypt po rozruchu sprawdza hash programu bootujacego i to chyba jest najbardziej optymalne rozwiazanie, zamiat przenoszaenia rozruchu na pena

Nie wiem co veracrypt tam robi, bo ja go nigdy nie miałem zainstalowanego. Niby jest free i opensource ale do debiana z pewnych względów on nie trafił i nie trafi. Podobnie było z truecrypt. Kiedyś testowałem truecrypt na tę podatność z podmienieniem bootloader'a i działało, a sam truecrypt żadnych ostrzeżeń nie wyrzucał i hasło było można bez problemu wyciągnąć. Czy jakieś usprawnienia dorzucili w veracrypt, tego nie wiem — trzeba by sprawdzić. Niemniej jednak, zrobienie sobie obrazu z partycji /boot/ i wyprowadzenie go poza dysk zawsze jest bezpieczne. xD

robert93 napisał(-a):

3 O co chodzi z tymi naglowkami, ktore widac ? Moglbys podac jakies przyklady? np. mam plik tekstowy  "HaslaGmail" i co z tego widac, albo jakis program firefox.exe

No bo teraz jest zagrożenie terrorystyczne i tylko terroryści szyfrują dane. xD I jak się przemieszczasz, to możesz trafić na wrednych ludzi, którzy będą chcieli sprawdzić co masz na kompie, np. na granicy. A ty powiesz im, że masz zaszyfrowanego kompa albo oni napotkają prompt'a o hasło przy starcie systemu i poproszą cię o nie, albo zostaniesz oskarżony o terroryzm. xD Jak ja bym podróżował z moim lapkiem i fonem, to lapka mam w zasadzie czystego, a w fonie bym sobie wyzerował partycję boot i recovery (sposób tylko dla mediatek'ów), tak by fon się już nie uruchomił. Potem po przyjeździe w docelowe miejsce, obrazy partycji boot i recovery bym z neta pobrał i wgrał na fona i już jestem gotów do wysadzania WTC z mojego zaszyfrowanego debiana. xD A jak masz nagłówki LUKS na dysku, to zawsze je znajdą, nawet jak powiesz, że nie szyfrujesz. :] Tu[1] sobie poczytaj o tym "problemie".

[1]: https://gitlab.com/cryptsetup/cryptsetup/wikis/Freq … urity-aspects

Ostatnio edytowany przez morfik (2019-10-09 02:49:10)

Da się. xD

czyli w przybliżeniu 1 395 lat. Cofamy się do czasów Mahometa, który wątpię aby dysponował takim sprzętem i cierpliwością. :D

Nie zapomnij, że Amazon i kilka innych firm  oferują niemałe chmurki obliczeniowe, które można najmować na godziny,
natomiast booty hakerskie czasem mają dostęp nie do jednego, ale do paru mln procesorów i GPU.
Wtedy 1400 lat podziel np przez milion kompów, i łamanie hasełka robi się już realne.

@blind, uwzględnij, że nie każdy posiada hasło składające się z się z małych i dużych liter, cyfr,znaków specjalnych, krwi dziewicy i futra jednorożca. Sama długość hasła też jest przeważnie krótka.

Dodatkowo uwzględnij, że te wyliczenia tyczą się każdego możliwego hasła, właściwe hasło może być gdzieś na początku albo bliżej środka, statystyki nie oszukasz.


That's being said, skomplikowanie hasła nie ma znaczenia gdy w sofcie znajdą/zaszyją lukę i uzyskają dostęp do twoich danych.

BA, widziałem już metody wyciągania haseł z działających systemów poprzez podpięcie się pod kości RAM na działającym systemie :D