From: "Nikolay A. Fetisov" <naf@naf.net.ru>
To: sysadmins@lists.altlinux.org
Subject: Re: [Sysadmins] Шифрование диска
Date: Tue, 22 Jul 2008 11:32:02 +0400
Message-ID: <20080722113202.34ab266a@v3405.naf.net.ru> (raw)
In-Reply-To: <99785b730807212350r1111b8daob03084ea459114ff@mail.gmail.com>
On Tue, 22 Jul 2008 09:50:49 +0300
Yury Konovalov wrote:
> 22 июля 2008 г. 9:42 пользователь Nikolay A. Fetisov написал:
> > О проблемах использования скрытого раздела в TrueCrypt расписано в
> > статье http://www.schneier.com/paper-truecrypt-dfs.pdf . Не говоря уже о
> > вынужденной необходимости использования FAT для основного раздела.
>
> Чушь, использую cryptsetup-luks, ...
> Использую ext3
Речь идёт о возможности создания в TrueCrypt т.н. скрытого диска
(hidden volume), когда внутри основного раздела выделятся второй
раздел, доступный по отдельному паролю. Основная задача такого решения -
обеспечение "правдоподобного отказа" (plausible denial), т.е.
возможности отказаться предоставить ключи к защищённым разделам при
угрозе или применении насилия.
LUKS подобные вещи не поддерживает и поддерживать не будет.
> Зачем FAT ?
В TrueCrypt никакой информации о наличии скрытого раздела не хранится.
При вводе пароля к разделу сначала этим паролем расшифровывается
заголовок основного раздела, если пароль не подходит - то заголовок
скрытого раздела, расположенный в конце диска по известному смещению.
Если не удалось расшифровать и заголовок скрытого раздела -
пользователю сообщается об ошибке ввода пароля.
Это поведение - стандартное и применяется вне зависимости от того,
создавался или нет скрытый раздел. При работе с основным диском нет
возможности определить, есть ли скрытый раздел _и какую часть
диска он занимает_. При работе со скрытым разделом нет возможности
определить, _какая часть диска занята файлами и метаданными файловой
системы основного раздела_.
Т.е., при использовании чего-либо кроме FAT на основном диске при
работе со скрытым диском есть большая вероятность порчи метаданных
файловой системы основного диска; после чего при проверке/восстановлении
файловой системы основного диска будут гарантированы разрушены
соответствующие блоки с данными скрытого раздела.
> Я правда эти доки не читал, мож чего не понимаю.
Если используете криптографию, то имеет смысл почитать. В том числе о
возможных проблемах с надежностью защиты, о правовых вопросах
применения таких решений, и т.п. Иначе может оказаться, что ежедневно
надеваемый бронежилет - это новое платье короля.
--
С уважением,
Николай Фетисов
next prev parent reply other threads:[~2008-07-22 7:32 UTC|newest]
Thread overview: 18+ messages / expand[flat|nested] mbox.gz Atom feed top
2008-07-21 15:00 Aleksey E. Birukov
2008-07-21 16:22 ` Nikolay A. Fetisov
2008-07-22 9:20 ` Dmitriy Kruglikov
2008-07-22 9:44 ` Maks Re
2008-07-22 9:54 ` Nikolay A. Fetisov
2008-07-22 4:27 ` Александр Леутин
2008-07-22 5:25 ` Aleksey E. Birukov
2008-07-22 6:42 ` Nikolay A. Fetisov
2008-07-22 6:50 ` Yury Konovalov
2008-07-22 7:32 ` Nikolay A. Fetisov [this message]
2008-07-22 8:01 ` Aleksey E. Birukov
2008-07-22 10:51 ` Nikolay A. Fetisov
2008-07-23 6:07 ` Airgunster
2008-07-23 6:11 ` Denis Medvedev
2008-07-23 6:21 ` Airgunster
2008-07-23 9:39 ` Aleksey E. Birukov
2008-07-23 9:43 ` Aleksey E. Birukov
2008-07-23 10:28 ` Nikolay A. Fetisov
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=20080722113202.34ab266a@v3405.naf.net.ru \
--to=naf@naf.net.ru \
--cc=sysadmins@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git