From: "Nikolay A. Fetisov" <naf@naf.net.ru> To: sysadmins@lists.altlinux.org Subject: Re: [Sysadmins] Шифрование диска Date: Tue, 22 Jul 2008 11:32:02 +0400 Message-ID: <20080722113202.34ab266a@v3405.naf.net.ru> (raw) In-Reply-To: <99785b730807212350r1111b8daob03084ea459114ff@mail.gmail.com> On Tue, 22 Jul 2008 09:50:49 +0300 Yury Konovalov wrote: > 22 июля 2008 г. 9:42 пользователь Nikolay A. Fetisov написал: > > О проблемах использования скрытого раздела в TrueCrypt расписано в > > статье http://www.schneier.com/paper-truecrypt-dfs.pdf . Не говоря уже о > > вынужденной необходимости использования FAT для основного раздела. > > Чушь, использую cryptsetup-luks, ... > Использую ext3 Речь идёт о возможности создания в TrueCrypt т.н. скрытого диска (hidden volume), когда внутри основного раздела выделятся второй раздел, доступный по отдельному паролю. Основная задача такого решения - обеспечение "правдоподобного отказа" (plausible denial), т.е. возможности отказаться предоставить ключи к защищённым разделам при угрозе или применении насилия. LUKS подобные вещи не поддерживает и поддерживать не будет. > Зачем FAT ? В TrueCrypt никакой информации о наличии скрытого раздела не хранится. При вводе пароля к разделу сначала этим паролем расшифровывается заголовок основного раздела, если пароль не подходит - то заголовок скрытого раздела, расположенный в конце диска по известному смещению. Если не удалось расшифровать и заголовок скрытого раздела - пользователю сообщается об ошибке ввода пароля. Это поведение - стандартное и применяется вне зависимости от того, создавался или нет скрытый раздел. При работе с основным диском нет возможности определить, есть ли скрытый раздел _и какую часть диска он занимает_. При работе со скрытым разделом нет возможности определить, _какая часть диска занята файлами и метаданными файловой системы основного раздела_. Т.е., при использовании чего-либо кроме FAT на основном диске при работе со скрытым диском есть большая вероятность порчи метаданных файловой системы основного диска; после чего при проверке/восстановлении файловой системы основного диска будут гарантированы разрушены соответствующие блоки с данными скрытого раздела. > Я правда эти доки не читал, мож чего не понимаю. Если используете криптографию, то имеет смысл почитать. В том числе о возможных проблемах с надежностью защиты, о правовых вопросах применения таких решений, и т.п. Иначе может оказаться, что ежедневно надеваемый бронежилет - это новое платье короля. -- С уважением, Николай Фетисов
next prev parent reply other threads:[~2008-07-22 7:32 UTC|newest] Thread overview: 18+ messages / expand[flat|nested] mbox.gz Atom feed top 2008-07-21 15:00 Aleksey E. Birukov 2008-07-21 16:22 ` Nikolay A. Fetisov 2008-07-22 9:20 ` Dmitriy Kruglikov 2008-07-22 9:44 ` Maks Re 2008-07-22 9:54 ` Nikolay A. Fetisov 2008-07-22 4:27 ` Александр Леутин 2008-07-22 5:25 ` Aleksey E. Birukov 2008-07-22 6:42 ` Nikolay A. Fetisov 2008-07-22 6:50 ` Yury Konovalov 2008-07-22 7:32 ` Nikolay A. Fetisov [this message] 2008-07-22 8:01 ` Aleksey E. Birukov 2008-07-22 10:51 ` Nikolay A. Fetisov 2008-07-23 6:07 ` Airgunster 2008-07-23 6:11 ` Denis Medvedev 2008-07-23 6:21 ` Airgunster 2008-07-23 9:39 ` Aleksey E. Birukov 2008-07-23 9:43 ` Aleksey E. Birukov 2008-07-23 10:28 ` Nikolay A. Fetisov
Reply instructions: You may reply publicly to this message via plain-text email using any one of the following methods: * Save the following mbox file, import it into your mail client, and reply-to-all from there: mbox Avoid top-posting and favor interleaved quoting: https://en.wikipedia.org/wiki/Posting_style#Interleaved_style * Reply using the --to, --cc, and --in-reply-to switches of git-send-email(1): git send-email \ --in-reply-to=20080722113202.34ab266a@v3405.naf.net.ru \ --to=naf@naf.net.ru \ --cc=sysadmins@lists.altlinux.org \ /path/to/YOUR_REPLY https://kernel.org/pub/software/scm/git/docs/git-send-email.html * If your mail client supports setting the In-Reply-To header via mailto: links, try the mailto: link
ALT Linux sysadmins discussion This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \ sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com public-inbox-index sysadmins Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.sysadmins AGPL code for this site: git clone https://public-inbox.org/public-inbox.git