From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <naf@naf.net.ru>
X-Spam-Checker-Version: SpamAssassin 3.2.4 (2008-01-01) on sa.int.altlinux.org
X-Spam-Level: 
X-Spam-Status: No, score=-1.7 required=5.0 tests=AWL,BAYES_00,SPF_PASS
	autolearn=ham version=3.2.4
Date: Tue, 22 Jul 2008 11:32:02 +0400
From: "Nikolay A. Fetisov" <naf@naf.net.ru>
To: sysadmins@lists.altlinux.org
Message-ID: <20080722113202.34ab266a@v3405.naf.net.ru>
In-Reply-To: <99785b730807212350r1111b8daob03084ea459114ff@mail.gmail.com>
References: <4884A47A.1090609@vladinfo.ru> <488561B9.4050801@rambler.ru>
	<20080722104259.6a22f669@v3405.naf.net.ru>
	<99785b730807212350r1111b8daob03084ea459114ff@mail.gmail.com>
X-Mailer: Claws Mail 3.4.0cvs51 (GTK+ 2.12.8; x86_64-alt-linux-gnu)
Mime-Version: 1.0
Content-Type: text/plain; charset=KOI8-R
Content-Transfer-Encoding: 8bit
Subject: Re: [Sysadmins] =?koi8-r?b?+8nG0s/Xwc7JxSDEydPLwQ==?=
X-BeenThere: sysadmins@lists.altlinux.org
X-Mailman-Version: 2.1.10b3
Precedence: list
Reply-To: ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org>
List-Id: ALT Linux sysadmin discuss <sysadmins.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/listinfo/sysadmins>,
	<mailto:sysadmins-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/sysadmins>
List-Post: <mailto:sysadmins@lists.altlinux.org>
List-Help: <mailto:sysadmins-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/sysadmins>,
	<mailto:sysadmins-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Tue, 22 Jul 2008 07:32:52 -0000
Archived-At: <http://lore.altlinux.org/sysadmins/20080722113202.34ab266a@v3405.naf.net.ru/>
List-Archive: <http://lore.altlinux.org/sysadmins/>

On Tue, 22 Jul 2008 09:50:49 +0300
Yury Konovalov wrote:

> 22 июля 2008 г. 9:42 пользователь Nikolay A. Fetisov написал:
> > О проблемах использования скрытого раздела в TrueCrypt расписано в
> > статье http://www.schneier.com/paper-truecrypt-dfs.pdf . Не говоря уже о
> > вынужденной необходимости использования FAT для основного раздела.
> 
> Чушь, использую  cryptsetup-luks, ...
> Использую ext3

Речь идёт о возможности создания в TrueCrypt т.н. скрытого диска
(hidden volume), когда внутри основного раздела выделятся второй
раздел, доступный по отдельному паролю. Основная задача такого решения -
обеспечение "правдоподобного отказа" (plausible denial), т.е.
возможности отказаться предоставить ключи к защищённым разделам при
угрозе или применении насилия.

LUKS подобные вещи не поддерживает и поддерживать не будет.

> Зачем FAT ? 

В TrueCrypt никакой информации о наличии скрытого раздела не хранится.
При вводе пароля к разделу сначала этим паролем расшифровывается
заголовок основного раздела, если пароль не подходит - то заголовок
скрытого раздела, расположенный в конце диска по известному смещению.
Если не удалось расшифровать и заголовок скрытого раздела -
пользователю сообщается об ошибке ввода пароля. 

Это поведение - стандартное и применяется вне зависимости от того,
создавался или нет скрытый раздел. При работе с основным диском нет
возможности определить, есть ли скрытый раздел _и какую часть
диска он занимает_. При работе со скрытым разделом нет возможности
определить, _какая часть диска занята файлами и метаданными файловой
системы основного раздела_.

Т.е., при использовании чего-либо кроме FAT на основном диске при
работе со скрытым диском есть большая вероятность порчи метаданных
файловой системы основного диска; после чего при проверке/восстановлении
файловой системы основного диска будут гарантированы разрушены
соответствующие блоки с данными скрытого раздела.


> Я правда эти доки не читал, мож чего не понимаю.
Если используете криптографию, то имеет смысл почитать. В том числе о
возможных проблемах с надежностью защиты, о правовых вопросах
применения таких решений, и т.п. Иначе может оказаться, что ежедневно
надеваемый бронежилет - это новое платье короля.

-- 
С уважением,
Николай Фетисов