* [Sysadmins] Шифрование диска
@ 2008-07-21 15:00 Aleksey E. Birukov
2008-07-21 16:22 ` Nikolay A. Fetisov
2008-07-22 4:27 ` Александр Леутин
0 siblings, 2 replies; 18+ messages in thread
From: Aleksey E. Birukov @ 2008-07-21 15:00 UTC (permalink / raw)
To: Sysadmins
Есть задача зашифровать раздел с двумя паролями:
один пароль обычный -- дает доступ к разделу,
а другой уничтожает всю информацию на разделе.
Про обычное шифрование, вроде, все понятно. А вот как быть со вторым
паролем, стирающим информацию, не ясно.
Подскажете?
^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Sysadmins] Шифрование диска
2008-07-21 15:00 [Sysadmins] Шифрование диска Aleksey E. Birukov
@ 2008-07-21 16:22 ` Nikolay A. Fetisov
2008-07-22 9:20 ` Dmitriy Kruglikov
2008-07-22 4:27 ` Александр Леутин
1 sibling, 1 reply; 18+ messages in thread
From: Nikolay A. Fetisov @ 2008-07-21 16:22 UTC (permalink / raw)
To: sysadmins
On Mon, 21 Jul 2008 19:00:10 +0400
Aleksey E. Birukov wrote:
> Есть задача зашифровать раздел с двумя паролями:
> один пароль обычный -- дает доступ к разделу,
> а другой уничтожает всю информацию на разделе.
> ...
<JT> ... Набравший второй пароль субъект будет смотреть, как очищается
многогигабайтный диск, пить чай и постепенно расстраиваться... </JT>
1. Быстро уничтожить информацию на магнитных дисках нельзя. См. "Secure
Deletion of Data from Magnetic and Solid-State Memory", Peter Gutmann:
http://www.cs.auckland.ac.nz/~pgut001/pubs/secure_del.html
2. Уничтожить информацию на разделе - это только полдела. Куда больше
проблем будет с различными кэшами _вне_ этого раздела. См. "Defeating
Encrypted and Deniable File Systems: TrueCrypt v5.1a and the Case of
the Tattling OS and Applications", A. Czeskis, D. J. St. Hilaire, K.
Koscher, S. D. Gribble, T. Kohno, and B. Schneier:
http://www.schneier.com/paper-truecrypt-dfs.pdf
Т.е., у означенной задачи общего и универсального решения нет. Увы.
--
С уважением,
Николай Фетисов
^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Sysadmins] Шифрование диска
2008-07-21 15:00 [Sysadmins] Шифрование диска Aleksey E. Birukov
2008-07-21 16:22 ` Nikolay A. Fetisov
@ 2008-07-22 4:27 ` Александр Леутин
2008-07-22 5:25 ` Aleksey E. Birukov
2008-07-22 6:42 ` Nikolay A. Fetisov
1 sibling, 2 replies; 18+ messages in thread
From: Александр Леутин @ 2008-07-22 4:27 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Aleksey E. Birukov пишет:
> Есть задача зашифровать раздел с двумя паролями:
> один пароль обычный -- дает доступ к разделу,
> а другой уничтожает всю информацию на разделе.
>
> Про обычное шифрование, вроде, все понятно. А вот как быть со вторым
> паролем, стирающим информацию, не ясно.
>
> Подскажете?
Не знаю решения Вашей задачи, но знаю о существовании системы TrueCrypt
(есть по крайней мере в Сизифе). Можно сделать раздел доступным "с двух
сторон" по разным паролям. Т.е. при вводе основного пароля имеем доступ
к нужным данным (они хранятся в начале файла/раздела), при вводе
запасного пароля имеем доступ к "фальшивым" данным (они хранятся с конца
файла/раздела). Совокупный размер файлов должен быть меньше размера
файла/раздела-контейнера.
Например:
раздел в 1Гб
нужных данных 800Мб
фальшивых данных 100Мб
при вводе запасного пароля видим только запасные файлы (100Мб) и 900Мб
свободного места
при попытке записи на эти 900Мб более 100Мб (1000-800-100=100) начинают
портиться нужные данные
В "/usr/share/doc/truecrypt-6.0a/TrueCrypt User Guide.pdf" все отлично
расписано.
--
Александр Леутин
Registered Linux user #295797
Жизнь -- смертельно интересная штука!
^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Sysadmins] Шифрование диска
2008-07-22 4:27 ` Александр Леутин
@ 2008-07-22 5:25 ` Aleksey E. Birukov
2008-07-22 6:42 ` Nikolay A. Fetisov
1 sibling, 0 replies; 18+ messages in thread
From: Aleksey E. Birukov @ 2008-07-22 5:25 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Александр Леутин пишет:
> Aleksey E. Birukov пишет:
>> Есть задача зашифровать раздел с двумя паролями:
>> один пароль обычный -- дает доступ к разделу,
>> а другой уничтожает всю информацию на разделе.
>>
>> Про обычное шифрование, вроде, все понятно. А вот как быть со вторым
>> паролем, стирающим информацию, не ясно.
>>
>> Подскажете?
> Не знаю решения Вашей задачи, но знаю о существовании системы
> TrueCrypt (есть по крайней мере в Сизифе). Можно сделать раздел
> доступным "с двух сторон" по разным паролям. Т.е. при вводе основного
> пароля имеем доступ к нужным данным (они хранятся в начале
> файла/раздела), при вводе запасного пароля имеем доступ к "фальшивым"
> данным (они хранятся с конца файла/раздела). Совокупный размер файлов
> должен быть меньше размера файла/раздела-контейнера.
>
> Например:
> раздел в 1Гб
> нужных данных 800Мб
> фальшивых данных 100Мб
> при вводе запасного пароля видим только запасные файлы (100Мб) и 900Мб
> свободного места
> при попытке записи на эти 900Мб более 100Мб (1000-800-100=100)
> начинают портиться нужные данные
>
> В "/usr/share/doc/truecrypt-6.0a/TrueCrypt User Guide.pdf" все отлично
> расписано.
>
Спасибо! Возможно, это подойдет. Посмотрю.
^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Sysadmins] Шифрование диска
2008-07-22 4:27 ` Александр Леутин
2008-07-22 5:25 ` Aleksey E. Birukov
@ 2008-07-22 6:42 ` Nikolay A. Fetisov
2008-07-22 6:50 ` Yury Konovalov
1 sibling, 1 reply; 18+ messages in thread
From: Nikolay A. Fetisov @ 2008-07-22 6:42 UTC (permalink / raw)
To: sysadmins
On Tue, 22 Jul 2008 10:27:37 +0600
Александр Леутин wrote:
> ... TrueCrypt
> (есть по крайней мере в Сизифе). Можно сделать раздел доступным "с двух
> сторон" ....
О проблемах использования скрытого раздела в TrueCrypt расписано в
статье http://www.schneier.com/paper-truecrypt-dfs.pdf . Не говоря уже о
вынужденной необходимости использования FAT для основного раздела.
--
С уважением,
Николай Фетисов
^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Sysadmins] Шифрование диска
2008-07-22 6:42 ` Nikolay A. Fetisov
@ 2008-07-22 6:50 ` Yury Konovalov
2008-07-22 7:32 ` Nikolay A. Fetisov
0 siblings, 1 reply; 18+ messages in thread
From: Yury Konovalov @ 2008-07-22 6:50 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
22 июля 2008 г. 9:42 пользователь Nikolay A. Fetisov <naf@naf.net.ru> написал:
> О проблемах использования скрытого раздела в TrueCrypt расписано в
> статье http://www.schneier.com/paper-truecrypt-dfs.pdf . Не говоря уже о
> вынужденной необходимости использования FAT для основного раздела.
Чушь, использую cryptsetup-luks, если в момент загрузки сунута
флешка, на которой находится нейкий файл (любой, картинка или mp3) с
него берется md5 хэш и подставляется для люкса в качестве парольной
фразы, если совпало, то появляется раздел с данными, иначе тишина.
Использую ext3
Зачем FAT ? Я правда эти доки не читал, мож чего не понимаю.
--
Best Regards, Yury Konovalov aka Speccyfan (2:453/53)
Registered Linux User #379588
^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Sysadmins] Шифрование диска
2008-07-22 6:50 ` Yury Konovalov
@ 2008-07-22 7:32 ` Nikolay A. Fetisov
2008-07-22 8:01 ` Aleksey E. Birukov
2008-07-23 9:43 ` Aleksey E. Birukov
0 siblings, 2 replies; 18+ messages in thread
From: Nikolay A. Fetisov @ 2008-07-22 7:32 UTC (permalink / raw)
To: sysadmins
On Tue, 22 Jul 2008 09:50:49 +0300
Yury Konovalov wrote:
> 22 июля 2008 г. 9:42 пользователь Nikolay A. Fetisov написал:
> > О проблемах использования скрытого раздела в TrueCrypt расписано в
> > статье http://www.schneier.com/paper-truecrypt-dfs.pdf . Не говоря уже о
> > вынужденной необходимости использования FAT для основного раздела.
>
> Чушь, использую cryptsetup-luks, ...
> Использую ext3
Речь идёт о возможности создания в TrueCrypt т.н. скрытого диска
(hidden volume), когда внутри основного раздела выделятся второй
раздел, доступный по отдельному паролю. Основная задача такого решения -
обеспечение "правдоподобного отказа" (plausible denial), т.е.
возможности отказаться предоставить ключи к защищённым разделам при
угрозе или применении насилия.
LUKS подобные вещи не поддерживает и поддерживать не будет.
> Зачем FAT ?
В TrueCrypt никакой информации о наличии скрытого раздела не хранится.
При вводе пароля к разделу сначала этим паролем расшифровывается
заголовок основного раздела, если пароль не подходит - то заголовок
скрытого раздела, расположенный в конце диска по известному смещению.
Если не удалось расшифровать и заголовок скрытого раздела -
пользователю сообщается об ошибке ввода пароля.
Это поведение - стандартное и применяется вне зависимости от того,
создавался или нет скрытый раздел. При работе с основным диском нет
возможности определить, есть ли скрытый раздел _и какую часть
диска он занимает_. При работе со скрытым разделом нет возможности
определить, _какая часть диска занята файлами и метаданными файловой
системы основного раздела_.
Т.е., при использовании чего-либо кроме FAT на основном диске при
работе со скрытым диском есть большая вероятность порчи метаданных
файловой системы основного диска; после чего при проверке/восстановлении
файловой системы основного диска будут гарантированы разрушены
соответствующие блоки с данными скрытого раздела.
> Я правда эти доки не читал, мож чего не понимаю.
Если используете криптографию, то имеет смысл почитать. В том числе о
возможных проблемах с надежностью защиты, о правовых вопросах
применения таких решений, и т.п. Иначе может оказаться, что ежедневно
надеваемый бронежилет - это новое платье короля.
--
С уважением,
Николай Фетисов
^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Sysadmins] Шифрование диска
2008-07-22 7:32 ` Nikolay A. Fetisov
@ 2008-07-22 8:01 ` Aleksey E. Birukov
2008-07-22 10:51 ` Nikolay A. Fetisov
2008-07-23 9:43 ` Aleksey E. Birukov
1 sibling, 1 reply; 18+ messages in thread
From: Aleksey E. Birukov @ 2008-07-22 8:01 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Nikolay A. Fetisov пишет:
>
> Т.е., при использовании чего-либо кроме FAT на основном диске при
> работе со скрытым диском есть большая вероятность порчи метаданных
> файловой системы основного диска; после чего при проверке/восстановлении
> файловой системы основного диска будут гарантированы разрушены
> соответствующие блоки с данными скрытого раздела.
>
А если сначала записать данные на скрытый диск, а потом работать только
с основным диском данные не испортятся?
А если, например, скрытый диск монтируется только для чтения метаданные
могут перезаписаться?
^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Sysadmins] Шифрование диска
2008-07-21 16:22 ` Nikolay A. Fetisov
@ 2008-07-22 9:20 ` Dmitriy Kruglikov
2008-07-22 9:44 ` Maks Re
2008-07-22 9:54 ` Nikolay A. Fetisov
0 siblings, 2 replies; 18+ messages in thread
From: Dmitriy Kruglikov @ 2008-07-22 9:20 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
21 июля 2008 г. 19:22 пользователь Nikolay A. Fetisov написал:
>
> Т.е., у означенной задачи общего и универсального решения нет. Увы.
>
Есть ...
И зовут его (решение) ГРАНАТА ...
В специальном корпусе, рядом с диском ...
Жмакаешь кнопочку и смотришь невинными глазами в прорезь маски ...
Ну и прикрываешь руками что сможешь ...
В этой шутке есть доля шуки ...
--
Best regards,
Dmitriy L. Kruglikov
Dmitriy.Kruglikov_at_gmail_dot_com
DKR6-RIPE
DKR6-UANIC
XMPP: Dmitriy.Kruglikov_at_gmail_dot_com
^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Sysadmins] Шифрование диска
2008-07-22 9:20 ` Dmitriy Kruglikov
@ 2008-07-22 9:44 ` Maks Re
2008-07-22 9:54 ` Nikolay A. Fetisov
1 sibling, 0 replies; 18+ messages in thread
From: Maks Re @ 2008-07-22 9:44 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
я не помню как называется- но штука такая есть...
вокруг или возле винта ставятся два прибора...
после включения влины на винте спекаются...
остается ли от других компонент что-то - не в курсе.
http://nero.ru/ - вот там что-то есть
2008/7/22 Dmitriy Kruglikov <dmitriy.kruglikov@gmail.com>:
> 21 июля 2008 г. 19:22 пользователь Nikolay A. Fetisov написал:
>>
>> Т.е., у означенной задачи общего и универсального решения нет. Увы.
>>
> Есть ...
> И зовут его (решение) ГРАНАТА ...
> В специальном корпусе, рядом с диском ...
> Жмакаешь кнопочку и смотришь невинными глазами в прорезь маски ...
> Ну и прикрываешь руками что сможешь ...
>
> В этой шутке есть доля шуки ...
>
> --
> Best regards,
> Dmitriy L. Kruglikov
> Dmitriy.Kruglikov_at_gmail_dot_com
> DKR6-RIPE
> DKR6-UANIC
> XMPP: Dmitriy.Kruglikov_at_gmail_dot_com
> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins
>
--
С уважением,
Макс.
^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Sysadmins] Шифрование диска
2008-07-22 9:20 ` Dmitriy Kruglikov
2008-07-22 9:44 ` Maks Re
@ 2008-07-22 9:54 ` Nikolay A. Fetisov
1 sibling, 0 replies; 18+ messages in thread
From: Nikolay A. Fetisov @ 2008-07-22 9:54 UTC (permalink / raw)
To: sysadmins
On Tue, 22 Jul 2008 12:20:57 +0300
Dmitriy Kruglikov wrote:
> 21 июля 2008 г. 19:22 пользователь Nikolay A. Fetisov написал:
> >
> > Т.е., у означенной задачи общего и универсального решения нет. Увы.
> >
> Есть ...
... при условии работы с данными только непосредственно на этом
компьютере, при возможности разместить физическое устройство рядом с
жестким диском (в ноутбуке, например, проблематично будет), ...
Кроме того, данное решение прямо указывает на то, что данные точно
были. И где-то ещё остались на резервных копиях.
Т.е. это решение тоже не универсально...
--
С уважением,
Николай Фетисов
^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Sysadmins] Шифрование диска
2008-07-22 8:01 ` Aleksey E. Birukov
@ 2008-07-22 10:51 ` Nikolay A. Fetisov
2008-07-23 6:07 ` Airgunster
0 siblings, 1 reply; 18+ messages in thread
From: Nikolay A. Fetisov @ 2008-07-22 10:51 UTC (permalink / raw)
To: sysadmins
On Tue, 22 Jul 2008 12:01:16 +0400
Aleksey E. Birukov wrote:
> Nikolay A. Fetisov пишет:
> >
> > Т.е., при использовании чего-либо кроме FAT на основном диске при
> > работе со скрытым диском есть большая вероятность порчи метаданных
> > файловой системы основного диска; после чего при проверке/восстановлении
> > файловой системы основного диска будут гарантированы разрушены
> > соответствующие блоки с данными скрытого раздела.
> >
> А если сначала записать данные на скрытый диск, а потом работать только
> с основным диском данные не испортятся?
Данные - _где_? На скрытом диске - могут быть затёрты частично или
полностью.
> А если, например, скрытый диск монтируется только для чтения метаданные
> могут перезаписаться?
При монтировании в режиме "только для чтения" - не могут по-определению.
Вообще, скрытые диски и надежное хранение данных - вещи несовместимые.
Данные на дисках размещаются в наборах блоков фиксированного размера.
Для учёта блоков, занятых теми или другими файлами, а также свободных
блоков, используются файловые системы. Метаданные о размещении файлов на
дисках файловые системы хранят на тех же самых дисках, в отдельных
блоках. Обеспечение целостности данных - т.е. предотвращение записи
данных одного файла в блоки, занятые другими файлами или метаданными
файловой системы - это задача файловой системы.
Теперь, в пределах диска выделяется некоторая последовательность
блоков и называется скрытым диском. При этом файловой системе про это
ничего не говорят - иначе это не был бы _скрытый_ диск. Т.е., для
неё эта область _доступна_ для размещения файлов. Или там _уже_ есть
файлы. Или метаданные.
На скрытом диске создаётся своя файловую систему. Для неё доступно
всё пространство скрытого диска; о том, что какая-либо его часть может
быть использована, эта файловая система тоже ничего не знает. На скрытый
диск записываются какие-либо файлы. После чего он отмонтируется и
подключается основной диск.
Его файловая система проверяет свою целостность и обнаруживает мусор
вместо части метаданных. Запускается восстановление файловой системы,
проблема устраняется - с перезаписью правильных _для этой файловой
системы_ данных.
А затем при монтировании файловой системы скрытого диска в свою очередь
обнаруживаются проблемы...
Итого, если есть скрытый диск - то на основном диске использовать можно
разве что FAT. По причине её простоты и предсказуемости в размещении
файлов. (Кстати обратное тоже справедливо: если на диске TrueCrypt
на Linux-системе используется FAT, то это зачем-то нужно...)
И даже FAT использовать можно только с ограничениями. Например,
проведение дефрагментации плохо повлияет на скрытый диск. Так что -
регулярное резервное копирование скрытого диска обязательно.
... И после всех этих мучений мы обнаруживаем куски файлов скрытого
диска в, например, индексе Beagle...
--
С уважением,
Николай Фетисов
^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Sysadmins] Шифрование диска
2008-07-22 10:51 ` Nikolay A. Fetisov
@ 2008-07-23 6:07 ` Airgunster
2008-07-23 6:11 ` Denis Medvedev
0 siblings, 1 reply; 18+ messages in thread
From: Airgunster @ 2008-07-23 6:07 UTC (permalink / raw)
To: sysadmins
Вот, это главная проблема, некоторые вещи вообще могут находится в кэше
22.07.08, 14:51, "Nikolay A. Fetisov" <naf@naf.net.ru>:
> On Tue, 22 Jul 2008 12:01:16 +0400
> Aleksey E. Birukov wrote:
> > Nikolay A. Fetisov пишет:
> > >
> ... И после всех этих мучений мы обнаруживаем куски файлов скрытого
> диска в, например, индексе Beagle...
^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Sysadmins] Шифрование диска
2008-07-23 6:07 ` Airgunster
@ 2008-07-23 6:11 ` Denis Medvedev
2008-07-23 6:21 ` Airgunster
2008-07-23 9:39 ` Aleksey E. Birukov
0 siblings, 2 replies; 18+ messages in thread
From: Denis Medvedev @ 2008-07-23 6:11 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
-----Original Message-----
From: Airgunster <airgunster@ya.ru>
To: sysadmins@lists.altlinux.org
Date: Wed, 23 Jul 2008 10:07:38 +0400
Subject: Re: [Sysadmins] Шифрование диска
> Вот, это главная проблема, некоторые вещи вообще могут находится в кэше
>
> 22.07.08, 14:51, "Nikolay A. Fetisov" <naf@naf.net.ru>:
>
> > On Tue, 22 Jul 2008 12:01:16 +0400
> > Aleksey E. Birukov wrote:
> > > Nikolay A. Fetisov пишет:
> > > >
> > ... И после всех этих мучений мы обнаруживаем куски файлов скрытого
> > диска в, например, индексе Beagle...
а также посмотрел в историю монтирования (в .bash_history например. в /etc/fstab, audit...) и удивился бы, что один и тот же диск монтируется то как fat, то как ext3...
^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Sysadmins] Шифрование диска
2008-07-23 6:11 ` Denis Medvedev
@ 2008-07-23 6:21 ` Airgunster
2008-07-23 9:39 ` Aleksey E. Birukov
1 sibling, 0 replies; 18+ messages in thread
From: Airgunster @ 2008-07-23 6:21 UTC (permalink / raw)
To: a_mdl, sysadmins
Вобщем если нужно будет серьезно что то ныкать то это не то средство :)
23.07.08, 10:11, "Denis Medvedev" <a_mdl@mail.ru>:
> -----Original Message-----
> From: Airgunster <airgunster@ya.ru>
> To: sysadmins@lists.altlinux.org
> Date: Wed, 23 Jul 2008 10:07:38 +0400
> Subject: Re: [Sysadmins] Шифрование диска
> > Вот, это главная проблема, некоторые вещи вообще могут находится в кэше
> >
> > 22.07.08, 14:51, "Nikolay A. Fetisov" <naf@naf.net.ru>:
> >
> > > On Tue, 22 Jul 2008 12:01:16 +0400
> > > Aleksey E. Birukov wrote:
> > > > Nikolay A. Fetisov пишет:
> > > > >
> > > ... И после всех этих мучений мы обнаруживаем куски файлов скрытого
> > > диска в, например, индексе Beagle...
> а также посмотрел в историю монтирования (в .bash_history например. в /etc/fstab, audit...) и удивился бы, что один и тот же диск монтируется то как fat, то как ext3...
> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins
^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Sysadmins] Шифрование диска
2008-07-23 6:11 ` Denis Medvedev
2008-07-23 6:21 ` Airgunster
@ 2008-07-23 9:39 ` Aleksey E. Birukov
1 sibling, 0 replies; 18+ messages in thread
From: Aleksey E. Birukov @ 2008-07-23 9:39 UTC (permalink / raw)
To: Denis Medvedev, ALT Linux sysadmin discuss
Denis Medvedev пишет:
> -----Original Message-----
> From: Airgunster <airgunster@ya.ru>
> To: sysadmins@lists.altlinux.org
> Date: Wed, 23 Jul 2008 10:07:38 +0400
> Subject: Re: [Sysadmins] Шифрование диска
>
>
>> Вот, это главная проблема, некоторые вещи вообще могут находится в кэше
>>
>> 22.07.08, 14:51, "Nikolay A. Fetisov" <naf@naf.net.ru>:
>>
>>
>>> On Tue, 22 Jul 2008 12:01:16 +0400
>>> Aleksey E. Birukov wrote:
>>>
>>>> Nikolay A. Fetisov пишет:
>>>>
>>> ... И после всех этих мучений мы обнаруживаем куски файлов скрытого
>>> диска в, например, индексе Beagle...
>>>
> а также посмотрел в историю монтирования (в .bash_history например. в /etc/fstab, audit...) и удивился бы, что один и тот же диск монтируется то как fat, то как ext3...
>
А что мешает оба диска (и скрытый и основной) сделать в fat?
^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Sysadmins] Шифрование диска
2008-07-22 7:32 ` Nikolay A. Fetisov
2008-07-22 8:01 ` Aleksey E. Birukov
@ 2008-07-23 9:43 ` Aleksey E. Birukov
2008-07-23 10:28 ` Nikolay A. Fetisov
1 sibling, 1 reply; 18+ messages in thread
From: Aleksey E. Birukov @ 2008-07-23 9:43 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Nikolay A. Fetisov пишет:
> В TrueCrypt никакой информации о наличии скрытого раздела не хранится.
> При вводе пароля к разделу сначала этим паролем расшифровывается
> заголовок основного раздела, если пароль не подходит - то заголовок
> скрытого раздела, расположенный в конце диска по известному смещению.
>
А как определяется это "известное смещение"? Это я к тому, что если
где-то в настройках или в коде оно есть, то это нехорошо.
^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Sysadmins] Шифрование диска
2008-07-23 9:43 ` Aleksey E. Birukov
@ 2008-07-23 10:28 ` Nikolay A. Fetisov
0 siblings, 0 replies; 18+ messages in thread
From: Nikolay A. Fetisov @ 2008-07-23 10:28 UTC (permalink / raw)
To: sysadmins
On Wed, 23 Jul 2008 13:43:50 +0400
Aleksey E. Birukov wrote:
> Nikolay A. Fetisov пишет:
> > В TrueCrypt никакой информации о наличии скрытого раздела не хранится.
> > При вводе пароля к разделу сначала этим паролем расшифровывается
> > заголовок основного раздела, если пароль не подходит - то заголовок
> > скрытого раздела, расположенный в конце диска по известному смещению.
> >
> А как определяется это "известное смещение"? Это я к тому, что если
> где-то в настройках или в коде оно есть, то это нехорошо.
Оно определяется в коде TrueCrypt, и жестко задано. Проблемой это не
является, т.к. в TrueCrypt заголовок диска хранится на нём в
зашифрованном виде.
Т.е., если в LUKS в заголовке диска есть сигнатура, по которой можно
определить наличие диска LUKS без необходимости вводить какие-либо
пароли (# cryptsetup isLuks <устройство> && echo "LUKS"), то в
TrueCrypt сигнатура зашифрована - как для основного диска, так и для
скрытого.
При открытии диска сначала делается попытка расшифровать заголовок
основного раздела, потом - скрытого. Если ни в одном, ни в другом
случае расшифрованный заголовок сигнатуры не содержит - то пароль
считается неверным.
Проблемой может быть разве что невозможность сказать (и доказать), что
скрытого диска _нет_. Ну или что раздел диска, очищенный чем-то вида
dd if=/dev/urandom of=<раздел> , содержит именно _мусор_, а не является
диском TrueCrypt.
--
С уважением,
Николай Фетисов
^ permalink raw reply [flat|nested] 18+ messages in thread
end of thread, other threads:[~2008-07-23 10:28 UTC | newest]
Thread overview: 18+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2008-07-21 15:00 [Sysadmins] Шифрование диска Aleksey E. Birukov
2008-07-21 16:22 ` Nikolay A. Fetisov
2008-07-22 9:20 ` Dmitriy Kruglikov
2008-07-22 9:44 ` Maks Re
2008-07-22 9:54 ` Nikolay A. Fetisov
2008-07-22 4:27 ` Александр Леутин
2008-07-22 5:25 ` Aleksey E. Birukov
2008-07-22 6:42 ` Nikolay A. Fetisov
2008-07-22 6:50 ` Yury Konovalov
2008-07-22 7:32 ` Nikolay A. Fetisov
2008-07-22 8:01 ` Aleksey E. Birukov
2008-07-22 10:51 ` Nikolay A. Fetisov
2008-07-23 6:07 ` Airgunster
2008-07-23 6:11 ` Denis Medvedev
2008-07-23 6:21 ` Airgunster
2008-07-23 9:39 ` Aleksey E. Birukov
2008-07-23 9:43 ` Aleksey E. Birukov
2008-07-23 10:28 ` Nikolay A. Fetisov
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git