* [Sysadmins] Шифрование диска @ 2008-07-21 15:00 Aleksey E. Birukov 2008-07-21 16:22 ` Nikolay A. Fetisov 2008-07-22 4:27 ` Александр Леутин 0 siblings, 2 replies; 18+ messages in thread From: Aleksey E. Birukov @ 2008-07-21 15:00 UTC (permalink / raw) To: Sysadmins Есть задача зашифровать раздел с двумя паролями: один пароль обычный -- дает доступ к разделу, а другой уничтожает всю информацию на разделе. Про обычное шифрование, вроде, все понятно. А вот как быть со вторым паролем, стирающим информацию, не ясно. Подскажете? ^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Sysadmins] Шифрование диска 2008-07-21 15:00 [Sysadmins] Шифрование диска Aleksey E. Birukov @ 2008-07-21 16:22 ` Nikolay A. Fetisov 2008-07-22 9:20 ` Dmitriy Kruglikov 2008-07-22 4:27 ` Александр Леутин 1 sibling, 1 reply; 18+ messages in thread From: Nikolay A. Fetisov @ 2008-07-21 16:22 UTC (permalink / raw) To: sysadmins On Mon, 21 Jul 2008 19:00:10 +0400 Aleksey E. Birukov wrote: > Есть задача зашифровать раздел с двумя паролями: > один пароль обычный -- дает доступ к разделу, > а другой уничтожает всю информацию на разделе. > ... <JT> ... Набравший второй пароль субъект будет смотреть, как очищается многогигабайтный диск, пить чай и постепенно расстраиваться... </JT> 1. Быстро уничтожить информацию на магнитных дисках нельзя. См. "Secure Deletion of Data from Magnetic and Solid-State Memory", Peter Gutmann: http://www.cs.auckland.ac.nz/~pgut001/pubs/secure_del.html 2. Уничтожить информацию на разделе - это только полдела. Куда больше проблем будет с различными кэшами _вне_ этого раздела. См. "Defeating Encrypted and Deniable File Systems: TrueCrypt v5.1a and the Case of the Tattling OS and Applications", A. Czeskis, D. J. St. Hilaire, K. Koscher, S. D. Gribble, T. Kohno, and B. Schneier: http://www.schneier.com/paper-truecrypt-dfs.pdf Т.е., у означенной задачи общего и универсального решения нет. Увы. -- С уважением, Николай Фетисов ^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Sysadmins] Шифрование диска 2008-07-21 16:22 ` Nikolay A. Fetisov @ 2008-07-22 9:20 ` Dmitriy Kruglikov 2008-07-22 9:44 ` Maks Re 2008-07-22 9:54 ` Nikolay A. Fetisov 0 siblings, 2 replies; 18+ messages in thread From: Dmitriy Kruglikov @ 2008-07-22 9:20 UTC (permalink / raw) To: ALT Linux sysadmin discuss 21 июля 2008 г. 19:22 пользователь Nikolay A. Fetisov написал: > > Т.е., у означенной задачи общего и универсального решения нет. Увы. > Есть ... И зовут его (решение) ГРАНАТА ... В специальном корпусе, рядом с диском ... Жмакаешь кнопочку и смотришь невинными глазами в прорезь маски ... Ну и прикрываешь руками что сможешь ... В этой шутке есть доля шуки ... -- Best regards, Dmitriy L. Kruglikov Dmitriy.Kruglikov_at_gmail_dot_com DKR6-RIPE DKR6-UANIC XMPP: Dmitriy.Kruglikov_at_gmail_dot_com ^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Sysadmins] Шифрование диска 2008-07-22 9:20 ` Dmitriy Kruglikov @ 2008-07-22 9:44 ` Maks Re 2008-07-22 9:54 ` Nikolay A. Fetisov 1 sibling, 0 replies; 18+ messages in thread From: Maks Re @ 2008-07-22 9:44 UTC (permalink / raw) To: ALT Linux sysadmin discuss я не помню как называется- но штука такая есть... вокруг или возле винта ставятся два прибора... после включения влины на винте спекаются... остается ли от других компонент что-то - не в курсе. http://nero.ru/ - вот там что-то есть 2008/7/22 Dmitriy Kruglikov <dmitriy.kruglikov@gmail.com>: > 21 июля 2008 г. 19:22 пользователь Nikolay A. Fetisov написал: >> >> Т.е., у означенной задачи общего и универсального решения нет. Увы. >> > Есть ... > И зовут его (решение) ГРАНАТА ... > В специальном корпусе, рядом с диском ... > Жмакаешь кнопочку и смотришь невинными глазами в прорезь маски ... > Ну и прикрываешь руками что сможешь ... > > В этой шутке есть доля шуки ... > > -- > Best regards, > Dmitriy L. Kruglikov > Dmitriy.Kruglikov_at_gmail_dot_com > DKR6-RIPE > DKR6-UANIC > XMPP: Dmitriy.Kruglikov_at_gmail_dot_com > _______________________________________________ > Sysadmins mailing list > Sysadmins@lists.altlinux.org > https://lists.altlinux.org/mailman/listinfo/sysadmins > -- С уважением, Макс. ^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Sysadmins] Шифрование диска 2008-07-22 9:20 ` Dmitriy Kruglikov 2008-07-22 9:44 ` Maks Re @ 2008-07-22 9:54 ` Nikolay A. Fetisov 1 sibling, 0 replies; 18+ messages in thread From: Nikolay A. Fetisov @ 2008-07-22 9:54 UTC (permalink / raw) To: sysadmins On Tue, 22 Jul 2008 12:20:57 +0300 Dmitriy Kruglikov wrote: > 21 июля 2008 г. 19:22 пользователь Nikolay A. Fetisov написал: > > > > Т.е., у означенной задачи общего и универсального решения нет. Увы. > > > Есть ... ... при условии работы с данными только непосредственно на этом компьютере, при возможности разместить физическое устройство рядом с жестким диском (в ноутбуке, например, проблематично будет), ... Кроме того, данное решение прямо указывает на то, что данные точно были. И где-то ещё остались на резервных копиях. Т.е. это решение тоже не универсально... -- С уважением, Николай Фетисов ^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Sysadmins] Шифрование диска 2008-07-21 15:00 [Sysadmins] Шифрование диска Aleksey E. Birukov 2008-07-21 16:22 ` Nikolay A. Fetisov @ 2008-07-22 4:27 ` Александр Леутин 2008-07-22 5:25 ` Aleksey E. Birukov 2008-07-22 6:42 ` Nikolay A. Fetisov 1 sibling, 2 replies; 18+ messages in thread From: Александр Леутин @ 2008-07-22 4:27 UTC (permalink / raw) To: ALT Linux sysadmin discuss Aleksey E. Birukov пишет: > Есть задача зашифровать раздел с двумя паролями: > один пароль обычный -- дает доступ к разделу, > а другой уничтожает всю информацию на разделе. > > Про обычное шифрование, вроде, все понятно. А вот как быть со вторым > паролем, стирающим информацию, не ясно. > > Подскажете? Не знаю решения Вашей задачи, но знаю о существовании системы TrueCrypt (есть по крайней мере в Сизифе). Можно сделать раздел доступным "с двух сторон" по разным паролям. Т.е. при вводе основного пароля имеем доступ к нужным данным (они хранятся в начале файла/раздела), при вводе запасного пароля имеем доступ к "фальшивым" данным (они хранятся с конца файла/раздела). Совокупный размер файлов должен быть меньше размера файла/раздела-контейнера. Например: раздел в 1Гб нужных данных 800Мб фальшивых данных 100Мб при вводе запасного пароля видим только запасные файлы (100Мб) и 900Мб свободного места при попытке записи на эти 900Мб более 100Мб (1000-800-100=100) начинают портиться нужные данные В "/usr/share/doc/truecrypt-6.0a/TrueCrypt User Guide.pdf" все отлично расписано. -- Александр Леутин Registered Linux user #295797 Жизнь -- смертельно интересная штука! ^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Sysadmins] Шифрование диска 2008-07-22 4:27 ` Александр Леутин @ 2008-07-22 5:25 ` Aleksey E. Birukov 2008-07-22 6:42 ` Nikolay A. Fetisov 1 sibling, 0 replies; 18+ messages in thread From: Aleksey E. Birukov @ 2008-07-22 5:25 UTC (permalink / raw) To: ALT Linux sysadmin discuss Александр Леутин пишет: > Aleksey E. Birukov пишет: >> Есть задача зашифровать раздел с двумя паролями: >> один пароль обычный -- дает доступ к разделу, >> а другой уничтожает всю информацию на разделе. >> >> Про обычное шифрование, вроде, все понятно. А вот как быть со вторым >> паролем, стирающим информацию, не ясно. >> >> Подскажете? > Не знаю решения Вашей задачи, но знаю о существовании системы > TrueCrypt (есть по крайней мере в Сизифе). Можно сделать раздел > доступным "с двух сторон" по разным паролям. Т.е. при вводе основного > пароля имеем доступ к нужным данным (они хранятся в начале > файла/раздела), при вводе запасного пароля имеем доступ к "фальшивым" > данным (они хранятся с конца файла/раздела). Совокупный размер файлов > должен быть меньше размера файла/раздела-контейнера. > > Например: > раздел в 1Гб > нужных данных 800Мб > фальшивых данных 100Мб > при вводе запасного пароля видим только запасные файлы (100Мб) и 900Мб > свободного места > при попытке записи на эти 900Мб более 100Мб (1000-800-100=100) > начинают портиться нужные данные > > В "/usr/share/doc/truecrypt-6.0a/TrueCrypt User Guide.pdf" все отлично > расписано. > Спасибо! Возможно, это подойдет. Посмотрю. ^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Sysadmins] Шифрование диска 2008-07-22 4:27 ` Александр Леутин 2008-07-22 5:25 ` Aleksey E. Birukov @ 2008-07-22 6:42 ` Nikolay A. Fetisov 2008-07-22 6:50 ` Yury Konovalov 1 sibling, 1 reply; 18+ messages in thread From: Nikolay A. Fetisov @ 2008-07-22 6:42 UTC (permalink / raw) To: sysadmins On Tue, 22 Jul 2008 10:27:37 +0600 Александр Леутин wrote: > ... TrueCrypt > (есть по крайней мере в Сизифе). Можно сделать раздел доступным "с двух > сторон" .... О проблемах использования скрытого раздела в TrueCrypt расписано в статье http://www.schneier.com/paper-truecrypt-dfs.pdf . Не говоря уже о вынужденной необходимости использования FAT для основного раздела. -- С уважением, Николай Фетисов ^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Sysadmins] Шифрование диска 2008-07-22 6:42 ` Nikolay A. Fetisov @ 2008-07-22 6:50 ` Yury Konovalov 2008-07-22 7:32 ` Nikolay A. Fetisov 0 siblings, 1 reply; 18+ messages in thread From: Yury Konovalov @ 2008-07-22 6:50 UTC (permalink / raw) To: ALT Linux sysadmin discuss 22 июля 2008 г. 9:42 пользователь Nikolay A. Fetisov <naf@naf.net.ru> написал: > О проблемах использования скрытого раздела в TrueCrypt расписано в > статье http://www.schneier.com/paper-truecrypt-dfs.pdf . Не говоря уже о > вынужденной необходимости использования FAT для основного раздела. Чушь, использую cryptsetup-luks, если в момент загрузки сунута флешка, на которой находится нейкий файл (любой, картинка или mp3) с него берется md5 хэш и подставляется для люкса в качестве парольной фразы, если совпало, то появляется раздел с данными, иначе тишина. Использую ext3 Зачем FAT ? Я правда эти доки не читал, мож чего не понимаю. -- Best Regards, Yury Konovalov aka Speccyfan (2:453/53) Registered Linux User #379588 ^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Sysadmins] Шифрование диска 2008-07-22 6:50 ` Yury Konovalov @ 2008-07-22 7:32 ` Nikolay A. Fetisov 2008-07-22 8:01 ` Aleksey E. Birukov 2008-07-23 9:43 ` Aleksey E. Birukov 0 siblings, 2 replies; 18+ messages in thread From: Nikolay A. Fetisov @ 2008-07-22 7:32 UTC (permalink / raw) To: sysadmins On Tue, 22 Jul 2008 09:50:49 +0300 Yury Konovalov wrote: > 22 июля 2008 г. 9:42 пользователь Nikolay A. Fetisov написал: > > О проблемах использования скрытого раздела в TrueCrypt расписано в > > статье http://www.schneier.com/paper-truecrypt-dfs.pdf . Не говоря уже о > > вынужденной необходимости использования FAT для основного раздела. > > Чушь, использую cryptsetup-luks, ... > Использую ext3 Речь идёт о возможности создания в TrueCrypt т.н. скрытого диска (hidden volume), когда внутри основного раздела выделятся второй раздел, доступный по отдельному паролю. Основная задача такого решения - обеспечение "правдоподобного отказа" (plausible denial), т.е. возможности отказаться предоставить ключи к защищённым разделам при угрозе или применении насилия. LUKS подобные вещи не поддерживает и поддерживать не будет. > Зачем FAT ? В TrueCrypt никакой информации о наличии скрытого раздела не хранится. При вводе пароля к разделу сначала этим паролем расшифровывается заголовок основного раздела, если пароль не подходит - то заголовок скрытого раздела, расположенный в конце диска по известному смещению. Если не удалось расшифровать и заголовок скрытого раздела - пользователю сообщается об ошибке ввода пароля. Это поведение - стандартное и применяется вне зависимости от того, создавался или нет скрытый раздел. При работе с основным диском нет возможности определить, есть ли скрытый раздел _и какую часть диска он занимает_. При работе со скрытым разделом нет возможности определить, _какая часть диска занята файлами и метаданными файловой системы основного раздела_. Т.е., при использовании чего-либо кроме FAT на основном диске при работе со скрытым диском есть большая вероятность порчи метаданных файловой системы основного диска; после чего при проверке/восстановлении файловой системы основного диска будут гарантированы разрушены соответствующие блоки с данными скрытого раздела. > Я правда эти доки не читал, мож чего не понимаю. Если используете криптографию, то имеет смысл почитать. В том числе о возможных проблемах с надежностью защиты, о правовых вопросах применения таких решений, и т.п. Иначе может оказаться, что ежедневно надеваемый бронежилет - это новое платье короля. -- С уважением, Николай Фетисов ^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Sysadmins] Шифрование диска 2008-07-22 7:32 ` Nikolay A. Fetisov @ 2008-07-22 8:01 ` Aleksey E. Birukov 2008-07-22 10:51 ` Nikolay A. Fetisov 2008-07-23 9:43 ` Aleksey E. Birukov 1 sibling, 1 reply; 18+ messages in thread From: Aleksey E. Birukov @ 2008-07-22 8:01 UTC (permalink / raw) To: ALT Linux sysadmin discuss Nikolay A. Fetisov пишет: > > Т.е., при использовании чего-либо кроме FAT на основном диске при > работе со скрытым диском есть большая вероятность порчи метаданных > файловой системы основного диска; после чего при проверке/восстановлении > файловой системы основного диска будут гарантированы разрушены > соответствующие блоки с данными скрытого раздела. > А если сначала записать данные на скрытый диск, а потом работать только с основным диском данные не испортятся? А если, например, скрытый диск монтируется только для чтения метаданные могут перезаписаться? ^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Sysadmins] Шифрование диска 2008-07-22 8:01 ` Aleksey E. Birukov @ 2008-07-22 10:51 ` Nikolay A. Fetisov 2008-07-23 6:07 ` Airgunster 0 siblings, 1 reply; 18+ messages in thread From: Nikolay A. Fetisov @ 2008-07-22 10:51 UTC (permalink / raw) To: sysadmins On Tue, 22 Jul 2008 12:01:16 +0400 Aleksey E. Birukov wrote: > Nikolay A. Fetisov пишет: > > > > Т.е., при использовании чего-либо кроме FAT на основном диске при > > работе со скрытым диском есть большая вероятность порчи метаданных > > файловой системы основного диска; после чего при проверке/восстановлении > > файловой системы основного диска будут гарантированы разрушены > > соответствующие блоки с данными скрытого раздела. > > > А если сначала записать данные на скрытый диск, а потом работать только > с основным диском данные не испортятся? Данные - _где_? На скрытом диске - могут быть затёрты частично или полностью. > А если, например, скрытый диск монтируется только для чтения метаданные > могут перезаписаться? При монтировании в режиме "только для чтения" - не могут по-определению. Вообще, скрытые диски и надежное хранение данных - вещи несовместимые. Данные на дисках размещаются в наборах блоков фиксированного размера. Для учёта блоков, занятых теми или другими файлами, а также свободных блоков, используются файловые системы. Метаданные о размещении файлов на дисках файловые системы хранят на тех же самых дисках, в отдельных блоках. Обеспечение целостности данных - т.е. предотвращение записи данных одного файла в блоки, занятые другими файлами или метаданными файловой системы - это задача файловой системы. Теперь, в пределах диска выделяется некоторая последовательность блоков и называется скрытым диском. При этом файловой системе про это ничего не говорят - иначе это не был бы _скрытый_ диск. Т.е., для неё эта область _доступна_ для размещения файлов. Или там _уже_ есть файлы. Или метаданные. На скрытом диске создаётся своя файловую систему. Для неё доступно всё пространство скрытого диска; о том, что какая-либо его часть может быть использована, эта файловая система тоже ничего не знает. На скрытый диск записываются какие-либо файлы. После чего он отмонтируется и подключается основной диск. Его файловая система проверяет свою целостность и обнаруживает мусор вместо части метаданных. Запускается восстановление файловой системы, проблема устраняется - с перезаписью правильных _для этой файловой системы_ данных. А затем при монтировании файловой системы скрытого диска в свою очередь обнаруживаются проблемы... Итого, если есть скрытый диск - то на основном диске использовать можно разве что FAT. По причине её простоты и предсказуемости в размещении файлов. (Кстати обратное тоже справедливо: если на диске TrueCrypt на Linux-системе используется FAT, то это зачем-то нужно...) И даже FAT использовать можно только с ограничениями. Например, проведение дефрагментации плохо повлияет на скрытый диск. Так что - регулярное резервное копирование скрытого диска обязательно. ... И после всех этих мучений мы обнаруживаем куски файлов скрытого диска в, например, индексе Beagle... -- С уважением, Николай Фетисов ^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Sysadmins] Шифрование диска 2008-07-22 10:51 ` Nikolay A. Fetisov @ 2008-07-23 6:07 ` Airgunster 2008-07-23 6:11 ` Denis Medvedev 0 siblings, 1 reply; 18+ messages in thread From: Airgunster @ 2008-07-23 6:07 UTC (permalink / raw) To: sysadmins Вот, это главная проблема, некоторые вещи вообще могут находится в кэше 22.07.08, 14:51, "Nikolay A. Fetisov" <naf@naf.net.ru>: > On Tue, 22 Jul 2008 12:01:16 +0400 > Aleksey E. Birukov wrote: > > Nikolay A. Fetisov пишет: > > > > ... И после всех этих мучений мы обнаруживаем куски файлов скрытого > диска в, например, индексе Beagle... ^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Sysadmins] Шифрование диска 2008-07-23 6:07 ` Airgunster @ 2008-07-23 6:11 ` Denis Medvedev 2008-07-23 6:21 ` Airgunster 2008-07-23 9:39 ` Aleksey E. Birukov 0 siblings, 2 replies; 18+ messages in thread From: Denis Medvedev @ 2008-07-23 6:11 UTC (permalink / raw) To: ALT Linux sysadmin discuss -----Original Message----- From: Airgunster <airgunster@ya.ru> To: sysadmins@lists.altlinux.org Date: Wed, 23 Jul 2008 10:07:38 +0400 Subject: Re: [Sysadmins] Шифрование диска > Вот, это главная проблема, некоторые вещи вообще могут находится в кэше > > 22.07.08, 14:51, "Nikolay A. Fetisov" <naf@naf.net.ru>: > > > On Tue, 22 Jul 2008 12:01:16 +0400 > > Aleksey E. Birukov wrote: > > > Nikolay A. Fetisov пишет: > > > > > > ... И после всех этих мучений мы обнаруживаем куски файлов скрытого > > диска в, например, индексе Beagle... а также посмотрел в историю монтирования (в .bash_history например. в /etc/fstab, audit...) и удивился бы, что один и тот же диск монтируется то как fat, то как ext3... ^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Sysadmins] Шифрование диска 2008-07-23 6:11 ` Denis Medvedev @ 2008-07-23 6:21 ` Airgunster 2008-07-23 9:39 ` Aleksey E. Birukov 1 sibling, 0 replies; 18+ messages in thread From: Airgunster @ 2008-07-23 6:21 UTC (permalink / raw) To: a_mdl, sysadmins Вобщем если нужно будет серьезно что то ныкать то это не то средство :) 23.07.08, 10:11, "Denis Medvedev" <a_mdl@mail.ru>: > -----Original Message----- > From: Airgunster <airgunster@ya.ru> > To: sysadmins@lists.altlinux.org > Date: Wed, 23 Jul 2008 10:07:38 +0400 > Subject: Re: [Sysadmins] Шифрование диска > > Вот, это главная проблема, некоторые вещи вообще могут находится в кэше > > > > 22.07.08, 14:51, "Nikolay A. Fetisov" <naf@naf.net.ru>: > > > > > On Tue, 22 Jul 2008 12:01:16 +0400 > > > Aleksey E. Birukov wrote: > > > > Nikolay A. Fetisov пишет: > > > > > > > > ... И после всех этих мучений мы обнаруживаем куски файлов скрытого > > > диска в, например, индексе Beagle... > а также посмотрел в историю монтирования (в .bash_history например. в /etc/fstab, audit...) и удивился бы, что один и тот же диск монтируется то как fat, то как ext3... > _______________________________________________ > Sysadmins mailing list > Sysadmins@lists.altlinux.org > https://lists.altlinux.org/mailman/listinfo/sysadmins ^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Sysadmins] Шифрование диска 2008-07-23 6:11 ` Denis Medvedev 2008-07-23 6:21 ` Airgunster @ 2008-07-23 9:39 ` Aleksey E. Birukov 1 sibling, 0 replies; 18+ messages in thread From: Aleksey E. Birukov @ 2008-07-23 9:39 UTC (permalink / raw) To: Denis Medvedev, ALT Linux sysadmin discuss Denis Medvedev пишет: > -----Original Message----- > From: Airgunster <airgunster@ya.ru> > To: sysadmins@lists.altlinux.org > Date: Wed, 23 Jul 2008 10:07:38 +0400 > Subject: Re: [Sysadmins] Шифрование диска > > >> Вот, это главная проблема, некоторые вещи вообще могут находится в кэше >> >> 22.07.08, 14:51, "Nikolay A. Fetisov" <naf@naf.net.ru>: >> >> >>> On Tue, 22 Jul 2008 12:01:16 +0400 >>> Aleksey E. Birukov wrote: >>> >>>> Nikolay A. Fetisov пишет: >>>> >>> ... И после всех этих мучений мы обнаруживаем куски файлов скрытого >>> диска в, например, индексе Beagle... >>> > а также посмотрел в историю монтирования (в .bash_history например. в /etc/fstab, audit...) и удивился бы, что один и тот же диск монтируется то как fat, то как ext3... > А что мешает оба диска (и скрытый и основной) сделать в fat? ^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Sysadmins] Шифрование диска 2008-07-22 7:32 ` Nikolay A. Fetisov 2008-07-22 8:01 ` Aleksey E. Birukov @ 2008-07-23 9:43 ` Aleksey E. Birukov 2008-07-23 10:28 ` Nikolay A. Fetisov 1 sibling, 1 reply; 18+ messages in thread From: Aleksey E. Birukov @ 2008-07-23 9:43 UTC (permalink / raw) To: ALT Linux sysadmin discuss Nikolay A. Fetisov пишет: > В TrueCrypt никакой информации о наличии скрытого раздела не хранится. > При вводе пароля к разделу сначала этим паролем расшифровывается > заголовок основного раздела, если пароль не подходит - то заголовок > скрытого раздела, расположенный в конце диска по известному смещению. > А как определяется это "известное смещение"? Это я к тому, что если где-то в настройках или в коде оно есть, то это нехорошо. ^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Sysadmins] Шифрование диска 2008-07-23 9:43 ` Aleksey E. Birukov @ 2008-07-23 10:28 ` Nikolay A. Fetisov 0 siblings, 0 replies; 18+ messages in thread From: Nikolay A. Fetisov @ 2008-07-23 10:28 UTC (permalink / raw) To: sysadmins On Wed, 23 Jul 2008 13:43:50 +0400 Aleksey E. Birukov wrote: > Nikolay A. Fetisov пишет: > > В TrueCrypt никакой информации о наличии скрытого раздела не хранится. > > При вводе пароля к разделу сначала этим паролем расшифровывается > > заголовок основного раздела, если пароль не подходит - то заголовок > > скрытого раздела, расположенный в конце диска по известному смещению. > > > А как определяется это "известное смещение"? Это я к тому, что если > где-то в настройках или в коде оно есть, то это нехорошо. Оно определяется в коде TrueCrypt, и жестко задано. Проблемой это не является, т.к. в TrueCrypt заголовок диска хранится на нём в зашифрованном виде. Т.е., если в LUKS в заголовке диска есть сигнатура, по которой можно определить наличие диска LUKS без необходимости вводить какие-либо пароли (# cryptsetup isLuks <устройство> && echo "LUKS"), то в TrueCrypt сигнатура зашифрована - как для основного диска, так и для скрытого. При открытии диска сначала делается попытка расшифровать заголовок основного раздела, потом - скрытого. Если ни в одном, ни в другом случае расшифрованный заголовок сигнатуры не содержит - то пароль считается неверным. Проблемой может быть разве что невозможность сказать (и доказать), что скрытого диска _нет_. Ну или что раздел диска, очищенный чем-то вида dd if=/dev/urandom of=<раздел> , содержит именно _мусор_, а не является диском TrueCrypt. -- С уважением, Николай Фетисов ^ permalink raw reply [flat|nested] 18+ messages in thread
end of thread, other threads:[~2008-07-23 10:28 UTC | newest] Thread overview: 18+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2008-07-21 15:00 [Sysadmins] Шифрование диска Aleksey E. Birukov 2008-07-21 16:22 ` Nikolay A. Fetisov 2008-07-22 9:20 ` Dmitriy Kruglikov 2008-07-22 9:44 ` Maks Re 2008-07-22 9:54 ` Nikolay A. Fetisov 2008-07-22 4:27 ` Александр Леутин 2008-07-22 5:25 ` Aleksey E. Birukov 2008-07-22 6:42 ` Nikolay A. Fetisov 2008-07-22 6:50 ` Yury Konovalov 2008-07-22 7:32 ` Nikolay A. Fetisov 2008-07-22 8:01 ` Aleksey E. Birukov 2008-07-22 10:51 ` Nikolay A. Fetisov 2008-07-23 6:07 ` Airgunster 2008-07-23 6:11 ` Denis Medvedev 2008-07-23 6:21 ` Airgunster 2008-07-23 9:39 ` Aleksey E. Birukov 2008-07-23 9:43 ` Aleksey E. Birukov 2008-07-23 10:28 ` Nikolay A. Fetisov
ALT Linux sysadmins discussion This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \ sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com public-inbox-index sysadmins Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.sysadmins AGPL code for this site: git clone https://public-inbox.org/public-inbox.git