Изпечатай

[runtime]

Здравейте,
 
Тъй като до сега не съм я играл тая ситуация, но ми се налага, та има ли възможност да се криптира папка ( предполагам по скоро дял монтиран в папка ) така, че ако се монтира на друг компютър да не може да се чете. Данните, които искам да пазя са ми ценни и не искам определени личности да имат достъп до тях, та ако е възможно да препоръчате някой софт или начин за да се извърши тая еквилибристика. Единственото ми изискване е да се монтира автоматично на машината на която ми е в случая картата, а при монтиране на друга машина да иска или парола или изобщо да не може да се монтира ( тук няма голямо значение, дори варианта да не може да се монтира ми допада повече). Та тъй като точно в тая сфера съм абсолютен лаик ще моля за малко помощ или по-скоро насока какво може да се ползва.

Дори не знам съществува ли такъв вариант. Мисля си, че по пътя на логиката, ако се монтира на машината при зареждане на ОС все някъде тая парола трябва да я и реално няма как да стане тоя вариант ама знам ли... за това и питам

Питам за да не отсявам 100 000 резултата из гугъл, а ако някой си има на идея кое е по-сигурно и добро за ползване да сподели!
Та ликове към статия / софтуер ще ми е достатъчна!

[dejuren]

Това става ли? http://www.hermann-uwe.de/blog/howto-disk-encryption-with-dm-crypt-luks-and-debian
LUKS е дефакто стандарт за криптиране на дискове под линух. Убунту инсталацията от алтернативен диск също така включва възможност за криптиране на целия диск с LUKS върху LVM с въвеждане на парола при стартиране на компютъра.

[runtime]

Проблема ми е, че компютъра стои далеч от мен и сам си се стартира ( last state от биоса ) дорде не изгори. Изцяло на конзола е и съм резнал X- а да не могат да връзват монитор, както и входно/изходните устройства. Достъпва се само от мен през SSH и от там си правя и архиви при мен, но това не пречи на някой да си грабне диска и да си го монтира и да си изкопира каквото си има в него Та за това искам ако е възможно да се монтира без моя намеса при зареждане на ОС.

Дистрото е Arch, но това би трябвало да не е от значение в случая.

[shoshon]

Изкаш диска да е криптиран, но да се монтира без твоя намеса? Това някаква шега ли е?

[runtime]

Аха 
Теоретично не би следвало да е проблем ако програмно хешира да кажем серийния на процесора и монтира с парола генерирана по тоя начин ама не знам има ли такова животно
 Или да се създаде някакъв фингърпринт на системата ама..

Варианти се сещам ама не знам има ли го като изпълнение Както и да е де.. Едно е да ти се иска, друго е да го има 

Както казах лаик съм в тая сфера и колкото и смешно да звучи съм длъжен да питам, нали за това е обществото да удря по една ръка, не може да разбираме всички от всичко

[sickmind]

Изкаш диска да е криптиран, но да се монтира без твоя намеса? Това някаква шега ли е?

Ми може да се изиграе това с TPM (Trusted Platform Module).

[gat3way]

За съжаление, под линукс няма много добър избор от FDE софтуер. Не знам дори дали има вариант използващ TPM или дори USB памет за ключове подобно на майкрософтския bitlocker. След като няма, такава криптосистема винаги е уязвима на offline атаки. LUKS се опитва да отблъсне такива, използвайки доста брутална криптография при key strengthening-а. Обаче дори при това положение нещата опират до това колко добра парола си си избрал. При което ироничното е че е дизайн-нато по малко шашав начин, когато създаваш volume-а, първо минава един тест колко PBKDF2 итерации ще се изтъркалят за една секунда. Полученият резултат се използва на практика при key derivation-а. Резултатът е че криптирано блоково устройство създадено на по-бавна машина е по-податливо на атаки. Също така, създателите му не са предположили че ще се появи масово хардуер за паралелни сметки и така това което едно ядро на процесора смята за секунда, някое мощно GPU ще сметне за 10 милисекунди. Следователно малко или много, всичко зависи от избраната парола - слаба такава може евентуално и да падне, достатъчно силна такава - не.

Според мен обаче това няма голямо значение. LUKS с дълъг и добре подбран passphrase така или иначе с целия наличен хардуер на планетата най-вероятно няма да строшиш трилиони години след като и последната звезда във вселената угасне. Единствената разлика между решение с TPM/USB ключ и решение с passphrase е че за разлика от втория вариант, може да те спукат от бой и при най-добро желание да сътрудничиш, не е казано че ще отключат дяла - примерно ако наистина не знаеш къде е USB пишката. В последният случай разбира се ти също няма да успееш да го отключиш така или иначе.

[dejuren]

Решение за USB има, пак е базирано на LUKS (и гадно конфигуриране на системата за буут), но е неподходящо в случая. Или условно неподходящо. От гледна точка на това, че със свалянето на диска заедно със USB флаша цялата гимнастика с криптирането се обезсмисля. Потенциалният крадец има на ръка криптираната информация заедно с ключа. Единствената надежда е да не разбере защо стърчи тая флашка от USB-то и да си замине само с диска.

[Stancho_25]

//offtopic
Ако флашката се върже към usb pinout-а на дъното (стига да има такъв) то може и да се покрие из кутията и да се пропусне наличието и

[jet]

encfs  /papka/s/kriptirani/arhivi  /dekriptirana/papka

все пак ще трябва да си вкарваш паролата при "монтиране".

за размонтиране: fusermount  -u  /dekriptirana/papka

при първото монтиране пита повече неща- давай му дефолтни стойности ако не си сигурен.
Криптираните файлове се виждат с проста ls но са умаймунени, поне можеш да виждаш размерите и броя на файловете.

[kip]

TrueCrypt може да ти свърши работа също.

[runtime]

Май ще направя една простотия, няма да е кой знае колко сигурна, но ще затрудни един обикновен потребител

Ще ползвам TrueCrypt или нещо подобно като ще направя един пърл скрипт да монтира дяла при стартиране на системата.
Самия скрипт ще съдържа паролата но може да се трансофрмира до SuperPyton или да се ползва някой друг Acme-like модул така че да го сведе до нечетимост Вярно е, че кода може да се депарсне ама поне на 1-во четене ще си е сложно А то 100% защита в случая не се изисква, а ми се види че няма как да има.

 

[gat3way]

runtime, хвърли ме в сериозен размисъл Сега не виждам никаква причина при това положение дяла да не може да бъде монтиран и разчетен ако закачиш диска на друга система и boot-неш от него. Стигам до извода че това което искаш да пазиш не са данните, а просто някаква парола. Има далеч по-лесни, бързи и сигурни начини да защитиш въпросната парола все пак

[koue]

# apt-get install cryptsetup hashalot
# modprobe dm_mod
# modprobe dm_crypt
# modprobe aes
# cryptsetup -y create crypt /dev/sda1
# dmsetup ls
# mkfs -t ext3 /dev/mapper/crypt

Така съм си криптирал диск закачен на USB под Debian преди години. Възможно е командите да имат нужда от ъпдейт, така че се консултирай с документацията. Провери за параметри вместо да се въвежда парола да се подава ключ от файл.

[shoshon]

Ок.. първо правило на автентикацията:

Two way authentication - use something you KNOW and something you HAVE.

Моите ключове са си на USB токен с пин.

1) Ако някой открадне токена - не знае пина
2) Ако някой ми научи пина - няма токена

Е, ако има и двете си пре*бан, но пълно щастие няма...