Криптографические файловые системы
lange_sauvage 30 сентября, 2009 - 16:56
Доброго время суток!
Есть необходимость поставить на ноут линуху с шифрованной файловой системой (в идеале доступ по токену или какойнибудь девайсу, смысл чтоб без онного девайса устройство не работало и как то его расшифровать и тд не представлялось возможным), сам с подобной задачей сталкиваюсь первый раз, поэтому хочу поинтересоваться может кто уже делал что либо подобное, ну и какие есть варианты решения на данный момент?
»
- Для комментирования войдите или зарегистрируйтесь
Любая фс, которая умеет
Любая фс, которая умеет читать ключ для расшифровки из файла.
Ключ на флешку. Пишем скрипт ... =)
/
Я бы здесь продолжил традиции паранойи :)
файловая система на флешке ---
ext2
, хранящийся там ключ дополнительно зашифрован ключом, живущем на специально созданном [вероятно] незашифрованном разделе ноутбука, для загрузки необходима правильная флешка и знание двухpassphrase
:)...ну и минимальный набор граблей в части надёжность носителя и "дубликаты".
:wq
--
Live free or die
Если делать в стиле как оно
Если делать в стиле как оно должно быть, то примерно так:
1)корень на dm-crypt, парольной фразы из 5-8 символов вполне достаточно.(т.е - при моунте корня инитрд спрашиваеть пароль)
2) вход юзера с доступом к контейнеру http://www.aladdin.com/etoken/devices/default.aspx
3) если совсем параноя мучает: пароль на контроллер харда (в биосе,если есть)
П.С у нас подобные деавйсы от 30 Ls (x 60 ~ 2-3 т.р)
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
Я ограничился шифрованием
Я ограничился шифрованием внешнего USB винта путем накладывания ecryptfs на существующую там фс (xfs в данном случае). Можно с шифрованием имен файлов, так что и ls ничего не покажет, а можно и без. Можно часть фс открытой держать, а шифровать отдельную директорию. Поинтересовался, нагуглил пару хавту, полчаса вникал, все заработало (за исключением шифровки по ключу, не по пассфразе, но я просто устал вникать :)
Ага. Собствеенно, ключ или файл с пассфразой можно держать на флешке -- вот вам и токен. Как советует товарищ, саму флешку тоже можно зашифровать.
ПС. Однако, на лаптопном винте все-таки склоняюсь к мысли, что оно того не стóит. Именно, зачем шифровать /usr, к примеру? /home -- да, имеет смысл, ну или /var или даже swap. Но пароль на сам винт из биоса удовлетворяет полностью. В связке с встроенным в мой Thinkpad TPM, если я правильно понимаю, можно сделать так, что даже зная пароль, на чужой машине винт не откроешь.
:}
SMOKEING написал(а): В связке
Это стандартная фича протокола ATA/ATAPI/SATA и не зависит от наличного железа - реализация на уровне контроллера HDD http://www.t13.org/Standards/Default.aspx?DocumentType=3&DocumentStage=2
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
И дополнительный вопрос
Как обычно: паранойя vs производительность.
Или: насколько шифрование сажает производительность?
И реализуем ли желаемый уровень при удовлетворении требований обеспечения минимально достаточной производительности?
:wq
--
Live free or die
Я пользуюсь losetup на
Я пользуюсь losetup на /dev/sdb к примеру.
Алгоритм aes256, фраза парольная около 30 символов.
У себя на ноуте раздел держу ан truecrypt.
Делай, что должен, и будь, что будет.
Пользуюсь LUKS + LVM на ноуте
Пользуюсь LUKS + LVM на ноуте + 2 флешки для ключей. Подобную схему увидел в fedora из коробки, реализовал у себя на gentoo.
Сон разума порождает чудовищ, сон безумия – вечность…
я делал так
я делал так http://en.gentoo-wiki.com/wiki/DM-Crypt_with_LUKS
рут расшифровывается при загрузке с флэшки, монтируемые диски потом подключаются дм-криптом...
PS если вдруг кто последует моему примеру, то предупрежу, что в моем busybox'e почему то не оказалось утилиты cut
- пришлось ручками ее и нужные либы копировать в образ initrd или как оно там...