Криптографические файловые системы

Доброго время суток!

Есть необходимость поставить на ноут линуху с шифрованной файловой системой (в идеале доступ по токену или какойнибудь девайсу, смысл чтоб без онного девайса устройство не работало и как то его расшифровать и тд не представлялось возможным), сам с подобной задачей сталкиваюсь первый раз, поэтому хочу поинтересоваться может кто уже делал что либо подобное, ну и какие есть варианты решения на данный момент?

Любая фс, которая умеет

Любая фс, которая умеет читать ключ для расшифровки из файла.
Ключ на флешку. Пишем скрипт ... =)

/

CoolSpirit написал(а):
Ключ на флешку. Пишем скрипт ... =)

Я бы здесь продолжил традиции паранойи :)
файловая система на флешке --- ext2, хранящийся там ключ дополнительно зашифрован ключом, живущем на специально созданном [вероятно] незашифрованном разделе ноутбука, для загрузки необходима правильная флешка и знание двух passphrase :)

...ну и минимальный набор граблей в части надёжность носителя и "дубликаты".

:wq
--
Live free or die

Если делать в стиле как оно

Если делать в стиле как оно должно быть, то примерно так:
1)корень на dm-crypt, парольной фразы из 5-8 символов вполне достаточно.(т.е - при моунте корня инитрд спрашиваеть пароль)
2) вход юзера с доступом к контейнеру http://www.aladdin.com/etoken/devices/default.aspx
3) если совсем параноя мучает: пароль на контроллер харда (в биосе,если есть)

П.С у нас подобные деавйсы от 30 Ls (x 60 ~ 2-3 т.р)

Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)

Я ограничился шифрованием

Я ограничился шифрованием внешнего USB винта путем накладывания ecryptfs на существующую там фс (xfs в данном случае). Можно с шифрованием имен файлов, так что и ls ничего не покажет, а можно и без. Можно часть фс открытой держать, а шифровать отдельную директорию. Поинтересовался, нагуглил пару хавту, полчаса вникал, все заработало (за исключением шифровки по ключу, не по пассфразе, но я просто устал вникать :)

Ага. Собствеенно, ключ или файл с пассфразой можно держать на флешке -- вот вам и токен. Как советует товарищ, саму флешку тоже можно зашифровать.

ПС. Однако, на лаптопном винте все-таки склоняюсь к мысли, что оно того не стóит. Именно, зачем шифровать /usr, к примеру? /home -- да, имеет смысл, ну или /var или даже swap. Но пароль на сам винт из биоса удовлетворяет полностью. В связке с встроенным в мой Thinkpad TPM, если я правильно понимаю, можно сделать так, что даже зная пароль, на чужой машине винт не откроешь.

:}

SMOKEING написал(а): В связке

SMOKEING написал(а):
В связке с встроенным в мой Thinkpad TPM, если я правильно понимаю, можно сделать так, что даже зная пароль, на чужой машине винт не откроешь.

Это стандартная фича протокола ATA/ATAPI/SATA и не зависит от наличного железа - реализация на уровне контроллера HDD http://www.t13.org/Standards/Default.aspx?DocumentType=3&DocumentStage=2

Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)

И дополнительный вопрос

Как обычно: паранойя vs производительность.
Или: насколько шифрование сажает производительность?
И реализуем ли желаемый уровень при удовлетворении требований обеспечения минимально достаточной производительности?

:wq
--
Live free or die

Я пользуюсь losetup на

Я пользуюсь losetup на /dev/sdb к примеру.
Алгоритм aes256, фраза парольная около 30 символов.
У себя на ноуте раздел держу ан truecrypt.

Делай, что должен, и будь, что будет.

Пользуюсь LUKS + LVM на ноуте

Пользуюсь LUKS + LVM на ноуте + 2 флешки для ключей. Подобную схему увидел в fedora из коробки, реализовал у себя на gentoo.

Сон разума порождает чудовищ, сон безумия – вечность…

я делал так

я делал так http://en.gentoo-wiki.com/wiki/DM-Crypt_with_LUKS

рут расшифровывается при загрузке с флэшки, монтируемые диски потом подключаются дм-криптом...

PS если вдруг кто последует моему примеру, то предупрежу, что в моем busybox'e почему то не оказалось утилиты cut
- пришлось ручками ее и нужные либы копировать в образ initrd или как оно там...

Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Сохранить установки".