Forum Debian Users Gang

DeWu · 2013-11-23 12:36:18

Witam. Sporo czasu spędziłem na znalezieniu skutecznego sposobu zaszyfrowania prywatnych danych na laptopie. Dużo z nim podrużuję i ryzyko że go gdzieś zostawię lub ktoś mi go ukradnie jest na prawdę duże a mam tu dane które nie powinny wpaść w niepowołane ręce. Czytałem o trikach z truecrypt lub innymi programami szyfrującymi ale wymagają one klucza który jest zapisany na innej partycji (aby montować katalog przy starcie) lub na dysku zewnętrznym. Powiem że to mało bezpiecne z mojego punktu widzenia. Świetnym rozwiązaniem wydało mi się zaszyfrowaniie katalogu domowego komendą adduser --encrypt-home Tworzy ona katalog domowy zupełnie inaczej wyglądający niż inne i nieczytelny z poziomu innych użytkowników (nawet roota tak mi się wydaje) Jednak w związku z tym rodzigs się pytanie: jak mam przenieść swoje dane na tego uzytkownika? I nie chodzi mi tylko o dokumenty ale kompletny katalog domowy łacznie z ustawienia Gnome, katalogiem .wine, .ssh, .mc, .vnc itp. Z góry dziękuję za pomoc.

ArnVaker · 2013-11-23 12:58:42

[quote=DeWu]Czytałem o trikach z truecrypt lub innymi programami szyfrującymi ale wymagają one klucza który jest zapisany na innej partycji (aby montować katalog przy starcie) lub na dysku zewnętrznym.[/quote]
To jest opcja. Można oczywiście używać po prostu hasła.

megabajt · 2013-11-23 13:15:40

http://stolowski.blogspot.com/2011/06/debian-60-encrypting-home-partition.html

DeWu · 2013-11-23 13:20:13

I to jest właśnie to! Zaraz się biorę za setup.
Dzięki.

ArnVaker · 2013-11-23 14:07:49

To jest co innego akurat. W pierwszym poście pisałeś o ecryptfs, to z linka to dm-crypt.

yossarian · 2013-11-23 14:20:23

Tu masz trochę o szyfrowaniu:
http://dug.net.pl/tekst/239/#3

morfik · 2013-11-23 14:23:45

A czemu po prostu nie zaszyfrować całego sprzętu i wszelkich danych na nim?

megabajt · 2013-11-23 16:03:37

1) Szyfrując tylko /home możemy łatwo zalogować się na zrestartowanego hosta i wpisać przez ssh hasło. Jak zaszyfrujemy całego / to trzeba kombinować z busybox-em i dropbear-em.

2) Majć niezaszyfrowanego / wydajność jest wyższa (wiem - przy współczesnych platformach nikt nie zobaczy różnicy...)

3) Krytyczne dane są (powinny być) w /home, nie ma potrzeby szyfrowania całości (w większośći przypadków)

morfik · 2013-11-23 17:04:51

Nie zgodzę się co do punktu 3. W przypadku posiadania zaszyfrowanych danych na jakiejś maszynie, wszystkie pliki pozostałe są krytyczną potencjalną dziurą, która może przyczynić się do łatwego odszyfrowania tych supertajnych danych -- nie ma pewności co do zachowana integralność danych, bo ktoś może ci podmienić firefoxa na firefoxa+keyloger, co powoduje, że ty sobie odpalasz firefoxa, montujesz zaszyfrowany zasób i tyle z twojego szyfrowania, tylko takty procka się marnują. xD A w jaki sposób dojdziesz, który plik w systemie został świadomie zmieniony podczas twojej nieobecności? Sumny kontrolne 200k plików systemowych, które leżą w postaci odszyfrowanej i sprawdzanie ich za każdym razem gdy się chce zamontować zaszyfrowany zasób?

megabajt · 2013-11-23 18:51:02

Tylko, że ja szyfruje głównie po to, żeby w przypadku kradzieży nie wyciekły hasła, certyfikaty itp. Prawdopodobieństwo, że złodziej odda laptopa jest minimalne a że podmieni binarki i odda laptopa jeszcze mniejsze :D Chyba, że do rzeczonego komputera mają fizyczny dostęp, lub potencjalny dostęp osoby niepowołane lub potencjalnie niepowołane. Tylko, że jak jest uruchomiony to i ramu można odczytać informacje. Paranoja na punkcie bezpieczeństwa może postępować bardzo głęboko :)

morfik · 2013-11-23 19:18:32

Naturalnie, że z ramu można, pytanie czy to takie proste. Pamiętam np. wpis na niebezpieczniku, poniżej focia:

[img]http://niebezpiecznik.pl/wp-content/uploads/2009/12/Center-for-Information-Technology-Policy-Videos-and-Images.jpg[/img]

To są dane w schłodzonym ramie po odpowiednio: po 30 sekundach, 60 sekundach i 5 minutach:

Tylko to jest obrazek, załózmy teraz, że masz klucz szyfrujący w ramie, a on maja postać 01010101010101010101001011010110111101010.... tak jak ten obrazek, zmień teraz choć 1 bit, i już sobie możesz odzyskiwać dane tym kluczem. xD Na obrazkach to może i faktycznie fajnie wygląda ale gdy w grę wchodzi dokładność co do bita, to już tak fajnie nie jest.

Oczywiście to są dane w ramie wyciągnięte po schłodzeniu z działającej maszyny, inaczej sprawa się ma jak sobie zahibernujesz kompa i ci zrzuci ten klucz i hasło na dysk, wtedy masz wierną kopię. Poza tym, te dane z ramu się sczytuje przez porty usb lub inne dziury w kompie dokładnie na takiej samej zasadzie jak system robi zrzut pamięci przy przechodzeniu w hibernację, tylko nie opróżnia ramu i zamiast do swap zrzuca do zewnętrznego pliku, o ile ci się ten pen po wsadzeniu zamontuje... Inaczej szansa na odzyskanie czegokolwiek z pamięci w formie nadającej się do użycia graniczy z cudem.

Paranoja swoją drogą, zabezpieczenia swoją. Albo zabezpieczać się jak trza albo lepiej sobie odpuścić inaczej rozbudzamy w sobie tylko fałszywe poczucie bezpieczeństwa, które jest o wiele bardziej niebezpieczne niż najgorsze zabezpieczenia :)

Time (s)	Query
0.00015	SET CHARSET latin2
0.00005	SET NAMES latin2
0.00104	SELECT u., g., o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.133.139.164' WHERE u.id=1
0.00121	REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.133.139.164', 1732307430)
0.00067	SELECT * FROM punbb_online WHERE logged<1732307130
0.00086	SELECT topic_id FROM punbb_posts WHERE id=246541
0.00005	SELECT id FROM punbb_posts WHERE topic_id=24674 ORDER BY posted
0.00071	SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=24674 AND t.moved_to IS NULL
0.00005	SELECT search_for, replace_with FROM punbb_censoring
0.00195	SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=24674 ORDER BY p.id LIMIT 0,25
0.00113	UPDATE punbb_topics SET num_views=num_views+1 WHERE id=24674
Total query time: 0.00787 s

Forum Debian Users Gang

Ogłoszenie

#1 2013-11-23 12:36:18

DeWu - Użytkownik

Szyfrowanie katalogu domowego

#2 2013-11-23 12:58:42

ArnVaker - Kapelusznik

Re: Szyfrowanie katalogu domowego

#3 2013-11-23 13:15:40

megabajt - Użytkownik

Re: Szyfrowanie katalogu domowego

#4 2013-11-23 13:20:13

DeWu - Użytkownik

Re: Szyfrowanie katalogu domowego

#5 2013-11-23 14:07:49

ArnVaker - Kapelusznik

Re: Szyfrowanie katalogu domowego

#6 2013-11-23 14:20:23

yossarian - Szczawiożerca

Re: Szyfrowanie katalogu domowego

#7 2013-11-23 14:23:45

morfik - Cenzor wirtualnego świata

Re: Szyfrowanie katalogu domowego

#8 2013-11-23 16:03:37

megabajt - Użytkownik

Re: Szyfrowanie katalogu domowego

#9 2013-11-23 17:04:51

morfik - Cenzor wirtualnego świata

Re: Szyfrowanie katalogu domowego

#10 2013-11-23 18:51:02

megabajt - Użytkownik

Re: Szyfrowanie katalogu domowego

#11 2013-11-23 19:18:32

morfik - Cenzor wirtualnego świata

Re: Szyfrowanie katalogu domowego

Stopka forum

Informacje debugowania