Odpowiedz 
 
Ocena wątku:
  • 0 Głosów - 0 Średnio
  • 1
  • 2
  • 3
  • 4
  • 5
Skuteczne szyfrowanie - systemy linuksowe
11.06.2013, 1:26
Post: #1
Skuteczne szyfrowanie - systemy linuksowe
Kiedyś szukałem informacji na temat szyfrowania partycji systemowej pod Linuksem. Coś jak TrueCrypt tylko właśnie nie pod Windows. Znalazłem wtedy bardzo ciekawy artykuł. Autor pisał dlaczego pod Linuksem nie warto szyfrować całego systemu. Argumentacja była mniej więcej taka: w systemach windowsowych nie wiadomo dobrze jaki proces i jaki program gdzie i jakie dane zapisuje, dlatego szyfrowanie całego systemu jest konieczne. W systemach linuksowych wiadomo dokładnie co się dzieje i jakie informacje gdzie są zapisywane, więc nie ma sensu szyfrować całości systemu a jedynie poszczególne jego części, w których chcemy przechowywać to, co ważne. Jak na złość nie mogę teraz znaleźć tego artykułu a na dodatek był on po angielsku.

Czy jest tu ktoś kto ma doświadczenie z szyfrowaniem danych w systemach linuksowych? Interesuje mnie przede wszystkim możliwość stworzenia czegoś w rodzaju całej zaszyfrowanej partycji pod Linuksem i instalowania na niej programów, trzymania danych itp. Tak że jeśli nie podam hasła to ta partycja jest niewidoczna, jakby nie było jej w systemie i nie ma po niej śladów. A może są jakieś inne lepsze metody szyfrowania danych (w tym zainstalowanych programów) pod Linuksem. Ostateczna opcja to zapewne zainstalowania jakiejś dystrybucji Linuksa a następnie utworzenie pod nim zaszyfrowanej maszyny wirtualnej i instalowanie pod nią wybranych programów oraz trzymanie wybranych danych?
Znajdź wszystkie posty użytkownika
Odpowiedz cytując ten post
12.06.2013, 13:44
Post: #2
RE: Skuteczne szyfrowanie - systemy linuksowe
(11.06.2013 1:26)Janusz Napsztycki napisał(a):  Kiedyś szukałem informacji na temat szyfrowania partycji systemowej pod Linuksem.
dm-crypt https://DuckDuckGo.com/?q=dm-crypt how to

(11.06.2013 1:26)Janusz Napsztycki napisał(a):  Znalazłem wtedy bardzo ciekawy artykuł. Autor pisał dlaczego pod Linuksem nie warto szyfrować całego systemu. Argumentacja była mniej więcej taka: w systemach windowsowych nie wiadomo dobrze jaki proces i jaki program gdzie i jakie dane zapisuje, dlatego szyfrowanie całego systemu jest konieczne. W systemach linuksowych wiadomo dokładnie co się dzieje i jakie informacje gdzie są zapisywane, więc nie ma sensu szyfrować całości systemu a jedynie poszczególne jego części, w których chcemy przechowywać to, co ważne.
Nie zgadzam się z taką opinią. Najważniejsze powody:
- zawsze można na niezaszyfrowany obszar podrzucić kompromitujące materiały (bezpieka czy policja się nie zawaha)
- jest swobodny dostęp do plików systemowych i programów - można wprowadzić rootkita lub zmodyfikować pliki startowe
- wycieki przez partycję wymiany

(11.06.2013 1:26)Janusz Napsztycki napisał(a):  Czy jest tu ktoś kto ma doświadczenie z szyfrowaniem danych w systemach linuksowych?
Do praktycznie każdej dystrybucji można znaleźć opisy, jak to zrobić. Niektóre dystrybucje mają to jako opcję w instalatorze.

(11.06.2013 1:26)Janusz Napsztycki napisał(a):  Interesuje mnie przede wszystkim możliwość stworzenia czegoś w rodzaju całej zaszyfrowanej partycji pod Linuksem
W przypadku szyfrowania danych najlepiej szyfrować osobno różne partycje. Chodzi o łatwość odzyskiwania danych

(11.06.2013 1:26)Janusz Napsztycki napisał(a):  i instalowania na niej programów, trzymania danych itp. Tak że jeśli nie podam hasła to ta partycja jest niewidoczna, jakby nie było jej w systemie i nie ma po niej śladów.
Niewidoczna to raczej nie będzie. Zaszyfrowana to nie to samo co niewidoczna. Niewidoczne partycje, się tworzy na wolnym obszarze w innej zaszyfrowanej partycji. Nie słyszałem o tym, by to było na Linuksie...

TorChat: kjwyvwi3ac3wduxj | I2P-Messenger: haglaaxk3jfqp33mfpkhjjamkndvv5bufuw37w445ejhljyjdaka.b32.i2p
I2P Bote: Baiibi~iBvX5p3yOQ1WrZ4C1ryu-MbPsgPvpwLeeYivGswAT~ib0-33pVfOUsQ7nV5pYUcYDl93n5ic4CUWkYh-6Lie5jA1svc35~VJq7itTfRaGIo9nuJlFIElwip7P9HPbNb3feGwwGAkFQR~EnDU2EHIf7heAzV-zmgD3SRJmx1

Znajdź wszystkie posty użytkownika
Odpowiedz cytując ten post
15.06.2013, 19:21
Post: #3
RE: Skuteczne szyfrowanie - systemy linuksowe
Dziękuję bardzo. A więc DM-crypt działa dla Linuksów na zasadzie Truecrypta dla Windowsów. Pozwala zaszyfrować cały system poza /boot - co w wypadku Linuksa nie ma znaczenia. Można więc cieszyś się Linuksem i na nim pracować, mając cały system zaszyfrowany i bezpieczny. Nie jestem w temacie, może ktoś doświadczony więcej napisze o swoich doświadczeniach z tym związanych. Np. jaka dystrybucja Linuksa sprawdza się najlepiej z DM-cryptem i w ogóle pod tym kątem.

Aha i małe pytanie porównawcze. Co waszym zdaniem jest lepsze? Zaszyfrowany Windows (XP, 7) a pod nim maszyna wirtualna z Linuksem czy odwrotnie, zaszyfrowany Linuks a pod nim maszyna wirtualna z Windowsem?
Znajdź wszystkie posty użytkownika
Odpowiedz cytując ten post
15.06.2013, 21:03
Post: #4
RE: Skuteczne szyfrowanie - systemy linuksowe
(15.06.2013 19:21)Janusz Napsztycki napisał(a):  Aha i małe pytanie porównawcze. Co waszym zdaniem jest lepsze? Zaszyfrowany Windows (XP, 7) a pod nim maszyna wirtualna z Linuksem czy odwrotnie, zaszyfrowany Linuks a pod nim maszyna wirtualna z Windowsem?
Zależy co się chce osiągnąć. Czyli jaką to ma mieć funkcjonalność i jak często ma być używane.

TorChat: kjwyvwi3ac3wduxj | I2P-Messenger: haglaaxk3jfqp33mfpkhjjamkndvv5bufuw37w445ejhljyjdaka.b32.i2p
I2P Bote: Baiibi~iBvX5p3yOQ1WrZ4C1ryu-MbPsgPvpwLeeYivGswAT~ib0-33pVfOUsQ7nV5pYUcYDl93n5ic4CUWkYh-6Lie5jA1svc35~VJq7itTfRaGIo9nuJlFIElwip7P9HPbNb3feGwwGAkFQR~EnDU2EHIf7heAzV-zmgD3SRJmx1

Znajdź wszystkie posty użytkownika
Odpowiedz cytując ten post
16.06.2013, 8:38 (Ten post był ostatnio modyfikowany: 16.06.2013 8:50 przez NoahWatson.)
Post: #5
RE: Skuteczne szyfrowanie - systemy linuksowe
@kr2y510:
Cytat:Niewidoczna to raczej nie będzie. Zaszyfrowana to nie to samo co niewidoczna. Niewidoczne partycje, się tworzy na wolnym obszarze w innej zaszyfrowanej partycji. Nie słyszałem o tym, by to było na Linuksie...
Sam tego nie używałem, a projekt nie jest już rozwijany, ale jest takie rozwiązanie. Znalazłem go w tym wywiadzie z Mikko Hyppönen: http://antyweb.pl/mikko-hypponenem-czy-p...a-w-sieci/

Cytat:JR: Podobny dylemat dotyczy prawa w niektórych krajach, które zmusza Cię do wyjawienia swojego hasła do zaszyfrowanych danych, a gdy tego nie zrobisz, jesteś traktowany jak winny.

Mikko: Julian Assange napisał program, który rozwiązuje ten problem. Zanim stworzył Wikileaks, napisał program do szyfrowania o nazwie Rubberhose. Pomysł polega na tym, że jest wiele zaszyfrowanych warstw. Gdy złapie cię totalitarna władza, która podejrzewa, że chcesz obalić rząd i nie podoba im się to, więc chcą sprawdzić zawartość Twojego komputera, podajesz im hasło, które działa i daje dostęp do określonych plików. Ale danych jest więcej i dostęp do nich daje zupełnie inne hasło. Koncepcja polega na tym, że ilość poziomów szyfrowania jest nielimitowana. Nikt nie wiele ile poziomów jest na Twoim komputerze. Rząd wie, że korzystasz z tego rozwiązania i wie, że nie ma sensu np. torturowanie Ciebie, bo nigdy nie ma pewności, że podałeś już absolutnie wszystkie hasła, nawet jeżeli podałeś ich pięć, możesz znać szóste.
JR: Czyli to jest rozwinięcie koncepcji Truecrypta, który ma dwa poziomy szyfrowania?

Mikko: Tak z tym, że Rubberhose powstał wiele lat wcześniej przed Truecryptem. Koncepcja jest bardzo podobna.
A tutaj opis z wikipedii
Na wikipedii znalazłem, również nierozwijany, StegFS.

Cytat:Dziękuję bardzo. A więc DM-crypt działa dla Linuksów na zasadzie Truecrypta dla Windowsów. Pozwala zaszyfrować cały system poza /boot - co w wypadku Linuksa nie ma znaczenia. Można więc cieszyś się Linuksem i na nim pracować, mając cały system zaszyfrowany i bezpieczny.
Aby było jeszcze bezpieczniej partycję boot możesz przechowywać na swoim pendrive, jest niewielka, zazwyczaj gdy da się na nią 300 MB to jest aż za dużo. Ale to dla tych, którzy uważają iż pod ich nieobecnośc ktoś może im grzebać w PC.
Znajdź wszystkie posty użytkownika
Odpowiedz cytując ten post
18.06.2013, 22:15
Post: #6
RE: Skuteczne szyfrowanie - systemy linuksowe
(16.06.2013 8:38)NoahWatson napisał(a):  Aby było jeszcze bezpieczniej partycję boot możesz przechowywać na swoim pendrive, jest niewielka, zazwyczaj gdy da się na nią 300 MB to jest aż za dużo. Ale to dla tych, którzy uważają iż pod ich nieobecnośc ktoś może im grzebać w PC.

Ale czy to w ogóle konieczne? Czy sama partycja /boot w jakikolwiek sposób może się przydać próbującemu złamać tak zaszyfrowany system?

W ogóle to temat szfrowania pod Linuksem z naciskiem na system jest naprawdę dość słabo rozwinięty. O ile pod Windowsy wszystko jest dość jasno wyłożone, to w przypadku pingwinów i pokrewnych materiałów jest niewiele. Zakłada sie, że wszyscy linuksiarze do geeki i nie potrzebują dodatkowych poradników Tongue

kr2y510 napisał(a):
Janusz Napsztycki napisał(a):Aha i małe pytanie porównawcze. Co waszym zdaniem jest lepsze? Zaszyfrowany Windows (XP, 7) a pod nim maszyna wirtualna z Linuksem czy odwrotnie, zaszyfrowany Linuks a pod nim maszyna wirtualna z Windowsem?

Zależy co się chce osiągnąć. Czyli jaką to ma mieć funkcjonalność i jak często ma być używane.

Do codziennego użytku, desktop. Po prostu cały system działa powiedzmy pod Linuksem, ale codziennie odpalam także pod nim maszynę wirtualną z Windowsem do pracy i dla rozrywki. Lub odwrotnie. Windows na stałe a Linuks jako maszyna wirtualna.
Znajdź wszystkie posty użytkownika
Odpowiedz cytując ten post
18.06.2013, 22:41
Post: #7
RE: Skuteczne szyfrowanie - systemy linuksowe
(18.06.2013 22:15)Janusz Napsztycki napisał(a):  Czy sama partycja /boot w jakikolwiek sposób może się przydać próbującemu złamać tak zaszyfrowany system?

Na tej partycji większość ludzi trzyma kernel. Można więc go podmienić na coś, co będzie zawierało istotne z punktu widzenia łamiącego dodatkowe funkcjonalności.
Znajdź wszystkie posty użytkownika
Odpowiedz cytując ten post
19.06.2013, 0:41 (Ten post był ostatnio modyfikowany: 19.06.2013 0:59 przez kr2y510.)
Post: #8
RE: Skuteczne szyfrowanie - systemy linuksowe
(18.06.2013 22:15)Janusz Napsztycki napisał(a):  W ogóle to temat szfrowania pod Linuksem z naciskiem na system jest naprawdę dość słabo rozwinięty.

To wynika z historii Uniksa. Kiedyś nie było desktopów czy laptopów a był sobie ogromny Pan Komputer. Był drogi i ciężki. Był albo na uniwersytecie albo w jakiejś instytucji posiadającej własną ochronę. Więc miał zapewnione bezpieczeństwo fizyczne. Nikt nie myślał o fizycznym naruszeniu dostępu do niego, bo i geeków potrafiących zamieszać było wtedy mało. Z Panem Komputerem łączono się wtedy zdalnie, przez sieć lub przez modem.
Stąd bezpieczeństwo tych systemów, sprowadzało się do uprawnień, użytkowników i ich grup, praw dostępu na systemie plików, poprawnej konfiguracji programów i jednokierunkowych funkcji skrótu (hash). Samo zaszyfrowanie pliku było uznawane za fanaberię, czy security by obscurity!
Te same zasady obowiązują do dziś w serwerowniach. Wykładowcy akademiccy i podręczniki nadal uznają wyłącznie tę koncepcję.

Ale laptop, desktop, smartfon czy serwer firmowy/domowy nie mają zapewnionej fizycznej ochrony. Nie świadczą też ogromnej ilości zewnętrznych usług dla stada użytkowników. Więc całą koncepcję bezpieczeństwa dla tych urządzeń trzeba zmienić.

(18.06.2013 22:15)Janusz Napsztycki napisał(a):  O ile pod Windowsy wszystko jest dość jasno wyłożone, to w przypadku pingwinów i pokrewnych materiałów jest niewiele. Zakłada sie, że wszyscy linuksiarze do geeki i nie potrzebują dodatkowych poradników Tongue

Jeszcze kilka lat temu gdy w programach OTFE dla Windows była metoda wiązania szyfrów LRW i mówiono o konieczności przejścia na XTS, to na Linuksie była stara niebezpieczna metoda wiązania oparta na jednokierunkowych funkcjach (kolizje) i CBC (możliwość modyfikacji co drugiego sektora). Na jakiejś stronie linuksiarze twardo wyśmiewali tych co chcą zaimplementować LRW i XTS i określali ich mianem paranoików. Musiało minąć kilka lat, by ci prześmiewcy schowali się do swych nor i siedzieli cicho.

TorChat: kjwyvwi3ac3wduxj | I2P-Messenger: haglaaxk3jfqp33mfpkhjjamkndvv5bufuw37w445ejhljyjdaka.b32.i2p
I2P Bote: Baiibi~iBvX5p3yOQ1WrZ4C1ryu-MbPsgPvpwLeeYivGswAT~ib0-33pVfOUsQ7nV5pYUcYDl93n5ic4CUWkYh-6Lie5jA1svc35~VJq7itTfRaGIo9nuJlFIElwip7P9HPbNb3feGwwGAkFQR~EnDU2EHIf7heAzV-zmgD3SRJmx1

Znajdź wszystkie posty użytkownika
Odpowiedz cytując ten post
19.06.2013, 13:16 (Ten post był ostatnio modyfikowany: 19.06.2013 13:17 przez Madlock.)
Post: #9
RE: Skuteczne szyfrowanie - systemy linuksowe
Najbardziej mnie niepokoi możliwość fizycznego przejęcia kompa, gdy jest on włączony.
Przydałby się mechanizm chwilowej blokady kompa, gdy chcemy go na chwilę zostawić, bez potrzeby zamykania wszystkich programów i systemu, bo taki obwarowany komp wymaga jednak chwili po uruchomieniu na doprowadzenie go do stanu używalności. Do tego możliwość wyłączenia go zdalnie i możliwość szybkiego zniszczenia klucza dostępu, który jednak tak poza tym musiałby być niezawodny.
Odwiedź stronę użytkownika Znajdź wszystkie posty użytkownika
Odpowiedz cytując ten post
19.06.2013, 13:48 (Ten post był ostatnio modyfikowany: 19.06.2013 13:53 przez paweł.)
Post: #10
RE: Skuteczne szyfrowanie - systemy linuksowe
(19.06.2013 13:16)Madlock napisał(a):  Najbardziej mnie niepokoi możliwość fizycznego przejęcia kompa, gdy jest on włączony.
Przydałby się mechanizm chwilowej blokady kompa, gdy chcemy go na chwilę zostawić, bez potrzeby zamykania wszystkich programów i systemu, bo taki obwarowany komp wymaga jednak chwili po uruchomieniu na doprowadzenie go do stanu używalności. Do tego możliwość wyłączenia go zdalnie i możliwość szybkiego zniszczenia klucza dostępu, który jednak tak poza tym musiałby być niezawodny.

1. Zawsze można odszyfrować, przenieść wszystko na ramdysk, zaszyfrować.
2. Zdalne wyłączenie, to raczej żaden problem. Można nawet zrobić to tak:
Kod:
nc -l -p 666 -e /sbin/halt
Wtedy wystarczy, że ktoś z dowolnego miejsca w sieci będzie próbował się dobić na port 666, a komp się wyłączy Big Grin. Oczywiście sshd to lepsza metoda.

3. Co do chwilowej blokady, to rozwiązaniem (jednakk raczej mało skutecznym) są programy typu xlock. Poza tym myślę jeszcze, że można zrobić dump zawartości RAM na pendrive i zabrać pendrive ze sobą. A wracając dump przywrócić.

To moje pomysły "na szybko".
Znajdź wszystkie posty użytkownika
Odpowiedz cytując ten post
Odpowiedz 


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości