Re: Шифрование отдельных разделов
да, если есть свап, его, наверно, стоит зашифровать с /dev/urandom в качестве ключа. так делается по-дефолту в убунтовском установщике (про остальных не знаю), если сделать хомяк с ecryptfs. при каждой загрузке свап шифруется рэндомным ключом, который живет только в течение одной сессии. делается для того, чтобы из свапа потом не достать было обрывков ценных данных. если интересно, могу глянуть на старой убунте, что там в crypttab надо прописать. ну или нагуглить проще)) да, сам сижу в зашифрованном luks разделе, который внутри побит с помощью lvm. каких-либо задержек не замечал в принципе. алгоритм дефолтный, что там установщик предлагал. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20120402101912.09a16...@ulf.tvoe.tv
Re: Шифрование отдельных разделов
dimas wrote: да, если есть свап, его, наверно, стоит зашифровать с /dev/urandom в качестве Нет, не стоит. Поскольку речь идёт о нетбуке, вероятно использование hibernate (suspend-to-disk). А оно с случайным ключём для свопа не совместимо. ключа. так делается по-дефолту в убунтовском установщике (про остальных не знаю), если сделать хомяк с ecryptfs. при каждой загрузке свап шифруется рэндомным ключом, который живет только в течение одной сессии. делается для ... и ровно туда же пойдёт информация, сохранённая STD. того, чтобы из свапа потом не достать было обрывков ценных данных. если интересно, могу глянуть на старой убунте, что там в crypttab надо прописать. ну или нагуглить проще)) да, сам сижу в зашифрованном luks разделе, который внутри побит с помощью lvm. каких-либо задержек не замечал в принципе. алгоритм дефолтный, что там установщик предлагал. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/jlci35$v22$1...@dough.gmane.org
Шифрование отдельных разделов
Здравствуйте! У меня появилась необходимость шифровать данные на своем нетбуке. Прочитал статью в вике: http://wiki.debian.org/ru/Crypt В связи с этим возникло несколько вопросов: 1. Каким из указанных там способов лучше шифровать (cryptsetup, cryptsetup LUKS синтаксис, loop-aes), их особенности, читай подводные камни. 2. Какова будет плата за шифрование (нагрузка на cpu, сокращение длительности работы от батарей). 3. Какой метод шифрования лучше выбрать. Я не параноик, главное чтоб мои личные данные не утекли при потере нетбука, сдачи его в ремонт и т.п. И так чтоб не сильно просаживалась производительность. 4. Существует ли возможность использовать разные контейнеры для расшифровки в зависимости от парольной фразы? Например для подмены /home фиктивными данными. Я понимаю что при не зашифрованном корне это может быть легко обнаружено, но все же. Конфигурация: Cpu - 1.66 x 2 ядра. 1Gb памяти, DDR3 Три раздела (корень, /home и swap). LVM нету. Boot не выделен. Хотелось бы: Шифровать /home и swap, может быть позже и /var, после вынесения его на отдельный раздел. Swap подключен на всякий случай, практически не используется. Шифровать, скорее всего по парольной фразе. Т.к. не очень хочется таскать с собой флешку с ключем. С уважением Алексей А. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4f7899d7.3010...@mail.ru
Re: Шифрование отдельных разделов
On Sun, 01 Apr 2012 22:09:27 +0400 Aleksey Andreev li...@mail.ru wrote: Здравствуйте! У меня появилась необходимость шифровать данные на своем нетбуке. Прочитал статью в вике: http://wiki.debian.org/ru/Crypt В связи с этим возникло несколько вопросов: 1. Каким из указанных там способов лучше шифровать (cryptsetup, cryptsetup LUKS синтаксис, loop-aes), их особенности, читай подводные камни. LUKS, особенно если нет желания использовать фразу от 20 символов. loop-aes устарел и не нужен. 2. Какова будет плата за шифрование (нагрузка на cpu, сокращение длительности работы от батарей). Зависит от дискового I/O. Я пока не замечал особого уменьшения времени автономной работы нетбука. 3. Какой метод шифрования лучше выбрать. Я не параноик, главное чтоб мои личные данные не утекли при потере нетбука, сдачи его в ремонт и т.п. И так чтоб не сильно просаживалась производительность. aes-cbc-essiv, желательно в 64-битном варианте. aes-xts-plain тоже заслуживает внимания, но в принципе не даёт особых преимуществ. 4. Существует ли возможность использовать разные контейнеры для расшифровки в зависимости от парольной фразы? Например для подмены /home фиктивными данными. Я понимаю что при не зашифрованном корне это может быть легко обнаружено, но все же. Нет. Это возможно только с Truecrypt. pgpwVXc14rFwW.pgp Description: PGP signature
Re: Шифрование отдельных разделов
У меня появилась необходимость шифровать данные на своем нетбуке. Прочитал статью в вике: http://wiki.debian.org/ru/Crypt В связи с этим возникло несколько вопросов: 1. Каким из указанных там способов лучше шифровать (cryptsetup, cryptsetup LUKS синтаксис, loop-aes), их особенности, читай подводные камни. имхо лучше всего cryptsetup (прописываем нужное в crypttab) и все. loop-aes нынче вошел в cryptsetup 2. Какова будет плата за шифрование (нагрузка на cpu, сокращение длительности работы от батарей). по сравнению с расходами на саму дисковую активность мизерная. я просадок по скоростям не вижу на шифрованных разделах. 3. Какой метод шифрования лучше выбрать. Я не параноик, главное чтоб мои личные данные не утекли при потере нетбука, сдачи его в ремонт и т.п. И так чтоб не сильно просаживалась производительность. AES256 или 512 имхо 4. Существует ли возможность использовать разные контейнеры для расшифровки в зависимости от парольной фразы? Например для подмены /home фиктивными данными. Я понимаю что при не зашифрованном корне это может быть легко обнаружено, но все же. на своих скриптах разве что Хотелось бы: Шифровать /home и swap, может быть позже и /var, после вынесения его на отдельный раздел. Swap подключен на всякий случай, практически не используется. Шифровать, скорее всего по парольной фразе. Т.к. не очень хочется таскать с собой флешку с ключем. если cryptsetup то он шифрует блочное устройство а там хоть свап хоть что другое. ЗЫ: с LUKS синтаксисом не работал. -- . ''`. Dmitry E. Oboukhov : :’ : email: un...@debian.org jabber://un...@uvw.ru `. `~’ GPGKey: 1024D / F8E26537 2006-11-21 `- 1B23 D4F8 8EC0 D902 0555 E438 AB8C 00CF F8E2 6537 signature.asc Description: Digital signature
Re: Шифрование отдельных разделов
LUKS, особенно если нет желания использовать фразу от 20 символов. loop-aes устарел и не нужен. Спасибо. Сам уже склоняюсь к LUKS, т.к. понравилась идея со слотами. И относительно легкой сменой пароля. Зависит от дискового I/O. Я пока не замечал особого уменьшения времени автономной работы нетбука. Это радует. 4. Существует ли возможность использовать разные контейнеры для расшифровки в зависимости от парольной фразы? Например для подмены /home фиктивными данными. Я понимаю что при не зашифрованном корне это может быть легко обнаружено, но все же. Нет. Это возможно только с Truecrypt. Ну или особый пароль, при вводе которого произошел бы тихий отказ. Т.е. Не выругался, но и /home не подцепил бы. В этом случае был бы виден /home с корневого раздела. Хотя ответ похоже уже знаю - без патчинга невозможно :( -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4f78c6fc.9040...@mail.ru
Re: Шифрование отдельных разделов
4. Существует ли возможность использовать разные контейнеры для расшифровки в зависимости от парольной фразы? Например для подмены /home фиктивными данными. Я понимаю что при не зашифрованном корне это может быть легко обнаружено, но все же. на своих скриптах разве что Да, пожалуй оптимальный вариант. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4f78c8ee.8020...@mail.ru
Re: Шифрование отдельных разделов
- User Dmitry E. Oboukhov on 2012-04-01 23:22:57 wrote: 3. Какой метод шифрования лучше выбрать. Я не параноик, главное чтоб мои личные данные не утекли при потере нетбука, сдачи его в ремонт и т.п. И так чтоб не сильно просаживалась производительность. AES256 или 512 имхо Главный вопрос это алгоритм именно предназначенный для полнодискового шифрования. От самого симметричного шифра зависит не так много. А что есть 512? AES512 ещё не изобретён. Совет по использованию aes-xts-plain с SHA-512 хэшем хорош. -- Happy hacking, Sergey Matveev. [CYPHERPUNKS.RU][FSF][FSFE][EFF] fellow ..: -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20120402033300.gb2...@stargrave.org
Re: Шифрование отдельных разделов
- User Sergej Kochnev on 2012-04-02 02:11:02 wrote: 3. Какой метод шифрования лучше выбрать. Я не параноик, главное чтоб мои личные данные не утекли при потере нетбука, сдачи его в ремонт и т.п. И так чтоб не сильно просаживалась производительность. aes-cbc-essiv, желательно в 64-битном варианте. aes-xts-plain тоже заслуживает внимания, но в принципе не даёт особых преимуществ. CBC режим для полнодискового шифрования довольно плох и давно изобретены много более лучшие алгоритмы: http://clemens.endorphin.org/LinuxHDEncSettings http://www.etegro.ru/articles/disk-encryption XTS сегодня наиболее предпочтительный вариант. Overhead от его использования, мне кажется, на современных системах не шибко заметен. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20120402032959.ga2...@stargrave.org
