Re: шифрованная ФС
Один клиент попросил такое сделать. Сделал, с помощью luks. Без всяких паролей. Ключ на флешке, флешку выдернул, шифрованный винт отвалился. Это машина для складывания бэкапа, поэтому днем можно смело дергать флешку, фс отмонтируется, файлы там не открыты. Суть фокуса в том, что бэкап там сразу трёх юрлиц. Проверка сразу к трём вряд ли пойдёт, если только по наводке (таковы условия заказчика были, когда давал задачу), значит человек из конторы, к которой не пришли с проверкой может дёрнуть флешку с сервера. Вторая изюминка в том, что машина стоит на левой территории (в подвале :), которая не принадлежит ни одной из трёх контор, поэтому туда доступ никто не даст. Работники контор доступ туда имеют. Видимо арендодателю было выгодней сдать склад в подвале без официальных бумаг. Может у вас также можно снять часть вопросов бытовым способом? -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: шифрованная ФС
Denis Kostousov - Debian List (E-mail) @ Wed, 04 Apr 2007 09:34:38 +0600:
DK живьем никогда не встречал. Ну и еще ИМХО до кучи: пользователи
DK системы, где нет админ не царь и бог, должны быть очень
DK квалифицированы и отвечать за свои действия. Ибо исправлять некому.
Очень квалифицированы - не обязательно. А вот отвечать за свои
действия, а не строить из себя невинную девочку каждый раз, когда
нажмешь на OK, не читая сообщения - это да, это надо.
--
Artem Chuprina
RFC2822: ran{}ran.pp.ru Jabber: [EMAIL PROTECTED]
Может, тебе еще секретный ключ от шкатулки с сильмариллами?
(С)энта
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: шифрованная ФС
В TrueCrypt есть понятие Hidden раздела. Это раздел, который находится внутри зашифрованной партиции. По идее работает так: к Вам применяют терморектальный криптоанализ, Вы говорите пароль от зашифрованного раздела, они его открывают и ничего не находят/находят псевдоважные данные. Угу. Потом они возвращаются и повторяют криптоанализ (ректотермальный). ИМХО, единственный надежный вариант скрыть данные - гарантированное уничтожение. Если есть какая-то лазейка для востановления и Вы её знаете - будте уверены, Вы про нее расскажете. -- Denis Kostousov email: sandelloTHEDOGpermonline.ru jabber: sandelloATjabber.org fingerprint: FE3D 60AF E08D 2D2A 6A8B C891 70BB 0665 F047 ADAE signature.asc Description: OpenPGP digital signature
Re: шифрованная ФС
Вообще идея криптофс в исполнении слабее чем на IBM'овских мейнфреймах - несекьюрна. Там, кстати, пароль. Можете грубо перечеслить причины или ткнуть носом, где искать? -- Denis Kostousov email: sandelloTHEDOGpermonline.ru jabber: sandelloATjabber.org fingerprint: FE3D 60AF E08D 2D2A 6A8B C891 70BB 0665 F047 ADAE signature.asc Description: OpenPGP digital signature
Re: шифрованная ФС
Угу. Потом они возвращаются и повторяют криптоанализ (ректотермальный). ИМХО, единственный надежный вариант скрыть данные - гарантированное уничтожение. Если есть какая-то лазейка для востановления и Вы её знаете - будте уверены, Вы про нее расскажете. гарантированное уничтожение - это хорошо, но термоприёмник админа пострадает в любом случае вопрос: за какие же такие вещественные блага или может высокие идеи простой (ну может не совсем простой) админ должен терморект на себе испытывать, спасая левые заработки буржуина-хозяина -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: шифрованная ФС
rm-f wrote: Угу. Потом они возвращаются и повторяют криптоанализ (ректотермальный). ИМХО, единственный надежный вариант скрыть данные - гарантированное уничтожение. Если есть какая-то лазейка для востановления и Вы её знаете - будте уверены, Вы про нее расскажете. гарантированное уничтожение - это хорошо, но термоприёмник админа пострадает в любом случае не факт. Может и получится избежать, если добровольно показать. Хотя... даже если маски найдут все, что хотят - админу все равно предложат сыворотку правды (а вдруг нашли не все)... вопрос: за какие же такие вещественные блага или может высокие идеи простой (ну может не совсем простой) админ должен терморект на себе испытывать, спасая левые заработки буржуина-хозяина а ты не делай ничего втихаря по собственной инициативе. -- Denis Kostousov email: sandelloTHEDOGpermonline.ru jabber: sandelloATjabber.org fingerprint: FE3D 60AF E08D 2D2A 6A8B C891 70BB 0665 F047 ADAE signature.asc Description: OpenPGP digital signature
Re: шифрованная ФС
гарантированное уничтожение - это хорошо, но термоприёмник админа пострадает в любом случае не факт. Может и получится избежать, если добровольно показать. Хотя... даже если маски найдут все, что хотят - админу все равно предложат сыворотку правды (а вдруг нашли не все)... если гарантировано удалить все (как в советах из постов выше), добровольно уже ничего не покажешь, потому как нечего, а в басни что резервных скрытых копий нет, маскишоу не поверят с вероятностью 100% захотят удостовериться наверняка :) имхо: нужно пожертвовать малым чтобы не потерять всё вопрос: за какие же такие вещественные блага или может высокие идеи простой (ну может не совсем простой) админ должен терморект на себе испытывать, спасая левые заработки буржуина-хозяина а ты не делай ничего втихаря по собственной инициативе. это, как раз, не про себя писал уж очень пост активный получился, вот и пытаюсь понять за что народ гибнет :) -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: шифрованная ФС
Denis Kostousov - debian-russian@lists.debian.org @ Tue, 03 Apr 2007 14:14:06
+0600:
Вообще идея криптофс в исполнении слабее чем на IBM'овских мейнфреймах -
несекьюрна. Там, кстати, пароль.
DK Можете грубо перечеслить причины или ткнуть носом, где искать?
Так, для начала - там админу юзерские файлы почитать не дают. То есть
они шифруются, да, но на юзерском пароле. Нет юзера - нет данных. То
есть, понятно, средства сделать файл доступным другим юзерам
существуют. Но тут админ ничем не равнее других.
И соответственно, взломав систему до админского доступа, ты к критичным
данным доступа не получаешь. Кейлоггеров и прочих троянов это тоже
касается. Премия в миллион долларов за взлом этой системы до сих пор
никем не востребована :-)
А у нас профанация - как только фс подцеплена, заходи кто хочешь, читай
что хочешь.
--
Artem Chuprina
RFC2822: ran{}ran.pp.ru Jabber: [EMAIL PROTECTED]
hands-free BSD
(С)энта
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: шифрованная ФС
Artem Chuprina wrote: Denis Kostousov - debian-russian@lists.debian.org @ Tue, 03 Apr 2007 14:14:06 +0600: Вообще идея криптофс в исполнении слабее чем на IBM'овских мейнфреймах - несекьюрна. Там, кстати, пароль. DK Можете грубо перечеслить причины или ткнуть носом, где искать? Так, для начала - там админу юзерские файлы почитать не дают. То есть они шифруются, да, но на юзерском пароле. Нет юзера - нет данных. То есть, понятно, средства сделать файл доступным другим юзерам существуют. Но тут админ ничем не равнее других. И соответственно, взломав систему до админского доступа, ты к критичным данным доступа не получаешь. Кейлоггеров и прочих троянов это тоже касается. Премия в миллион долларов за взлом этой системы до сих пор никем не востребована :-) А у нас профанация - как только фс подцеплена, заходи кто хочешь, читай что хочешь. Ну это тогда вообще в сторону безопасных систем копать надо. А таких в природе почти нет. Ради интереса ознакомился с некоторыми документами о Distributed Trusted Operating System (автор Secure Computing Corporation). Описанных требований живьем никогда не встречал. Ну и еще ИМХО до кучи: пользователи системы, где нет админ не царь и бог, должны быть очень квалифицированы и отвечать за свои действия. Ибо исправлять некому. -- Denis Kostousov email: sandelloTHEDOGpermonline.ru jabber: sandelloATjabber.org fingerprint: FE3D 60AF E08D 2D2A 6A8B C891 70BB 0665 F047 ADAE signature.asc Description: OpenPGP digital signature
Re: шифрованная ФС
Sergey Korobitsin - debian-russian@lists.debian.org @ Mon, 26 Mar 2007
19:31:08 +0600:
А смысл?
SK Например, картинку можно положить в паблике в нескольких местах.
Чтобы у маски-шоу-менов было больше способов прочесть-таки раздел?
Решается противоположная задача.
--
Artem Chuprina
RFC2822: ran{}ran.pp.ru Jabber: [EMAIL PROTECTED]
Юзер обожает терпеть мелкие неудобства
Victor Wagner
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: шифрованная ФС
Sergey Korobitsin wrote: On Fri, Mar 23, 2007 at 00:26 +0300, Artem Chuprina wrote: А смысл? Например, картинку можно положить в паблике в нескольких местах. И не только в картинке, если взять подпись подлиннее, то можно и в ней прятать. -- Maxim -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: шифрованная ФС
Mikhail A Antonov пишет: On Thursday 22 March 2007 18:17, Nicholas wrote: Как инсталировать Дебиан: http://d-i.alioth.debian.org/manual/ru.i386/ch06s03.htm 404 :-( l потерялась -- http://d-i.alioth.debian.org/manual/ru.i386/ch06s03.html -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: шифрованная ФС
Hello! On Wed, Mar 21, 2007 at 06:03:51PM +0300, Dmitry E. Oboukhov wrote: кто-либо пользуется сабжем? если да то каким? вопрос. насколько я понимаю само шифрование можно сделать в виде использования ключа или же в случае если ключом будет пароль (или хеш к нему) второй случай в случае применения маски шоу и потом серьезной вычтехники представляется малосекьюрным а первый - таскание ключа на отдельном носителе представляется малоудобным: в том же случае маскишоу может носитель оказаться рядом с хостом и все: шифрования нет. какие наработки есть по поводу совмещения удобства и секьюрности никто не даст ссылочек на почитать или своими словами бы рассказал? В TrueCrypt есть понятие Hidden раздела. Это раздел, который находится внутри зашифрованной партиции. По идее работает так: к Вам применяют терморектальный криптоанализ, Вы говорите пароль от зашифрованного раздела, они его открывают и ничего не находят/находят псевдоважные данные. Чтобы открыть hidden раздел во-первых надо знать что он там есть (утверждают, что определить существует он или нет - невозможно), во-вторых знать второй пароль от него. Это в теории я так у них вычитал, на практике сам не пробовал. Но звучит работоспособно. -- WBR, Alexander Burnos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: шифрованная ФС
В сообщении от Пятница 23 марта 2007 14:08 Alexander Burnos написал(a): Чтобы открыть hidden раздел во-первых надо знать что он там есть (утверждают, что определить существует он или нет - невозможно), во-вторых знать второй пароль от него. Это в теории я так у них вычитал, на практике сам не пробовал. Но звучит работоспособно. Что есть это против работы с людьми и теории терморектального криптоанализа, нарабатываемой веками. Лучше не сталкиваться, чтобы не проверять. афаик, один из основных принципов безопасности (в т.ч. данных) - исключить _любые_возможные_ способы ее нарушения, а те которые неподвластны - определить и выработать противодействия.
Re: шифрованная ФС
Dmitry E. Oboukhov wrote: кто-либо пользуется сабжем? если да то каким? ... какие наработки есть по поводу совмещения удобства и секьюрности никто не даст ссылочек на почитать или своими словами бы рассказал? Вот еще в тему пару ссылок. http://deb.riseup.net/storage/encryption/loop-aes/ http://deb.riseup.net/storage/encryption/dmcrypt/ -- Maxim -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: шифрованная ФС
On Wed, Mar 21, 2007 at 13:55 -0400, Nicholas wrote: Использую шифрование для нотера - настроил инсталятором Дебиана - по паролю. а можно подробнее? (можно в личку) -- Best regards, Ryzchenko Vitaly. -- JSC RTS-Ukraine E-mail: vit_at_rts_dot_ua ICQ:519929 --
Re: шифрованная ФС
Dmitry E. Oboukhov пишет: ... кстати, а кто что думает над таким решением: 1. используем метод шифрования на лету (то есть метод когда шифрование в момент размонтирования происходит нам не подходит) 2. шифруем с ключом 3. ключ располагаем на каком-либо хостинге под запароленой страничкой. следовательно при отсутствии инета диск не смонтируется ! 4. скрипт монтирования спрашивает у нас адрес пароль логин и пароль к ключу. 5. скрипт в сеть может ходить скажем через tor чтобы если внешний снифер стоит не могли перехватить адрес. это в смысле чтобы и от паролей избавиться (пароли таки расшифровать перебором можно а ключи фиг) и избавиться от носителей которые на момент маски-шоу могут оказаться рядом с сервером. сервер как правило стоит в локалке ну и если ключ кому-то попадет то ему еще надо узнать от какого он хоста зачем итп == вероятность маленькая через эту дырку залезть. адрес сервера логин пароль они легко запоминабельны. а ключ можно держать длиннее самого длинного пароля. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: шифрованная ФС
Dmitry E. Oboukhov пишет: Да. Оные же люди, занимающиеся криптографией, не рекомендуют делать ключ длиннее самого длинного пароля. Ключ делают _достаточной_ длины. а почему кстати не рекомендуют? интересны технические соображения Шарлатанство от криптографии -- http://www.password-crackers.ru/articles/30/ -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: шифрованная ФС
On Thursday 22 March 2007 13:13, vit wrote: On Wed, Mar 21, 2007 at 13:55 -0400, Nicholas wrote: Использую шифрование для нотера - настроил инсталятором Дебиана - по паролю. а можно подробнее? (можно в личку) А лучше урлу, где инфу брал. Есть у меня идея хранить $HOME на флешке (на ноуте встроенный кард-ридер), но пока как-то руки не успели дойти. -- Best regards, Mikhail Bart-mdv- @ SolarNet IRC: irc.solarnet.ru WWW: http://www.solarnet.ru/ -- Компьютер без коммуникации - что унитаз без канализации. pgpAI0WadsYEq.pgp Description: PGP signature
Re: шифрованная ФС
Dmitry E. Oboukhov wrote: следовательно при отсутствии инета диск не смонтируется ! и черт с ним, главное чтобы в присутствии маскишоу он не смонтировался. а инет при выделенке есть всегда Даже у провайдеров иногда инетка ломается. А ставить в зависимость работоспособность фирмы от провайдера по-моему неразумно. Даже при наличии резервного канала к другому провайдеру. -- maxym -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: шифрованная ФС
Dmitry E. Oboukhov - debian-russian@lists.debian.org @ Thu, 22 Mar 2007
10:21:20 +0300:
DEO кстати, а кто что думает над таким решением:
DEO 1. используем метод шифрования на лету (то есть метод когда шифрование
DEO в момент размонтирования происходит нам не подходит)
А что, бывает и такое?
DEO я порывшись по хаутушкам сперва именно на такой метод выпал:
DEO монтируют образ через loop а потом при размонтировании/монтировании
DEO криптуют/раскриптуют.
Чего-то ты не то вычитал. Это ж двойной расход места.
DEO маски-шоу могут оказаться рядом с сервером.
DEO сервер как правило стоит в локалке ну и если ключ кому-то попадет то ему
DEO еще надо узнать от какого он хоста зачем итп == вероятность маленькая
DEO через эту дырку залезть.
DEO адрес сервера логин пароль они легко запоминабельны. а ключ можно
DEO держать длиннее самого длинного пароля.
Люди, занимающиеся криптографией, полагают, что эта схема ничуть не
надежнее просто пароля, только пароль в данном случае искусственно
дробится на три части - собственно пароль (к странице), логин и адрес
сервера.
DEO суть то в том что в случае маскишоу ключ с хостинга можно будет удалить
DEO заинтересованному неарестованному человеку :)
А почему ты считаешь, что арестуют не всех заинтересованных людей?
вот по параметру доступность для нормальной работы это решение куда хуже.
Ну, то есть понятно, что в случае чего ключ можно стереть на том сервере
- когда еще ребята в масках до него доберутся... Но его и локально
можно точно так же стереть - просто при покладании дать серверу сигнал о
такой вот специфической остановке.
DEO вот насколько я понимаю устроителей маскишоу то они так устраиваются
DEO чтобы никто никаких действий с серверами/компами произвести не успел.
DEO то есть локально его стереть нельзя.
Можно. Умеючи только надо. Вернее, как - при надлежащей разработке шоу
можно, хотя и весьма нетривиально, добиться того, чтобы никто ничего не
успел сделать. Но при надлежащей разработке, скорее всего, тот ключ
вытащат с того сервера заранее, и забудут тебя об этом
проинформировать - это проще, чем обеспечить не успел.
DEO на хостинге может храниться CGI скрипт отдающий ключ и CGI-скрипт
DEO стирающий ключ с хостинга. то есть даже при терморектальном
DEO криптоанализе можно просто отдать логин и пароль той CGI-шки которая
DEO удалит ключ.
DEO а дальше уже даже сам при желании не расшифруешь свои же данные (если
DEO копия ключа единственная)
Как ты понимаешь, потеря данных в
таком случае должна быть необратима - если копия ключа где-то хранится,
ребята в масках ее получат.
Да. Оные же люди, занимающиеся криптографией, не рекомендуют делать
ключ длиннее самого длинного пароля. Ключ делают _достаточной_ длины.
DEO а почему кстати не рекомендуют?
DEO интересны технические соображения
Потому что _дополнительной_ безопасности это не дает. Какая тебе
разница, потребуется для вскрытия грубой силой три возраста Вселенной,
или пятьдесят тысяч? А бесплатным такое усложнение не бывает.
Ну и кроме того, алгоритм с произвольной длиной ключа в норме либо
слабее алгоритма с фиксированной, либо ГОРАЗДО ресурсоемче. Потому как
математика, дающая такую возможность, тоже даром не дается.
--
Artem Chuprina
RFC2822: ran{}ran.pp.ru Jabber: [EMAIL PROTECTED]
Unix-like -- для кинестетиков, Emacs -- для аудиалов, Mac -- для визуалов,
Windows -- для чайников
RockMover in [EMAIL PROTECTED]
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: шифрованная ФС
Приветствую! Dmitry E. Oboukhov пишет: кто-либо пользуется сабжем? если да то каким? вопрос. Рекомендую сайт www.pgpru.com -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: шифрованная ФС
On 2007.03.22 at 14:13:18 +0300, Artem Chuprina wrote: Dmitry E. Oboukhov - debian-russian@lists.debian.org @ Thu, 22 Mar 2007 10:21:20 +0300: DEO кстати, а кто что думает над таким решением: DEO 1. используем метод шифрования на лету (то есть метод когда шифрование DEO в момент размонтирования происходит нам не подходит) А что, бывает и такое? DEO я порывшись по хаутушкам сперва именно на такой метод выпал: DEO монтируют образ через loop а потом при размонтировании/монтировании DEO криптуют/раскриптуют. Чего-то ты не то вычитал. Это ж двойной расход места. But why? Что мешает шифровать in place? У большинства применямых в наше время симметричных алгоритмов проблем с этим нет. Ну в крайнем случае нужно будет блоком, кратным какой-нибудь степени двойки читать и шифровать. Правда, если питание выключится посередине операции, хорошо не будет и мало не покажется. Так что лучше всё-таки шифровать при каждой записи. Всё равно оно блоками идет. DEO суть то в том что в случае маскишоу ключ с хостинга можно будет удалить DEO заинтересованному неарестованному человеку :) А почему ты считаешь, что арестуют не всех заинтересованных людей? Ну, например, потому что этот самый заинтересованный человек будет находиться в более другой юрисдикции. И мотивировать постановление о выдаче до тех пор пока не раскололись арестованные при первом маски-шоу будет нечем. И вообще это может быть не человек, а бот, который автоматически удаляет ключ, если в течение какого-то времени не поступил сигнал работаем в штатном режиме. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: шифрованная ФС
On 2007.03.22 at 14:17:33 +0300, Dmitry E. Oboukhov wrote: тут работоспособность _старта_ сервера в зависимость от провайдера ставится. то есть чтобы работоспособность стала должно одновременно и пропасть инет и появиться необходимость в перезагрузке сервера. :) Ну, если причиной отключения инета было отключение электричества во всём здании, то сервер скорее всего тоже придется выключить. Упса надолго не хватит. А при включении не факт что интернет восстановится быстро. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: шифрованная ФС
Dmitry E. Oboukhov wrote: мне известен только один случай применения такой системы - в ACK я что-то погуглил и не нашел описания случая, может у тебя ссылка сохранилась? http://www.yavlinsky.ru/news/index.phtml?id=1439 Как инсталировать Дебиан: http://d-i.alioth.debian.org/manual/ru.i386/ch06s03.htm -- Best regards, Nicholas -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: шифрованная ФС
On Sat, Mar 24, 2007 at 01:13:34AM +0600, Sergey Korobitsin wrote: On Thu, Mar 22, 2007 at 01:33 +0300, Artem Chuprina wrote: А что, если сей ключ записать, скажем, в картинку методом стеганографии (или как это правильно называется). Кстати, встречный вопрос - есть ли инструменты для этого в эхотаге? outguess, steghide ну и на хитрую задницу с резьбой stegdetect -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: шифрованная ФС
Sergey Korobitsin - debian-russian@lists.debian.org @ Sat, 24 Mar 2007
01:13:34 +0600:
Люди, занимающиеся криптографией, полагают, что эта схема ничуть не
надежнее просто пароля, только пароль в данном случае искусственно
дробится на три части - собственно пароль (к странице), логин и адрес
сервера. Последний, конечно, длинный, но вряд ли он шибко секретен. А
вот по параметру доступность для нормальной работы это решение куда хуже.
SK А что, если сей ключ записать, скажем, в картинку методом стеганографии
А смысл?
--
Artem Chuprina
RFC2822: ran{}ran.pp.ru Jabber: [EMAIL PROTECTED]
... и углупился в свои мысли
Кнышев
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: шифрованная ФС
On Thursday 22 March 2007 18:17, Nicholas wrote: Как инсталировать Дебиан: http://d-i.alioth.debian.org/manual/ru.i386/ch06s03.htm 404 :-( -- Best regards, Mikhail Bart-mdv- @ SolarNet IRC: irc.solarnet.ru WWW: http://www.solarnet.ru/ -- Такой большой, а в SCSI веришь. pgp0xGoxGUk48.pgp Description: PGP signature
Re: шифрованная ФС
Dmitry E. Oboukhov пишет: следовательно при отсутствии инета диск не смонтируется ! и черт с ним, главное чтобы в присутствии маскишоу он не смонтировался. а инет при выделенке есть всегда Даже у провайдеров иногда инетка ломается. А ставить в зависимость работоспособность фирмы от провайдера по-моему неразумно. Даже при наличии резервного канала к другому провайдеру. тут работоспособность _старта_ сервера в зависимость от провайдера ставится. то есть чтобы работоспособность стала должно одновременно и пропасть инет и появиться необходимость в перезагрузке сервера. :) Угу , а как же закон Мёрфи? :-) минус в том ,что нормальная загрузка твоего сервера зависит не только от тебя, но и от чужого дяди! -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: шифрованная ФС
Dmitry E. Oboukhov - debian-russian@lists.debian.org @ Wed, 21 Mar 2007
18:03:51 +0300:
DEO кто-либо пользуется сабжем?
DEO если да то каким?
DEO вопрос.
DEO насколько я понимаю само шифрование можно сделать в виде использования
DEO ключа или же в случае если ключом будет пароль (или хеш к нему)
DEO второй случай в случае применения маски шоу и потом серьезной вычтехники
DEO представляется малосекьюрным
DEO а первый - таскание ключа на отдельном носителе представляется
DEO малоудобным: в том же случае маскишоу может носитель оказаться рядом с
DEO хостом и все: шифрования нет.
DEO какие наработки есть по поводу совмещения удобства и секьюрности никто
DEO не даст ссылочек на почитать или своими словами бы рассказал?
Основная наработка по поводу оного совмещения заключается в теореме
удобство и безопасность обратно пропорциональны.
Вообще идея криптофс в исполнении слабее чем на IBM'овских мейнфреймах -
несекьюрна. Там, кстати, пароль.
--
Artem Chuprina
RFC2822: ran{}ran.pp.ru Jabber: [EMAIL PROTECTED]
/итд/почтопосылалка.нстрк (c)
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: шифрованная ФС
Dmitry E. Oboukhov wrote: кто-либо пользуется сабжем? если да то каким? насколько я понимаю само шифрование можно сделать в виде использования ключа или же в случае если ключом будет пароль (или хеш к нему) второй случай в случае применения маски шоу и потом серьезной вычтехники представляется малосекьюрным а первый - таскание ключа на отдельном носителе представляется малоудобным: в том же случае маскишоу может носитель оказаться рядом с хостом и все: шифрования нет. В случае маски-шоу вариант с применением терморектального криптоанализа представляется как наиболее вероятный, чем применение серьезной вычтехники. http://termorect.narod.ru/ :) Я видел у других, и юзал, длинный пароль на cryptofs С помощью ключа видел шифрование бакапов с помощью rsyncrypto, ключ потом в тумбочку. Он нужен только для расшифровки и храниться может, скажем в банке в ячейке. -- maxym -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: шифрованная ФС
Dmitry E. Oboukhov wrote: кто-либо пользуется сабжем? если да то каким? Использую шифрование для нотера - настроил инсталятором Дебиана - по паролю. Если случиться груcтное и нотер исчезнет - мои пароли на почту и сайты не попадут к шутникам. В ситуации маски шоу для сервера это не поможет - они просто попросят сказать пароль. Единственный метод для противодействия маскам - автоматическое физическое уничтожение данных в сам момент налета - мне известен только один случай применения такой системы - в ACK (Агенство Стратегических коммуникаций) - фирма обслуживала Явлинского - погуглите - очень поучительная история. Для бизнеса не подойдет. какие наработки есть по поводу совмещения удобства и секьюрности никто не даст ссылочек на почитать или своими словами бы рассказал? Вы сначали разберитесь что вам нужно (по сути) и зачем. Может вам просто хостинг на западе с vpn нужен ? -- Best regards, Nicholas -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: шифрованная ФС
Dmitry E. Oboukhov - debian-russian@lists.debian.org @ Thu, 22 Mar 2007
00:19:20 +0300:
DEO кстати, а кто что думает над таким решением:
DEO 1. используем метод шифрования на лету (то есть метод когда шифрование
DEO в момент размонтирования происходит нам не подходит)
А что, бывает и такое?
DEO 2. шифруем с ключом
DEO 3. ключ располагаем на каком-либо хостинге под запароленой страничкой.
DEO 4. скрипт монтирования спрашивает у нас адрес пароль логин и пароль к
DEO ключу.
DEO 5. скрипт в сеть может ходить скажем через tor чтобы если внешний
DEO снифер стоит не могли перехватить адрес.
DEO это в смысле чтобы и от паролей избавиться (пароли таки расшифровать
DEO перебором можно а ключи фиг) и избавиться от носителей которые на момент
DEO маски-шоу могут оказаться рядом с сервером.
DEO сервер как правило стоит в локалке ну и если ключ кому-то попадет то ему
DEO еще надо узнать от какого он хоста зачем итп == вероятность маленькая
DEO через эту дырку залезть.
DEO адрес сервера логин пароль они легко запоминабельны. а ключ можно
DEO держать длиннее самого длинного пароля.
Люди, занимающиеся криптографией, полагают, что эта схема ничуть не
надежнее просто пароля, только пароль в данном случае искусственно
дробится на три части - собственно пароль (к странице), логин и адрес
сервера. Последний, конечно, длинный, но вряд ли он шибко секретен. А
вот по параметру доступность для нормальной работы это решение куда хуже.
Ну, то есть понятно, что в случае чего ключ можно стереть на том сервере
- когда еще ребята в масках до него доберутся... Но его и локально
можно точно так же стереть - просто при покладании дать серверу сигнал о
такой вот специфической остановке. Как ты понимаешь, потеря данных в
таком случае должна быть необратима - если копия ключа где-то хранится,
ребята в масках ее получат.
Да. Оные же люди, занимающиеся криптографией, не рекомендуют делать
ключ длиннее самого длинного пароля. Ключ делают _достаточной_ длины.
На данный момент разумным верхним значением для ключа симметричного
шифрования считается 256 бит (т.е. 32 байта). Это явно короче _самого_
длинного пароля. Собственно, если автор алгоритма упирает на то, что
ключ можно сделать сколь угодно длинным, что типа как бы способно сколь
угодно повысить секьюрность - это один из самых громких звоночков не
надо пользоваться этим алгоритмом. Разумной нижней границей считается
128 бит. Перебор 64-битного ключа - квест. Уже выполнимый, но еще
квест.
--
Artem Chuprina
RFC2822: ran{}ran.pp.ru Jabber: [EMAIL PROTECTED]
Win-юзеры - это типа Win-модемов и Win-принтеров: такие же юзеры, но попроще,
без мозгов и памяти на борту.
http://www.livejournal.com/~dottedmag/158509.html
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
