Можно ли открыть криптоконтейнеры FreeOTFE под Linux?
Во времена, когда я был заядлым виндузятником я юзал FreeOTFE http://www.pgpru.com/soft/freeotf
Сейчас задаюсь вопросом, можно ли открыть криптоконтейнеры FreeOTFE под Линукс?!
|
||||||||||||||||||||||||||
|
||||||||||||||||||||||||||
Нормы пользования. Некоторые права на материалы сайта защищены по условиям лицензии CreativeCommons. Движок
openSpace 0.8.25a и дизайн сайта © 2006-2007 Vlad "SATtva" Miller.
|
||||||||||||||||||||||||||
Под FreeOTFE я создавал файлы криптоконтейнеров (расширение у них .vol) без отдельного файла ключа, т.е. ключ храниться также в этом файле.
Получается, что линукс по какой-то причине не читает этот ключ, или как это понимать?
комментариев: 9796 документов: 488 редакций: 5664
Кидайте сюда распечатку (дамп) того, что выведет такой набор комманд:
комментариев: 9796 документов: 488 редакций: 5664
Извиняюсь, в последней строке просто:
Но скорее всего результат будет таким же плачевным: устройство не распознается как LUKS-рздел и /dev/mapper/somename не создастся (вручную его создавать не нужно, оно должно возникать и исчезать только автоматом при правильной работе соотв. комманд — это принципиально). Тогда значит FreeOTFe создало несовместимый контейнер (как вариант). А в самом Линуксе с помощью cryptsetup у вас контейнеры создаются и открываются?
Если верить SATtva (см. выше), оно вроде так не должно было сделать.
Еще не пробовал. У cryptsetup man очень лапидарный, никак не могу его вкурить.
комментариев: 11558 документов: 1036 редакций: 4118
По крайней мере, так заявляют сами разработчики FreeOTFE. Может оно по умолчанию несовместимо, а для совместимости надо создавать как-то по-особому?
В Сети тонны howto по его использованию, воспользуйтесь гуглом. google:cryptsetup+howto
комментариев: 9796 документов: 488 редакций: 5664
комментариев: 11558 документов: 1036 редакций: 4118
Пытаюсь создать криптоконтейнер:
Не хочет создаваться.
По тому же хауту пытаюсь открыть криптоконтейней, созданный под FreeOTFE:
– не хочет воспринимать пароль.
комментариев: 11558 документов: 1036 редакций: 4118
Посмотрите внимательно, о чём Вас просит cryptsetup:
Из-за критичности операции, которая способна повлечь уничтожение данных на целевом разделе, нужно ввести "YES" заглавными буквами.
Единственно что не получается открыть FreeOTFE, видимо, попробовать написать им?
P. S. А как мне зашифровать, скажем, /home? Я так понимаю, что если я натравлю на /dev/cdaX, на котором /home, cryptsetup, то он сотрет все данные. Я так понимаю, что никак по-другому, кроме как скопировав или заархивировав их, потом зашифровав раздел с утерей всех данных, и записью на него из созданной копии/архива, вариантов нет?
А что касается создания шифрованных разделов на стадии установки Linux, скажем, с дебиановских дисков, так скорее всего именно LUKS и применяется?
И в чем принципиальная разница между LUKS и, скажем, Truecrypt? Чем последняя лучше или хуже?
комментариев: 9796 документов: 488 редакций: 5664
Там всё-таки много чего, что лучше читать по манам и статьям.
Общая картина такова.
Рекомендуется отказаться от разбиения на разделы /dev/sda1, /dev/sda2 и т.д. Разделы как-бы теперь устарели и используются только для размещения разных ОС на одном винчестере или в экономных встраиваемых системах.
Остаётся только раздел под /boot и под всё остальное. Всё остальное форматируется в LVM. Вместо разделов, внутри физического тома LVM используются логические тома, которые можно двигать, изменять размеры вместе с данными (даже когда используется шифрование тома), делать снэпшоты не останавливая сервер.
При инсталляции Debian всё по такой схеме с томами и предлагает ставиться, при этом LUKS интегрирован в LVM и вы можете зашифровать любой физический том со всеми логическими или отдельно логические тома.
Альтернатива LUKS — loop-aes, его лучше не выбирать, он по ряду причин считается тупиковым направлением.
Truecrypt — не GPL-лицензия, а какая-то самопальная (в Debian её обозвали юридической миной замедленного действия и TC в дистр не включили).
Плюсы у него только в создании контейнеров без заголовков (чистый рэндом), что производит большое впечатление на новичков — "теперь они ничего не поймут и не докажут!" (в большинстве случаев такая защита — "страус спрятался в детской песочнице").
Более серьёзный плюс — отрицаемое шифрование, скрытые вложенные контейнеры.
Всё это неплохо, надо просто понимать ограниченность этих плюсов.
Зато связка "{kernel-cryptoAPI-cryptsetup-LUKS} over LVM" — чисто линукс-ориентированный продукт с хорошим теоретическим обоснованием того, что касается шифрования, с лучше всего изученным и аккуратным открытым кодом.
Не хотелось бы мне переинсталлироваться, а желание зашифровать данные, которые могут быть интересны врагу в случае всяких нехороших против меня действий (не дай Бог!) есть.
Что в этой ситуации лучше сделать – закриптовать /home? Что еще может быть критическим?
Файловые системы у меня выглядят так:
Кстати, а раздел в fat32, оставшийся мне в наследство от винды, я смогу закриптовать с помощью LUKS?
P. S. И все-таки, можно закриптовать существующий раздел, или только сносить его, предварительно скопировав инфу, перезаписывать после создания криптораздела?
комментариев: 11558 документов: 1036 редакций: 4118
Только так. Вот как это делается: http://vladmiller.info/blog/index.php?comment=113