id: Гость   вход   регистрация
текущее время 18:10 28/03/2024
Автор темы: Гость, тема открыта 23/10/2009 22:05 Печать
Категории: криптография, софт, приватность, инфобезопасность, защита дисков
http://www.pgpru.com/Форум/ТехническиеВопросы/МожноЛиОткрытьКриптоконтейнерыFreeOTFEПодLinux
создать
просмотр
ссылки

Можно ли открыть криптоконтейнеры FreeOTFE под Linux?


Во времена, когда я был заядлым виндузятником я юзал FreeOTFE http://www.pgpru.com/soft/freeotf
Сейчас задаюсь вопросом, можно ли открыть криптоконтейнеры FreeOTFE под Линукс?!



 
На страницу: 1, 2, 3, 4, 5, 6 След.
Комментарии
— Гость (17/01/2010 13:09)   <#>
Когда просто выполняю команды в комстроке выходит только что нет ключа для парольной фразы.


Под FreeOTFE я создавал файлы криптоконтейнеров (расширение у них .vol) без отдельного файла ключа, т.е. ключ храниться также в этом файле.
Получается, что линукс по какой-то причине не читает этот ключ, или как это понимать?
— unknown (17/01/2010 13:33, исправлен 17/01/2010 13:36)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Кидайте сюда распечатку (дамп) того, что выведет такой набор комманд:

— Гость (17/01/2010 13:55)   <#>
— unknown (17/01/2010 14:31, исправлен 17/01/2010 14:32)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Извиняюсь, в последней строке просто:


Но скорее всего результат будет таким же плачевным: устройство не распознается как LUKS-рздел и /dev/mapper/somename не создастся (вручную его создавать не нужно, оно должно возникать и исчезать только автоматом при правильной работе соотв. комманд — это принципиально). Тогда значит FreeOTFe создало несовместимый контейнер (как вариант). А в самом Линуксе с помощью cryptsetup у вас контейнеры создаются и открываются?

— Гость (18/01/2010 02:40, исправлен 18/01/2010 09:08)   <#>
Но скорее всего результат будет таким же плачевным: устройство не распознается как LUKS-рздел и /dev/mapper/somename не создастся (вручную его создавать не нужно, оно должно возникать и исчезать только автоматом при правильной работе соотв. комманд — это принципиально). Тогда значит FreeOTFe создало несовместимый контейнер (как вариант).

Если верить SATtva (см. выше), оно вроде так не должно было сделать.


А в самом Линуксе с помощью cryptsetup у вас контейнеры создаются и открываются?

Еще не пробовал. У cryptsetup man очень лапидарный, никак не могу его вкурить.

— Гость (18/01/2010 05:29)   <#>
Гость (18/01/2010 02:40), цитаты выделяются так: <[ Цитируемый текст ]>
— SATtva (18/01/2010 20:16)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Если верить SATtva (см. выше), оно вроде так не должно было сделать.

По крайней мере, так заявляют сами разработчики FreeOTFE. Может оно по умолчанию несовместимо, а для совместимости надо создавать как-то по-особому?

У cryptsetup man очень лапидарный, никак не могу его вкурить.

В Сети тонны howto по его использованию, воспользуйтесь гуглом. google:cryptsetup+howto
— unknown (18/01/2010 21:38)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Хочу вступиться за cryptsetup, его специально делали как очень простую и доступную систему шифрования. В man важно обратить основное внимание на часть, касающуюся LUKS, она очень ясно изложена, большинство опций на первых порах можно оставлять по умолчанию.
— SATtva (18/01/2010 21:50)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Наверное, нюанс в том, что без понимания loop-устройств, создания и монтирования файловой системы в файле сделать что-то одним cryptsetup'ом довольно трудно. Философия GNU: каждая программа — отдельный узкоспециализированный кирпичик в единой цельной системе.
— Гость (21/01/2010 00:57)   <#>
Изучил вот этот howto : http://feraga.com/library/howt....._with_luks_support_0
Пытаюсь создать криптоконтейнер:


Не хочет создаваться.

По тому же хауту пытаюсь открыть криптоконтейней, созданный под FreeOTFE:
– не хочет воспринимать пароль.
— SATtva (21/01/2010 01:03)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Не хочет создаваться.

Посмотрите внимательно, о чём Вас просит cryptsetup:

Are you sure? (Type uppercase yes):

Из-за критичности операции, которая способна повлечь уничтожение данных на целевом разделе, нужно ввести "YES" заглавными буквами.
— Гость (22/01/2010 00:06)   <#>
SATtva, благодарю, все работает. Прошу прощения за тупость :)
Единственно что не получается открыть FreeOTFE, видимо, попробовать написать им?
P. S. А как мне зашифровать, скажем, /home? Я так понимаю, что если я натравлю на /dev/cdaX, на котором /home, cryptsetup, то он сотрет все данные. Я так понимаю, что никак по-другому, кроме как скопировав или заархивировав их, потом зашифровав раздел с утерей всех данных, и записью на него из созданной копии/архива, вариантов нет?
А что касается создания шифрованных разделов на стадии установки Linux, скажем, с дебиановских дисков, так скорее всего именно LUKS и применяется?
И в чем принципиальная разница между LUKS и, скажем, Truecrypt? Чем последняя лучше или хуже?
— unknown (22/01/2010 11:12, исправлен 22/01/2010 11:18)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Там всё-таки много чего, что лучше читать по манам и статьям.


Общая картина такова.


Рекомендуется отказаться от разбиения на разделы /dev/sda1, /dev/sda2 и т.д. Разделы как-бы теперь устарели и используются только для размещения разных ОС на одном винчестере или в экономных встраиваемых системах.


Остаётся только раздел под /boot и под всё остальное. Всё остальное форматируется в LVM. Вместо разделов, внутри физического тома LVM используются логические тома, которые можно двигать, изменять размеры вместе с данными (даже когда используется шифрование тома), делать снэпшоты не останавливая сервер.


При инсталляции Debian всё по такой схеме с томами и предлагает ставиться, при этом LUKS интегрирован в LVM и вы можете зашифровать любой физический том со всеми логическими или отдельно логические тома.


Альтернатива LUKS — loop-aes, его лучше не выбирать, он по ряду причин считается тупиковым направлением.


Truecrypt — не GPL-лицензия, а какая-то самопальная (в Debian её обозвали юридической миной замедленного действия и TC в дистр не включили).


Плюсы у него только в создании контейнеров без заголовков (чистый рэндом), что производит большое впечатление на новичков — "теперь они ничего не поймут и не докажут!" (в большинстве случаев такая защита — "страус спрятался в детской песочнице").


Более серьёзный плюс — отрицаемое шифрование, скрытые вложенные контейнеры.


Всё это неплохо, надо просто понимать ограниченность этих плюсов.


Зато связка "{kernel-cryptoAPI-cryptsetup-LUKS} over LVM" — чисто линукс-ориентированный продукт с хорошим теоретическим обоснованием того, что касается шифрования, с лучше всего изученным и аккуратным открытым кодом.

— Гость (24/01/2010 21:01)   <#>
Рекомендуется отказаться от разбиения на разделы /dev/sda1, /dev/sda2 и т.д. Разделы как-бы теперь устарели и используются только для размещения разных ОС на одном винчестере или в экономных встраиваемых системах.

При инсталляции Debian всё по такой схеме с томами и предлагает ставиться, при этом LUKS интегрирован в LVM и вы можете зашифровать любой физический том со всеми логическими или отдельно логические тома.

Не хотелось бы мне переинсталлироваться, а желание зашифровать данные, которые могут быть интересны врагу в случае всяких нехороших против меня действий (не дай Бог!) есть.
Что в этой ситуации лучше сделать – закриптовать /home? Что еще может быть критическим?
Файловые системы у меня выглядят так:


Кстати, а раздел в fat32, оставшийся мне в наследство от винды, я смогу закриптовать с помощью LUKS?

P. S. И все-таки, можно закриптовать существующий раздел, или только сносить его, предварительно скопировав инфу, перезаписывать после создания криптораздела?
— SATtva (24/01/2010 21:12)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
И все-таки, можно закриптовать существующий раздел, или только сносить его, предварительно скопировав инфу, перезаписывать после создания криптораздела?

Только так. Вот как это делается: http://vladmiller.info/blog/index.php?comment=113
На страницу: 1, 2, 3, 4, 5, 6 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3