"PGP Disk под Linux" / системы шифрования
Существует простая и замечательная программка – PGP Disk, я использую версию 6.0.2i. Знает ли кто-нибудь способы монтирования *.pgd -файлов под Linux ? (хоть под какую-нибудь версию). Сейчас живу на 98-й винде, но про Линукс не раз задумывался. Переезду мешает отсутствие ряда программ, и PGP Disk в их числе. Кто что думает по этому поводу ?
В линух эта задача решается с помощью использования шифрованных фаловых систем, есть большой набор средств для этого – сryptoloop, dm-crypt.
Проект http://www.freeotfe.org/ позволяете работать с такими данными из windows, на их сайте заявлена совместимость с dm-crypt и кажется cryptoloop тоже.
http://www.infoanarchy.org/wik..... Hard_Disk_Encryption
комментариев: 9796 документов: 488 редакций: 5664
Проблема чаще всего чисто идеологическая. Кажущееся отсутствие программ лучше, чем их наличие в том виде, как они представлены в Win.
Никакой специальной программы в виде графической фигульки с менюшками, иконками, инсталятором, помощником и кучой мусора впридачу для этого не надо.
Функции шифрования встроены непосредственно в само ядро ОС Linux и обычные утилиты, которые работают с файлами, дисками, разделами и свопом и позволяют задавать шифрование как дополнительный параметр. Нужно один раз разобраться как это работает, настроить как вам удобно и все.
Когда вы будете подключать диск или входить в свой домашний каталог у вас будет спрашиваться пароль или ключ. Никакой специальной программы для шифрования запускать не надо. Возможность шифрования встроена в систему и по мнению многих превосходит то, что можно сделать в Win.
Правда, совместимости с PGP-диск Вы скорее всего не дождетесь. Проще будет перенести данные через gpg-архив в Linux и распаковать там.
комментариев: 9796 документов: 488 редакций: 5664
Из "программ" только bestcrypt, но это коммерческий продукт "для чайников" или для тех, кому нужна кроссплатформенность.
Если я ядре включены функции шифрования, а утилиты монтирования и своппинга могут с ними работать, то шифрование прозрачно работает на уровне системы. Все три варианта позволяют шифровать своп и /tmp с эфемерными ключами. Возможна запись шифрованных файловых систем на компакт-диски и DVD с сохранением всех прав доступа и атрибутов файлов.
Основные три варианта:
1) cryptoloop+cryptoAPI (он устарел и больше не поддерживается, но в ядрах ветки 2.4 его будут еще долго использовать). Его криптографические уязвимости пока некритичны, но от него следует отказываться.
2) dm-crypt+cryptoAPI+cryptsetup. Это "мэйнстрим". В новых ядрах 2.6 и новых дистрибутивах он дает готовое шифрование "из коробки".
2b) LUKS – Linux unified key setup – продолжение и расширение проекта dm-crypt. Новые подходы в шифровании, использование слотов с системой менеджмента ключей.
3) loop-aes. Альтернативная реализация cryptoAPI для ядер 2.4 и 2.6. Интеграция с GPG.
GPG ключ с загрузчиком системы может быть вынесен на внешний (в т.ч. легкоуничтожаемый носитель). Т.о. и получается полностью зашифрованный диск. При этом можно скрыть даже таблицу разбиения диска на разделы.
Возможно многоключевое шифрование секторов. Устанавливается как набор модулей к ядру без необходимости накладывать патч.
PGP Disk '-и резервируются тупым копированием контейнера по [F5], a можно ли будет также легко копировать криптованный каталог из никсов, не расшифровывая его? Я правильно понял, что такое никсовое криптование возможно только на ext2/ext3/reiser ?
(сразу скажу – концепция маздайного EFS мне _ОЧЕНЬ_ НЕ ПОНРАВИЛАСЬ)
Для быстрого и удобного бекапирования необходимо лишь размонтировать шифрованную fs, скопировать файл и можно продолжать работу. Если использовать volume manager (LVM, EVMS) и механизм snapshots то время простоя сократиться до долей секунды.
Главное, что сделать аналог вполне реально.
Т.к. для АСПа у них нет ничего подходящего( подходит федора 3, но у 4ка), взял исходники, почитал мануал\реадме.
Build.sh останавливается на первом пункте теста ядра – версии.
Т.е. выводит версию ядра, путь (к нему) – и на этом все останавливается. В мануале про подобное ничего не сказано. Фктически выдается строка, соответсвующая в build.sh:
[ "$V" ] && error "TrueCrypt requires Linux kernel 2.6.5 or later" && exit 1
[ ! -d $KERNEL_SRC ] && KERNEL_SRC=/usr/src/linux
При этом у меня последнее обновление.
Где может быть "зарыта собака"?
комментариев: 9796 документов: 488 редакций: 5664
С дистрибутивным ядром обычно такие штуки не проходят и если вам нужны какие-то крипто- или security патчи или модули, то с дистрибутивным ядром обычно можно попрощаться и собирать с kernel.org все самому.
Потому как в Fedore ядра очень перелопаченные и не рассчитаны на то, что их всерьез будут трогать.
Правда, это только мои догадки, как конкретно работает truecrypt я не проверял.
комментариев: 9796 документов: 488 редакций: 5664
Она случаем не из dmesg или uname -a берется?
А правильно ли определилась $KERNEL_SRC?
А в /usr/src/linux что распаковано?
case "$(uname -r)" in
- [0-5].*) V=1 ;;
- 6.[0-4]) V=1 ;;
- 6.[0-4][.-]*) V=1 ;;
esac[ "$V" ] && error "TrueCrypt requires Linux kernel 2.6.5 or later" && exit 1
[ ! -d $KERNEL_SRC ] && KERNEL_SRC=/usr/src/linux
if [ ! -d $KERNEL_SRC ] ||! Check_kernel_version "$KERNEL_SRC"
then
read A
[ "$A" ] && KERNEL_SRC="$A"
[ ! -d $KERNEL_SRC ] && error "$KERNEL_SRC does not exit" && exit 1
Хм...
В /usr/src/linux вообще ничего нет. Т.е. даже нет папки linux. /usr/src/ – пусто.
Т.е. там должны быть исходники ядра? Хм.. поспрашиваю еще раз (на общий вопрсо не ответили) насчет установки TC в рассылке суппорта АСПа (если ответят) на данную тему....
комментариев: 9796 документов: 488 редакций: 5664
Эта строка означает, что если директории с исходниками ядра не существует, то вылетать с кодом ошибки 1.
Что там дальше в скрипте, я не знаю, но наверное скрипт не просто так лезет в каталог с исходниками ядра? Наверное модули к ядру попытается собрать или еще чего сделать.
Но до это дело даже не дошло.
В переменной $V у вас определилась неправильная версия ядра.
Что выводит команда uname -r ?
комментариев: 5 документов: 0 редакций: 0
Кроме этого в мануале пишется следующее:
Requirements for Running Truecrypt on Linux
– Linux kernel version 2.6.5 or any higher/compatible version
– Device mapper (dmsetup, http://sources.redhat.com/dm) and loop device
distributions.
При том, что указанное по команде ядро – последний апдейт АСПа. Как можно "обмануть"\выдать другой результат команде? Или какие-либо иные действия?
Напишу поддержке – посмотрю на реакцию :)