Так все же SSD диск криптовать полностью или нет?
Купил себе новый SSD диск, установил в ноутбук и задался вопросом: криптовать SSD диск TrueCryptom полностью или все таки создать контейнер? Данная тема раскрывалась на форуме, но однозначного ответа так и не было дано. Я сторонник полного криптования жесткого диска, но как то стремно, боюсь через пару месяцев придется покупать новый диск. У кого какие мнения по теме? Ну и вопрос к спецам: достаточно ли будет криптануть диск алгоритмом AES для более быстрой работы или всеже использовать каскадные методы шифрования? Насколько криптостоек на сегодняшний момент алгоритм AES?
Если вы до такой степени не доверяете программному ГСЧ, то и иным образом сгенерированный пароль вас мало спасёт, потому что без надёжного ГСЧ полетит почти вся криптография и вся защита коммуникаций. А если доверяете программному ГСЧ, то к чему эти пляски? Это первое.
Второе — всё, что придумывает и делает человек, далеко от истино случайного и потому имеет мало энтропии. Хэширование большого объёма псевдослучайных данных, конечно, повысит энетропию, но всё равно не вижу за этим методом ничего кроме народного кулхацкерства. Системные ГСЧ тоже обрабатывают клавиатурный вывод, поэтому никто не запрещает долбить по клавишам во время генерации паролей. И нормальные сборщики энтропии для ГСЧ хоть как-то обоснованы в отличие от «постучи и прохэшируй». Симптоматично, что в топике про АНБ кто-то (или вы) это уже писали, оно шло дополнением к каскадам. Впрочем, и это не предел: есть тут ещё любители советовать разовые ноутбуки и интернет-кафе для анонимности.
Вокруг криптографии уже целые народные суеверия складываются на тему того, как можно самого себя обмануть и за волосы из болота вытащить.
Сейчас речь идёт только о дисковом шифровании, защита каналов – другая тема. И там и там используется ГСЧ, но если при защите коммуникаций без него обойтись сложно (хотя и можно), то при шифровании дисков – легко. ГСЧ – критическое звено и является одним из главных целей для атак. Если хотя бы для части приложений можно обойтись без него без существенных издержек, то почему бы это не сделать, реализуя приницип "доверяю только себе".
[flame redacted]
Не передёргивайте, этого никто не утверждал. Я очень много выкладываю, в т.ч. и инструкций, вплоть до конкретных команд и полного разбора по полочкам. Но это имеет смысл, если задача важная, интересная, и сам для себя её проделал. Есть и другие задачи, которые на концептуальном уровне понятны, но доводить их до уровня готовой инструкции, видимо, никому неинтересно.
Как вы себе это преставляете? Кому-то ударила моча в голову «хочу вот такой выкрутас». На концептуальном уровне ответ ясен: выкрутас разруливается так-то и так-то, а ради деталей надо читать доки и сидеть долго экспериментировать. Те, кому это понятно, об этом говорят, но было бы странным, если б кто-то взялся за это дело без какого-либо интереса к нему, а только потому, что анонимы в форуме спросили. Вы ведёте себя как нищий, которому дали рубль, а он хватает за глотку и требует отдать ему все деньги, т.к. «ему этого мало».
Кроме того, ругаыемые вами тут «теоретики» (в т.ч. unknown) выложили на форум десятки разных полезных инструкций, где расписано по командам, что и как делать. А что выложили вы?
Револьвер
Есть более обоснованный метод.
комментариев: 1079 документов: 58 редакций: 59
Кстати, а чем плох метод, когда рандом генерится посредством openssl rand -base64 15 от (например) каталога с ФФшными куками и dev/random?