Liberte Linux (Hardened Gentoo)

Вон SATtva пилит себе двиг – на общее благо и в ущерб своему же времени, я что-то не вижу, чтобы все рвались ему помочь в этом.

С начала года своё время и работа снова отодвинули разработку на задний план. :( Но на самом деле это не тот этап, когда я бы вообще просил кого-то о помощи (по причине, озвученной в анекдоте "Почему нельзя заниматься сексом на Красной площади"). Когда будет прототип, соответствующий возможностям имеющегося движка, но с устоявшейся архитектурой и чистым API, тогда можно будет выпускать в паблик.

Просто тем, кому интересен этот дистрибутив, хотят всячески автору посодействовать, чтобы не было пустых обещаний как у Краммерера и чтобы дистрибутив не раз в год обновлялся а можно было бы хотябы интуитивно понятно самим обновить, пакеты добавить, залить на флешку или установить на компьютер, поэтому и пишут везде. Вам просто говорить, будет концепция – сделаете пару своих коммитов. А если человек не программист, но хочет пользу свою принести? Тестировать – понятно, а сейчас? Автор хотябы не зазнается как Краммерер и отвечает на обращения. Но оставаться безучастным не хочется.

Концепция, описанная в issues очень хороша. Но настройки нужно выносить в отдельный settings-файл, как самой системы внутри, так и из вне, чтобы при обнаружении и изъятии флешки невозможно было даже понять, что за система используется. Поэтому при сборке сразу выбирать тип собираемой системы, список фич и пакетов.
А сообщество с первым билдом подтягивается обычно.

m0fx64, создай отдельную тему. Чтобы заранее путаницы не было. Это больше самостоятельный дистрибутив, чем форк, там от Liberte ничего нет. А то сейчас рассосется новость по всему интернету. Да и сам Краммерер будет анонить, что мол его "поделие" даже форкают и тд..

Не нужен password-store по дефолту! Как вспомогательно – да, но не по дефолту. KeePass зарекомендовала себя как быстрая, безопасная и кроссплатформенная утилита с единым форматом баз данных. Пользователи просто перенесут базу паролей в твой дистрибутив, и не нужно будет танцевать с бубном в консоли. Хотя в PS и можно делать экспорт. Целесообразнее оставить два менеджера паролей, один GUI, второй CLI. И да, без LiveUSB никуда, нужно автономный и переносной дистрибутив, для работы во вражеской среде – LiveUSB собрал, а для повседневного, домашнего использования – десктопную, стационарную версию. Так что, зря Вы, автор, ругаете необоснованно iso-образы, "21й век" – это не аргумент, уж простите.

Есть вот этот кусок кода https://github.com/m0fx64/amorse/blob/master/chroot которого скоро не будет
И зачем новую тему, когда еще по сути то ни чего нету. Будет первая альфа еще можно.

Gnupg себя не зарекомендовал? Бдут оба убедили :)

А во вражеской среде воткнул юсб и микросд как токен и юзай на здоровье. Хомяк также шифруется и расшифровывается через токен. Заметил врага? выключаем, ломает микросд, ломается за 1-5 секунд
bleachbit сотрет логи SecureDelete ram
Если паяльник в жопу и пальцы в обратную сторону, то ключ вы даже невидели а если и видели то запомнить его нереально
Нет сдкарты пользуютесь паролями? есть патч который все стриает но тут нужна выдержка так как opsec утверждают что допроса с пристратием не выдержит ни кто и я с ними солидарен.
Если выдержки нет, то можете расказать, что у вас там еще и специальный пароль есть, который все удаляет, ну дальше уже психология бла бла бла
И в чем разница? Если имеете привязанные профили и используете их на вражеской територии то тут и livecd/USB не спасет так как на допросе с пристратием все врагу ракажите
Если дело касается улик то с предустановленной ситемой в криптокантейнерах без ключей улики добыть не возможно а ключи уничтожены т.е паяльник уже не вариант

Кто сказал, что чип надёжно сломается? Это не уничтожение данных, а их порча.


На то есть бэкапы.

cryptsetup luksRemoveKey /dev/sdb1 && halt и сломанная флеха надежно?
Где написано про уничтожение? Под удалением имеется ввиду слоты контейнера
Делать бэкапы ,знать где они хранятся и работать на вражеской територии? Это анекдот такой?

1. А враги поверят на слово, что у бэкапов у пользователя нет?
2. Возможно, имелось ввиду, что пользователь не успеет ввести пароль, например при внезапном захвате и/или досмотре при перечесении границ: противник сам снимет бэкапы с носителя и только после этого будет требовать выдачу паролей.

Мама ДО анализа снимет копии а потом поставит в угол. Вражеская среда – это еще и портабельная работа на чужих компьютерах в режиме ливусб. Так что не отвеотишься)) Либерти еще хорош был тем, что портабельно принес и быстро развернул во вражеской среде выше правильно сказали – модульность и опциональность выбора типа системы при сборке успехов в этом благом деле

А зачем тут вера на слово если их нет на самом деле?

ctrl + x биндим на скрипт который выполняет cryptsetup -d /dev/sdb2/key luksRemoveKey /dev/sdb1 && halt
Пароль в таком случае вводить не надо (если через токен)

Копии чего? Ключа key.gpg
Зашифрованного контейнера?

У либерти хомяк в контейнере зашифрован в таком случае мама снимает дамп с флехи потом пальцы наружу пароль сказали и все

Чтоб паяльником вас не пытали.


В Tails есть кнопка которая вычищает перед ребутом оперативную память.


Да. Если считать, что диск не достанется противнику до атаки, то всё ОК, иначе fail — luksRemoveKey не спасёт.

это зависит от их настроения и желания вера тут непричем даже если вы прадиво скажите или действительно правду
sdmem знаем если через /dev/random занимает около часа тестили уже /dev/urandom не доверяю
И этот скрипт к памяти не имеет ни какого отношения

Проблема у нас обсуждалась неоднократно. Из сравнительно недавнего раз, два.

Моё личное мнение на основе анализа теоретических работ: отрицаемость и скрываемость шифрования плохо формализуется. А на практике — это просто набор уловок.

Защиты от модели сильного противника с принуждением к выдаче не существует: или противнику доступен носитель, но недоступен пользователь (сбежал, умер) — тогда криптография работает; если умному и способному к неограниченому принуждению противнику доступен и пользователь, и носитель — тогда противник узнает доступ ко всей информации пользователя.

Есть третий вариант — пользователь уничтожил ключи/пароли к данным, но никакой протокол доказательства этого факта для противника убедительным не будет. Пользователь защитит информацию от попадания в руки врага, но не защитит себя от процедуры насильственного принуждения к её выдаче.