РегистрацияPlausible deniability (вопрос к специалистам)
У меня есть один крайне сложный вопрос по безопасности, я уже не раз пытался поднимать его на ряде форумов, но удовлетворительного ответа никто дать не мог, в основном же оставалось всё без комментариев.
Суть проблемы заключается в следующем:
У нас есть жёсткий диск на домашнем компьюторе с установленном на нём unix-like ОС. Требуется защитить данные на нём так, чтобы даже не было следов того, что я что-то от кого-то скрываю.
Для конкретизации уточню обстановку: к вашему компьютеру подходят спецслужбы в лице грамотных специалистов, которые прекрасно разбираются во всех современных средствах защиты. Эти же службы с вероятностью, близкой к 100%, будут уверены в том что я храню на диске некие вещи, существование которых у меня на диске они сильно захотят доказать. Сделаем сильное допущение, что спецслужбы не будут использовать противозаконные методы стиля "найти подставных свидетелей", "спец. воздействие на психику подследственного", "ложных доказательств" или "просто собственноручного записывания на диск нужного <доказательства>".
В таком случае нужно не только надёжно зашифровать информацию, но и скрыть само наличие того, что я что-то в принципе шифрую.
Могу предложить один метод реализации данной идеи для начала:
Я создаю файл с криптофс на нём, или просто физический раздел на диске с криптофс на нём, или же использую официально несипользуемое системой место на диске как криптоФС. Данный ресурс с криптофс маунтится как хоумдир и дальше спокойно работает в системе. Всё защищено. В конце работы файл с криптоФС удаляется с запоминанием физического места на диске где он был, а так же происходит слежка за логами в /var. Криптографию своп-раздела можно включить уже после загрузки или на ходу для текущего сеанса, чтоб она не была отражена нигде в конфигурационных файлах. Перед же началом каждого сеанса работы файл с криптофс будет "восстанавливаться", то есть "ределититься" ручными методами, а потом маунтиться с пассфразой как хоум-дир.
В момент, когда сенас завершён, диск для спецслужб будет выглядеть как диск, на котором, возможно, что-то когда-то и было, но всё это удалили, к тому же средств шифрования или следов того, что что-то недавно старательно скрывали обнаружить при грамотной настройке будет трудно.
Но есть одно "но": есть случаи, когда нужно отвлечься от компьютера на несколько минут – для таких случаев удалять и ремаунтить криптораздел крайне неудобно, к тому же при внезапном отключении питания весь криптораздел целиком как есть засветится на диске. Это и есть зло (далее в ход идёт паяльник с выколачиванием пассфразы и т.д. :)). Соответственно, для решения проблемы требуется, чтобы система сама работала с криптофс, на храня физически нигде на диске информацию о том, где расположен этот самый криптофс-файл. Частично это делается посредством tmpFS, в случае которой хранится в оперативной памяти всё, и ничего на диске, нужно же: всю информацию о части дерева фс хранить в оперативке, а данные – в зашифрованном виде на диске.
Есть stegFS, но система, его использующая, уже не чиста, так как не скрывается сам факт использования stegfs, к тому же она крайне ненадёжна и легко может прийти в негодность. Аналогичное замечание справедливо и для TrueCrypt – спецслужбы прекрасно знают о системе контейнеров. Информация о том, что таковые инструменты используются в системе послужат только дополнительным доводом в пользу аргумента: "шифрует, значит – не зря...". В идеале же на диске не должно быть вообще никаких следов какого-либо шифрования за исключением того, которое совершенно безопасно можно открыть при случае ареста, не наводя подозрений на свою персону (например, могут содержаться в зашифрованном виде часть ключей для аутентификации по ssh на соседнем хосте или пароли к некритичным ресурсам, и т.п.).
Я предполагаю, что задача соблюдения идеального диска без подозрений в любой момент времени реальна, при этом не должны требоваться практически никакие внешние носители типа флэшки, и т.п. К компу я должен подходить, по сути вещей, только зная пассфразы, пароли и кодовые номера для восстановления удалённого файла, всё. Сила же применяемого решения должна быть такой, чтоб сила его не ослабюевала, желательно, даже при условии, что так как я будут делать все, и все о такой схеме укрывательства будут знать.
Может ли кто-нибудь подвергнуть критике или предложить более логичное решение для проблемы?
P. S: использование внешнего носителя нежелательно, тем более что это всего-навсего переносит проблему с одного носителя на другой, но не решает её. Речь идёт о скрываемых объёмах в несколько гигабайт.
комментариев: 1515 документов: 44 редакций: 5786
Если её поддержка на заставляет использовать сверхспециальное ядро которое будет что попало писать в /var то нет. По крайней мере, если вы используете LiveCD с ядром, то про /var можно забыть. Если же умолчальное ядро не поддерживает стегоФС, то модуль, к ядру осуществляющий данную возможность, должен читаться с диска средствами существующих умолчальных инструментов с помощью некоторого хитрого пайпа, например – эта задача решаема если можно читать с любого места на диске. Конечно, чиение того спецмодуля будет проходить не со стегоФС но доказать что он есть на диске будет невозможно: покромсайте фильм и с какого-то оффсета в нём запишите зашифрованный с помощью OpenSSL названный модуль у ядру, например.
комментариев: 1515 документов: 44 редакций: 5786
Стего – это то, что по определению не детектируется.
Зачем её прятать вообще?
Трудней всего найти то, что искать ненадо:
(картинка + инфа) -> стеганография -> публичный доступ
всё.
Вы на форумах часто обоями обмениваетесь? ;)
комментариев: 1515 документов: 44 редакций: 5786
На LiveCD?
Таки да. Но надо учитывать, что суть всегда ужимается в текст протокола заседания суда. :)
Вообще, невозможно, просто невозможно, локально хранить, саму информацию, и ВСЕ средства доступа к ней, так чтоб не возникло никаких подозрений у людей уверенных в успешности поиска.
Таким образом, в данном, конкретном случае войны параноиков с параноиками, считаю необходимым очертить "круг допустимых подозрений".
комментариев: 1515 документов: 44 редакций: 5786
Существуют стандартные распространёные сборки (LiveCD типа AnonymOS не рассматривать) с поддержкой стегософта? Такие внешне совсем типичные безобидные LiveCD? Если же они сделаны руками то задача сводится к предыдущей.
Как и в криптогрфии, и в науке... везде есть толкьо сферические кони. Только они и реальны. А больше ничего нет. Как нет абсолютной безопасности, нет и абсолютной стеганографии. Стремление пользователя есть попытка уменьшить риск и получить макимальную plausible deniability существующими техническими средставми с учётом допустимого финансового вклада.