Невидимая шифрование уровня PGP на флешке
Здравствуйте!
Подскажите, пожалуйста, PGP-продукт или нечто схожее из криптопрограмм, отвечающее таким характеристикам:
1. Чтобы уже установленная программа не была видна (для органов). То есть они не должны знать сам факт
использования шифрования.
2. Чтобы программа могла работать на флешке автономно (я на ней планирую хранить информацию).
3. Создавала бы на флешке невидимый, замаскированный криптодиск, который нельзя было бы найти.
4. (мб бред) программа находилась бы внутри самого криптоконтейнера.
Спасибо.
Ссылки
[link1] http://www.truecrypt.org/docs/?s=hidden-operating-system
[link2] http://www.pgpru.com/comment39520
[link3] https://www.pgpru.com/comment44582
[link4] http://biblia.org.ua/bibliya/mf.html#13v24
[link5] http://ru.wikipedia.org/wiki/Огюст_Керкгоффс
[link6] http://www.pgpru.com/comment44799
[link7] http://www.pgpru.com/comment37647
[link8] http://www.pgpru.com/comment42043
[link9] http://iq.org/~proff/marutukku.org/
[link10] http://www.pgpru.com/comment42052
[link11] http://www.pgpru.com/novosti/2008/steganografijapripomoschislabojjkriptografiipomogaetborotjsjasdushiteljamisvobody
[link12] http://www.pgpru.com/comment43000
[link13] http://www.pgpru.com/comment5938
[link14] http://www.pgpru.com/comment36078
[link15] http://www.pgpru.com/comment43592
[link16] http://www.pgpru.com/biblioteka/slovarj/bezopasnostjchereznejasnostj
[link17] http://blog.netbsd.org/tnf/entry/netbsd_lvm_enabled_by_default
[link18] http://netbsd.gw.com/cgi-bin/man-cgi?dmsetup++NetBSD-current
[link19] https://cryptsetup.googlecode.com/svn-history/r42/wiki/LUKS-standard/on-disk-format.pdf
[link20] http://code.google.com/p/cryptsetup/wiki/FrequentlyAskedQuestions
[link21] http://www.pgpru.com/comment44987
[link22] http://www.csse.uwa.edu.au/programming/linux/zsh-doc/zsh_10.html
[link23] http://zsh.sourceforge.net/Doc/Release/Arithmetic-Evaluation.html
[link24] http://wiki.bash-hackers.org/syntax/arith_expr
[link25] http://www.pgpru.com/comment45000
[link26] http://www.pgpru.com/comment73407
[link27] http://www.pgpru.com/comment82946
[link28] https://www.netbsd.org/docs/guide/en/chap-lvm.html
[link29] https://www.netbsd.org/docs/guide/en/chap-ccd.html
п. 1,3,4 — действительно бред. Или реализуются через костыли в духе безопасность через неясность. п.3 ещё как-то туманно вызывает несбыточные мечты о практичной и стойкой стеганографии.
Но всё равно с практической точки зрения кроме второго пункта по-нормальному защита от сильного противника нереализуема в данном сценарии. Да и п.2 сомнительный — скрываем данные и там же храним программу, да ещё и оставляем возможность запускать в какой-то недоверенной среде.
http://www.truecrypt.org/docs/.....den-operating-system[link1]
Почувствуйте разницу между отрицаемым шифрованием и отрицанием самого факта шифрования. Топикстартер ведь хочет второе?
unknown ответил как математик :) Т.е. ответ абсолютно точный и правильный, но с практической (а не стратегической) точки зрения мало полезный. Читайте между строк: топикстартер нам вещает "хочу чтобы всё было зашибись", отдайте ему должное, он даже достаточно хорошо формализовал что он именно хочет, но мы то знаем... что он хочет немного не то, что он нам сказал. Он просто хочет чтобы никто не знал чем он шифрует флэшку и вообще не хочет афишировать того, что на ней какие бы то ни было данные. Я в качестве сбалансированного решения предлагаю следующее:
Никаких веских доказательств, что там именно шифрованные данные, не будет — может там кусок архива, может я мануально затёр её всю рандомом, а может просто кусок длинного видео... да и вообще, кто будет сидеть и детально исследовать на предмет того как трактовать содержимое случайного набора байт? Ну предъявят, что это высокоэнтропийные данные — и что, это доказательство для суда? Смешно же.
Дальше схема апгрейдится до уровня паранои. Можно сделать на флэшке файловую систему, потом определить границы начала/конца "шифрованного раздела" и использовать его — тогда при втыкании флэшки
форенсику в задв компьютер будет видно, что есть какая-то FAT-ФС, какие-то данные там... и что? Почву для подозрений всегда, конечно, можно найти, но не более того. Можно даже написать для себя драйвер (и поместить его в тот самый зашифрованный раздел), который будет время от времени менять содержимое файлов, время доступа к ним и т.д. на той файловой системе, но строго не будет трогать тех блоков данных, которые относятся к "кустарному скрытому разделу".Если нужно иметь ещё какой-то зашифрованный файл, который необходимо расшифровывать имеющимися (незашированными) программами, задача решается так: создаётся 2 файла, один с шифротекстом без сигнатур, выступающий в качестве гаммы (ключа для одноразового блокнота), а из другого делается какой-то архив с якобы компрометирующими данными (пароль на вконтактик, какие-то приватные фотки и т.п.). Если что — храните эти файлы на разных носителях и говорите "это моё шифрование", если что можете даже рассказать как расшифровать :) Далее ключ одноразовго блокнота расшифровывается OpenSSL'ем, который есть в базе по умолчанию для любого UNIX, и мы получаем всё, что нам нужно: набор "компрометирующих прог", ключи, солевые файлы... да всё что угодно, что может оказаться нужным для монтирования той самой флэшки.
PROFIT?
P.S.: всё вышеописанное можно, по слухам, сделать в UNIX самыми что ни на есть стандартными тулзами. Пример с бессигнатурным шифрованием с помощью OpenSSL описан, например, здесь: /comment39520[link2].
Чувствуете всю простоту решения для юзера? unknown! научитесь наконец ясно излагать свои мысли!
Да, и зачет ему думаю автоматом тоже поставить можно, видно что работал весь семестр.
Гость (22/02/2011 01:38) – описанное вами – танци с бубном вокруг флешки или, другими словами,полнейший бред.
[off]
Вот, что посеешь, то и пожнёшь[link3]...
[/off]
Да, т.н. "креативный подход к пожеланиям клиента", признаюсь, даётся с трудом.
И без зачёта далеко пойдёт — от клиентов отбоя не будет при таком умении убеждать в реализации желаний "зашибись" ;-)
А существующие распространённые форматы архивов и видео детектируются во фрагментах? Точнее говоря, там бывают куски шифрованных (высокоэнтропийных) данных, которые и надо использовать. Если уметь стандартными средствами делать xOR фрагментов носителя с точностью до байта.
Вот есть люди, которые почему-то склонны недостаток своего ума относить на счёт автора читаемого ими сообщения. ;)
Проще говоря, если вы чего-то не пояли, это не обязательно потому, что вы прочитали бред.
И тут вот какая штука – если там не будет шифрованных фрагментов, то пострадает "интеллектуальная собственность", а если будут, то на них можно делать надёжное стего.
зы
Надо сказать ntldr'у ;)
После такой фразы хочется со случайным оракулом пообщаться ;-)
Назовём вышеприведённые рекомендации некоторыми практическими хитростями, несоответствующими принципу Керхгофа о полном/превосходящем знании противника в отношении устройства системы безопасности.
З. Ы. На правах очередного абсолютно бесполезного совета.
[off]
Если считать бредом то, что нельзя реализовать (понимание это частный случай реализации – на базе понятий воспринимающего), то хорошей моделью его будет незавершимый алгоритм, который, как известно, отличить (по записи) от завершимого алгоритмически невозможно.
Из этого, кстати, следует, что выявление троллинга – творческая задача.
[/off]
[off]
см. также другую притчу о сеятеле[link4]
[/off]
Да что же тут не соответствуюет? ОС + Флешка с фрагментами шифрованных данных (неотличимых от псевдослучайных при отсутствии ключа) от которых утерян ключ (например оригинальное видео в защищённом формате, но с затёртым заголовком) как отличить от флешки, на которой ключ от этих псевдослучайных данных противнику неизвестен (что разрешено по принципу Kerckhoffs'а[link5]), если дешифровка производится стандартными средствами этой ОС? Только по признаку наличия остатков фильма с затёртым заголовком? Ну ведь очень широкий круг подозреваемых получается?
Кстати, да, оригинальных видео мало... :(
Для оправдания нужно будет ещё иметь кинокамеру...
Давайте отдадим должное, я в /comment44799[link6] хватанул немного больше, с лихвой, чтобы "точно хватило". Если ограничиваться минимумом, то вторую часть (начиная со слов "дальше схема апгрейдится до уровня паранои...") можно не читать, и это уже будет приемлемо решать поставленную задачу, потому из ваших перечислений остаётся только
Для первого подойдёт большинство стандартных LiveCD, скачанных с инета. Остальные 2 пункта абсолютно стандартные и делаются руками — по команде на пункт.
Что касается я не уверен то необходимо. Надо раскурить возможность определить виртуальный раздел на диске прямой адресацией по блокам. Возможно, это стандартная фича в Linux (тут unknown и SATtva бы сказали точней). Было, кстати, решение для TrueCrypt с похожими свойствами.
Вопрос, вообще говоря, интересный. Мне думается, что нет, но надо, конечно, проверять. Во всяком случае я не знаю тулзов, которые бы по куску данных определяли (типа команды file) принадлежность его той или иной программе. Вопросы энтропии шифрованных/архивированных данных обсуждались здесь: /comment37647[link7].
Не обязательно стандартными, кстати. Вы ведь для этого случая не будете скрывать что
- Вы используете шифрование
- Тип шифрования — одноразовый блокнот
- Ключ шифрования
- Зашифрованные данные
Идея-то не моя, обсуждалось тут: /comment42043[link8].Я считаю, что наиболее естественно и целесообразно и проще... использовать большой архив. Наполнение архива не суть важно. А ещё есть видео, которое поставляется с шифрованием сразу (DVD), так что если вы владеете им легально, то даже и отрицать ничего не надо ("да, оно шифруется, производителем, у всех так").
Почему? Если противник не будет делать всякую экзотику типа камер слежения, атак уборщицы и т.п., то в базовой реализации (до слов "дальше схема апгрейдится") никаких доказательств по сути предъявить нельзя. Вопросы же "отведения подозрений" вообще лежат в социальной плоскости (вас могут подозревать в хакерстве лишь по самому факту установленных непонятных быдлофоренсику программ в винде, про Linux я даже не заикаюсь) и потому не очень конструктивны. Можно даже сделать вдобавок нормальную ОС, без шифрования, предъявлять её, пользоваться иногда ей... и говорить, что LiveCD существует исключительно для крэш-восстановлений. Но это всё так.. пустые философтсвования, и если такой караул и впрямь случится в жизни, то, конечно, ничего вообще говорить не надо: золотое правило: нет обвинения, нет доказательств — значит не надо свидетельствовать против себя и самооправдываться.
А также любая безопасность, ибо она тоже незавершима (безопасность — это процесс, а не свершившийся факт). Значит, (информационная, настоящая) безопасность — это бред, и её не существует. Quod erat demonstrandum :D) Всё сходится.
Кстати, это тоже мысль. Можно просто забить флэшку какими-то разумными некомпрометирующими данными. Потом объявить её (для ОС) крипторазделом и писать туда шифрованные данные. Это точно не приводит к полному её перезаписыванию, т.к. форматирование шифрованного раздела лишь перепишет несколько блоков на этой флэшке (приведёт к нескольким испорченным файлам). Ну и далее... чем полней флэшка заполнена шифрованными данными, тем меньше в ней будет "остаточных сингатур", свидетельствующих о том, что это "якобы просто битая файловая система". Тут, правда, есть одна тонкость. При форматировании ФС надо разобраться какие именно блоки данных будут переписываться, а то может есть довольно точная эвристика чтобы утверждать, что "блоки побились не случайно, а порождены созданием там новой ФС".
Вдогонку. Поднятая тема стара как этот мир, и регулярно всплывает здесь столько, сколько существует сам сайт. Пора собраться с силами, всё систематизировать и добавить в FAQ. Кто не постоянный читатель (не только по Мигелю, а и вообще) и заинтересовался, может воспользоваться поиском по ключевым словам: plausible deniability, отрицаемое шифрование, стегоОС, стеганографическая защита (добавляете к искомому в скругле приписку site:pgpru.com и наслаждаетесь результатами).
Да, это может нарушать принцип Кирхгофа, и unknown, возможно имел в виду именно это (следует из /comment37647[link7]). Кстати, там в топике так никто и не дал примеров подобных программ, и существуют ли они хотя бы как пакеты для форенсик-решений не ясно. Т.е. до какой степени вся эта теория заземляется без практических демонстраций... остаются сомнения. С другой стороны, можно говорить "были шифрованный данные, потом потерял ключ" или ещё что-нибудь в этом роде и т.д. Возможно, даже если очень дорогостоящая экспертиза подтвредит, что с 80% вероятностью том есть используемый криптораздел, вряд ли этим будет заморачиваться следствие, и тем более это не может само по себе быть фактом обвинения.
Признаться, не почувствовал. Разъясните?
Отрицаемое шифрование:
-- У вас зашифровано?
-- Да, Вы же сами видите, вот программы, вот зашифрованный раздел :-(
-- Отдайте ключ, а не то хуже будет!
-- Вот ключ/пароль: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
-- Вы отрицаете наличие других паролей для скрытых криптоконтейнеров внутри этого?
-- Вот ещё парочка {yyyy...y}, {zzz...z}. Больше ничего там нет, вы всё видели, мамой клянусь!
Отрицание шифрования:
-- У вас зашифровано?
-- Нет, я про такие вещи даже не знаю, как это всё делается.
-- У вас установлены какие-либо програмы шифрования? Вы использовали специальные средства для сокрытия данных на этой флэшке? Говорите, а не то хуже будет!
-- Ничего там нет, вы всё видели, мамой клянусь!
Если ТС хочет второго, то таких криптопротоколов ещё не изобрели, хотя решение наколенке без формального обоснования стойкости сделать можно, что в данной теме и пытаются. Типа — да фигня это, а не сложнейшая теоретическая задача. "Профессор конечно лопух", но когда какой-нибудь форенсик реально раскурочит это хакерское творчество, кому-то будет очень неуютно.
Вот предположим что само по себе наличие фрагментов случайных данных – обычное дело, не вызывающее подозрений. Почему тогда нельзя отрицать сам факт шифрования, если расшифровка производится стандартными средствами ОС? Что тут нужно формально доказывать?
Ну дык... человек хочет получить решение. Идеальных решений нет. Можно всю жизнь ждать когда криптографы изобретут идеальный продукт, а можно что-то собрать самому — пусть не идеальное, но довольно-таки надёжное на фоне остальных. Никто не будет ломать жлезеный замок (а его можно сломать), если рядом дверь просто открытая настежь. Вы понимаете о чём я? ИБ — не только криптография, это же прежде всего экономика и управление рисками. Конечно, всегда есть возможность, что реализуется маловероятный сценарий, но в жизни она есть всегда. Вас может машина на дороге сбить — что теперь, и по дорогам не ходить? Причём там часто всё зависит от благонадёжности водителя а не вас. Криптография и доказуемая безопасность — идеалы, на которые нужно ориентироваться, к которым нужно стремиться, но если для решения поставленной задачи не хватает уже созданных инструментов, ничего не остаётся, кроме как что-то изобретать самому. Вот вы, unknown, только негативные стороны видете, но есть и обратный сценарий: описанная схема станет распространённой => какой-то форенсик её раскрутит => в интернетах и прессе поднимается срач => появится внимание к проблеме со стороны криптологического сообщества => в итоге задача получит какое-никакое, но уже академическое решение => profit.
Вот в 7-zip, одном из самых распространённых архиваторов есть встроенное шифрование алгоритмом AES. Кто нибудь наконец удосужится посмотреть в его открытых исходниках, как он хранит зашифрованные данные, где там лежат контрольные суммы и прочее, что надо затереть для возможности безопасного изменения псевдослучайных данных?
А что, отрицаемое шифрование (в вами употреблённом смысле) в TrueCrypt получило поддержку академического сообщества, можно почитать научные статьи с обоснованием доказательства невзламываемости такой схемы? Что ж тогда (конечно, всё это можно списать на тех.детали реализации, но тем не менее) регулярно публикуются новости о том, что скрытые тома трукрпт на самом деле не такие-то и скрытые?
Читаю и поражаюсь. Детский сад...
unknown-ну пожелаю терпения.
Чесно говоря, самому нету уже сил разжевывать каждому, кто неудосужился прочитать хоть одну книгу и предлагающему "панацеи", простые вещи.
Ну хоть бы намекнули... :)
Требуется то не отрицание шифрования, а "отрицание своей причастности к (возможно присутствующему) шифрованию".
А на вопрос, откуда у вас на флэшке остатки зашифрованного 7zip можно сказать типа "да вот скачал уже не помню откуда, а он пароль какой-то потребовал, ну я его и удалил..."
Ну даже допустим детский сад. Ну предложите чего нибудь лучше! Вот Tor тоже не панацея, и тем не менее обсуждается, и вродн лучше пока ничего нет...
Отрицаемое шифрование было изобретено R. Canetti, C. Dwork, M. Naor, R. Ostrovsky в 1996 году и впервые широко представлено на CRYPTO'97. Ими была предложена модель полиномиальной отрицаемости.
Правда они рассматривали электронную почту и многосторонние вычисления под принуждением.
http://eprint.iacr.org/1996/002
Исследования с тех пор так и идут, теоретически задача далека от завершения.
Первой практической реализацией дискового отрицаемого шифрования был давно умерший проект с набором модулей для ядра Linux и соответствующих утилит Rubberhose[link9] (авторы Julian Assange, Ralf P. Weinmann и Suelette Dreyfus), но решение было не академическим, а скорее шифрпанковским. Truecrypt заимствовал свои идеи вероятно оттуда.
Стойкого доверяемого протокола даже для отрицаемого шифрования также неизвестно. Это область так и остаётся малоисследованной.
С отрицаемостью даже причастности к шифрованию (в отличие от отрицаемого шифрования) всё ещё хуже.
"Невиноватая я, он сам пришёл".
Так вот всё и сводится к набору костылей и разной степени убедительности отмазок, которые один раз прокатят и которые каждый должен придумывать для себя сам, а там — как повезёт. Но они не смогут быть использованы под копирку, скажем, группой из n человек. В отличие от упомянутого "неидеально анонимного" Tor.
Ахутнг! Форенсики уже в треде! Уважаемый, в смысле уставший разжёвывать, приведите ссылку хотя бы на одно ваше "разжёвывание" на этом сайте. Может вам это... лучше пойти инфовоч погрызть?
Глобально говоря, со времён Белл Лабса и Беркли уже всё шифрпанковское. Проприетарщики породили кое-какие концепты/протоколы, но в общем и целом весь современный юникс — это костыли костылей 1000ых порядков, которые тебе из-за проблемы совместимости могут продолжать давить ещё десятилетями на всех. Дисковое шифрование тоже было прикручено ad hoc'ом, поверх существующих интерфейсов, и, как вы, unknown, писали, так же далеко до академического уровня (блоки не перешифровываются?). Ну дак что теперь, отказаться от дискового шифрования?
Да, это верно, но не вся правда. Отрицаемость = есть отмазки. Одни и те же отмазки не могут быть применимыми к любому наперёд заданному лицу, т.к. у всех разный род деятельности, разная работа, обстоятельства и т.д. Может быть кто-то скажет "я профессинально занимаюсь безопасностью, пишу академические работы на эту тему", и это будет вполне логичным объяснением его увлечению криптографией, но такую же линию не выдвенет условная продавщица Валя.
У Tor'а степень правдоподобной отрицаемости его целевого криминального использования нулевая. Tor живёт и здравствует за счёт того, что не ходят по домам, не вызывают на допросы (зачем вы используете Tor?), не ставят массово жучки в помещениях... А вот представьте себе, что вы на допросе должны внятно объяснить зачем вы используете Tor. Подумайте, насколько естественным и правдоподобным будет выглядеть такое объяснение. И там, да, та же проблема:
Да ну, что вы, товарищ следователь! Просто интерес к программкам всяким, многие сейчас этим увлекаются.
Tor здесь слегка оффтопик — можно дискутировать отдельной темой, нужна ли ему отрицаемость вообще, если в стране нет жёсткой цензуры интернета. А в мирное время вообще дремучесть в области личных прав преодолевается и эти программы используют довольно широко, поэтому и отмазки не нужны.
Согласен, "Отрицаемость = есть отмазки", в случае чего, они также будут индивидуальными и разной степени правдоподобности. Проблема "отрицаемости использования" — общая.
Ну скажет что-нибудь: "использовала Tor для поиска клиентов по оказанию интим-услуг, да признаюсь. И, стыдно сказать, товарищ следователь, жёстким чёрным оккультизмом интересуюсь. Ходили слухи, что это всё запретят, а в блоге прочитала про ентот Тор и вот поставила. А на митинги оппозиции не ходила, не было такого. И программой вооружённой борьбы не интересовалась. Отрицаю!"
А я скрываю это? pgpru читают разные люди.
И я должн учить вас?
Уж как попадёте к нам (милости просим :D ), вот тогда и посмотрим насколько "надежна" ваша параноидальная система.
Ну, раз пишете под гостем, похоже что скрываете
Если вы устали разжевывать не здесь, приведите хоть одну ссылку туда, где вы это делали. Или хотя бы не вы, а то есть подозрение что вы вообще "не в теме" ;)
А то, что предложено в /Comment42043[link8]? Или имеется ввиду, что и для обычного шифрования стойкого доверяемого протокола также неизвестно?
И также неизвестно, отличимы ли зашифрованные данные от случайного оракула?
Тем не менее, эта неизвестность не мешает большинству пользоваться существующими шифрами. Почему бы в той же степени не доверять отрицаемому шифрованию?
Одноразовый блокнот обладает отрицаемостью, если скрывать шифртекст в ключе. Это общеизвестно. Также как общеизвестно теперь и то, что кроме как для сокрытия эту схему с четырьмя файлами на одноразовых блокнотах никто городить не будет.
Для какого именно обычного? Дискового? Ряд нерешённых теоретических проблем есть, но они несущественны. Обсуждалось в комментах к FAQ.
Это называется "безопасность через неясность" :) и не приветствуется на этом сайте, который по сути – просветительский. И вера в "орден рыцарей плаща и кинжала без страха и упрёка" – наивна. Говоря вашими словами, "детский сад" представлений о должном общественном устройстве.
Ну там дальше есть /comment42052[link10]. Всё-таки что-то...
И вот всё таки может ответите, при условии, что правильно зашифрованные данные на практике неотличимы от случайного оракула и, допустим, что наличие псевдослучайных данных не вызывает подозрений (и уборщицы нет в доме :), вот при этих условиях чем отрицаемое шифрование (по типу FreeOTFE например) хуже обычного дискового?
Слишком уж мало этого что-то. Вопрос этот уже исследовалася и нами обсуждался[link11].
Не встречал работ с внятной формализацией этого протокола. Если протокол плохо формализуется это как бы плохо с теоретической точки зрения.
Ну конкретно FreeOTFE просто пишет по вводимому пользователем (вместе с паролем) смещению бессигнатурный сегмент зашифрованной информации, который и является скрытым контейнером. Скрыт он будет конечно при условии что носитель неотличим от псевдослучайного. И таких контейнеров может быть сколько угодно, в отличии TC, в котором он только один и растёт с конца навстречу открытому. Какая тут нужна формализация и в чём затруднения – непонятно.
И вот возможно ли воспрепятствовать подобной практике отрицаемого шифрования например объявив псевдослучайные данные лицензионными (или ещё как), при этом не снижая недопустимым образом эффективность всей компьютерной отрасли?
Поясните, зачем нужны именно 4 файла? А если сделать 2, один — AES-шифротекст без сигнатур, используемый как ключ для одноразового блокнота, а другой — шифротекст для одноразового блокнота. Хранить для убедительности их можно в разных местах. Кстати, реально такое может понадобиться только для сокрытия "концов", от которых надо раскручивать, т.е. для двухфакторной аутентификации, например. Иначе говоря, речь идёт об сравнительно коротком наборе байтов и наиболее удачной их маскировке. В конце концов, удалённые файлы с FAT восстаналиваются элементарно: можно без всяких одноразовых блокнотов записать туда такой файл, а потом стереть его, запомнить длину и оффсет. Далее файл извлекается в mfs с помощью dd указывая offset и число блоков. Вот и всё. Понятно, что примеров масса. Затерять на обычной флэшке 128 байт так, чтобы уметь их потом восстанавливать стандартными встроенными средствами — дело не особо хитрое :)
/comment43000[link12], /comment5938[link13] (тут же и про критику FreeOTFE смотрите).
С чисто психологической точки зрения отрицаемость скрытых контейнеров TC будет намного правдоподобней, чем отрицаемость многогигабайтных данных, зашифрованных одноразовым блокнотом, но даже тут можно много что навыдумывать: сказать что вы параноик, не доверяете криптографии, и считаете единственным наджным шифром одноразовый блокнот (что общеизвестно и даже описано в википедии). Многие пишут наколеночные самодельные кустарные проги для шифрования, а кто-то их даже использует, на что Шнайер не перестаёт ругаться. На фоне всего такого парочка мелких файлов с одноразовым блокнотом, запрятанных куда поглубже...
Вы первый начали За язык вас никто не тянул. Решил вставить "умное слово" — обоснуй. Увы, к вам "попадает" не та категория, которая вдумчиво читает этот сайт, а та серая масса ламеров, которые ничего не понимают (и не хотят понимать) вообще, что и объясняет, почему "среди говна вы все поэты, среди поэтов вы говно". Другими словами говоря, сам факт попадания в лапы форенсику уже на 99% есть следствие наплевательского отношения к своей защите, что ещё больше подогревает уверение форенсиков в том, что "всё ломается", и "никто кроме них ничего не знает как надо делать".
Одно из мнений по форенсике уже озвучивалось в /comment36078[link14]. Ну трудно найти в интернете клоаки обитания этих форенсиков. На их форумах тоже народ интересуется как шифровать диски и почему всё ломается. Ответы в стиле "у нас есть такие самолёты... но мы их вам не покажем!". Кстати, ответ не настолько глупый, насколько с первого взгляда кажется. Действительно, даже здесь (на pgpru) критикуется шифрпанковский подход, говорится о нарушении принципа Крхгофа и т.д., но(!) если вы посмотрите на форензику в целом (книги по судебной экспертизе и криминалистическому анализу в открытом доступе — читайте), она производит совсем удручающее впечатление, даже на фоне шифрпанков. Вот есть у них какой-то "секрет" (как у гаишников секрет воспользоваться нелегитимным отсутствием знаков на повороте и ловить всех, кто невольно попадёт в капкан), а после его обнародования они остаются вообще ни с чем. После длительных обсуждений в ряде форенсик-тредов было наконец озвучено:
- Не надо ломать шифрованные криптогразделы, т.к. гном создаёт эскизы (thumbonails, я так понял) во временных нешифрованных разделах, по которым можно судить что есть внутри.
- Мак-адрес винда жёстко (зачем?) прописывает как параметр файловой системы (NTFS).
Что будет делать форенсик если речь идёт о fluxbox, а не KDE и/или GNOME, либо о полнодисковом шифровании — не озвучивается, либо неясно намекается что таких клиентов у них не бывает, что и требовалось доказать.Далее... что касается статей по самой форензике. Довольно скучная вещь. Ну описывает какой-то "спец" как загрузить на машину свои версии утилит, чтобы сделать копии нужных файлов с загруженной ОС когда есть к ней доступ (что делать когда экран заблокирован — не объясняется), или с выключенной машины, если ФС не шифровалась (что делать если шифровалась — не озвучивается). Ну и плюс масса тонкостей как это грамотно юридически и технически оформить в виде отчёта, т.е. масса лабуды которая защитнику информации вообще неинтересна (раз информация есть в открытом доступе, значит она уже в чужих руках — что интересного в составлении автоматизированных отчётов по ней?). Мир бандитский (а в органы идут для лишь ради легитимной реализации своих
властныхбандитских наклонностей, т.е. по уму по желанию в органы вообще брать были бы не должны) живёт по своим правилам: пишут в протоколах не то, что говорит подозреваемый и свидетель, явно и нагло нарушают все нормы, запугивают... самый обычный бандитизм. При таком подходе говорить о форензике вообще тупо: раз противодействия противоправнм действиям (с точки зрения) закона подозреваемый оказать не может, делать можно что хочешь: хоть записать на носитель свои файлы и сказать "это его", ну а на досуге, где напрягаться не надо, можно и поиграть в "бравых рыцарей, одним махом раскалывающих любое шифрование". К тому же уровень большинства форензиковых статей таков, будто 95% их процентов не обладают даже самой общей компьютерной грамотностью, и всё это ещё более смотрится смешным на фоне ряда редко проскальзывающих интервью с высокопоставленными лицами по линии МВД/Интерпола, где говорится, что в современная компьютерной (да и вообще высокотехнологичной) преступности "работают" специалисты высочайшего класса, и потому бороться с ними крайне затруднительно (в отличие от домохозяек, они ещё и всесторонне мотивированы к самообучению).Я напоминаю ещё раз для тех, кто забыл: обсуждение маскировки шифрованного раздела на флэшке выходит далеко за рамки программы-минимум, в том числе для топикстартера.
В /comment5938[link13] топике говорится о том, что программа писалась на Delphi. Даже если идея здравая, я бы не стал доверять тому, кто решил такое писать на Delphi, это нездорово, и слишком подрывает моё доверие к нему как к специалисту, тем более сейчас (но писать на Delphi было не адекватно уже и тогда).
Нет, это бред, никак не соответствующий текущему законодательству о патентах, лицензировании и т.д. Звучит так же, как "запатентовать алфавит".
Ещё один способ упрятать файл: по оффсету в большой длинный видео-файл где-то посередине записывается бессигнатурный шифротекст небольшой длины. Остаётся только запомнить оффсет (это число) и сколько байт считать. Со стороны будет выглядеть как обычный битый видео-файл, случайно прерывающийся при проигрывании (а может и не прерывающийся?) на n-ой секунде, что довольно-таки часто бывает и без извращений с видео-файлами.
Я не про текушее законодательство, а в принципе: можно ли придумать такие технические решения и принять такие законы, что-бы с одной стороны можно было бы контролировать высокоэнтропийные данные, а с другой это не понизило бы критическим образом эффективность отрасли.
С таким же успехом можно предлагать запретить всё неупорядоченное, хаотичное и непонятное. Бред вот тоже в глобальном порядке нельзя запретить. Вдруг это непонятные кому-то умные мысли? Так законодатели сами себя затроллят.
Даже если в королевстве абсурда что-то такое представить, то такие высокоэнтропийные данные можно перемешать с низкоэнтропийными.
Законодательный идиотизм и так только этим и занимается.
Подбробности пожалуйста: где, когда, с кем и как? Ах, нет подробностей...
Назовите сходу парочку сайтов по этой теме. Гугл? А конкретней? Вы же интересовались.
Где, когда, от кого слышали? Ах, не помните...
В каком блоге? Не помните адрес, так скажите о чём еще там писали, чтобы мы могли его найти. Ах, опять ничего не помните...
Ваши подруги Маша, Даша и Наташа на третьем часу пятого допроса утверждали иначе.
А откуда вы вообще такие слова знаете? Не поделитесь источником? А может нам спросить вашу маму?
Все подобные отмазки раскалываются следователем на счет "раз". Любой следователь имеет в 100500 раз больше жизненного опыта отмазок нежели вы. Вы не сможете его обмануть, не по зубам это простому смертному. Вам остаётся только молчать, терпеть и надеяться что с воли вам помогут. А не помогут, так есть за вами вина или нет – уже неважно, вы пропащий человек.
Кстати, для суда это будет самый железный аргумент.
Продавщица Валя ничего не будет выдумывать, раскроет часть реальных фактов из своей жизни, ну чего там ближе к уровню продавщицы, которой есть что скрывать, но что не является криминалом. На самом деле занималась — не вру, вот адреса, там могут подтвердить. И то усердствовать смысла нет — а то и это пришьют. Отрицать будет только предъявленные обвинения (а не выдуманные ею самой — чтобы не было вопросов "откуда про это знаете?"). Верить ли ей в стандартную уловку с расколовшимися подельницами (как и в тысячи других)-- ей решать. Так же как и до какого уровня стоит высовываться или нагнетать ситуацию, если ей за это что-то светит.
А это не нужно вообще. Поставил пользователь и считает, что пользоваться такой-то программой естественно и правдоподобно. Все вопросы будут или чтобы заставить его врать и поймать на этом, или оказывать давление, запугивание, хотя-бы смутить для начала: "Ну вы ведь сами не верите, что честному человеку есть, что скрывать и т.д." и добиться в итоге самообвинения (другие более жёсткие методы оставим за скобками).
Даже в Иране или Китае это как-то не наблюдается. И блокируют его там не очень активно, а используют заметно. В критических случаях (напряжённые выборы, волнения) скорее всего будут просто выключать интернет или его сегменты.
Вот если какие-то целенаправленные хвосты от манипуляций со скрываемой криптографией вылезут, это IMHO хуже. "Если вы используете криптографию, то почему вы это ещё и скрываете?" — конечно будет тоже вопрос ни о чём. Но в контексте какого-то расследования может быть истолкован как какое-то косвенное свидетельство.
Так это и правильно. В любом случае.
Вы не назовёте сходу ни одного сайта по поиску интим-услуг? Я назову, хотя их услугами не пользуюсь. Да любой форум, где есть параноики сканает. Называешь лор и не ошибёшься. Товарищ следователь тут же полезет в гугл искать тот самый пост? Да товарищ следователь вообще в компьютерных делах не особо смышлён, чтобы задавать такие вопросы в режиме реального времени: он их будет ставить эксперту, а эксперт на них оффлайново потом официально ответит. Ну если человек использует Tor, откуда-то он про его существование узнал. Тут вообще широкий выбор что сказать. Я вот, честно говорю, впервые узнал не отсюда, а прочитав один пост на лоре 5 лет назад.
Понятно, что продавщица должна говорить о том, что ей близко и не выдумывать аргументы, дискутировать на тему которых она не умеет. Проще говоря, не надо врать — это сильно упрощает задачу, надо говорить правду и только правду, но не всю правду. Да даже и скрытие факта шифрования хоть и может служить дополнительной уликой, напрямую на него ответить тоже элементарно. Скрывается за тем же, за чем скрывается и шифруемая и информация, "имею полное право на частную жизнь", а ваши претензии "почему шифруете" — вопрос рода "почему не поставили себе жучок и видеокамеру в доме и не транслируете видео в интернет". А ещё "почему не носите с собой постоянно включённый диктофон, записи с которого ежедневно не выкладываете в сеть". "Следователь" разводит чела как гоп разводит лоха — способы в точности те же. Надо не бояться и отвечать по существу. Если видишь, что вопрос вообще левый, так и говорить, как судья на процессе "он не по существу и не относится к рассматриваемому делу, отклонить". Чё все к следователю привязались, это же самое и уличные менты делают: чё делаешь, куда идёшь, зачем приехал, где живёшь, где регистрация и пошло поехало. Лох, конечно, побоится у него спросить удостоверение, записать фамилию, напомнить что по конституции у него свобода передвижения по стране, а Москва не включена в список режимных объектов... чем мент нагло и пользуется. В общем, чё бандитов обсуждать.
[off]
Методы ведения допроса примерно одинаковые в полиции любой страны. Уровень нарушения прав конечно разный. Мысль как о потенциальных бандитах понятна, если это разумное допущение (с разумно высоким уровнем вероятности), а не "оскорбление" или "разжигание".
Вот как-бы ничё. Но и нагнетать ситуацию лишний раз не нужно. И над форенсиками смеяться — им может чьё-то дело вообще по-барабану и особого рвения они проявлять не будут, а может и наоборот (как заставят), но зачем эта бравада, вызовы? Взвешенный, спокойный подход должен быть. А то вот так "оскорбление представителя власти" вырвется в неподходящий момент.
Вообще по этим вопросам консультируют адвокаты (там свои конечно тонкости, но это тема уже выходит за рамки ИБ-ресурса).
[/off]
Да, мрачную картину вы тут нарисовали. Может действительно лучше обсуждать не предполагаемые действия властей, а только сами технологии информационной безопасности? Есть такая фамилия Ходорковский, есть фамилия Лебедев, есть человек похожий на Генерального прокурора, а еще есть видео с Шендеровичем, Лимоновым, Киселевым и все это было не только отснято, но и показано по ЦТ. Зачем эти методы обсуждать. Бессмысленно имхо.
Действительно, давайте не будем здесь обсуждать воров, из которых средства массовой информации типа newsru, которыми владеет ещё один вор — Гусинский, делают "мучеников режима". Вот это будет точно не по теме, так что всецело поддерживаю
Не назову. Видать сказывается наличие девушки.
Если товарищ следователь не кладёт на работу, то не поленится проверить каждое ваше слово. И следователь, в отличии от вас, в беседе не стеснен реальным временем. Что не додумался спросить сразу – спросит на следующем допросе, да и коллеги ему вопросиков докучи подскажут. Вы со следователем в очень неравном положении и вам придется в реальном времени отвечать на все что он придумал за рюмкой чая.
Ты не умничай, надо будет – поставим. Лучше сразу колись, меньше дадут, я за тебя сам судье словечко замолвлю.
Ах, отклонить, запираетесь подозреваемый, хотите чтобы на допрос вызвали вашу мать сердечницу? Ну не боись, от инфаркта нынче лечат, небось не помрет. А рады ли будут узнать в универе что их студент уголовник? Армия вас ждет!
А вот это уже подсудное дело, товарищ следователь. Жалоба на вас будет направлена в прокуратуру. Да, это уже совсем детский сад :) Уличные менты тоже когда меня останавливали говорили "из университета отчислят за отсутствие регистрации", ну-ну, видели, знаем :)
Каждый мнит себя стратегом видя бой со стороны. Это вы сидя в тепле за компом так рассуждаете, на месте подозреваемого которого ежедневно изводят многочасовыми допросами все это как-то иначе воспринимается. Когда следователь изводит твоих родственников, приходит в деканат с требованием твоего отчисления из института и рассказывает коллегам и начальству на работе про твои уголовные наклонности это совсем не смешно. Видимо вы лично не сталкивались, я сталкивался, теперь шапкозакидательно не рассуждаю.
Благодарю всех участников за всестороннее обсуждение темы "Невидимая шифрование уровня PGP на флешке", а модераторов за полное содействие в его поддержании и развитии.
Уже в первых ответах было сказано, что задача, как она поставлена изначально, не имеет решения. Костыли тоже были предложены. Что Вас не устраивает?
Родественники в компьютерных технологиях совершенно некомпетентны Извините, по какому это закону следователь может требовать отчислить из института?! Да его там нахер пошлют моментально! И чтобы отчислили, должно быть постановление суда и т.д.* Тем более начальство на работе будет прикрывать, если ты у них на хорошем счету. Скажем так, к силовикам, где то ни было — в университете, на работе, относятся с большим подозрением и про всю эту грязную кухню знают. То, о чём вы говорите, обычно работает в быдлоинститутах и в быдлофирмах, где все готовы уссаться при виде чела в форме. Да, я к счастью не сталкивался, но опыт других не так однозначен, как вы преподносите, и наиболее частая стратегия — "никто не хочет выносить сор из избы".
*я не знаю на каком глобусе вы живёте, я помню в мои года как какую-то команту в общежитии накрыли за якобы химлабораторию по производству амфетаминов, и насколько я знаю деканат содействовал студентам как только мог, в итоге все обвинения были сняты; не надо в шарагх учиться — вот это да.
Ув. Гость (25/02/2011 14:26) Вы упортно продолжаете стоять на своем, и это при том что опыта не имеете. Вам уже ответили те, кто не по-наслышке знает.
Вам уже сказали, не верите – Ваше дело, если не повезет – будет время пересмотреть взгляды.
Это не мешает например сказать матери что по их информации ее сын наркоман и болен спидом, затаскать ее по допросам, провести два обыска в квартире (искали оружие, наркотики и черти что еще) и почти довести до инфаркта. Конечно мать в компьютерных технологиях не бум-бум, но поневоле задумаешся – стоит ли молчание инфаркта у матери?
Ни по какому, просто придет и потребует. Отчислить врядли отчислят, но в деканат на неприятную беседу вызовут, это особенно касается бесплатников.
У начальства своих проблем хватает чтобы еще с ментами за тебя цапаться. Тут 50/50 уволят или нет. Если уволят, то устроиться на новую работу пока следователь ходит за тобой по пятам и все поганит будет трудно.
Так она и поверила, особенно если сын не курит и не пьёт, ага.
Кстати, Linux'у можно предъявить "устройство" из маленьких кусочков, которые вообще в разных местах хранятся (и на разных файловых системиах) — он его прозрачно склеит (это штатаная фича dmsetup). Это может использоваться для создания криптотомов не то что без сигнатур, но даже без соли. Последнюю можно хранить отдельно, т.к. она в хидере (хедер LUKS-а вполне успешно отрезается и приклеивается, при отрезании хедера от luks0-криптотома уходит также зашифрованный master key). Что же касается всей схемы защиты в целом, то тут чем больше самодеятельности (в пределах разумного), тем лучше, чтоб не повторяться, ну и трепаться обо всей схеме в целом незачем. На выходе имеется что-то типа
- Флэшки с какими-то файлами и "битым" архивом/видеофайлом, откуда с помощью dd извлекается набор байтов, к которым потом запиливается magic, и которые потом расшифровываются командой openssl.
- dm
- LUKS бэкэндом.
Post scriptum: sapienti sat. Возможно, позже будет инструкция с PoC.Гость (22/02/2011 11:38) Это умеют делать bash, zsh, perl. Bash есть в любом Linux LiveCD, а perl — вообще в любом UNIX.
© man zshall
А вот это уже безопасность через неясность. Схема должна быть полностью открыта, но в ней должно быть чётко указано, какие элементы могут варьироваться случайно (ключ) для достижения неперебираемой на практике мощьности вариантов.
А какой командой читать/переписывать фрагменты двоичных файлов/разделов?
Да, и ещё скрипт должен быть настолько коротким, что-бы его можно было каждый раз набирать вручную!
При этом должен использовать такие только элементы ОС, которые нельзя маргинализировать.
Если говорить чуть более формально и развёрнуто, у каждого есть выбор между добром и злом. Форенсик — это человек, ступивший на путь зла и осознанно его выбравший. Основное занятие форенсиков (по факту), в чём нетрудно убедиться полистав их форумы, не в раскалывании дискового шифрования, не в борьбе с ДП и прочим эксплицитным криминалом, а в вскрывании пиратки и нелицензионного софта — поистине золотого дна, где сейчас кормятся все копирастические крысы и проприетарщики. А что вы думали, что форенсики нарушение BSD/GPL защищают? :) Этот сайт не то место, где надо объяснять в чём отличие копирования от воровства и т.п., кто не понял чти /comment43592[link15]. К тому же форенсики никогда не скрывают своего удовольствия от того, что они приспешники этого копирастического режима, и, будучи госслужащими, как бы обязаны всецело поддерживать любой законодательный идиотизм и преклоняться пред законом как перед высшим священным знанием, т.е. быть обычными биороботами-исполнителями.
Она хоть и критикуется, но не всё так просто. См. комментарии к топику Безопасность через неясность[link16]. В частности, там указано что как бы говорит о том, что при переходе от чистой криптографии к стеганографии или ИБ в целом максима Кирхгофа становится лишь недостижимым ориентиром несмотря на то, что в криптографии она — необходимое условие.
Пример с OpenSSL выше уже был приведён (/comment39520[link2]), для остальных случаев делается аналогично. Важно то, что некие данные считываются во временный файл (в mfs или tmpfs), а потом там что-то заменяется. Естественно, что для крипторазделов такое не прокатит — нельзя 30 гигов считать, а потом разместить 30гиговый образ в памяти, в то же время софт должен видеть этот образ со всеми сигнатурами, хотя на диске их быть не должно (т.е. при внезапном отключении питания всё должно выглядеть беcсигнатурно). Вот для решения этой проблемы и применяется dm (device mapper): начальная часть криптотома, содержащая сигнатуры — это один маленький кусок, который будет размещён в оперативной памяти после редактирования соответствующих, считанных при помощи dd, данных. Другой кусок — сам криптотом и т.д. Затем dm склеит их все воедино и представит как единое блочное устройство операционной системе со всеми подобающими сигнатурами. К радости Linux'оидов и unknown'а в частности могу порадовать тем, что dm получает признание и за пределами Linux:
Кстати, старый интерфейс (его и сейчас можно использовать), вообще не писал заголовков: Т.е. LUKS можно не использовать, а задавать сразу master key, написав скрипт, который сам будет выводить нужный key из соли и ключа**.
Это необязательно. Зашифруйте скрипт openssl'ем и поместите его внутрь архивного файла, имеющегося на флэшке. Обратная процедура: dd + magic ему запили + расшифруй openssl'ем.
**Хотя стандартных консольных тулзов для PKBDF2 вроде бы нет, есть примеры реализации на Perl'е, а последний есть, по факту, в любой системе. Так же есть стандартный openssl'ный способ, который хуже.
Если кому интересен формат сигнатур LUKS, имеется спецификация on-disk-format.pdf[link19].
Небольшой off к дню введения полиции в России (цитата уже гуляет по интернетам) :-)
© Н. Носов "Незнайка на Луне". 1965 г. Изд-во "Детская литература".
Если кому-то так нужна отрицаемость, то можно сначала зашифровать контейнер LUKS (со всеми его полезными фичами — быстрое и сравнительно безопасное удаление ключа и смена паролей), а поверх для маскировки ещё раз зашифровать простым cryptsetup с другой парольной фразой, подробнее см. на основе FAQ[link20].
© Н. Носов "Незнайка на Луне". 1965 г. Изд-во "Детская литература".
При смене пароля перешифровывается мастер-ключ в слоте, а не сам диск. Если пароль скомпрометирован, лучше перешифровывать, т.к. противник мог скопировать шифрованный паролем мастер-ключ и узнать его.
Двойное шифрование не добавит производительности, да и стоит ли оно того тут, когда можно и без этого.
Кроме того, трудно убедить себя в том, что предыдущая копия точно и надёжно шреддится с диска... да и как это проконтролировать? Смотреть hexdump'ом?
При смене пароля перешифровывается
мастерключ в слоте, а мастер-ключ, шифрующий сам диск не меняется. По смыслу то же, но так точнее.В ряде случаев — совсем незаметно изменений производительности или надежности.
Обсуждалось. Т.н. antiforensic-алгоритм в LUKS — соль для ключа хранится в "хрупком", растянутом виде. Это не панацея, но позволяет сделать восстановление ключа сложной задачей, если в заголовке просто повреждено несколько битов.
/comment44987[link21]:
На примере zsh:
Вот в двоичной:
То же самое на bash[link24]:
Можно написать скрипт для вычисления XOR двух файлов. Если кому-то не лень, покажите, как это (такой скрипт) короче записать.
Воистину. zsh:
Самый простой вариант на C:
Не знаю, как в DragonFly, но такое впечатление, что в NetBSD (последний стабильный релиз) dmsetup существует лишь номинально. Если адресовать[link27] один из неиспользуемых дисковых разделов (в смысле disklabel'а — например, /dev/wd0k) с помощью dmsetup, то устройство /dev/mapper/DEV_NAME создаётся, но ничего с ним ни сделать. Оно не читается, на нём не нарезать ФС, не покормить им группу томов как физическим томом и т.д. Для чистоты эксперимента надо бы ещё проверить вообще неиспользуемый диск или хотя бы неразмеченное дисковое пространство. В гугле на тему использования dmsetup в NetBSD полнейший тотальный молчок.
Было бы логичным, если б device mapper, как более базовый кирпич для работы с диском (и LVM поверх него) был полностью независим как от DOS'овской системы разбиения дисков, так и BSD'шной (disklabel), но в инструкциях пишут то, что этому противоречит:
Т.е. если какое-то блочное устройство надо подключить как физический том к VG, это устройство нужно предварительно разметить disklabel'ом и оставить там место для метаданных. Аналогичные требования для объединения блочных устройств через ccd:
Можно зашифровать весь диск целиком (бессигнатурно) с помощью cgd, а внутри его разбить с помощью LVM. Это точно работает, но как там с необходимостью задания правильных оффсетов — не помню.
Поидее, если какое-то блочное устройство используется как физический том или группа томов, пространство под метаданные выделяется из самого устройства, а не из дополнительного свободного места на физическом устройстве, где расположен данный физический том или группа томов. То ли всё так и есть, а в инструкциях пишут лишние требования, то ли действительно требования необходимы и вызваны тем, что device mapper был портирован таким вот корявым образом.