"PGP Disk под Linux" / системы шифрования

монтировать *.pgd файлы в linux нельзя

В линух эта задача решается с помощью использования шифрованных фаловых систем, есть большой набор средств для этого – сryptoloop, dm-crypt.
Проект http://www.freeotfe.org/ позволяете работать с такими данными из windows, на их сайте заявлена совместимость с dm-crypt и кажется cryptoloop тоже.

хороший обзор средств "прозрачного" криптования данных на диске
http://www.infoanarchy.org/wik..... Hard_Disk_Encryption

Сейчас живу на 98-й винде, но про Линукс не раз задумывался. Переезду мешает отсутствие ряда программ, и PGP Disk в их числе. Кто что думает по этому поводу ?

Проблема чаще всего чисто идеологическая. Кажущееся отсутствие программ лучше, чем их наличие в том виде, как они представлены в Win.
Никакой специальной программы в виде графической фигульки с менюшками, иконками, инсталятором, помощником и кучой мусора впридачу для этого не надо.


Функции шифрования встроены непосредственно в само ядро ОС Linux и обычные утилиты, которые работают с файлами, дисками, разделами и свопом и позволяют задавать шифрование как дополнительный параметр. Нужно один раз разобраться как это работает, настроить как вам удобно и все.
Когда вы будете подключать диск или входить в свой домашний каталог у вас будет спрашиваться пароль или ключ. Никакой специальной программы для шифрования запускать не надо. Возможность шифрования встроена в систему и по мнению многих превосходит то, что можно сделать в Win.

Правда, совместимости с PGP-диск Вы скорее всего не дождетесь. Проще будет перенести данные через gpg-архив в Linux и распаковать там.

Поскольку общий вопрос про шифрование в Linux возник в другой ветке, переношу его сюда:

Есть ли под Линукс какие нибудь прошраммы для создания криптоконтейнеров? Для шифрования всего диска? Гле то слышал, что средствами самого Линукса можно настроить шифрование всего диска..

Из "программ" только bestcrypt, но это коммерческий продукт "для чайников" или для тех, кому нужна кроссплатформенность.

Если я ядре включены функции шифрования, а утилиты монтирования и своппинга могут с ними работать, то шифрование прозрачно работает на уровне системы. Все три варианта позволяют шифровать своп и /tmp с эфемерными ключами. Возможна запись шифрованных файловых систем на компакт-диски и DVD с сохранением всех прав доступа и атрибутов файлов.

Основные три варианта:
1) cryptoloop+cryptoAPI (он устарел и больше не поддерживается, но в ядрах ветки 2.4 его будут еще долго использовать). Его криптографические уязвимости пока некритичны, но от него следует отказываться.

2) dm-crypt+cryptoAPI+cryptsetup. Это "мэйнстрим". В новых ядрах 2.6 и новых дистрибутивах он дает готовое шифрование "из коробки".

2b) LUKS – Linux unified key setup – продолжение и расширение проекта dm-crypt. Новые подходы в шифровании, использование слотов с системой менеджмента ключей.

3) loop-aes. Альтернативная реализация cryptoAPI для ядер 2.4 и 2.6. Интеграция с GPG.

GPG ключ с загрузчиком системы может быть вынесен на внешний (в т.ч. легкоуничтожаемый носитель). Т.о. и получается полностью зашифрованный диск. При этом можно скрыть даже таблицу разбиения диска на разделы.
Возможно многоключевое шифрование секторов. Устанавливается как набор модулей к ядру без необходимости накладывать патч.

а на freebsd что посоветуете, кроме geom?

Встроенное никсовое шифрование это конечно замечательно, но вот такой вопрос – поскольку это шифрование файловой системы, то можно ли будет _УДОБНО_ и _БЫСТРО_ делать полный бэкап такого каталога ?
PGP Disk '-и резервируются тупым копированием контейнера по [F5], a можно ли будет также легко копировать криптованный каталог из никсов, не расшифровывая его? Я правильно понял, что такое никсовое криптование возможно только на ext2/ext3/reiser ?
(сразу скажу – концепция маздайного EFS мне _ОЧЕНЬ_ НЕ ПОНРАВИЛАСЬ)

Amin, шифрованная фаловая система "живет" в обычном файле (можете называть его контейнером), ведь в unix почти все – файл.

Для быстрого и удобного бекапирования необходимо лишь размонтировать шифрованную fs, скопировать файл и можно продолжать работу. Если использовать volume manager (LVM, EVMS) и механизм snapshots то время простоя сократиться до долей секунды.

Спасибо за помощь, буду потихоньку RTFM-ить...
Главное, что сделать аналог вполне реально.

Кто-нибудь собирал сабж из исходников?
Т.к. для АСПа у них нет ничего подходящего( подходит федора 3, но у 4ка), взял исходники, почитал мануал\реадме.
Build.sh останавливается на первом пункте теста ядра – версии.
Т.е. выводит версию ядра, путь (к нему) – и на этом все останавливается. В мануале про подобное ничего не сказано. Фктически выдается строка, соответсвующая в build.sh:

---

[ "$V" ] && error "TrueCrypt requires Linux kernel 2.6.5 or later" && exit 1

[ ! -d $KERNEL_SRC ] && KERNEL_SRC=/usr/src/linux

---

При этом у меня последнее обновление.
Где может быть "зарыта собака"?

А исходники ядра в /usr/src/linux распакованы с kernel.org или дистрибутивные?
С дистрибутивным ядром обычно такие штуки не проходят и если вам нужны какие-то крипто- или security патчи или модули, то с дистрибутивным ядром обычно можно попрощаться и собирать с kernel.org все самому.

Потому как в Fedore ядра очень перелопаченные и не рассчитаны на то, что их всерьез будут трогать.

Правда, это только мои догадки, как конкретно работает truecrypt я не проверял.

А чему равна переменная [ "$V" ] ?
Она случаем не из dmesg или uname -a берется?

А правильно ли определилась $KERNEL_SRC?
А в /usr/src/linux что распаковано?

Вот вырезка из файла build.sh:

---

case "$(uname -r)" in

1. [0-5].*) V=1 ;;
2. 6.[0-4]) V=1 ;;
3. 6.[0-4][.-]*) V=1 ;;

esac
[ "$V" ] && error "TrueCrypt requires Linux kernel 2.6.5 or later" && exit 1

[ ! -d $KERNEL_SRC ] && KERNEL_SRC=/usr/src/linux
if [ ! -d $KERNEL_SRC ] ||! Check_kernel_version "$KERNEL_SRC"
then
fi

---

Хм...
В /usr/src/linux вообще ничего нет. Т.е. даже нет папки linux. /usr/src/ – пусто.
Т.е. там должны быть исходники ядра? Хм.. поспрашиваю еще раз (на общий вопрсо не ответили) насчет установки TC в рассылке суппорта АСПа (если ответят) на данную тему....

Версия ядра определилась правильно.

[ ! -d $KERNEL_SRC ] && error "$KERNEL_SRC does not exit" && exit 1

Эта строка означает, что если директории с исходниками ядра не существует, то вылетать с кодом ошибки 1.

Что там дальше в скрипте, я не знаю, но наверное скрипт не просто так лезет в каталог с исходниками ядра? Наверное модули к ядру попытается собрать или еще чего сделать.

Но до это дело даже не дошло.
В переменной $V у вас определилась неправильная версия ядра.
Что выводит команда uname -r ?

Вот: 2.6.12-1.1381asp
Кроме этого в мануале пишется следующее:

Requirements for Running Truecrypt on Linux

---

– Linux kernel version 2.6.5 or any higher/compatible version
– Device mapper (dmsetup, http://sources.redhat.com/dm) and loop device

---

При том, что указанное по команде ядро – последний апдейт АСПа. Как можно "обмануть"\выдать другой результат команде? Или какие-либо иные действия?
Напишу поддержке – посмотрю на реакцию :)