"PGP Disk под Linux" / системы шифрования
Существует простая и замечательная программка – PGP Disk, я использую версию 6.0.2i. Знает ли кто-нибудь способы монтирования *.pgd -файлов под Linux ? (хоть под какую-нибудь версию). Сейчас живу на 98-й винде, но про Линукс не раз задумывался. Переезду мешает отсутствие ряда программ, и PGP Disk в их числе. Кто что думает по этому поводу ?
комментариев: 9796 документов: 488 редакций: 5664
Изначально эта система шифрования (прозрачно-пофайлово поверх обычной ФС) это позволяет, то что она определённым образом заскриптована в Ubuntu — другой вопрос.
комментариев: 510 документов: 110 редакций: 75
В версии Ubuntu 10.04 все сделано как положено. При создании пользователя предлагается выбрать опцию "Шифрование домашней папки". Если опция будет отмечена, то домашняя папка будет зашифрована.
комментариев: 510 документов: 110 редакций: 75
Скажите, может ли злоумышленник каким-то образом извлечь пароль и получить доступ к системе? Хранится ли пароль или хеш от него в разделе /boot?
Кажется, в предыдущих версиях убунты было что-то подобное.
Никто удалённо не сможет проанализировать чужую систему, тем более, если она — убунта. Главная уязвимость всех таких систем — короткий ломаемый пароль. Самый короткий из надёжно неломаемых паролей (128 бит) может быть получен выводом команды
Нет.
При желании можно поиграться с настройками grub'а так, чтобы загрузка по умолчанию шла с незагрузочного раздела, и потому выводилась ошибка; для правильной же загрузки требовалось загрузиться с LiveCD, войти в меню grub'а и поменять раздел, с которого грузиться, руками. Это может помочь от таможня-кидди при пересечении границы, а то как-то палевно, когда при загрузке сразу пароль требуется.
Это есть во всех Убунтах, но меню это при старте появляется только если на компе установлено минимум 2 системы. Предполагаю, что здесь появление меню связано с применением LVM и/или шифрования.
Почему Вы говорите именно об удаленном анализе? А если компьютер (ноутбук) украли? Поэтому меня и интересует, не сохраняется ли какая-либо идентифицирующая ключ шифрования информация в boot...
Не знал о такой утилитке. Но есть еще вариант:
или генератором паролей из KeePassX
Потому, что трудно судить о том, кто как что настроил, если лично не присутствовал при настройке и не контролировал процесс.
Когда меня глодала параноя, я поглядел, что куда смонтировано, с какими опциями, как шифруется. Вроде всё было чисто, делал из интерфейса.
Кстати, полный hibernate (не путать с suspend в ОЗУ) работает? Проверьте. :)
Не встречался с hibernate. Что это значит?
Гибернация, как её некоторые кличут — ввод компьютера в спящий режим, когда всё содержимое ОЗУ выгружается на диск, а питание отключается. Не слышали? :)
комментариев: 9796 документов: 488 редакций: 5664
В полностью шифрованной системе с двумя вариантами шифрования свопа (нешифрованный LV на шифрованном PV или шифрованный LV, но не urandom-ключом, а опцией decrypt_derived, выводящей ключ от расшифрованного корневого раздела) давно работает в Debian. Глюки если связаны, то с железом.
Сброс памяти в своп. При включении компа — восстановление всех открытых и запущенных программ и всего состояния системы, почти как будто её и не выключали. Совместно с полносистемным шифрованием — надёжнее, чем залочивание на скринсейвер, если надо отойти от компа и можно его выключить. Популярно на ноутбуках, там ещё и батареи экономятся.
комментариев: 9796 документов: 488 редакций: 5664
При корректной реализации такой связи быть не должно.
Если всё на LVM, то никаких сложностей. В grub.cfg прописан UID корневого раздела. В рамдиске упакован кусок /etc/crypttab, кажется тоже с UID'ами и каким-то опциями, указывающими на параметры шифрования, но никаких ключей.
На старте GRUB → ядро → рамдиск, в рамдиске будет спрошен пароль от корневого раздела или физического тома, дальше расшифруется том со свопом и корневым разделом или расшифруется только корневой раздел, а через него по цепочке — своп, через decrypt_derived. Своп проверится на корректность и всё стартует из гибернации.
Может по-умолчанию своп шифровался на /dev/urandom, если он не находится на шифрованном физическом томе, общим с корневым разделом.
Не знаю, что там могли разрабы не осилить из коробки, это сейчас и руками сравнительно легко допиливается, если не было выбрано (или некорректно выбрано) при инсталляции.
Пароль в открытом виде нигде храниться не должен, но PBKDF-от него хранится внутри каждого шифрованного раздела в LUKS-слотах.
Исходные условия:
1. Кнопок спящего режима не обнаружил (используется не бук, а простой комп), есть только кнопка ждущего режима.
2. Открыт браузер с множеством открытых вкладок.
Первая стадия эксперимента.
Включенный комп отправил в ждущий режим. Компьютер как бы выключился, потухла работа вентиляторов и т.п., но остался задействованным индикатор питания в режиме мигания. Питание полностью, выниманием вилки шнура питания из сети, не выполнялось. Далее включил машину, все вернулось в исходное состояние т.е. браузер запустился со всеми открытыми вкладками. Был лишь запрошен пароль на учетную запись.
Вторая стадия.
Включенный комп отправил в ждущий режим. Комп как бы выключился. Далее была вынута вилка шнура питания из сети. При последующем включении компьютер запросил пароль cryptsetup на расшифровку. Включение компьютера прошло как обычно после полного выключения, браузер с открытыми вкладками не запустился.
И еще вопрос у меня. Система при установке сделала все сама. Я лишь указал, что нужно использовать LVM и шифрование. В результате как я понял у меня терперь файловая система на тома не разбита (за исключением отдельного /boot на физическом уровне), а мне бы хотелось иметь как минимум /home на отдельном разделе. Использован весь диск.
Есть ли сейчас возможность выделить под /home (и может быть еще что-то) отдельный том? Если нет, какова последовательность действий?