"PGP Disk под Linux" / системы шифрования

Существует простая и замечательная программка – PGP Disk, я использую версию 6.0.2i. Знает ли кто-нибудь способы монтирования *.pgd -файлов под Linux ? (хоть под какую-нибудь версию). Сейчас живу на 98-й винде, но про Линукс не раз задумывался. Переезду мешает отсутствие ряда программ, и PGP Disk в их числе. Кто что думает по этому поводу ?

На страницу: 1, 2, 3, 4, 5 След.

Комментарии

—	unknown (28/02/2010 20:40) профиль/связь <#> комментариев: 9796 документов: 488 редакций: 5664

ecryptfs-utils, создающий шифрованную папку Private в домашнем каталоге. Но не могу понять, можно ли сделать управление шифровкой/расшифрокой этого каталога независимо от пароля пользователя.

Изначально эта система шифрования (прозрачно-пофайлово поверх обычной ФС) это позволяет, то что она определённым образом заскриптована в Ubuntu — другой вопрос.

—	Вий (29/05/2010 06:09) профиль/связь <#> комментариев: 510 документов: 110 редакций: 75

В системе Ubuntu 9.10, при установке, предусмотрен режим шифрования домашней папки. Данный режим устанавливается на стадии установки системы, включением опции шифрования паролем входа в систему. Однако при дальнейшем создании дополнительных пользователей, в уже установленной системе, их домашние папки оказываются не защищенными. В меню создания пользователей опции шифрования просто нет

В версии Ubuntu 10.04 все сделано как положено. При создании пользователя предлагается выбрать опцию "Шифрование домашней папки". Если опция будет отмечена, то домашняя папка будет зашифрована.

—	Вий (11/07/2010 21:12) профиль/связь <#> комментариев: 510 документов: 110 редакций: 75

Каким алгоритмом шифруются домашние папки в Linux? Шифрование системными средствами по умолчанию, системы Ubuntu/Debian.

—	*Гость* (11/07/2010 22:00) <#>

Должно быть, AES.

—	Гость_OpenPGP (01/05/2013 18:57) <#>

Установил Ubuntu 13.04 с использованием LVM и шифрованием всех разделов с использованием cryptsetup (из коробки по умолчанию). Теперь при включении компьютера выводится меню GRUB, несмотря на то, что система на компе единственная, далее запрашивается пароль/фраза. Получился загрузочный раздел /boot, все остальное закриптовано.
Скажите, может ли злоумышленник каким-то образом извлечь пароль и получить доступ к системе? Хранится ли пароль или хеш от него в разделе /boot?

—	*Гость* (01/05/2013 22:00) <#>

при включении компьютера выводится меню GRUB, несмотря на то, что система на компе единственная, далее запрашивается пароль/фраза.

Кажется, в предыдущих версиях убунты было что-то подобное.

может ли злоумышленник каким-то образом извлечь пароль и получить доступ к системе?

Никто удалённо не сможет проанализировать чужую систему, тем более, если она — убунта. Главная уязвимость всех таких систем — короткий ломаемый пароль. Самый короткий из надёжно неломаемых паролей (128 бит) может быть получен выводом команды

$ pwgen -s -y 20 1

Хранится ли пароль или хеш от него в разделе /boot?

Нет.

При желании можно поиграться с настройками grub'а так, чтобы загрузка по умолчанию шла с незагрузочного раздела, и потому выводилась ошибка; для правильной же загрузки требовалось загрузиться с LiveCD, войти в меню grub'а и поменять раздел, с которого грузиться, руками. Это может помочь от таможня-кидди при пересечении границы, а то как-то палевно, когда при загрузке сразу пароль требуется.

—	*Гость* (02/05/2013 05:14) <#>

Кажется, в предыдущих версиях убунты было что-то подобное.

Это есть во всех Убунтах, но меню это при старте появляется только если на компе установлено минимум 2 системы. Предполагаю, что здесь появление меню связано с применением LVM и/или шифрования.

Никто удалённо не сможет проанализировать чужую систему, тем более, если она — убунта.

Почему Вы говорите именно об удаленном анализе? А если компьютер (ноутбук) украли? Поэтому меня и интересует, не сохраняется ли какая-либо идентифицирующая ключ шифрования информация в boot...

Самый короткий из надёжно неломаемых паролей (128 бит) может быть получен выводом команды

Не знал о такой утилитке. Но есть еще вариант:

gpg -a --gen-random 2 15

или генератором паролей из KeePassX

—	*Гость* (02/05/2013 09:29) <#>

Почему Вы говорите именно об удаленном анализе?

Потому, что трудно судить о том, кто как что настроил, если лично не присутствовал при настройке и не контролировал процесс.

Поэтому меня и интересует, не сохраняется ли какая-либо идентифицирующая ключ шифрования информация в boot...

Когда меня глодала параноя, я поглядел, что куда смонтировано, с какими опциями, как шифруется. Вроде всё было чисто, делал из интерфейса.

Кстати, полный hibernate (не путать с suspend в ОЗУ) работает? Проверьте. :)

—	котенок (02/05/2013 09:47) <#>

Кстати, полный hibernate (не путать с suspend в ОЗУ) работает? Проверьте. :)

hibernate --version
Программа 'hibernate' на данный момент не установлена. Вы можете установить её, выполнив:
sudo apt-get install hibernate

Не встречался с hibernate. Что это значит?

—	Гость_OpenPGP (02/05/2013 10:13) <#>

Вот что в boot лежит

ls -l /boot
итого 40683
-rw-r--r-- 1 root root   918868 апр.  18 01:42 abi-3.8.0-19-generic
-rw-r--r-- 1 root root   154942 апр.  18 01:42 config-3.8.0-19-generic
drwxr-xr-x 5 root root     1024 мая    1 18:57 grub
-rw-r--r-- 1 root root 31627742 мая    1 18:58 initrd.img-3.8.0-19-generic
drwxr-xr-x 2 root root    12288 мая    1 17:35 lost+found
-rw-r--r-- 1 root root   176764 дек.   5 22:32 memtest86+.bin
-rw-r--r-- 1 root root   178944 дек.   5 22:32 memtest86+_multiboot.bin
-rw------- 1 root root  3059890 апр.  18 01:42 System.map-3.8.0-19-generic
-rw-r--r-- 1 root root  5355936 мая    1 17:39 vmlinuz-3.8.0-19-generic

—	*Гость* (02/05/2013 17:55) <#>

Не встречался с hibernate. Что это значит?

Гибернация, как её некоторые кличут — ввод компьютера в спящий режим, когда всё содержимое ОЗУ выгружается на диск, а питание отключается. Не слышали? :)

—	unknown (02/05/2013 18:19, исправлен 02/05/2013 18:27) профиль/связь <#> комментариев: 9796 документов: 488 редакций: 5664

В полностью шифрованной системе с двумя вариантами шифрования свопа (нешифрованный LV на шифрованном PV или шифрованный LV, но не urandom-ключом, а опцией decrypt_derived, выводящей ключ от расшифрованного корневого раздела) давно работает в Debian. Глюки если связаны, то с железом.

>Не встречался с hibernate. Что это значит?

Сброс памяти в своп. При включении компа — восстановление всех открытых и запущенных программ и всего состояния системы, почти как будто её и не выключали. Совместно с полносистемным шифрованием — надёжнее, чем залочивание на скринсейвер, если надо отойти от компа и можно его выключить. Популярно на ноутбуках, там ещё и батареи экономятся.

—	*Гость* (02/05/2013 18:47) <#>

Если у Гостя искоробки заработает гибернация, значит, ключи в boot, предположу, таки сохраняются. :) Вряд ли в убунту это до ума довели, хотя кто его знает. В более старых версиях при просыпании после гибернации система тупо уходила в ребут.

—	unknown (02/05/2013 20:15, исправлен 02/05/2013 20:22) профиль/связь <#> комментариев: 9796 документов: 488 редакций: 5664

Если у Гостя искоробки заработает гибернация, значит, ключи в boot, предположу, таки сохраняются. :)

При корректной реализации такой связи быть не должно.

Если всё на LVM, то никаких сложностей. В grub.cfg прописан UID корневого раздела. В рамдиске упакован кусок /etc/crypttab, кажется тоже с UID'ами и каким-то опциями, указывающими на параметры шифрования, но никаких ключей.

На старте GRUB → ядро → рамдиск, в рамдиске будет спрошен пароль от корневого раздела или физического тома, дальше расшифруется том со свопом и корневым разделом или расшифруется только корневой раздел, а через него по цепочке — своп, через decrypt_derived. Своп проверится на корректность и всё стартует из гибернации.

В более старых версиях при просыпании после гибернации система тупо уходила в ребут.

Может по-умолчанию своп шифровался на /dev/urandom, если он не находится на шифрованном физическом томе, общим с корневым разделом.

Не знаю, что там могли разрабы не осилить из коробки, это сейчас и руками сравнительно легко допиливается, если не было выбрано (или некорректно выбрано) при инсталляции.

>Хранится ли пароль или хеш от него в разделе /boot?

Пароль в открытом виде нигде храниться не должен, но PBKDF-от него хранится внутри каждого шифрованного раздела в LUKS-слотах.

—	*Гость* (03/05/2013 05:30) <#>

Провел эксперимент.
Исходные условия:
1. Кнопок спящего режима не обнаружил (используется не бук, а простой комп), есть только кнопка ждущего режима.
2. Открыт браузер с множеством открытых вкладок.

Первая стадия эксперимента.
Включенный комп отправил в ждущий режим. Компьютер как бы выключился, потухла работа вентиляторов и т.п., но остался задействованным индикатор питания в режиме мигания. Питание полностью, выниманием вилки шнура питания из сети, не выполнялось. Далее включил машину, все вернулось в исходное состояние т.е. браузер запустился со всеми открытыми вкладками. Был лишь запрошен пароль на учетную запись.

Вторая стадия.
Включенный комп отправил в ждущий режим. Комп как бы выключился. Далее была вынута вилка шнура питания из сети. При последующем включении компьютер запросил пароль cryptsetup на расшифровку. Включение компьютера прошло как обычно после полного выключения, браузер с открытыми вкладками не запустился.

И еще вопрос у меня. Система при установке сделала все сама. Я лишь указал, что нужно использовать LVM и шифрование. В результате как я понял у меня терперь файловая система на тома не разбита (за исключением отдельного /boot на физическом уровне), а мне бы хотелось иметь как минимум /home на отдельном разделе. Использован весь диск.

sudo lvscan
[sudo] password for adm-1: 
  ACTIVE            '/dev/ubuntu-vg/root' [180,07 GiB] inherit
  ACTIVE            '/dev/ubuntu-vg/swap_1' [6,00 GiB] inherit

Есть ли сейчас возможность выделить под /home (и может быть еще что-то) отдельный том? Если нет, какова последовательность действий?

На страницу: 1, 2, 3, 4, 5 След.

Ваша оценка документа [показать результаты]