id: Гость   вход   регистрация
текущее время 22:36 28/03/2024
Автор темы: Гость, тема открыта 23/07/2013 22:31 Печать
Категории: софт, инфобезопасность, защита дисков, свободный софт
http://www.pgpru.com/Форум/UnixLike/ШифрованиеУстройства
создать
просмотр
ссылки

Шифрование устройства


Флешка была зашифрована из консоли в системе debian 7 x64.
Шифрование осуществлялось с помощью cryptsetup.
Далее флешка была подключена на другую машину с такой же системой, но не монтировалась.
Графическая утилита (gnome-disk-utility) показывает, что данное устройство зашифровано.
Написано: Encrypted 1.0GB. Откуда gnome-disk-utility знает об этом?


Ещё вопрос вдогонку: как в консоли безопасно отключить флешку после того как выполнены команды
umount и cryptsetup luksClose?


 
Комментарии
— Гость (23/07/2013 22:51)   <#>
Мб энтропия?
Кстати, как тебе самому этот криптсетуп?
— test1 (24/07/2013 03:00)   <#>
Эксперимент повторен на девственно чистом debian и только что установленном gnome-disk-utility.
Если в окне выбрать устройство, то программа сообщает:
Usage: Encrypted Volume (Locked)
Partition Type: Linux (0x83)

а так же предлагает:
Unlock Volume
Make encrypted data available.

Я, естесственно, понимаю, что в системе не стоит цели скрыть сам факт наличия зашифрованного устройства.
При загрузке зашифрованного системного раздела так же запрашивается пароль.

Я просто хочу понять, каким образом gnome-disk-utility может предположить, что данное устройство является зашифрованным, а не просто устройством с неизвестной
файловой системой? Утилите известны все существующие файловые системы, и если этой нет в списке, то она делает вывод, что устройство зашифровано?
Что указывает на факт шифрования кроме высокой энтропии данных?
— SATtva (24/07/2013 08:36)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Шифрование осуществлялось с помощью cryptsetup.
...
Написано: Encrypted 1.0GB. Откуда gnome-disk-utility знает об этом?

По Luks-заголовку зашифрованного раздела: man cryptsetup > isLuks

Ещё вопрос вдогонку: как в консоли безопасно отключить флешку после того как выполнены команды umount и cryptsetup luksClose?

Аккуратно отсоединить её от USB-порта.
— test1 (24/07/2013 15:25)   <#>
thanks.
sudo cryptsetup -v isLuks /dev/sdx
Command successful.
— unknown (24/07/2013 16:05)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Вот это ещё можете посмотреть: sudo cryptsetup LuksDump /dev/sdx
— test1 (26/07/2013 13:24)   <#>
Вот это ещё можете посмотреть: sudo cryptsetup LuksDump /dev/sdx

Спасибо. писал с маленькой буквы luksDump

Результат:
LUKS header information for /dev/sdb1

Version: 1
Cipher name: aes
Cipher mode: cbc-essiv:sha256
Hash spec: sha1
Payload offset: 4096
MK bits: 256



Какие средства шифрования в линукс не выдают подобную информацию?
— unknown (26/07/2013 13:37, исправлен 26/07/2013 13:40)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

luksDump, да так правильно. Нет задачи невыдачи информации — это сильно усложняет функциональность при нормальном поддержании всех фич работы с контейнером и не слишком добавляет отрицаемости.


cryptsetup без LUKS делает шифрование без заголовков, но с ним вы лишаетесь возможности менеджмента ключей в слотах, лёгкого и сравнительно надёжного уничтожения заголовка вместе с ключом, стойкого выведения ключа из пароля и пр.


В самой системе любое шифрование, кроме полнодискового (вместе с корнем) не имеет смысла, что уже "отрицает отрицаемость". А если нужно что-то скрытно запихать во внешний носитель, где скорость не важна, то можно сделать контейнер в контейнере: внутри LUKS, снаружи ещё раз пошифровать cryptsetup без LUKS.

— SATtva (26/07/2013 14:16)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Или TrueCrypt для Linux.
— Гость (26/07/2013 21:28)   <#>

старый интерфейс (его и сейчас можно использовать), вообще не писал заголовков:
The "cryptsetup" command-line interface does not write any headers to the encrypted volume, and hence only provides the bare essentials: Encryption settings have to be provided every time the disk is mounted (although usually employed with automated scripts), and only one key can be used pervolume; the symmetric encryption key directly derived from the supplied passphrase. For these reasons, the use of cryptsetup is discouraged with plain passphrases.
Т.е. LUKS можно не использовать, а задавать сразу master key, написав скрипт, который сам будет выводить нужный key из соли и ключа
/comment45000


Да, без заголовков лучше не использовать. Если сильно хочется, то лучше заголовок поместить в отдельный файл, бессигнатурно зашифровать openssl'ем и записать в неисользуемое место диска. Когда надо будет подключить LUKS, вы этот файл считаете, расшифруете в память и объедините с основным блочным устройством с помощью device mapper, получив полноценный LUKS-контейнер со всеми заголовками. Правда, после манипуляций с заголовком (после изменения параметров), его надо будет руками перешифровывать и перезаписать в те выбранные сектора диска. Впрочем, LUKS вроде бы умеет хранить заголовок во внешнем файле штатным образом? Если так, то всё ещё проще, даже device mapper не понадобится.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3