Шифрование устройства
Флешка была зашифрована из консоли в системе debian 7 x64.
Шифрование осуществлялось с помощью cryptsetup.
Далее флешка была подключена на другую машину с такой же системой, но не монтировалась.
Графическая утилита (gnome-disk-utility) показывает, что данное устройство зашифровано.
Написано: Encrypted 1.0GB. Откуда gnome-disk-utility знает об этом?
Ещё вопрос вдогонку: как в консоли безопасно отключить флешку после того как выполнены команды
umount и cryptsetup luksClose?
Кстати, как тебе самому этот криптсетуп?
Если в окне выбрать устройство, то программа сообщает:
Usage: Encrypted Volume (Locked)
Partition Type: Linux (0x83)
а так же предлагает:
Unlock Volume
Make encrypted data available.
Я, естесственно, понимаю, что в системе не стоит цели скрыть сам факт наличия зашифрованного устройства.
При загрузке зашифрованного системного раздела так же запрашивается пароль.
Я просто хочу понять, каким образом gnome-disk-utility может предположить, что данное устройство является зашифрованным, а не просто устройством с неизвестной
файловой системой? Утилите известны все существующие файловые системы, и если этой нет в списке, то она делает вывод, что устройство зашифровано?
Что указывает на факт шифрования кроме высокой энтропии данных?
комментариев: 11558 документов: 1036 редакций: 4118
По Luks-заголовку зашифрованного раздела: man cryptsetup > isLuks
Аккуратно отсоединить её от USB-порта.
sudo cryptsetup -v isLuks /dev/sdx
Command successful.
комментариев: 9796 документов: 488 редакций: 5664
Спасибо. писал с маленькой буквы luksDump
Результат:
LUKS header information for /dev/sdb1
Version: 1
Cipher name: aes
Cipher mode: cbc-essiv:sha256
Hash spec: sha1
Payload offset: 4096
MK bits: 256
Какие средства шифрования в линукс не выдают подобную информацию?
комментариев: 9796 документов: 488 редакций: 5664
luksDump, да так правильно. Нет задачи невыдачи информации — это сильно усложняет функциональность при нормальном поддержании всех фич работы с контейнером и не слишком добавляет отрицаемости.
cryptsetup без LUKS делает шифрование без заголовков, но с ним вы лишаетесь возможности менеджмента ключей в слотах, лёгкого и сравнительно надёжного уничтожения заголовка вместе с ключом, стойкого выведения ключа из пароля и пр.
В самой системе любое шифрование, кроме полнодискового (вместе с корнем) не имеет смысла, что уже "отрицает отрицаемость". А если нужно что-то скрытно запихать во внешний носитель, где скорость не важна, то можно сделать контейнер в контейнере: внутри LUKS, снаружи ещё раз пошифровать cryptsetup без LUKS.
комментариев: 11558 документов: 1036 редакций: 4118
/comment45000
Да, без заголовков лучше не использовать. Если сильно хочется, то лучше заголовок поместить в отдельный файл, бессигнатурно зашифровать openssl'ем и записать в неисользуемое место диска. Когда надо будет подключить LUKS, вы этот файл считаете, расшифруете в память и объедините с основным блочным устройством с помощью device mapper, получив полноценный LUKS-контейнер со всеми заголовками. Правда, после манипуляций с заголовком (после изменения параметров), его надо будет руками перешифровывать и перезаписать в те выбранные сектора диска. Впрочем, LUKS вроде бы умеет хранить заголовок во внешнем файле штатным образом? Если так, то всё ещё проще, даже device mapper не понадобится.