id: Гость   вход   регистрация
текущее время 01:14 29/03/2024
Автор темы: Гость, тема открыта 23/10/2009 22:05 Печать
Категории: криптография, софт, приватность, инфобезопасность, защита дисков
https://www.pgpru.com/Форум/ТехническиеВопросы/МожноЛиОткрытьКриптоконтейнерыFreeOTFEПодLinux
создать
просмотр
ссылки

Можно ли открыть криптоконтейнеры FreeOTFE под Linux?


Во времена, когда я был заядлым виндузятником я юзал FreeOTFE http://www.pgpru.com/soft/freeotf
Сейчас задаюсь вопросом, можно ли открыть криптоконтейнеры FreeOTFE под Линукс?!



 
На страницу: 1, 2, 3, 4, 5, 6 След.
Комментарии
— Гость (30/01/2010 20:32)   <#>
SATtva, большое спасибо, попробую применить на практике, как только появиться время.

Хотел бы задать несколько еще вопросов, можно?
1) Обязательно ли создавать файл, который будет использован для создания криптоконтейнера, именно с помощью dd, как в вышеприведенном howto? Или можно создавать также и с помощью cat, touch и т.п. команд?
2) какие файловые системы можно в принципе и какие лучше использовать для криптоконтейнеров? (В howto предлагается создавать в ext2, это обязательно, или просто пример?)
— SATtva (30/01/2010 21:15)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Обязательно ли создавать файл, который будет использован для создания криптоконтейнера, именно с помощью dd, как в вышеприведенном howto? Или можно создавать также и с помощью cat, touch и т.п. команд?

Конкретно для создания контейнера cat и touch не подходят, т.к. создают пустой файл. Для контейнера необходим файл определённого объёма, который и будет определять ёмкость контейнера (учтите, нужно создавать контейнер большего объёма, чем Вы рассчитываете получить доступного места внутри, поскольку некоторую долю отъест структура файловой системы и неполные блоки).

какие файловые системы можно в принципе и какие лучше использовать для криптоконтейнеров? (В howto предлагается создавать в ext2, это обязательно, или просто пример?)

Можно — любые. Для долгосрочного хранения больших объёмов данных лучше подойдут журналируемые ФС. Лично меня raiserfs и ext4 устраивают.
— Гость (31/01/2010 00:05)   <#>
А размер блоков имеет значение? В привиденном примере, я так понял, он равен 1 Кб. Почему его не сделать, скажем, стандартным 512?
— SATtva (31/01/2010 00:51)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Чем меньше блок, тем ниже производительность, но и меньше издержки на незаполненные блоки. Если предполагается хранить в ФС огромное количество мелких файлов, лучше выбрать небольшой блок. Напротив, если будут храниться в основном большие файлы, блок должен быть большим.
— Гость (31/01/2010 11:52)   <#>
SATtva, прошу прощения за несколько оффтопичный вопрос, Вы написали, что юзаете для этих целей ext4. Вроде бы совсем недавно, в конце 2009 года, народ писал, что она еще нестабильна, и кто-то терял на ней данные, разрабы ее уже докурили?
И такой уже не оффтопичный вопрос, как-то под содержимому файла враг может понять, что он – криптоконтейнер, созданный с помощью LUKS?
— Гость (31/01/2010 12:14)   <#>
как-то под содержимому файла враг может понять, что он – криптоконтейнер
Если у криптоконтейнера нет сигнатур, то он может видеть только много высокоэнтропийных данных. С точки зрения постороннего лица есть некоторая вероятность, что эти данные появились не из-за криптоконтейнера, а из-за затирания диска случайными данными, или же там находился большой архив, или кусок длинного фильма...
— unknown (31/01/2010 19:52)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664


Гость, мы же с вами (?) это уже обсудили на предыдущей странице — есть комманда luksDump, которая всё показывает. Сигнатуры LUKS открытые. Реально сокрытие сигнатур мало что даёт на практике.
— SATtva (31/01/2010 20:35)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
ext4. Вроде бы совсем недавно, в конце 2009 года, народ писал, что она еще нестабильна, и кто-то терял на ней данные, разрабы ее уже докурили?

Исправлено в ядрах от .30 и выше.
— Гость (31/01/2010 22:50)   <#>
или же там находился большой архив, или кусок длинного фильма.
А что, их фрагменты действительно неотличимы?
— unknown (31/01/2010 23:30, исправлен 31/01/2010 23:32)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Неотличимы при внешнем осмотре в байтовом отображении. Но отличимы при анализе. Хотя бы грубой силой — методом перебора всех кодеков медиафайлов или архиваторов, специально рассчитанном на работу с кусками данных.

— Гость (14/02/2010 13:44)   <#>
Если я хочу создать шифрованные lvm-разделы на уже установленном Debian, это возможно? (В настоящее время разделы в нем нешифрованные и не-lvm).
Как я понимаю, логические диски lvm – это тоже устройства в /dev/mapper, как и криптованные, и, видимо, и те и другие как то связаны с dm? Как это "скомпоновать"?
Соответственно, еще такие вопросы:
1) Что касается самого закрпитования дисков, нашел два хауту:
http://www.saout.de/tikiwiki/tiki-index.php?page=HOWTO
http://feraga.com/library/howt....._with_luks_support_0
Хотел бы уточнить, если я криптую раздел посредством команды cryptsetup -y create home /dev/hda9 типа как в первом хауту – это не LUKS?
И чем этот формат хуже или лучше LUKS?
2) Правила второго хауту для создания в лукс-формате применимы не только к криптоконтейнерам в виде файлов, но и к разделам? (Вроде бы там написано, что к файлам и разделам, но в примерах везде речь идет о файлах).
3) Если я захочу поставить еще одну ОС, но чтобы она имела доступ к закриптованному под первой ОС хомяку, что надо делать?
— unknown (14/02/2010 23:52)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Если я хочу создать шифрованные lvm-разделы на уже установленном Debian, это возможно? (В настоящее время разделы в нем нешифрованные и не-lvm).

Это не рекомендуется делать. вам придётся уменьшить размер какого-либо раздела программой parted. При этом существует риск потери данных. LVM был придуман как-раз в том числе для того, чтобы изменение разделов было естественной и более безопасной процедурой. Свободное место, созданное программой parted можно отформатировать как физический том, а внутри него создавать логические.

Как я понимаю, логические диски lvm – это тоже устройства в /dev/mapper, как и криптованные, и, видимо, и те и другие как то связаны с dm? Как это "скомпоновать"?

Криптованный логический том — это двойник шифрованного логического тома, только выглядещий в расшифрованном виде, после того как его открыли. Он отличается именем, которое вы задали в коммандной строке. Его можно смонтировать как если бы это был loop-device. Если его закрыть — он исчезает, остаётся имя, отображающее исходный шифрованный логический том.

шифровать можно и физические тома, тогда не будет видно сколько внутри находится логических томов.

1) Используйте LUKS, если не уверены в том, что делаете. Простой криптформат более низкоуровневый и требует ввода множества параметров. Кроме того, в LUKS предусмотрены множественные слоты ключей для шифровки главного мастер-ключа, "размазанное" хранение битов ключа для более безопасного удаления, лучше предусмотрена сама процедура удаления и другие опции безопасности.
2) Использование файлов в качестве контейнеров вместо использования разделов возможно, но менее безопасно. У нас об этом написано в FAQ в разделе "криптография: практика".
3) Если есть доступ на этот раздел какая разница откуда его монтировать?
— Гость (16/02/2010 00:39)   <#>
1) Нужно ли писать специальные скрипты размонтирования криптованных разделов, созданных по методу, предложенному SATtva, в уже функционирующей системе?
2) Если у меня в линуксе смонтирован файл криптоконтейнера, и я не выполнив umount – cryptsetup luksClose – losetup -d начну делать shutdown, это чем-то грозит целостности ФС и файлов в этом устройстве?
— Гость (16/02/2010 03:06)   <#>
это чем-то грозит целостности ФС и файлов в этом устройстве?
Нет, при условии что ошибок в ФС и ядре нет. Система сама корректно размонтирует разделы при перезагрузке.
— Гость (16/02/2010 14:44)   <#>
Нет, при условии что ошибок в ФС и ядре нет. Система сама корректно размонтирует разделы при перезагрузке.


Т.е. портить незакрытые криптоконтейнеры, созданные FreeOTFE под виндами, особенность г-новенды?!
На страницу: 1, 2, 3, 4, 5, 6 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3