Можно ли открыть криптоконтейнеры FreeOTFE под Linux?
Во времена, когда я был заядлым виндузятником я юзал FreeOTFE http://www.pgpru.com/soft/freeotf
Сейчас задаюсь вопросом, можно ли открыть криптоконтейнеры FreeOTFE под Линукс?!
|
||||||||||||||||||||||||||
|
||||||||||||||||||||||||||
Нормы пользования. Некоторые права на материалы сайта защищены по условиям лицензии CreativeCommons. Движок
openSpace 0.8.25a и дизайн сайта © 2006-2007 Vlad "SATtva" Miller.
|
||||||||||||||||||||||||||
Хотел бы задать несколько еще вопросов, можно?
1) Обязательно ли создавать файл, который будет использован для создания криптоконтейнера, именно с помощью dd, как в вышеприведенном howto? Или можно создавать также и с помощью cat, touch и т.п. команд?
2) какие файловые системы можно в принципе и какие лучше использовать для криптоконтейнеров? (В howto предлагается создавать в ext2, это обязательно, или просто пример?)
комментариев: 11558 документов: 1036 редакций: 4118
Конкретно для создания контейнера cat и touch не подходят, т.к. создают пустой файл. Для контейнера необходим файл определённого объёма, который и будет определять ёмкость контейнера (учтите, нужно создавать контейнер большего объёма, чем Вы рассчитываете получить доступного места внутри, поскольку некоторую долю отъест структура файловой системы и неполные блоки).
Можно — любые. Для долгосрочного хранения больших объёмов данных лучше подойдут журналируемые ФС. Лично меня raiserfs и ext4 устраивают.
комментариев: 11558 документов: 1036 редакций: 4118
И такой уже не оффтопичный вопрос, как-то под содержимому файла враг может понять, что он – криптоконтейнер, созданный с помощью LUKS?
комментариев: 9796 документов: 488 редакций: 5664
Гость, мы же с вами (?) это уже обсудили на предыдущей странице — есть комманда luksDump, которая всё показывает. Сигнатуры LUKS открытые. Реально сокрытие сигнатур мало что даёт на практике.
комментариев: 11558 документов: 1036 редакций: 4118
Исправлено в ядрах от .30 и выше.
комментариев: 9796 документов: 488 редакций: 5664
Неотличимы при внешнем осмотре в байтовом отображении. Но отличимы при анализе. Хотя бы грубой силой — методом перебора всех кодеков медиафайлов или архиваторов, специально рассчитанном на работу с кусками данных.
Как я понимаю, логические диски lvm – это тоже устройства в /dev/mapper, как и криптованные, и, видимо, и те и другие как то связаны с dm? Как это "скомпоновать"?
Соответственно, еще такие вопросы:
1) Что касается самого закрпитования дисков, нашел два хауту:
http://www.saout.de/tikiwiki/tiki-index.php?page=HOWTO
http://feraga.com/library/howt....._with_luks_support_0
Хотел бы уточнить, если я криптую раздел посредством команды cryptsetup -y create home /dev/hda9 типа как в первом хауту – это не LUKS?
И чем этот формат хуже или лучше LUKS?
2) Правила второго хауту для создания в лукс-формате применимы не только к криптоконтейнерам в виде файлов, но и к разделам? (Вроде бы там написано, что к файлам и разделам, но в примерах везде речь идет о файлах).
3) Если я захочу поставить еще одну ОС, но чтобы она имела доступ к закриптованному под первой ОС хомяку, что надо делать?
комментариев: 9796 документов: 488 редакций: 5664
Это не рекомендуется делать. вам придётся уменьшить размер какого-либо раздела программой parted. При этом существует риск потери данных. LVM был придуман как-раз в том числе для того, чтобы изменение разделов было естественной и более безопасной процедурой. Свободное место, созданное программой parted можно отформатировать как физический том, а внутри него создавать логические.
Криптованный логический том — это двойник шифрованного логического тома, только выглядещий в расшифрованном виде, после того как его открыли. Он отличается именем, которое вы задали в коммандной строке. Его можно смонтировать как если бы это был loop-device. Если его закрыть — он исчезает, остаётся имя, отображающее исходный шифрованный логический том.
шифровать можно и физические тома, тогда не будет видно сколько внутри находится логических томов.
1) Используйте LUKS, если не уверены в том, что делаете. Простой криптформат более низкоуровневый и требует ввода множества параметров. Кроме того, в LUKS предусмотрены множественные слоты ключей для шифровки главного мастер-ключа, "размазанное" хранение битов ключа для более безопасного удаления, лучше предусмотрена сама процедура удаления и другие опции безопасности.
2) Использование файлов в качестве контейнеров вместо использования разделов возможно, но менее безопасно. У нас об этом написано в FAQ в разделе "криптография: практика".
3) Если есть доступ на этот раздел какая разница откуда его монтировать?
2) Если у меня в линуксе смонтирован файл криптоконтейнера, и я не выполнив umount – cryptsetup luksClose – losetup -d начну делать shutdown, это чем-то грозит целостности ФС и файлов в этом устройстве?
Т.е. портить незакрытые криптоконтейнеры, созданные FreeOTFE под виндами, особенность г-новенды?!