id: Гость   вход   регистрация
текущее время 07:44 29/03/2024
Автор темы: Гость, тема открыта 30/05/2007 14:42 Печать
https://www.pgpru.com/Форум/ПрактическаяБезопасность/ШифрованиеНеразмечЕнногоДисковогоПространства
создать
просмотр
ссылки

шифрование неразмеченного дискового пространства


Подскажите пожалуйста, какая программа может зашифровать, а потом расшифровать свободное ( неразмеченное ) дисковое пространство на винчестере?


 
На страницу: 1, 2, 3 След.
Комментарии
— Гость (02/06/2010 11:29)   <#>
LUKS и многие другие сразу оказываются в пролёте. Размер заголовка меньше.

Почему, можно стирать 128кб и потом восстанавливать нужное. Хотя это всё усложняет.

То есть весь накопитель? Следовательно смена или уничтожение пароля в заголовке, которым шифруется ключ смысла не имеет? Нужно пересоздавать контейнеры заново на перезатёртом носителе? А какие-нибудь резервные области, в которые контроллер прячет информацию тоже могут наличествовать в большом объёме?

Накопитель обычно содержит 5-20% дополнительного флеша (скрытый объем) для выравнивания износа. Поэтому для надёжности стоит перезаписывать 2 раза. Никто не станет делать больше половины скрытого объема, это слишком дорого.

М. б. всвязи с широким распространением накопителей с непрямым доступом к данным придётся придумывать какую-то схему, в которой заголовок размазан в хрупком виде "всё-или-ничего" почти по всему объёму контейнера (например отбирая 5% его ёмкости)?

ИМХО это только усложняет код, делает слишком сложными хитрые оптимизации и усложняет анализ такой схемы. Лучше сделать поддержку TRIM в нужных местах и забить на устаревшие накопители, благо TRIM есть во всех новых SSD. Старые накопители, которые даже не умеют определяться как SSD, пусть используют на свой страх и риск.
— Гость (02/06/2010 13:16)   <#>
это вызовет проблемы при смене пароля (я сменил пароль, старый забыл, потом достал с полки диск который юзал год назад и обнаружил сюрприз...).
Это вопрос привычки. И по сею пору уже много лет задаются вопросы типа "закрыла MS Word, не сохранила – как теперь восстановить квартальный отчёт?", потому не стоит на них равняться. Вместо этого стоило бы писать предупреждение большими красными буквами о том, что в случае забытия пароля все данные будут утеряны. Собственно, включать ли крипто по умолчанию – тонкий вопрос, может вы и правы, что не стоило бы торопиться, но саму такую возможность добавить в умолчальный инсталлятор стоило бы (не забывая вывести все предупреждающие окошки).

В контексте дискуссий при падение скорости работы при шифровании диска хотел бы отметить ещё один момент. Даже если скорость падает в 4-5 раз, но остаётся вполне достаточной, чтобы пользователь не видел падения производительности десктопной системы, то пользы от шифрования больше, чем проигрыш от производительности. Современные десктопные сетевые карты редко держут больше 10 мегабайт в секунду, а скорость соединения с инетом редко у кого превышает несколько мегов в сек. Т.о., падение производительности будет видно лишь при копировании больших объёмов данных с одного шифрованного раздела на другой, что не есть такая уж частая операция.
— Гость (02/06/2010 19:31)   <#>
5-20% дополнительного флеша (скрытый объем) для выравнивания износа. Поэтому для надёжности стоит перезаписывать 2 раза
А если смена блока для выравнивание износа происходит только при достижении определённого числа ошибок чтения-записи, а на самом этом bad-блоке информация так и остаётся и при большом желании может быть прочитана?
— Гость (02/06/2010 21:15)   <#>
Для флэшки важнее не многократная перезапись отдельных блоков, а заполнение её целиком, поскольку контроллер, осуществляя выравнивание частот записи, пишет блоки в разные места. Но и это не обязательно даёт гарантию, поскольку могут быть резервные блоки. Лучше брать новую.
/comment37449: решение уже предлагалось. Также, вопросы стирания информации с флэшек уже обсуждались здесь.
— Гость (03/06/2010 05:54)   <#>
А если смена блока для выравнивание износа происходит только при достижении определённого числа ошибок чтения-записи, а на самом этом bad-блоке информация так и остаётся и при большом желании может быть прочитана?

Нет, накопитель просто старается равномерно распределять запись по всем свободным блокам. Т.е. есть список блоков в котором есть число их стираний, для записи всегда выбирается наименее изношенный блок, а блок, бывший на его месте ставится в очередь на стирание (на старых SSD не ставиться, и старые данные могут храниться еще долго). Что происходит когда предельное число стираний для блока достигнуто не знаю, жалко убивать новый и дорогой накопитель ради такого эксперимента, да и чтобы убить Intel X-25M надо полгода непрерывно на него писать с максимальной скоростью.
Рекомендация простая – покупайте только Intel и топовые OCZ, они поддерживают TRIM и самый современный вариант выравнивания износа. С другими могут быть проблемы. Дешевые Kingston до сих пор даже как SSD не определяются.
— Гость (06/06/2010 04:34)   <#>
Чтобы включить шифрование во время инсталла, нужно воспользоваться диском для "альтернативно одарённых" (alternate install CD), про существование которого знают только те, кто итак уже в теме. Т.о., типичному пользователю даже такой альтернативы не предложат

Могу подлить убунтусрача масла в огонь. С официальной страницы, где рекомендации к тому, что загружать для инсталляции:

Alternate installer details

The text-based alternate installer can be downloaded from the complete list of download locations below. This installation CD is suited for
  1. computers unable to run the graphical desktop based installation,
  2. either because their computer does not meet the minimum requirements for the live cd or
  3. because their computer requires configuration after the installation is complete in order to use the desktop.

Жаль, нет у них советского опыта – они бы ещё написали, что это диск особого назначения для специальных целей: незачем быдлу знать про существование дискового шифрования (откуда эти паразиты "особый" и "специальный" в русском языке?). А на стандартной официальной странице – так вообще глухо:

Additional options

Take a look at a full list of our previous versions and alternative downloads


Страница с какой-никакой информацией – вообще дело рук юзерского community, а не разработчиков, причём вменяемое изложение того, что делать – вообще дано на стороннем сайте. Заговор тупости или... Например, и фрёый и NetBSD'шный официальные хандбуки содержат главу по шифрованию дисков, где всё (по крайней мере, с точки зрения юзерского интерфейса, а не internals) описано в деталях.
— Гость (06/06/2010 04:41)   <#>
Параллельный вопрос – про шифрование boot-раздела (где лежит ядро и всякое подобное). Если я понял правильно, сам Linux этого не умеет, и нужна поддержка на стороне загрузчика: т.е. grub должен уметь расшифровывать boot-раздел и грузить ядро. Пишут, что поддержка LUKS есть в grub2, но она, возможно, сырая? Каков статус сабжа – кто-нибудь пользуется?
— BrainSlug (06/06/2010 08:17)   профиль/связь   <#>
комментариев: 60   документов: 1   редакций: 1
http://www.linux.org.ru/jump-m.....=4744202&cid=4745316
— Гость (06/06/2010 17:26)   <#>
Понятно, что это полумера. По-хорошему надо выносить загрузчик на сторонний носительно и хранить под подушкой, грузиться только с него.
— SATtva (06/06/2010 22:26)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
В итоге это намного проще и надёжной, нежели ставить девелоперскую версию загрузчика с риском вообще распрощаться с системой.
— unknown (07/06/2010 08:59)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Загрузчик LUKS в GRUB тоже можно протроянить и даже BIOS. От атаки активной уборщицы всё равно мало что спасёт. Джоанна Рутковска подтверждает это.
— Гость (07/06/2010 20:37)   <#>
А мы пол в квартире сами моем :)
— pgprubot (24/06/2015 15:14)   профиль/связь   <#>
комментариев: 511   документов: 2   редакций: 70

Хоть тред и старый, но поскольку ответ так и не был дан, дам его: это умеет связка из dmsetup (см. tables) + cryptsetup.
— просто_Гость (24/06/2015 15:59)   профиль/связь   <#>
комментариев: 92   документов: 0   редакций: 0
К сказанному, хотелось добавить сюда ссылку на Инструкцию
На страницу: 1, 2, 3 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3