id: Гость   вход   регистрация
текущее время 15:58 29/03/2024
Автор темы: Гость, тема открыта 20/11/2003 14:23 Печать
https://www.pgpru.com/Форум/ПрактическаяБезопасность/КриптостойкоеИУдобноеПаролированиеНаUsbFlash
создать
просмотр
ссылки

криптостойкое и удобное паролирование на usb flash = ?


Друзья,


не подскажет ли кто-нибудь, как можно решить следующую задачу:


Я ношу конфиденциальную информацию на usb flash. Поэтому хочу поставить на нее пароль. Но при этом записывать на флешку приходится в с разных компьютеров в разных организациях. Никакого специального софта ради меня никто ставить на них не будет. Стоит везде Windows, но, возможно, разных версий. Хочу установить какой-нибудь софт так, чтобы при приходе в стороннюю организацию и втыканию flash'ки в компьютер:


1. На флэшке видна только программа (мои файлы с данными не видны).
2. Если запустить программу с флэшки, она спрашивает пароль, и при
введении правильного пароля становятся видны файлы с данными.


Т.е. если я флэшку потеряю, или враг ее украдет, то максимум, что он приобретет, это программа, а файлов с данными на флэшке он не увидит.


В частности, можно ли pgp заставить работать с флэшки (чтобы не инсталлировать на каждый компьютер, с которого надо что-то переписать) ?


Спасибо.
С уважением,
Сергей Маркелов


 
На страницу: 1, 2 След.
Комментарии
— SATtva (20/11/2003 16:10)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Сергей Маркелов, в полной мере, по моему мнению, Вашему запросу удовлетворяет Steganos Portable Safe (распространяется и как отдельный продукт, и в составе Steganos Security Suite ). Эта программа позволяет создать на любом носителе контейнер наподобие PGPdisk'а, но для его открытия не требуется дополнительный софт, то есть содержимое может быть доступно на любом компьютере, куда подключен этот носитель: достаточно лишь ввести верный пароль.

Сам контейнер (и ассоциированные с ним файлы) будут видны любому постороннему, кто получит носитель в своё распоряжение, однако содержимое контейнера, зашифрованное алгоритмом AES со 128-битовым ключом, будет скрыто.

Альтернативное решение — установка на флэшку GnuPG или любой старой версии PGP (до 4.х включительно), поскольку они не требуют инсталляции. Затем туда же копируете необходимые файлы и зашифровываете их.
— Гость (23/11/2003 14:15)   <#>
Добрый день, SATtva!

Спасибо за подробный ответ! Я установил программу Steganos Portable Safe, и опробовал ее. Программа действительно не требует инсталляции на жесткий диск тех компьютеров, куда я приношу usb flash. Однако, оказалось, что на этих других компьютерах возможно только чтение файлов из Portable Safe на компьютер; положить файл с компьютера в сейф невозможно (пишет "disk is read-only").

В таком режиме тоже есть ценность; однако, к некоторым клиентам я прихожу не только отдать файлы, но и взять у них файлы. Вероятно, в этом случае нужно применять второе указанное Вами решение; не могли бы Вы более подробно объяснить, в чем оно состоит? Я попробовал скачать gpg, но не понял, как с его помощью сделать portable safe с возможностью брать/класть в него файлы на других компьютерах.

Спасибо.

С уважением,
Сергей Маркелов
— SATtva (23/11/2003 20:59)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Сергей Маркелов, насколько я помню, при размещении стеганосовского сейфа на носителе, туда же помещается инсталлятор крохотного драйвера для полного доступа к содержимому контейнера, что решает проблему "read-only". Если какую-либо организацию Вы посещаете регулярно, просто попросите установить эту софтинку (там около 300Кб всего).

GPG не позволяет создавать контейнерные файлы. Но с его помощью можно зашифровать файлы индивидуально. Понятно, что если в этом случае враг захватит флэшку, то сможет получить некоторую информацию из названий файлов (решается приданием им случайных имён), их количества и т.п., т.е. проанализировать трафик. Если такая угроза не имеет критического значения, можно в таком виде доставить файлы домой, а там с помощью Steganos перенести их в Portable Safe.
— SATtva (23/11/2003 21:37)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
... Вы, однако, должны учесть, что любой чужой компьютер априори является не заслуживающей доверия средой исполнения (untrustworthy environment). В любой из посещаемых Вами организаций могут смекнуть и поставить keylogger на компьютер, к которому подключаете флэшку, или просто вытащить всё содержимое контейнера через сеть, когда Вы монтируете его как логический диск.

Если ценность информации, которую Вы носите на флэшке, достаточно велика, что Вас всерьёз волнует её безопасность, советую приобрести КПК и носить информацию на нём, первостепенно обеспечив его физическую сохранность. Не подключайте КПК напрямую к чужому компьютеру, чтобы оставить на нём или скачать с него что-то; вместо этого переносите данные между десктопом и КПК с помощью SD-карты или чего-то подобного. Не переносите данные более одного раза за посещение. Ежедневно проверяйте КПК антивирусом. Можно ещё кучу рекомендаций привести.

Иными словами, граммотно оцените свои риски.
— Observer (24/11/2003 10:54)   профиль/связь   <#>
комментариев: 111   документов: 9   редакций: 22
[quote:43ba12d87d="Сергей Маркелов"]Друзья, не подскажет ли кто-нибудь, как можно решить следующую задачу:

]>
Компания Sony представила на выставке в Лас-Вегасе USB-устройства хранения информации Sony Micro Vault (на фото), которые позволяют переносить данные без использования дополнительных кабелей или адаптеров и подключаются непосредственно к USB-порту.

Устройства не требуют установки дополнительных драйверов и поддерживаются такими ОС, как Windows 2000/ME/XP, Mac O. S. 9.0 и выше. Продукты поставляются с программнным пакетом Security Zone, который позволяет создавать "зоны безопасности" с тем, чтобы в случае утраты устройства, помещенные в этот раздел документы не стали доступны посторонним.

Модели (их представлено 4 штуки) имеют цветовую маркировку – 16 Мбайт устройство имеет оранжевую вставку, 32 Мбайт – красную, 64 Мбайт устройство – синюю, 128 Мбайт – черную. Цены моделей составляют около 50, 90, 150 и 300 долларов соответственно.

На фото: линейка продуктов Sony Micro Vault

Подробнее по ссылке http://www.yandex.ru/yandsearc.....rad&text=Micro+Vault на поиск в Яндексе. Это устройство выпускается и как "Флэш-носители Sony Micro Vault с сканером отпечатков пальцев.", что позволяет безболезнено терять его...
— Kent (23/02/2004 16:17)   профиль/связь   <#>
комментариев: 437   документов: 30   редакций: 15
Можно использовать Dekart Private Disk Lite. На флэшке создаётся контейнер с зашифрованным диском, и туда же переносится программа (400-500 кб). На чужом компьютере программа запускается с флэшки и монтирует виртуальный диск.
— Гость (19/02/2005 21:16)   <#>
Относительно переноски данных на флешке в приватном виде.
Пока сам не юзал, но собираюсь приобрести (для переноски ключей, возможно баз паролей и т.д. – приватной инфы):
USB Flash Drives 1024mb PQI 2.0 I-Stick USB Retail, либо что-то подобное фирмы PQI. См.:
http://www.perfocard.net/index.....tion=ftext&gid=21234
Суть в следующем: на флешке два "диска"(объем изменяемый). Один публичный, второй приватный, при этом приватный становится виден только после ввода пароля.
Кое-что об установке пароля (на сегод. день спецдрайвера, по-моему не ртебуются, но это надо уточнять)
http://www.ixbt.com/storage/fl.....soft-transcend.shtml
Смотрите Transcend JetFlash небольшого объема. О самом устройстве PQI – http://www.ixbt.com/storage/fl.....ru-pqi-twinmos.shtml – конкретнее не нашел, но, имхо, примерно понятно.
Насколько сильна и т.д. такая защита реализована – отдельный вопрос (данных нет). Ессно, при этом неплохо иметь в закрытой части какой-либо "самораспаковывающийся" криптодиск либо указанные выше программы.
Хотя теперь, в свете новых данных, надо уточныть, требуются ли для привата спецдрайвера или нет.
Как узнаю поподробнее – напишу.
Кто-либо пользовался подобным? Какая-либо информация по реализации защиты в таких устройствах(пароли, протоколы и т.д.)?
— Гость (19/02/2005 21:19)   <#>
На перфокард.нет вроде бы только PQI поддерживает реализацию приватного раздела(именно на нее указали на работе), остальные похоже просто накопители.
— Гость (24/03/2005 21:14)   <#>
Опять к вопросу про шифрованную флэшку:
Задача: нужна прога которая создает раздел на флэшке, который открывается тока по паролю, при этом с флэшкой нужно гонять по разным местам , значит прога должна лежать на флешке и не требовать инсталяции...

Попробывал Стеганос сэйф 7.0.3 . Проблема с доступом на шифрованный диск, там запрет на запись, SATtva писал что там какая я то Длл должна идти которая позволяет писать на этот диск, так вот вопрос к гуру какая Длл и куда и откуда ее копировать. И можна ли просто стеганос скопировать на флэшку чтобы не инсталировать на компутере.


Далее попробывал Декарт Привэйт Диск Лайт. Он вообще не запускается если просто копировать на флэш, видимо требует инсталяции...

И последний вопрос как можна тоже самое организовать при помощи ПГП , вроде как нада копировать старую версию типа 6.5 .

Заранее всем благодарен за ценные советы!
— Kent (26/03/2005 18:39)   профиль/связь   <#>
комментариев: 437   документов: 30   редакций: 15
TrueCrypt попробуйте. Ссылки есть на форуме.
Удивляюсь, что Dekart Private Disk Lite не заработал. Точно знаю, что рабочий вариант. Сначала нужнго инсталлировать программу в систему, а потом скопировать на флэшку.
— Гость (27/03/2005 10:16)   <#>
Kent,

True Crypt заработал нормально а вот Декарт Привэйт диск лайт матюгается потом когда на другом компе с флэшки запускаешь...я правильно понял что на другом компутере не нада устанавливать программу , можна прям с флешки ее запускать ?
— Kent (28/03/2005 12:20)   профиль/связь   <#>
комментариев: 437   документов: 30   редакций: 15
На другом не надо устанавливать. Возможно, не все файлы скопировали.
Вероятно, он какие-то файлы помещает в системную директорию при установке на локальный компьютер. Точно не помню уже. Вот их бы надо отследить и также скопировать на флэшку.

Но TrueCrypt лучший вариант, в любом случае.
— Гость (08/09/2005 14:26)   <#>
Я решил для себя задачу на основе gpg. У меня есть несколько файлов с паролями, доступ к которым нужно ограничить. Решение простое: качаем дистрибутив gpg, распаковываем на флешку, и читаем help. Генерим ключ. Размещаем тоже на флехе. Пишем батники для шифрования и дешифрования конкретного файла т.е. на 1 файл 2 батника: один запускает gpg с параметрами местонахождения ключа, файла для шифрования и куда положит зашифрованный файл, а другой – аналогичный для дешифрования. Батники тоже сваливаем на флешку. При дешифровании gpg спрашивает пароль к ключу. Все!

Приемущества метода:
1. Не требует инсталяции
2. Кроссплатформенность т.е. ключи одинаковые под Windows и под Unix/Linux (под Unix/Linux скрипты и бинарники свои будут)
3. Gpg открыт и бесплатен

Недостатки
1. Метод неэфективен для большого числа файлов, в силу необходимости 2 батников на 1 файл (хотя можно, наверное, написать и более сложный батник, устраняющий этот недостаток)
2. Пароль можно перехватить кейлогером, а украсть ключ дело элементарное

И последнее. Что бы Вы не использовали: флеши со сканером отпечатка пальца (от Sony, например), шифрованный диск, раздел и т.п., подключив это дело к компу во вражеской сети и расшифровав раздел или диск (введя пароль или просто приложив палец к сканеру) знайте, что утащить Ваши данные можно ЭЛЕМЕНТАРНО через сеть зная пароль администратора домена! Какую бы защиту Вы не использовали после того как Вы расшифровали свои данные "для себя", администратор домена запросто может подмонтировать Вашу флешку к любой папке на этом же или другом ПК и скопировать содержимое Вами же расшифрованных данных. SATtva абсолютно прав!

Поэтому гораздо более надежный способ – носить их на КПК или ноуте, где нет ни кейлогеров, ни прочей заразы, которые не подключаются в чужие сети. А открытые данные можно передавать через флешку или карту памяти.

Есть вопросы? Буду рад пообщаться на параноидальные вопросы в области защиты информации :-) panoptikon (с0бака) mail.ру
— Гость (09/09/2005 21:50)   <#>
@Andy:
Зачем генерировать ключ, если шифровать самому себе?
Используйте симметричное шифрование (-c) и, если того требует задача, код выявления изменений (MDC=modification detection code, --force-mdc).
А вообще, конечно, лучший способ — КПК.
— Гость (19/09/2005 16:33)   <#>
2Д. Надь
Абсолютно верно подмечено!
Если задача только шифровать данные для себя, то лучше использовать симметричное шифрование.
Оно в книгах расписано как более безопасное, но на практике для "домашних" задач разница невелика.
Просто связку ключей я использую и для других целей и по началу было удобнее с ключами. Хотя сейчас, возможно, перейду на симметричное. Нужно посмотреть можно ли через kgpg проводить шифрование/дешифрование в симметричном режиме.
На страницу: 1, 2 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3