id: Гость   вход   регистрация
текущее время 16:21 28/03/2024
Автор темы: Kolt, тема открыта 30/09/2013 14:52 Печать
Категории: криптография, приватность
https://www.pgpru.com/Форум/ПрактическаяБезопасность/ТакВсеЖеSSDДискКриптоватьПолностьюИлиНет
создать
просмотр
ссылки

Так все же SSD диск криптовать полностью или нет?


Купил себе новый SSD диск, установил в ноутбук и задался вопросом: криптовать SSD диск TrueCryptom полностью или все таки создать контейнер? Данная тема раскрывалась на форуме, но однозначного ответа так и не было дано. Я сторонник полного криптования жесткого диска, но как то стремно, боюсь через пару месяцев придется покупать новый диск. У кого какие мнения по теме? Ну и вопрос к спецам: достаточно ли будет криптануть диск алгоритмом AES для более быстрой работы или всеже использовать каскадные методы шифрования? Насколько криптостоек на сегодняшний момент алгоритм AES?


 
На страницу: 1, 2 След.
Комментарии
— Гость (30/09/2013 15:32)   <#>
Шифровать полностью, только не TrueCrypt'ом, а DiskCryptor'ом, он поддерживает трансляцию TRIM на низлежащий уровень и не убивает SSD. Доступные алгоритмы: AES, Twofish, Serpent, все три криптостойкие, выбирай какой окажется быстрее на твоем железе.
— Kolt (30/09/2013 15:55)   профиль/связь   <#>
комментариев: 6   документов: 2   редакций: 0
Посмотрел описание – прога хороша, но у меня Linux. ( А чем TrueCrypt убивает SSD ?
— SATtva (30/09/2013 16:03)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
google: trim site:pgpru.com
— Гость (30/09/2013 23:04)   <#>
установил в ноутбук
значит шифровать всю систему см. TrueCrypt User Guide.ru.pdf
криптовать полностью или создать контейнер
если шифровать всю систему, то контейнер не создашь, выбор будет между шифровать диск или создать раздел и шифровать раздел диска см. TrueCrypt User Guide.ru.pdf
сторонник полного криптования
если шифровать всю систему, то без вариантов полное
придется покупать новый
не придется, мой опыт (два SSD в RAID0)
достаточно ли алгоритмом AES
если шифровать всю систему, то AES + RIPEMD-160 без вариантов см. TrueCrypt User Guide.ru.pdf
каскадные методы шифрования
если шифровать всю систему, то они не поддерживаются
Насколько криптостоек AES
а ХЗ
но у меня Linux
шифрование всей системы поддерживается только для Windows см. TrueCrypt User Guide.ru.pdf
чем TrueCrypt убивает SSD
ничем, мой опыт
— Kolt (01/10/2013 00:39)   профиль/связь   <#>
комментариев: 6   документов: 2   редакций: 0
спасибо конечно за ответ, но не понятно почти ничего из того что вы написали: если шифровать всю систему, то без вариантов полное – это как? Зашифровать систему AES+RIPEMD-160 без вариантов значит, а каскадные методы не поддерживаются – с каких то времен они перестали поддерживаться? я всю жизнь криптовал полностью жесткий диск каскадными методами шифрования. тогда вообще ничем не шифровать с ваших слов
— Гость (01/10/2013 01:19)   <#>
Вы делали меня смеяться! Ну чего же тут не понятного. Во-первых ключевое слово во всей этой писанине TrueCrypt User Guide, замечательное чтиво. Я не прикалываюсь, там действительно все описано. Во-вторых у Вас есть один диск и один ноутбук. Но мы то знаем, что в один ноутбук помещается только один диск. А это значит на этот диск вы установите не только свою фильмотеку, но и свою систему, которую надо зашифровать полностью. А если шифровать систему трукриптом, то система должна быть только класса винды, это ограничение. При шифровании системы трукрипт каскады не поддерживает, а только AES + RIPEMD-160. Каскадом можете шифровать свою фильмотеку, но тогда придется создать для нее второй раздел. Если Вы хотите использовать Линукс, то шифруйте систему средствами Линукс.
— Гость (01/10/2013 01:30)   <#>
Касательно убийства SSD можете почитать это
Вадим Стеркин
12 мифов об оптимизации SSD, которые никогда не умрут
— Гость (01/10/2013 02:48)   <#>
И причем тут эта статья? Отсутствие TRIM приводит к быстрой деградации производительности и ускоренному износу SSD, иначе никакого TRIM'а просто бы не придумали. Если у вас в таком режиме SSD еще не умер, может вы его просто не используете? Если у вас записи гигабайт-два в сутки и на скорость пофиг вообще, тогда долго проживет. В реадонли он вообще вечный.
— Гость (01/10/2013 07:08)   <#>

Обсуждалось в окрестности /comment70444.


Система (системный раздел) не обязан занимать весь диск, поэтому нет такого факта. Другое дело — шифрование системного раздела, и с какими ОС оно совместимо. Тут, может, Гость и прав в плане того, что работает искоробки, но не знаю, сам документацию не читал.


Неправда.
— SATtva (01/10/2013 07:28)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118

Это замечание теоретического порядка. Использовать TrueCrypt на практике для шифрования системы в Linux я бы не советовал — решение нестандартное, и, если что-то пойдёт не так©, найти помощь вряд ли удастся.
— Гость (01/10/2013 07:50)   <#>

Верно, но я бы сказал так: есть то, что поддерживается искоробки (клик, клик в инсталляторе, и готово), и есть то, что надо городить руками. Если городить руками, то любое дисковое шифрование можно приспособить для шифрования системного раздела — достаточно вынести в /boot ровно тот минимум, который достаточен для работоспособности этого шифрования, и всё.
— Гость (01/10/2013 10:33)   <#>
достаточно вынести в /boot ровно тот минимум,
вы б не могли рассказать как вынести... а то чего то в инете маловато материала по шифрованию Линукса TrueCryptом. инструкций так вообще не видел.
хотя, имхо, все предельно просто шифруется штатными средствами + lvm.
— Гость (01/10/2013 10:42)   <#>
каскадные методы шифрования

если шифровать всю систему, то они не поддерживаются


на днях шифровал системный раздел – не проблема.
— Гость (01/10/2013 12:11)   <#>
Самое простое – не создавать никаких разделов, шифровать диск с системой полностью, ядро и загрузчик – на внешнем носителе. Лучше всего использовать cd, т.к. иногда нужно менять ключ шифрования диска, а cd дешёвый и его не жалко уничтожить. С флешки или hdd ключ гарантированно не стереть без разрушения устройства. Использовать в Linux можно стандартный dmcrypt, проблем с каскадами никаких. При наличии минимальных умений, luks и тем более lvm – ненужные усложнения, затрудняющие сопровождение шифрованной системы (утилиту шифрования/расшифровки ключа паролем несложно написать самому). Для расшифровки корневой фс на основном диске (в данном случае ssd) нужно модифицировать ядро на внешем носителе, добавив в правило udev расшифровку основного диска при создании соответствующего устройства. Своп можно подключить как обычный файл в зашифрованной корневой фс, т.е. раздел для него не создавать. Основной диск станет полностью нечитаем. cd нужно прятать в надёжном месте, он необходим только на этапе загрузки. Хотя без знания пароля шифрования ключа, вводимого при загрузке, он не даст расшифроваь диск. Просто само обнаружение cd может дать информацию о способе шифрования и доказательство его наличия. Ключ шифрования надёжней самому случайно набить на клавиатуре и потом хешировать.
— Гость (01/10/2013 12:34)   <#>

Про HDD-то откуда вы такой факт выудили?


Можно, но зачем, когда уже всё есть в LUKS?


Можно, но лучше так не делать.


Не пиши сюда больше, клоун.


Нет. Для себя не делал, поэтому представляю, как это сделать, только в самых общих чертах. Это не отменяет того, что если надо, то возьмусь и сделаю, как и того, что это, очевидно, можно сделать (другой вопрос — нужно ли). Сидеть и неделю ковыряться в настроках, чтобы ответить анониму на форуме, никто не будет, поэтому постигайте азы самостоятельно.
На страницу: 1, 2 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3