Kali Linux внедряет «экстренный» пароль, приводящий к полной шифрации диска
Во время последнего апдейта группа The Offensive Security Developer Team анонсировала в Kali Linux новую фичу «Emergency self-destruction of LUKS», предназначенную для шифрования всего диска, используя утилиту cryptsetup.
Если вы используете зашифрованный раздел с LVM или LUKS в Kali Linux, то вам необходимо вводить пароль во время каждой загрузки ОС — при этом происходит дешифровка вашего диска. Т.е. если ваш ноутбук будет украден — можете не беспокоиться за сохранность данных.
Теперь же вы можете использовать пароль-разрушитель, ввод которого приведет к уничтожению, а не дешифровке данных с вашего диска во время загрузки системы.
В экстренной ситуации ввод пароля-разрушителя приведет к удалению всех ключей шифрования, что приведет к полной потере доступа к данным.
Без сомнения, я, как и еще почти 3 тысячи человек, проголосовал за внедрение такой фичи, так как считаю её весьма востребованной среди хакеров и специалистов по комьютерной безопасности, использующих Kali Linux.
Правоохранительные органы многое умалчивают о своей работе. Те же АНБ или ФБР могут в любой момент «попросить» вас ввести пароль. Разумеется, вы можете отказаться, однако сотрудник может достать вас позже, задержать вас, отказать во въезде в страну или каким-либо другим образом насолить вам.
В сегодняшних реалиях шифрование диска или, по крайней мере, блокирование паролем жесткого диска видится просто необходимым. Учитывая тот факт, что существует довольно много утилит для шифрования диска, в том числе и бесплатных — BitLocker, PGPDisk, FileVault, TrueCrypt, и dm-crypt (LUKS).
Источник
Не смог добавить новость, двиг пишет, что не имею прав. Может и к лучшему, как я понял – здесь не любят копипасты, тем более с Хабра. У меня вот какой вопрос – понятное дело, что подобный "kill password" не спасет от целенаправленных проверок, т.к. вполне возможен предварительный бекап диска, да и собственно факт присутствия Kali Linux любую проверку сделает "необычной", но может быть гуру линуксоиды подскажут, как без заморочек можно подобное реализовать на десктопной системе? Ну а если ткнут носом в код репозитория Kali на данную фичу – буду очень признателен.
Спасибо за внимание.
комментариев: 9796 документов: 488 редакций: 5664
Аналоги "kill password" у нас в форуме многократно обсуждались. Скорее как бесперспективная идея, которая не выдерживает проверку принципом Керхгоффса. Т.е. разумно исходить, что противник знает, что вы будете применять эту фичу и сделает бэкап диска перед попыткой ввести пароль. Или даже потребует ввести пароль на своей системе, где этот бэкап будет примонтирован в read-only. А в случае опасений «отказа во въезде в страну», вам могут и так отказать, просто по факту того, что вы не смогли расшифровать данные. Не важно, умышленно или по причине якобы поломки или ещё каких правдоподобных уловок.
комментариев: 1079 документов: 58 редакций: 59
Ну про бекап я изначально подразумевал, а самим "kill password" заинтересовался в качестве комплексной защиты, скажем так – в зависимости от ситуации, порой ведь все бывает. Хотя непонятно, что быстрее сработает – консольный shred или подобный "kill pass".
Как вообще привязать ввод пароля к какому-то действию ДО загрузки ОСи? Ну к примеру эдакий "shred password"?
комментариев: 9796 документов: 488 редакций: 5664
Не знаю, насколько убедительным это будет на таможне.
комментариев: 1079 документов: 58 редакций: 59
Ну да, ноут на 11 месяцев изымают, трахаются с банальным трукриптом поверх винды(!) и все. Было года четыре-пять назад. С ноутом, кстати, так ничего сделать и не смогли, благо инкриминируемую статью декриминировали.
Технические детали:
А в случае опасений «отказа во въезде в страну», вам могут и так отказать, просто по факту того, что вы не смогли расшифровать данные: не важно, умышленно или по причине якобы поломки или ещё каких правдоподобных уловок, поэтому прятаться от таможни через "kill switch" — плохая идея. Для этого случая предусмотрено отрицание шифрования — другая перспективная идея, которая наталкивается на чрезвычайное сопротивление консервативных кругов в виде разработчиков LUKS.
Проблема всех решений такого типа — игра в прятки. Вначале вы надеетесь, что противник не знает про эту фичу Kali, поэтому она где-то поможет. Потом вы будете надеяться, что противник не будет внимательно изучать ваш диск, чтобы найти там подозрительные скрипты и функционал, обернув его же против вас. Доведите до ума способ шифрования с его отрицанием, и вам не потребуется играть в прятки. Нет запроса пароля и признаков, что что-то шифруется — нет проблем.
Отрицание шифрования и kill password органично дополняют друг друга: одно скрывает присутствие данных на диске, а другое закрывает возможность брутфорса пароля к ним, если эти данные всё-таки будут найдены.
Простейший научный подход — обоснованная защита, которая не полагается на незнание деталей работы схемы противником. Более сложный научный подход основывается на теории игр. Но чтобы он стал научным, у вас всё равно должна быть формализованная модель поведения вашего игрока-противника. Я сомневаюсь, что в реальной жизни такого мощного юридического игрока можно математически формализовать. Лучше не доводить ситуацию до этой стадии, просто не давая ему повода усомниться в том, что ты вы белый и пушистый.
Есть у кого-нибудь догадки по этому поводу?
Скрытая ОСь – слишком просто и всем известно.
Мне кажется, что там все хитрее.
Ты по ссылкам выше не ходили, сразу написали, да?
Ещё посмотрите в «Метод с использованием TrueCrypt — старый известный метод с рядом проблем в безопасности». Там была какая-то самопальная оригинальщина, морально и технически устаревшая.