id: Гость   вход   регистрация
текущее время 04:54 25/11/2017
создать
просмотр
ссылки

Выбор средств шифрования для неискушенных


Добрый день,


По работе нарисовалась задача определиться с форматом и софтом для шифрования данных для передачи по неконтролируемым каналам (чужие ftp, оффлайн-доставка CD/DVD/BD и пр.). На данный момент, исходя из личного опыта, рассматриваю два решения (GnuPG и TruCrypt). Сам использую оба продукта очень давно, проблем нет, но пользоваться будут люди не очень "в теме". Само собой, будет проведено обучение и все такое, но уверен, что будут психологические трудности у людей))


Отсюда возникает вопрос, может я не те решения выбираю?


TrueCrypt – проще для всех, но есть минусы

  1. Невозможность "растянуть" контейнер, если вдруг данных станет больше. У нас нередки случаи, когда в последний момент вспоминают, что забыли еще пару сотен гигов )). Не критичный параметр, можно создать еще один контейнер, но все же..
  2. Один пароль на все. Ноу комментс.
  3. Проблема передать пароль, чтобы он не осел в чьих то записях.

GnuPG – плюсы, что у каждого свой ключ, у каждого свой пароль – все отлично. Минусы

  1. Порог вхождения высок. Первая реакция у людей – "хрень какаято, ничего не понятно, давайте архив с паролем сделаем..". Это решаемо. и больше из сфер психологии и администрирования
  2. Невозможность создавать контейнеры дисков (в PGP есть PGPDisk, тут же только tar)

Может быть, есть чтото иное с ключами от GPG, но с дисковыми конейнерами? :)


p.s. использоватся будет в linux/windows. Но если все плохо, то готовы смириться и с Windows only..
p.p.s. или не выделываться GPG и баста !?


 
Комментарии
— unknown (23/04/2014 09:30)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

В Linux практически штатно можно делать и такое. Но с вашими требованиями к порогу вхождения это трудносовместимо.
— Гость (23/04/2014 11:31)   <#>

Дисковые контейнеры — для обновляемых хранилищ. Для передачи готовых файлов есть файловое шифрование. Для симметричного шифрования есть архиватор 7z [1], команда 7za, опция -p. Этот архиватор вроде поддерживается стандартным виндоусовским rar'ом и легко ставится в Linux'е (если его ещё нет по умолчанию).

Единственная проблема — распаковка не до конца скачавшихся архивов. В rar (unrar или unrar-nonfree) для этого есть опция -kb [2], [3], в zip есть -F и -FF, а есть ли что под это дело (И нужно ли это вообще? Я не знаю, как оно работает) в 7z — без понятия. Помимо 7z можно шифровать файлы OpenSSL'ем (он должен быть под винду тоже).

Говорят (в т.ч. см. ссылки), что в rar всё шифруется нормально, но полного доверия нет. В 7z всё даже оупенсорсно, но оно не заточено под шифрование, поэтому доверия, как к GnuPG, тоже нет. Идеальный вариант в плане безопасности, как ни крути, — GnuPG. Всё остальное будет хуже, но решать вам.
— unknown (23/04/2014 11:50, исправлен 23/04/2014 11:52)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Строго говоря, противник не должен видеть несколько шифрованных на одном мастер-ключе копий одного и того же контейнера с файловой системой, если в них хоть немного отличается содержимое — данные внутри менялись. В другой формулировке: противник не должен иметь возможности наблюдать один и тот же шифрованный контейнер с файловой системой в разные моменты времени (по мере смены содержимого). Ни один из существующих режимов шифрования теоретически на такое не рассчитан.


Т.е., никаких пересылок одного и того же контейнера без полной его перешифровки при смене хоть байта содержимого, никаких удалённых хранилищ контейнеров и пр. Использовать только локально.


Поищите про упоминания multiscan на этой странице. Где-то были ещё обсуждения, хотя пока это чисто абстрактная теория. На практике, возможно, никто так ломать контейнеры и не умеет.

— Гость (23/04/2014 12:42)   <#>

Но Tahoe-LAFS как-то живёт.
— SATtva (23/04/2014 12:52)   профиль/связь   <#>
комментариев: 11514   документов: 1035   редакций: 4046
Tahoe — не дисковая файловая система. Посмотрите на её протокол.
— Гость (03/07/2014 05:53)   <#>
Может не в ту тему, но близко. Какой софт позволяет осуществить низкоуровневое шифрование в резидентным блоком работающим с любыми ОС? Чтобы был загрузчик-дешифратор и можно было поставить поверх ЛЮБУЮ ОС (любые никсы,OS/2,BeOS,старый добрый MSDOS 6.22) и желательно, чтобы загрузчик можно было поместить на внешний носитель.
DiskCryptor такое позволяет? А другие альтернативы с неменьшим уровнем шифрования, чем в DC и TrueCrypt?
— Гость (03/07/2014 18:06)   <#>
Grub2 поддерживает шифрование, но всё равно что-то, пусть даже выносимое на внешний носитель, должно оставаться нешифрованным. Чтоб grub2 шифровал всё дисковое пространство — нет такого. ОС обычно имеет полный доступ к железу, причём не через интерфейсы загрузчика, так что тут надо смотреть в сторону конвенционального FDE.


Вроде да, но только для винды.


Решение этой задачи — только через виртуалки. Ставить виртуальную машину с FDE, потом на ней можно сколько угодно гостевых сделать, которые будут грузиться уже с зашифрованного диска.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3