Невидимая шифрование уровня PGP на флешке


Здравствуйте!

Подскажите, пожалуйста, PGP-продукт или нечто схожее из криптопрограмм, отвечающее таким характеристикам:

1. Чтобы уже установленная программа не была видна (для органов). То есть они не должны знать сам факт
использования шифрования.
2. Чтобы программа могла работать на флешке автономно (я на ней планирую хранить информацию).
3. Создавала бы на флешке невидимый, замаскированный криптодиск, который нельзя было бы найти.
4. (мб бред) программа находилась бы внутри самого криптоконтейнера.

Спасибо.

Комментарии
— unknown (21/02/2011 22:12)   
п. 1,3,4 — действительно бред. Или реализуются через костыли в духе безопасность через неясность. п.3 ещё как-то туманно вызывает несбыточные мечты о практичной и стойкой стеганографии.

Но всё равно с практической точки зрения кроме второго пункта по-нормальному защита от сильного противника нереализуема в данном сценарии. Да и п.2 сомнительный — скрываем данные и там же храним программу, да ещё и оставляем возможность запускать в какой-то недоверенной среде.
Гость (21/02/2011 22:25)   
http://www.truecrypt.org/docs/.....den-operating-system[link1]
— unknown (21/02/2011 22:31)   
hidden-operating-system

невидимый, замаскированный криптодиск, который нельзя было бы найти

Почувствуйте разницу между отрицаемым шифрованием и отрицанием самого факта шифрования. Топикстартер ведь хочет второе?
Гость (22/02/2011 01:38)   
unknown ответил как математик :) Т.е. ответ абсолютно точный и правильный, но с практической (а не стратегической) точки зрения мало полезный. Читайте между строк: топикстартер нам вещает "хочу чтобы всё было зашибись", отдайте ему должное, он даже достаточно хорошо формализовал что он именно хочет, но мы то знаем... что он хочет немного не то, что он нам сказал. Он просто хочет чтобы никто не знал чем он шифрует флэшку и вообще не хочет афишировать того, что на ней какие бы то ни было данные. Я в качестве сбалансированного решения предлагаю следующее:
  1. Делаем под себя самый что ни на есть стандартный LiveCD (да пусть даже с Linux'ом или FreeBSD на борту). Любое стандартное ядро по умолчанию поддерживает ширование блочных устройств (дисковых разделов). Такой LiveCD ничем нестандартным выделять себя не будет — стандартная штука с минимальным набором тулзов для восстановления системы.
  2. Грузимся с LiveCD, и подключем криптотом с флэшки. Ряд программ шифрования дисков (флэшка — частный случай) не создают на диске никаких сигнатур. Естественно, забиваем весь том нулями. Теперь вся флэшка полностью забита случайными данными и выглядит как неотформатированная.

Никаких веских доказательств, что там именно шифрованные данные, не будет — может там кусок архива, может я мануально затёр её всю рандомом, а может просто кусок длинного видео... да и вообще, кто будет сидеть и детально исследовать на предмет того как трактовать содержимое случайного набора байт? Ну предъявят, что это высокоэнтропийные данные — и что, это доказательство для суда? Смешно же.

Дальше схема апгрейдится до уровня паранои. Можно сделать на флэшке файловую систему, потом определить границы начала/конца "шифрованного раздела" и использовать его — тогда при втыкании флэшки форенсику в зад в компьютер будет видно, что есть какая-то FAT-ФС, какие-то данные там... и что? Почву для подозрений всегда, конечно, можно найти, но не более того. Можно даже написать для себя драйвер (и поместить его в тот самый зашифрованный раздел), который будет время от времени менять содержимое файлов, время доступа к ним и т.д. на той файловой системе, но строго не будет трогать тех блоков данных, которые относятся к "кустарному скрытому разделу".

Если нужно иметь ещё какой-то зашифрованный файл, который необходимо расшифровывать имеющимися (незашированными) программами, задача решается так: создаётся 2 файла, один с шифротекстом без сигнатур, выступающий в качестве гаммы (ключа для одноразового блокнота), а из другого делается какой-то архив с якобы компрометирующими данными (пароль на вконтактик, какие-то приватные фотки и т.п.). Если что — храните эти файлы на разных носителях и говорите "это моё шифрование", если что можете даже рассказать как расшифровать :) Далее ключ одноразовго блокнота расшифровывается OpenSSL'ем, который есть в базе по умолчанию для любого UNIX, и мы получаем всё, что нам нужно: набор "компрометирующих прог", ключи, солевые файлы... да всё что угодно, что может оказаться нужным для монтирования той самой флэшки.

PROFIT?

P.S.: всё вышеописанное можно, по слухам, сделать в UNIX самыми что ни на есть стандартными тулзами. Пример с бессигнатурным шифрованием с помощью OpenSSL описан, например, здесь: /comment39520[link2].
Гость (22/02/2011 08:43)   
unknown ... ответ абсолютно точный и правильный, но с практической точки зрения мало полезный

Делаем под себя ... LiveCD ... Linux'ом или FreeBSD на борту

забиваем весь том нулями

сделать на флэшке файловую систему

определить границы начала/конца "шифрованного раздела"

написать для себя драйвер

будет время от времени менять содержимое файлов, время доступа к ним и т.д.

но строго не будет трогать тех блоков данных, которые относятся к "кустарному скрытому разделу"

один с шифротекстом без сигнатур, выступающий в качестве гаммы

храните эти файлы на разных носителях

Далее ключ одноразовго блокнота расшифровывается OpenSSL'ем

всё, что нам нужно: набор "компрометирующих прог", ключи, солевые файлы... да всё что угодно...

Чувствуете всю простоту решения для юзера? unknown! научитесь наконец ясно излагать свои мысли!
Гость (22/02/2011 08:45)   
Да, и зачет ему думаю автоматом тоже поставить можно, видно что работал весь семестр.
Гость (22/02/2011 09:29)   
Гость (22/02/2011 01:38) – описанное вами – танци с бубном вокруг флешки или, другими словами,полнейший бред.
Гость (22/02/2011 09:52)   
[off]
полнейший бред
Вот, что посеешь, то и пожнёшь[link3]...
[/off]
— unknown (22/02/2011 09:53, исправлен 22/02/2011 09:53)   
Читайте между строк: топикстартер нам вещает "хочу чтобы всё было зашибись", отдайте ему должное, он даже достаточно хорошо формализовал что он именно хочет, но мы то знаем... что он хочет немного не то, что он нам сказал.

Да, т.н. "креативный подход к пожеланиям клиента", признаюсь, даётся с трудом.

зачет ему думаю автоматом тоже поставить можно, видно что работал весь семестр.

И без зачёта далеко пойдёт — от клиентов отбоя не будет при таком умении убеждать в реализации желаний "зашибись" ;-)

Гость (22/02/2011 11:38)   
кусок архива, может я мануально затёр её всю рандомом, а может просто кусок длинного видео
А существующие распространённые форматы архивов и видео детектируются во фрагментах? Точнее говоря, там бывают куски шифрованных (высокоэнтропийных) данных, которые и надо использовать. Если уметь стандартными средствами делать xOR фрагментов носителя с точностью до байта.

полнейший бред
Вот есть люди, которые почему-то склонны недостаток своего ума относить на счёт автора читаемого ими сообщения. ;)
Гость (22/02/2011 11:46)   
Проще говоря, если вы чего-то не пояли, это не обязательно потому, что вы прочитали бред.
Гость (22/02/2011 12:03)   
кусок длинного видео
И тут вот какая штука – если там не будет шифрованных фрагментов, то пострадает "интеллектуальная собственность", а если будут, то на них можно делать надёжное стего.

зы
Надо сказать ntldr'у ;)
— unknown (22/02/2011 12:09, исправлен 22/02/2011 12:10)   
Проще говоря, если вы чего-то не пояли, это не обязательно потому, что вы прочитали бред.

После такой фразы хочется со случайным оракулом пообщаться ;-)


Назовём вышеприведённые рекомендации некоторыми практическими хитростями, несоответствующими принципу Керхгофа о полном/превосходящем знании противника в отношении устройства системы безопасности.


З. Ы. На правах очередного абсолютно бесполезного совета.

Гость (22/02/2011 12:48)   
[off]
хочется со случайным оракулом пообщаться ;-)

Если считать бредом то, что нельзя реализовать (понимание это частный случай реализации – на базе понятий воспринимающего), то хорошей моделью его будет незавершимый алгоритм, который, как известно, отличить (по записи) от завершимого алгоритмически невозможно.
Из этого, кстати, следует, что выявление троллинга – творческая задача.
[/off]
Гость (22/02/2011 13:04)   
[off]
см. также другую притчу о сеятеле[link4]
[/off]
Гость (22/02/2011 13:39)   
несоответствующими принципу Керхгофа о полном/превосходящем знании противника в отношении устройства системы безопасности.
Да что же тут не соответствуюет? ОС + Флешка с фрагментами шифрованных данных (неотличимых от псевдослучайных при отсутствии ключа) от которых утерян ключ (например оригинальное видео в защищённом формате, но с затёртым заголовком) как отличить от флешки, на которой ключ от этих псевдослучайных данных противнику неизвестен (что разрешено по принципу Kerckhoffs'а[link5]), если дешифровка производится стандартными средствами этой ОС? Только по признаку наличия остатков фильма с затёртым заголовком? Ну ведь очень широкий круг подозреваемых получается?
Гость (22/02/2011 13:42)   
Кстати, да, оригинальных видео мало... :(
Гость (22/02/2011 13:45)   
Для оправдания нужно будет ещё иметь кинокамеру...
Гость (22/02/2011 15:18)   
Гость (22/02/2011 08:43)
Давайте отдадим должное, я в /comment44799[link6] хватанул немного больше, с лихвой, чтобы "точно хватило". Если ограничиваться минимумом, то вторую часть (начиная со слов "дальше схема апгрейдится до уровня паранои...") можно не читать, и это уже будет приемлемо решать поставленную задачу, потому из ваших перечислений остаётся только

Делаем под себя ... LiveCD ... Linux'ом или FreeBSD на борту

забиваем весь том нулями

сделать на флэшке файловую систему

Для первого подойдёт большинство стандартных LiveCD, скачанных с инета. Остальные 2 пункта абсолютно стандартные и делаются руками — по команде на пункт.

Что касается
написать для себя драйвер
я не уверен то необходимо. Надо раскурить возможность определить виртуальный раздел на диске прямой адресацией по блокам. Возможно, это стандартная фича в Linux (тут unknown и SATtva бы сказали точней). Было, кстати, решение для TrueCrypt с похожими свойствами.

А существующие распространённые форматы архивов и видео детектируются во фрагментах?
Вопрос, вообще говоря, интересный. Мне думается, что нет, но надо, конечно, проверять. Во всяком случае я не знаю тулзов, которые бы по куску данных определяли (типа команды file) принадлежность его той или иной программе. Вопросы энтропии шифрованных/архивированных данных обсуждались здесь: /comment37647[link7].

Если уметь стандартными средствами делать xOR фрагментов носителя с точностью до байта.
Не обязательно стандартными, кстати. Вы ведь для этого случая не будете скрывать что
  1. Вы используете шифрование
  2. Тип шифрования — одноразовый блокнот
  3. Ключ шифрования
  4. Зашифрованные данные
Идея-то не моя, обсуждалось тут: /comment42043[link8].

И тут вот какая штука – если там не будет шифрованных фрагментов, то пострадает "интеллектуальная собственность", а если будут, то на них можно делать надёжное стего.
Я считаю, что наиболее естественно и целесообразно и проще... использовать большой архив. Наполнение архива не суть важно. А ещё есть видео, которое поставляется с шифрованием сразу (DVD), так что если вы владеете им легально, то даже и отрицать ничего не надо ("да, оно шифруется, производителем, у всех так").

Назовём вышеприведённые рекомендации некоторыми практическими хитростями, несоответствующими принципу Керхгофа о полном/превосходящем знании противника в отношении устройства системы безопасности.
Почему? Если противник не будет делать всякую экзотику типа камер слежения, атак уборщицы и т.п., то в базовой реализации (до слов "дальше схема апгрейдится") никаких доказательств по сути предъявить нельзя. Вопросы же "отведения подозрений" вообще лежат в социальной плоскости (вас могут подозревать в хакерстве лишь по самому факту установленных непонятных быдлофоренсику программ в винде, про Linux я даже не заикаюсь) и потому не очень конструктивны. Можно даже сделать вдобавок нормальную ОС, без шифрования, предъявлять её, пользоваться иногда ей... и говорить, что LiveCD существует исключительно для крэш-восстановлений. Но это всё так.. пустые философтсвования, и если такой караул и впрямь случится в жизни, то, конечно, ничего вообще говорить не надо: золотое правило: нет обвинения, нет доказательств — значит не надо свидетельствовать против себя и самооправдываться.

Если считать бредом то, что нельзя реализовать (понимание это частный случай реализации – на базе понятий воспринимающего), то хорошей моделью его будет незавершимый алгоритм
А также любая безопасность, ибо она тоже незавершима (безопасность — это процесс, а не свершившийся факт). Значит, (информационная, настоящая) безопасность — это бред, и её не существует. Quod erat demonstrandum :D) Всё сходится.

Да что же тут не соответствуюет? ОС + Флешка с фрагментами шифрованных данных (неотличимых от псевдослучайных при отсутствии ключа) от которых утерян ключ
Кстати, это тоже мысль. Можно просто забить флэшку какими-то разумными некомпрометирующими данными. Потом объявить её (для ОС) крипторазделом и писать туда шифрованные данные. Это точно не приводит к полному её перезаписыванию, т.к. форматирование шифрованного раздела лишь перепишет несколько блоков на этой флэшке (приведёт к нескольким испорченным файлам). Ну и далее... чем полней флэшка заполнена шифрованными данными, тем меньше в ней будет "остаточных сингатур", свидетельствующих о том, что это "якобы просто битая файловая система". Тут, правда, есть одна тонкость. При форматировании ФС надо разобраться какие именно блоки данных будут переписываться, а то может есть довольно точная эвристика чтобы утверждать, что "блоки побились не случайно, а порождены созданием там новой ФС".
Гость (22/02/2011 15:25)   
Вдогонку. Поднятая тема стара как этот мир, и регулярно всплывает здесь столько, сколько существует сам сайт. Пора собраться с силами, всё систематизировать и добавить в FAQ. Кто не постоянный читатель (не только по Мигелю, а и вообще) и заинтересовался, может воспользоваться поиском по ключевым словам: plausible deniability, отрицаемое шифрование, стегоОС, стеганографическая защита (добавляете к искомому в скругле приписку site:pgpru.com и наслаждаетесь результатами).
Гость (22/02/2011 15:58)   
Никаких веских доказательств, что там именно шифрованные данные, не будет — может там кусок архива, может я мануально затёр её всю рандомом, а может просто кусок длинного видео...
Да, это может нарушать принцип Кирхгофа, и unknown, возможно имел в виду именно это (следует из /comment37647[link7]). Кстати, там в топике так никто и не дал примеров подобных программ, и существуют ли они хотя бы как пакеты для форенсик-решений не ясно. Т.е. до какой степени вся эта теория заземляется без практических демонстраций... остаются сомнения. С другой стороны, можно говорить "были шифрованный данные, потом потерял ключ" или ещё что-нибудь в этом роде и т.д. Возможно, даже если очень дорогостоящая экспертиза подтвредит, что с 80% вероятностью том есть используемый криптораздел, вряд ли этим будет заморачиваться следствие, и тем более это не может само по себе быть фактом обвинения.
Гость (22/02/2011 17:07)   

Признаться, не почувствовал. Разъясните?
— unknown (22/02/2011 17:39, исправлен 22/02/2011 17:45)   

Отрицаемое шифрование:


-- У вас зашифровано?
-- Да, Вы же сами видите, вот программы, вот зашифрованный раздел :-(
-- Отдайте ключ, а не то хуже будет!
-- Вот ключ/пароль: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
-- Вы отрицаете наличие других паролей для скрытых криптоконтейнеров внутри этого?
-- Вот ещё парочка {yyyy...y}, {zzz...z}. Больше ничего там нет, вы всё видели, мамой клянусь!


Отрицание шифрования:


-- У вас зашифровано?
-- Нет, я про такие вещи даже не знаю, как это всё делается.
-- У вас установлены какие-либо програмы шифрования? Вы использовали специальные средства для сокрытия данных на этой флэшке? Говорите, а не то хуже будет!
-- Ничего там нет, вы всё видели, мамой клянусь!


Если ТС хочет второго, то таких криптопротоколов ещё не изобрели, хотя решение наколенке без формального обоснования стойкости сделать можно, что в данной теме и пытаются. Типа — да фигня это, а не сложнейшая теоретическая задача. "Профессор конечно лопух", но когда какой-нибудь форенсик реально раскурочит это хакерское творчество, кому-то будет очень неуютно.

Гость (22/02/2011 18:12)   
Вот предположим что само по себе наличие фрагментов случайных данных – обычное дело, не вызывающее подозрений. Почему тогда нельзя отрицать сам факт шифрования, если расшифровка производится стандартными средствами ОС? Что тут нужно формально доказывать?
Гость (22/02/2011 18:15)   
Типа — да фигня это, а не сложнейшая теоретическая задача. "Профессор конечно лопух", но когда какой-нибудь форенсик реально раскурочит это хакерское творчество, кому-то будет очень неуютно.

Ну дык... человек хочет получить решение. Идеальных решений нет. Можно всю жизнь ждать когда криптографы изобретут идеальный продукт, а можно что-то собрать самому — пусть не идеальное, но довольно-таки надёжное на фоне остальных. Никто не будет ломать жлезеный замок (а его можно сломать), если рядом дверь просто открытая настежь. Вы понимаете о чём я? ИБ — не только криптография, это же прежде всего экономика и управление рисками. Конечно, всегда есть возможность, что реализуется маловероятный сценарий, но в жизни она есть всегда. Вас может машина на дороге сбить — что теперь, и по дорогам не ходить? Причём там часто всё зависит от благонадёжности водителя а не вас. Криптография и доказуемая безопасность — идеалы, на которые нужно ориентироваться, к которым нужно стремиться, но если для решения поставленной задачи не хватает уже созданных инструментов, ничего не остаётся, кроме как что-то изобретать самому. Вот вы, unknown, только негативные стороны видете, но есть и обратный сценарий: описанная схема станет распространённой => какой-то форенсик её раскрутит => в интернетах и прессе поднимается срач => появится внимание к проблеме со стороны криптологического сообщества => в итоге задача получит какое-никакое, но уже академическое решение => profit.
Гость (22/02/2011 18:24)   
наиболее естественно и целесообразно и проще... использовать большой архив
Вот в 7-zip, одном из самых распространённых архиваторов есть встроенное шифрование алгоритмом AES. Кто нибудь наконец удосужится посмотреть в его открытых исходниках, как он хранит зашифрованные данные, где там лежат контрольные суммы и прочее, что надо затереть для возможности безопасного изменения псевдослучайных данных?
Гость (22/02/2011 19:02)   
"Профессор конечно лопух", но когда какой-нибудь форенсик реально раскурочит это хакерское творчество, кому-то будет очень неуютно.
А что, отрицаемое шифрование (в вами употреблённом смысле) в TrueCrypt получило поддержку академического сообщества, можно почитать научные статьи с обоснованием доказательства невзламываемости такой схемы? Что ж тогда (конечно, всё это можно списать на тех.детали реализации, но тем не менее) регулярно публикуются новости о том, что скрытые тома трукрпт на самом деле не такие-то и скрытые?
Гость (22/02/2011 19:12)   
Читаю и поражаюсь. Детский сад...
unknown-ну пожелаю терпения.

Чесно говоря, самому нету уже сил разжевывать каждому, кто неудосужился прочитать хоть одну книгу и предлагающему "панацеи", простые вещи.
Гость (22/02/2011 19:33)   
самому нету уже сил разжевывать
Ну хоть бы намекнули... :)
Гость (22/02/2011 20:08)   
Отрицание шифрования:
— У вас зашифровано?
— Нет, я про такие вещи даже не знаю, как это всё делается.

Требуется то не отрицание шифрования, а "отрицание своей причастности к (возможно присутствующему) шифрованию".

А на вопрос, откуда у вас на флэшке остатки зашифрованного 7zip можно сказать типа "да вот скачал уже не помню откуда, а он пароль какой-то потребовал, ну я его и удалил..."

Ну даже допустим детский сад. Ну предложите чего нибудь лучше! Вот Tor тоже не панацея, и тем не менее обсуждается, и вродн лучше пока ничего нет...
— unknown (22/02/2011 20:55)   
Отрицаемое шифрование было изобретено R. Canetti, C. Dwork, M. Naor, R. Ostrovsky в 1996 году и впервые широко представлено на CRYPTO'97. Ими была предложена модель полиномиальной отрицаемости.

Правда они рассматривали электронную почту и многосторонние вычисления под принуждением.

http://eprint.iacr.org/1996/002

Исследования с тех пор так и идут, теоретически задача далека от завершения.
Первой практической реализацией дискового отрицаемого шифрования был давно умерший проект с набором модулей для ядра Linux и соответствующих утилит Rubberhose[link9] (авторы Julian Assange, Ralf P. Weinmann и Suelette Dreyfus), но решение было не академическим, а скорее шифрпанковским. Truecrypt заимствовал свои идеи вероятно оттуда.

Стойкого доверяемого протокола даже для отрицаемого шифрования также неизвестно. Это область так и остаётся малоисследованной.
— unknown (22/02/2011 21:00, исправлен 22/02/2011 21:05)   

С отрицаемостью даже причастности к шифрованию (в отличие от отрицаемого шифрования) всё ещё хуже.


на вопрос, откуда у вас на флэшке остатки зашифрованного 7zip можно сказать типа "да вот скачал уже не помню откуда, а он пароль какой-то потребовал, ну я его и удалил..."

"Невиноватая я, он сам пришёл".


Так вот всё и сводится к набору костылей и разной степени убедительности отмазок, которые один раз прокатят и которые каждый должен придумывать для себя сам, а там — как повезёт. Но они не смогут быть использованы под копирку, скажем, группой из n человек. В отличие от упомянутого "неидеально анонимного" Tor.

Гость (22/02/2011 21:37)   
описанное вами – танци с бубном вокруг флешки или, другими словами,полнейший бред.

Читаю и поражаюсь. Детский сад...
unknown-ну пожелаю терпения.

Чесно говоря, самому нету уже сил разжевывать каждому, кто неудосужился прочитать хоть одну книгу и предлагающему "панацеи", простые вещи.

Ахутнг! Форенсики уже в треде! Уважаемый, в смысле уставший разжёвывать, приведите ссылку хотя бы на одно ваше "разжёвывание" на этом сайте. Может вам это... лучше пойти инфовоч погрызть?

решение было не академическим, а скорее шифрпанковским
Глобально говоря, со времён Белл Лабса и Беркли уже всё шифрпанковское. Проприетарщики породили кое-какие концепты/протоколы, но в общем и целом весь современный юникс — это костыли костылей 1000ых порядков, которые тебе из-за проблемы совместимости могут продолжать давить ещё десятилетями на всех. Дисковое шифрование тоже было прикручено ad hoc'ом, поверх существующих интерфейсов, и, как вы, unknown, писали, так же далеко до академического уровня (блоки не перешифровываются?). Ну дак что теперь, отказаться от дискового шифрования?

Так вот всё и сводится к набору костылей и разной степени убедительности отмазок, которые один раз прокатят и которые каждый должен придумывать для себя сам, а там — как повезёт. Но они не смогут быть использованы под копирку, скажем, группой из n человек.
Да, это верно, но не вся правда. Отрицаемость = есть отмазки. Одни и те же отмазки не могут быть применимыми к любому наперёд заданному лицу, т.к. у всех разный род деятельности, разная работа, обстоятельства и т.д. Может быть кто-то скажет "я профессинально занимаюсь безопасностью, пишу академические работы на эту тему", и это будет вполне логичным объяснением его увлечению криптографией, но такую же линию не выдвенет условная продавщица Валя.

В отличие от упомянутого "неидеально анонимного" Tor.
У Tor'а степень правдоподобной отрицаемости его целевого криминального использования нулевая. Tor живёт и здравствует за счёт того, что не ходят по домам, не вызывают на допросы (зачем вы используете Tor?), не ставят массово жучки в помещениях... А вот представьте себе, что вы на допросе должны внятно объяснить зачем вы используете Tor. Подумайте, насколько естественным и правдоподобным будет выглядеть такое объяснение. И там, да, та же проблема:
они не смогут быть использованы под копирку, скажем, группой из n человек
— unknown (22/02/2011 22:02, исправлен 22/02/2011 22:12)   
У Tor'а степень правдоподобной отрицаемости его целевого криминального использования нулевая.

Да ну, что вы, товарищ следователь! Просто интерес к программкам всяким, многие сейчас этим увлекаются.


Tor здесь слегка оффтопик — можно дискутировать отдельной темой, нужна ли ему отрицаемость вообще, если в стране нет жёсткой цензуры интернета. А в мирное время вообще дремучесть в области личных прав преодолевается и эти программы используют довольно широко, поэтому и отмазки не нужны.


Согласен, "Отрицаемость = есть отмазки", в случае чего, они также будут индивидуальными и разной степени правдоподобности. Проблема "отрицаемости использования" — общая.


Ну скажет что-нибудь: "использовала Tor для поиска клиентов по оказанию интим-услуг, да признаюсь. И, стыдно сказать, товарищ следователь, жёстким чёрным оккультизмом интересуюсь. Ходили слухи, что это всё запретят, а в блоге прочитала про ентот Тор и вот поставила. А на митинги оппозиции не ходила, не было такого. И программой вооружённой борьбы не интересовалась. Отрицаю!"

Гость (22/02/2011 22:44)   

Чесно говоря, самому нету уже сил разжевывать каждому, кто неудосужился прочитать хоть одну книгу и предлагающему "панацеи", простые вещи.

Ахутнг! Форенсики уже в треде! Уважаемый, в смысле уставший разжёвывать, приведите ссылку хотя бы на одно ваше "разжёвывание" на этом сайте. Может вам это... лучше пойти инфовоч погрызть?

А я скрываю это? pgpru читают разные люди.
И я должн учить вас?
Уж как попадёте к нам (милости просим :D ), вот тогда и посмотрим насколько "надежна" ваша параноидальная система.
Гость (22/02/2011 23:07)   
А я скрываю это?
Ну, раз пишете под гостем, похоже что скрываете
И я должн учить вас?
Если вы устали разжевывать не здесь, приведите хоть одну ссылку туда, где вы это делали. Или хотя бы не вы, а то есть подозрение что вы вообще "не в теме" ;)
Гость (22/02/2011 23:35)   
Стойкого доверяемого протокола даже для отрицаемого шифрования также неизвестно
А то, что предложено в /Comment42043[link8]? Или имеется ввиду, что и для обычного шифрования стойкого доверяемого протокола также неизвестно?
И также неизвестно, отличимы ли зашифрованные данные от случайного оракула?
Тем не менее, эта неизвестность не мешает большинству пользоваться существующими шифрами. Почему бы в той же степени не доверять отрицаемому шифрованию?
— unknown (22/02/2011 23:49)   

Одноразовый блокнот обладает отрицаемостью, если скрывать шифртекст в ключе. Это общеизвестно. Также как общеизвестно теперь и то, что кроме как для сокрытия эту схему с четырьмя файлами на одноразовых блокнотах никто городить не будет.
Для какого именно обычного? Дискового? Ряд нерешённых теоретических проблем есть, но они несущественны. Обсуждалось в комментах к FAQ.
Гость (22/02/2011 23:51)   
pgpru читают разные люди.
И я должн учить вас?
Это называется "безопасность через неясность" :) и не приветствуется на этом сайте, который по сути – просветительский. И вера в "орден рыцарей плаща и кинжала без страха и упрёка" – наивна. Говоря вашими словами, "детский сад" представлений о должном общественном устройстве.
Гость (23/02/2011 00:06)   
общеизвестно теперь и то, что кроме как для сокрытия эту схему с четырьмя файлами на одноразовых блокнотах никто городить не будет.
Ну там дальше есть /comment42052[link10]. Всё-таки что-то...

И вот всё таки может ответите, при условии, что правильно зашифрованные данные на практике неотличимы от случайного оракула и, допустим, что наличие псевдослучайных данных не вызывает подозрений (и уборщицы нет в доме :), вот при этих условиях чем отрицаемое шифрование (по типу FreeOTFE например) хуже обычного дискового?
— unknown (23/02/2011 00:50)   


Слишком уж мало этого что-то. Вопрос этот уже исследовалася и нами обсуждался[link11].

Не встречал работ с внятной формализацией этого протокола. Если протокол плохо формализуется это как бы плохо с теоретической точки зрения.
Гость (23/02/2011 01:26)   
Ну конкретно FreeOTFE просто пишет по вводимому пользователем (вместе с паролем) смещению бессигнатурный сегмент зашифрованной информации, который и является скрытым контейнером. Скрыт он будет конечно при условии что носитель неотличим от псевдослучайного. И таких контейнеров может быть сколько угодно, в отличии TC, в котором он только один и растёт с конца навстречу открытому. Какая тут нужна формализация и в чём затруднения – непонятно.
Гость (23/02/2011 01:38)   
И вот возможно ли воспрепятствовать подобной практике отрицаемого шифрования например объявив псевдослучайные данные лицензионными (или ещё как), при этом не снижая недопустимым образом эффективность всей компьютерной отрасли?
Гость (23/02/2011 03:20)   
Также как общеизвестно теперь и то, что кроме как для сокрытия эту схему с четырьмя файлами на одноразовых блокнотах никто городить не будет.
Поясните, зачем нужны именно 4 файла? А если сделать 2, один — AES-шифротекст без сигнатур, используемый как ключ для одноразового блокнота, а другой — шифротекст для одноразового блокнота. Хранить для убедительности их можно в разных местах. Кстати, реально такое может понадобиться только для сокрытия "концов", от которых надо раскручивать, т.е. для двухфакторной аутентификации, например. Иначе говоря, речь идёт об сравнительно коротком наборе байтов и наиболее удачной их маскировке. В конце концов, удалённые файлы с FAT восстаналиваются элементарно: можно без всяких одноразовых блокнотов записать туда такой файл, а потом стереть его, запомнить длину и оффсет. Далее файл извлекается в mfs с помощью dd указывая offset и число блоков. Вот и всё. Понятно, что примеров масса. Затерять на обычной флэшке 128 байт так, чтобы уметь их потом восстанавливать стандартными встроенными средствами — дело не особо хитрое :)

И вот всё таки может ответите, при условии, что правильно зашифрованные данные на практике неотличимы от случайного оракула и, допустим, что наличие псевдослучайных данных не вызывает подозрений (и уборщицы нет в доме :), вот при этих условиях чем отрицаемое шифрование (по типу FreeOTFE например) хуже обычного дискового?
/comment43000[link12], /comment5938[link13] (тут же и про критику FreeOTFE смотрите).

И также неизвестно, отличимы ли зашифрованные данные от случайного оракула?
Тем не менее, эта неизвестность не мешает большинству пользоваться существующими шифрами. Почему бы в той же степени не доверять отрицаемому шифрованию?
С чисто психологической точки зрения отрицаемость скрытых контейнеров TC будет намного правдоподобней, чем отрицаемость многогигабайтных данных, зашифрованных одноразовым блокнотом, но даже тут можно много что навыдумывать: сказать что вы параноик, не доверяете криптографии, и считаете единственным наджным шифром одноразовый блокнот (что общеизвестно и даже описано в википедии). Многие пишут наколеночные самодельные кустарные проги для шифрования, а кто-то их даже использует, на что Шнайер не перестаёт ругаться. На фоне всего такого парочка мелких файлов с одноразовым блокнотом, запрятанных куда поглубже...

И я должн учить вас?
Вы первый начали
самому нету уже сил разжевывать каждому
За язык вас никто не тянул. Решил вставить "умное слово" — обоснуй.
Уж как попадёте к нам (милости просим :D ), вот тогда и посмотрим насколько "надежна" ваша параноидальная система.
Увы, к вам "попадает" не та категория, которая вдумчиво читает этот сайт, а та серая масса ламеров, которые ничего не понимают (и не хотят понимать) вообще, что и объясняет, почему "среди говна вы все поэты, среди поэтов вы говно". Другими словами говоря, сам факт попадания в лапы форенсику уже на 99% есть следствие наплевательского отношения к своей защите, что ещё больше подогревает уверение форенсиков в том, что "всё ломается", и "никто кроме них ничего не знает как надо делать".

Одно из мнений по форенсике уже озвучивалось в /comment36078[link14]. Ну трудно найти в интернете клоаки обитания этих форенсиков. На их форумах тоже народ интересуется как шифровать диски и почему всё ломается. Ответы в стиле "у нас есть такие самолёты... но мы их вам не покажем!". Кстати, ответ не настолько глупый, насколько с первого взгляда кажется. Действительно, даже здесь (на pgpru) критикуется шифрпанковский подход, говорится о нарушении принципа Крхгофа и т.д., но(!) если вы посмотрите на форензику в целом (книги по судебной экспертизе и криминалистическому анализу в открытом доступе — читайте), она производит совсем удручающее впечатление, даже на фоне шифрпанков. Вот есть у них какой-то "секрет" (как у гаишников секрет воспользоваться нелегитимным отсутствием знаков на повороте и ловить всех, кто невольно попадёт в капкан), а после его обнародования они остаются вообще ни с чем. После длительных обсуждений в ряде форенсик-тредов было наконец озвучено:
  1. Не надо ломать шифрованные криптогразделы, т.к. гном создаёт эскизы (thumbonails, я так понял) во временных нешифрованных разделах, по которым можно судить что есть внутри.
  2. Мак-адрес винда жёстко (зачем?) прописывает как параметр файловой системы (NTFS).
Что будет делать форенсик если речь идёт о fluxbox, а не KDE и/или GNOME, либо о полнодисковом шифровании — не озвучивается, либо неясно намекается что таких клиентов у них не бывает, что и требовалось доказать.

Далее... что касается статей по самой форензике. Довольно скучная вещь. Ну описывает какой-то "спец" как загрузить на машину свои версии утилит, чтобы сделать копии нужных файлов с загруженной ОС когда есть к ней доступ (что делать когда экран заблокирован — не объясняется), или с выключенной машины, если ФС не шифровалась (что делать если шифровалась — не озвучивается). Ну и плюс масса тонкостей как это грамотно юридически и технически оформить в виде отчёта, т.е. масса лабуды которая защитнику информации вообще неинтересна (раз информация есть в открытом доступе, значит она уже в чужих руках — что интересного в составлении автоматизированных отчётов по ней?). Мир бандитский (а в органы идут для лишь ради легитимной реализации своих властныхбандитских наклонностей, т.е. по уму по желанию в органы вообще брать были бы не должны) живёт по своим правилам: пишут в протоколах не то, что говорит подозреваемый и свидетель, явно и нагло нарушают все нормы, запугивают... самый обычный бандитизм. При таком подходе говорить о форензике вообще тупо: раз противодействия противоправнм действиям (с точки зрения) закона подозреваемый оказать не может, делать можно что хочешь: хоть записать на носитель свои файлы и сказать "это его", ну а на досуге, где напрягаться не надо, можно и поиграть в "бравых рыцарей, одним махом раскалывающих любое шифрование". К тому же уровень большинства форензиковых статей таков, будто 95% их процентов не обладают даже самой общей компьютерной грамотностью, и всё это ещё более смотрится смешным на фоне ряда редко проскальзывающих интервью с высокопоставленными лицами по линии МВД/Интерпола, где говорится, что в современная компьютерной (да и вообще высокотехнологичной) преступности "работают" специалисты высочайшего класса, и потому бороться с ними крайне затруднительно (в отличие от домохозяек, они ещё и всесторонне мотивированы к самообучению).

Я напоминаю ещё раз для тех, кто забыл: обсуждение маскировки шифрованного раздела на флэшке выходит далеко за рамки программы-минимум, в том числе для топикстартера.
Гость (23/02/2011 03:24)   
Ну конкретно FreeOTFE просто пишет по вводимому пользователем (вместе с паролем) смещению бессигнатурный сегмент зашифрованной информации, который и является скрытым контейнером. Скрыт он будет конечно при условии что носитель неотличим от псевдослучайного. И таких контейнеров может быть сколько угодно, в отличии TC, в котором он только один и растёт с конца навстречу открытому. Какая тут нужна формализация и в чём затруднения – непонятно.
В /comment5938[link13] топике говорится о том, что программа писалась на Delphi. Даже если идея здравая, я бы не стал доверять тому, кто решил такое писать на Delphi, это нездорово, и слишком подрывает моё доверие к нему как к специалисту, тем более сейчас (но писать на Delphi было не адекватно уже и тогда).
Гость (23/02/2011 03:37)   
воспрепятствовать подобной практике отрицаемого шифрования например объявив псевдослучайные данные лицензионными
Нет, это бред, никак не соответствующий текущему законодательству о патентах, лицензировании и т.д. Звучит так же, как "запатентовать алфавит".
Гость (23/02/2011 17:51)   
Ещё один способ упрятать файл: по оффсету в большой длинный видео-файл где-то посередине записывается бессигнатурный шифротекст небольшой длины. Остаётся только запомнить оффсет (это число) и сколько байт считать. Со стороны будет выглядеть как обычный битый видео-файл, случайно прерывающийся при проигрывании (а может и не прерывающийся?) на n-ой секунде, что довольно-таки часто бывает и без извращений с видео-файлами.
Гость (23/02/2011 20:39)   
не соответствующий текущему законодательству о патентах
Я не про текушее законодательство, а в принципе: можно ли придумать такие технические решения и принять такие законы, что-бы с одной стороны можно было бы контролировать высокоэнтропийные данные, а с другой это не понизило бы критическим образом эффективность отрасли.
— unknown (23/02/2011 21:39)   
С таким же успехом можно предлагать запретить всё неупорядоченное, хаотичное и непонятное. Бред вот тоже в глобальном порядке нельзя запретить. Вдруг это непонятные кому-то умные мысли? Так законодатели сами себя затроллят.

Даже если в королевстве абсурда что-то такое представить, то такие высокоэнтропийные данные можно перемешать с низкоэнтропийными.

это не понизило бы критическим образом эффективность отрасли.

Законодательный идиотизм и так только этим и занимается.
Гость (24/02/2011 07:36)   
Ну скажет что-нибудь: "использовала Tor для поиска клиентов по оказанию интим-услуг, да признаюсь.

Подбробности пожалуйста: где, когда, с кем и как? Ах, нет подробностей...

И, стыдно сказать, товарищ следователь, жёстким чёрным оккультизмом интересуюсь

Назовите сходу парочку сайтов по этой теме. Гугл? А конкретней? Вы же интересовались.

Ходили слухи, что это всё запретят

Где, когда, от кого слышали? Ах, не помните...

а в блоге прочитала про ентот Тор

В каком блоге? Не помните адрес, так скажите о чём еще там писали, чтобы мы могли его найти. Ах, опять ничего не помните...

А на митинги оппозиции не ходила

Ваши подруги Маша, Даша и Наташа на третьем часу пятого допроса утверждали иначе.

И программой вооружённой борьбы не интересовалась.

А откуда вы вообще такие слова знаете? Не поделитесь источником? А может нам спросить вашу маму?


Все подобные отмазки раскалываются следователем на счет "раз". Любой следователь имеет в 100500 раз больше жизненного опыта отмазок нежели вы. Вы не сможете его обмануть, не по зубам это простому смертному. Вам остаётся только молчать, терпеть и надеяться что с воли вам помогут. А не помогут, так есть за вами вина или нет – уже неважно, вы пропащий человек.
— SATtva (24/02/2011 09:15)   
Ваши подруги Маша, Даша и Наташа на третьем часу пятого допроса утверждали иначе.

Кстати, для суда это будет самый железный аргумент.
— unknown (24/02/2011 12:13, исправлен 24/02/2011 12:18)   

Продавщица Валя ничего не будет выдумывать, раскроет часть реальных фактов из своей жизни, ну чего там ближе к уровню продавщицы, которой есть что скрывать, но что не является криминалом. На самом деле занималась — не вру, вот адреса, там могут подтвердить. И то усердствовать смысла нет — а то и это пришьют. Отрицать будет только предъявленные обвинения (а не выдуманные ею самой — чтобы не было вопросов "откуда про это знаете?"). Верить ли ей в стандартную уловку с расколовшимися подельницами (как и в тысячи других)-- ей решать. Так же как и до какого уровня стоит высовываться или нагнетать ситуацию, если ей за это что-то светит.

А вот представьте себе, что вы на допросе должны внятно объяснить зачем вы используете Tor. Подумайте, насколько естественным и правдоподобным будет выглядеть такое объяснение.

А это не нужно вообще. Поставил пользователь и считает, что пользоваться такой-то программой естественно и правдоподобно. Все вопросы будут или чтобы заставить его врать и поймать на этом, или оказывать давление, запугивание, хотя-бы смутить для начала: "Ну вы ведь сами не верите, что честному человеку есть, что скрывать и т.д." и добиться в итоге самообвинения (другие более жёсткие методы оставим за скобками).

Tor живёт и здравствует за счёт того, что не ходят по домам, не вызывают на допросы (зачем вы используете Tor?), не ставят массово жучки в помещениях...

Даже в Иране или Китае это как-то не наблюдается. И блокируют его там не очень активно, а используют заметно. В критических случаях (напряжённые выборы, волнения) скорее всего будут просто выключать интернет или его сегменты.


Вот если какие-то целенаправленные хвосты от манипуляций со скрываемой криптографией вылезут, это IMHO хуже. "Если вы используете криптографию, то почему вы это ещё и скрываете?" — конечно будет тоже вопрос ни о чём. Но в контексте какого-то расследования может быть истолкован как какое-то косвенное свидетельство.


Вам остаётся только молчать, терпеть и надеяться что с воли вам помогут.

Так это и правильно. В любом случае.

Гость (24/02/2011 13:38)   
Подбробности пожалуйста: где, когда, с кем и как? Ах, нет подробностей...
Вы не назовёте сходу ни одного сайта по поиску интим-услуг? Я назову, хотя их услугами не пользуюсь.
Где, когда, от кого слышали? Ах, не помните...
Да любой форум, где есть параноики сканает. Называешь лор и не ошибёшься. Товарищ следователь тут же полезет в гугл искать тот самый пост? Да товарищ следователь вообще в компьютерных делах не особо смышлён, чтобы задавать такие вопросы в режиме реального времени: он их будет ставить эксперту, а эксперт на них оффлайново потом официально ответит.
В каком блоге? Не помните адрес, так скажите о чём еще там писали, чтобы мы могли его найти. Ах, опять ничего не помните...
Ну если человек использует Tor, откуда-то он про его существование узнал. Тут вообще широкий выбор что сказать. Я вот, честно говорю, впервые узнал не отсюда, а прочитав один пост на лоре 5 лет назад.

Понятно, что продавщица должна говорить о том, что ей близко и не выдумывать аргументы, дискутировать на тему которых она не умеет. Проще говоря, не надо врать — это сильно упрощает задачу, надо говорить правду и только правду, но не всю правду. Да даже и скрытие факта шифрования хоть и может служить дополнительной уликой, напрямую на него ответить тоже элементарно. Скрывается за тем же, за чем скрывается и шифруемая и информация, "имею полное право на частную жизнь", а ваши претензии "почему шифруете" — вопрос рода "почему не поставили себе жучок и видеокамеру в доме и не транслируете видео в интернет". А ещё "почему не носите с собой постоянно включённый диктофон, записи с которого ежедневно не выкладываете в сеть". "Следователь" разводит чела как гоп разводит лоха — способы в точности те же. Надо не бояться и отвечать по существу. Если видишь, что вопрос вообще левый, так и говорить, как судья на процессе "он не по существу и не относится к рассматриваемому делу, отклонить". Чё все к следователю привязались, это же самое и уличные менты делают: чё делаешь, куда идёшь, зачем приехал, где живёшь, где регистрация и пошло поехало. Лох, конечно, побоится у него спросить удостоверение, записать фамилию, напомнить что по конституции у него свобода передвижения по стране, а Москва не включена в список режимных объектов... чем мент нагло и пользуется. В общем, чё бандитов обсуждать.
— unknown (24/02/2011 14:15)   
[off]
Методы ведения допроса примерно одинаковые в полиции любой страны. Уровень нарушения прав конечно разный. Мысль как о потенциальных бандитах понятна, если это разумное допущение (с разумно высоким уровнем вероятности), а не "оскорбление" или "разжигание".
Вот как-бы ничё. Но и нагнетать ситуацию лишний раз не нужно. И над форенсиками смеяться — им может чьё-то дело вообще по-барабану и особого рвения они проявлять не будут, а может и наоборот (как заставят), но зачем эта бравада, вызовы? Взвешенный, спокойный подход должен быть. А то вот так "оскорбление представителя власти" вырвется в неподходящий момент.
Вообще по этим вопросам консультируют адвокаты (там свои конечно тонкости, но это тема уже выходит за рамки ИБ-ресурса).
[/off]
Гость (24/02/2011 16:06)   
Да, мрачную картину вы тут нарисовали. Может действительно лучше обсуждать не предполагаемые действия властей, а только сами технологии информационной безопасности? Есть такая фамилия Ходорковский, есть фамилия Лебедев, есть человек похожий на Генерального прокурора, а еще есть видео с Шендеровичем, Лимоновым, Киселевым и все это было не только отснято, но и показано по ЦТ. Зачем эти методы обсуждать. Бессмысленно имхо.
Гость (24/02/2011 16:50)   
Есть такая фамилия Ходорковский, есть фамилия Лебедев, есть человек похожий на Генерального прокурора, а еще есть видео с Шендеровичем, Лимоновым, Киселевым и все это было не только отснято, но и показано по ЦТ.
Действительно, давайте не будем здесь обсуждать воров, из которых средства массовой информации типа newsru, которыми владеет ещё один вор — Гусинский, делают "мучеников режима". Вот это будет точно не по теме, так что всецело поддерживаю
лучше обсуждать не предполагаемые действия властей, а только сами технологии информационной безопасности
Гость (24/02/2011 21:21)   
Вы не назовёте сходу ни одного сайта по поиску интим-услуг?

Не назову. Видать сказывается наличие девушки.

Товарищ следователь тут же полезет в гугл искать тот самый пост? Да товарищ следователь вообще в компьютерных делах не особо смышлён, чтобы задавать такие вопросы в режиме реального времени

Если товарищ следователь не кладёт на работу, то не поленится проверить каждое ваше слово. И следователь, в отличии от вас, в беседе не стеснен реальным временем. Что не додумался спросить сразу – спросит на следующем допросе, да и коллеги ему вопросиков докучи подскажут. Вы со следователем в очень неравном положении и вам придется в реальном времени отвечать на все что он придумал за рюмкой чая.

имею полное право на частную жизнь", а ваши претензии "почему шифруете" — вопрос рода "почему не поставили себе жучок и видеокамеру в доме и не транслируете видео в интернет"

Ты не умничай, надо будет – поставим. Лучше сразу колись, меньше дадут, я за тебя сам судье словечко замолвлю.

Если видишь, что вопрос вообще левый, так и говорить, как судья на процессе "он не по существу и не относится к рассматриваемому делу, отклонить".

Ах, отклонить, запираетесь подозреваемый, хотите чтобы на допрос вызвали вашу мать сердечницу? Ну не боись, от инфаркта нынче лечат, небось не помрет. А рады ли будут узнать в универе что их студент уголовник? Армия вас ждет!
Гость (25/02/2011 01:31)   
я за тебя сам судье словечко замолвлю.
А вот это уже подсудное дело, товарищ следователь. Жалоба на вас будет направлена в прокуратуру.
Ах, отклонить, запираетесь подозреваемый, хотите чтобы на допрос вызвали вашу мать сердечницу? Ну не боись, от инфаркта нынче лечат, небось не помрет. А рады ли будут узнать в универе что их студент уголовник? Армия вас ждет!
Да, это уже совсем детский сад :) Уличные менты тоже когда меня останавливали говорили "из университета отчислят за отсутствие регистрации", ну-ну, видели, знаем :)
Гость (25/02/2011 06:47)   
А вот это уже подсудное дело, товарищ следователь.

Да, это уже совсем детский сад :)

Каждый мнит себя стратегом видя бой со стороны. Это вы сидя в тепле за компом так рассуждаете, на месте подозреваемого которого ежедневно изводят многочасовыми допросами все это как-то иначе воспринимается. Когда следователь изводит твоих родственников, приходит в деканат с требованием твоего отчисления из института и рассказывает коллегам и начальству на работе про твои уголовные наклонности это совсем не смешно. Видимо вы лично не сталкивались, я сталкивался, теперь шапкозакидательно не рассуждаю.
Гость (25/02/2011 12:02)   
Благодарю всех участников за всестороннее обсуждение темы "Невидимая шифрование уровня PGP на флешке", а модераторов за полное содействие в его поддержании и развитии.
— SATtva (25/02/2011 12:16)   
Уже в первых ответах было сказано, что задача, как она поставлена изначально, не имеет решения. Костыли тоже были предложены. Что Вас не устраивает?
Гость (25/02/2011 14:26)   
Когда следователь изводит твоих родственников
Родественники в компьютерных технологиях совершенно некомпетентны
приходит в деканат с требованием твоего отчисления из института
Извините, по какому это закону следователь может требовать отчислить из института?! Да его там нахер пошлют моментально! И чтобы отчислили, должно быть постановление суда и т.д.*
начальству на работе про твои уголовные наклонности это совсем не смешно
Тем более начальство на работе будет прикрывать, если ты у них на хорошем счету. Скажем так, к силовикам, где то ни было — в университете, на работе, относятся с большим подозрением и про всю эту грязную кухню знают. То, о чём вы говорите, обычно работает в быдлоинститутах и в быдлофирмах, где все готовы уссаться при виде чела в форме.
Видимо вы лично не сталкивались, я сталкивался, теперь шапкозакидательно не рассуждаю.
Да, я к счастью не сталкивался, но опыт других не так однозначен, как вы преподносите, и наиболее частая стратегия — "никто не хочет выносить сор из избы".

*я не знаю на каком глобусе вы живёте, я помню в мои года как какую-то команту в общежитии накрыли за якобы химлабораторию по производству амфетаминов, и насколько я знаю деканат содействовал студентам как только мог, в итоге все обвинения были сняты; не надо в шарагх учиться — вот это да.
Гость (25/02/2011 22:03)   
Ув. Гость (25/02/2011 14:26) Вы упортно продолжаете стоять на своем, и это при том что опыта не имеете. Вам уже ответили те, кто не по-наслышке знает.
Вам уже сказали, не верите – Ваше дело, если не повезет – будет время пересмотреть взгляды.
Гость (26/02/2011 13:03)   
Родественники в компьютерных технологиях совершенно некомпетентны

Это не мешает например сказать матери что по их информации ее сын наркоман и болен спидом, затаскать ее по допросам, провести два обыска в квартире (искали оружие, наркотики и черти что еще) и почти довести до инфаркта. Конечно мать в компьютерных технологиях не бум-бум, но поневоле задумаешся – стоит ли молчание инфаркта у матери?

Извините, по какому это закону следователь может требовать отчислить из института?!

Ни по какому, просто придет и потребует. Отчислить врядли отчислят, но в деканат на неприятную беседу вызовут, это особенно касается бесплатников.

Тем более начальство на работе будет прикрывать, если ты у них на хорошем счету.

У начальства своих проблем хватает чтобы еще с ментами за тебя цапаться. Тут 50/50 уволят или нет. Если уволят, то устроиться на новую работу пока следователь ходит за тобой по пятам и все поганит будет трудно.
Гость (26/02/2011 23:02)   
Это не мешает например сказать матери что по их информации ее сын наркоман и болен спидом
Так она и поверила, особенно если сын не курит и не пьёт, ага.

Кстати, Linux'у можно предъявить "устройство" из маленьких кусочков, которые вообще в разных местах хранятся (и на разных файловых системиах) — он его прозрачно склеит (это штатаная фича dmsetup). Это может использоваться для создания криптотомов не то что без сигнатур, но даже без соли. Последнюю можно хранить отдельно, т.к. она в хидере (хедер LUKS-а вполне успешно отрезается и приклеивается, при отрезании хедера от luks0-криптотома уходит также зашифрованный master key). Что же касается всей схемы защиты в целом, то тут чем больше самодеятельности (в пределах разумного), тем лучше, чтоб не повторяться, ну и трепаться обо всей схеме в целом незачем. На выходе имеется что-то типа
  1. Флэшки с какими-то файлами и "битым" архивом/видеофайлом, откуда с помощью dd извлекается набор байтов, к которым потом запиливается magic, и которые потом расшифровываются командой openssl.
  2. dm
  3. LUKS бэкэндом.
Post scriptum: sapienti sat. Возможно, позже будет инструкция с PoC.
Гость (27/02/2011 00:23)   
Гость (22/02/2011 11:38)
Если уметь стандартными средствами делать xOR фрагментов носителя с точностью до байта.
Это умеют делать bash, zsh, perl. Bash есть в любом Linux LiveCD, а perl — вообще в любом UNIX.

© man zshall
Гость (27/02/2011 12:53)   
трепаться обо всей схеме в целом незачем
А вот это уже безопасность через неясность. Схема должна быть полностью открыта, но в ней должно быть чётко указано, какие элементы могут варьироваться случайно (ключ) для достижения неперебираемой на практике мощьности вариантов.

^ bitwise XOR
А какой командой читать/переписывать фрагменты двоичных файлов/разделов?
Гость (27/02/2011 12:55)   
Да, и ещё скрипт должен быть настолько коротким, что-бы его можно было каждый раз набирать вручную!
Гость (27/02/2011 13:01)   
При этом должен использовать такие только элементы ОС, которые нельзя маргинализировать.
Гость (28/02/2011 06:51)   
Мысль как о потенциальных бандитах понятна, если это разумное допущение (с разумно высоким уровнем вероятности), а не "оскорбление" или "разжигание".
Если говорить чуть более формально и развёрнуто, у каждого есть выбор между добром и злом. Форенсик — это человек, ступивший на путь зла и осознанно его выбравший. Основное занятие форенсиков (по факту), в чём нетрудно убедиться полистав их форумы, не в раскалывании дискового шифрования, не в борьбе с ДП и прочим эксплицитным криминалом, а в вскрывании пиратки и нелицензионного софта — поистине золотого дна, где сейчас кормятся все копирастические крысы и проприетарщики. А что вы думали, что форенсики нарушение BSD/GPL защищают? :) Этот сайт не то место, где надо объяснять в чём отличие копирования от воровства и т.п., кто не понял чти /comment43592[link15]. К тому же форенсики никогда не скрывают своего удовольствия от того, что они приспешники этого копирастического режима, и, будучи госслужащими, как бы обязаны всецело поддерживать любой законодательный идиотизм и преклоняться пред законом как перед высшим священным знанием, т.е. быть обычными биороботами-исполнителями.

А вот это уже безопасность через неясность
Она хоть и критикуется, но не всё так просто. См. комментарии к топику Безопасность через неясность[link16]. В частности, там указано
Для материальных объектов (дверные замки) такие теоретические построения невозможны. Даже для криптоалгоритмов "доказуемость" выводится зачастую с большой натяжкой и массой условностей.
что как бы говорит о том, что при переходе от чистой криптографии к стеганографии или ИБ в целом максима Кирхгофа становится лишь недостижимым ориентиром несмотря на то, что в криптографии она — необходимое условие.

А какой командой читать/переписывать фрагменты двоичных файлов/разделов?
Пример с OpenSSL выше уже был приведён (/comment39520[link2]), для остальных случаев делается аналогично. Важно то, что некие данные считываются во временный файл (в mfs или tmpfs), а потом там что-то заменяется. Естественно, что для крипторазделов такое не прокатит — нельзя 30 гигов считать, а потом разместить 30гиговый образ в памяти, в то же время софт должен видеть этот образ со всеми сигнатурами, хотя на диске их быть не должно (т.е. при внезапном отключении питания всё должно выглядеть беcсигнатурно). Вот для решения этой проблемы и применяется dm (device mapper): начальная часть криптотома, содержащая сигнатуры — это один маленький кусок, который будет размещён в оперативной памяти после редактирования соответствующих, считанных при помощи dd, данных. Другой кусок — сам криптотом и т.д. Затем dm склеит их все воедино и представит как единое блочное устройство операционной системе со всеми подобающими сигнатурами. К радости Linux'оидов и unknown'а в частности могу порадовать тем, что dm получает признание и за пределами Linux:
  • Cryptsetup/LUKS and the required infrastructure have also been implemented on the DragonFly BSD operating system.
  • NetBSD LVM enabled by default[link17]. Уже есть man dmsetup[link18] в NetBSD-current (впрочем, в NetBSD 5.1-release (последнем на текущий момент ещё нету).

Кстати, старый интерфейс (его и сейчас можно использовать), вообще не писал заголовков:
The "cryptsetup" command-line interface does not write any headers to the encrypted volume, and hence only provides the bare essentials: Encryption settings have to be provided every time the disk is mounted (although usually employed with automated scripts), and only one key can be used pervolume; the symmetric encryption key directly derived from the supplied passphrase. For these reasons, the use of cryptsetup is discouraged with plain passphrases.
Т.е. LUKS можно не использовать, а задавать сразу master key, написав скрипт, который сам будет выводить нужный key из соли и ключа**.

Да, и ещё скрипт должен быть настолько коротким, что-бы его можно было каждый раз набирать вручную!
Это необязательно. Зашифруйте скрипт openssl'ем и поместите его внутрь архивного файла, имеющегося на флэшке. Обратная процедура: dd + magic ему запили + расшифруй openssl'ем.

**Хотя стандартных консольных тулзов для PKBDF2 вроде бы нет, есть примеры реализации на Perl'е, а последний есть, по факту, в любой системе. Так же есть стандартный openssl'ный способ, который хуже.
Гость (28/02/2011 07:04)   
Если кому интересен формат сигнатур LUKS, имеется спецификация on-disk-format.pdf[link19].
— unknown (01/03/2011 10:30, исправлен 01/03/2011 10:34)   

Небольшой off к дню введения полиции в России (цитата уже гуляет по интернетам) :-)


— А кто такие эти полицейские? — спросила Селёдочка.
— Бандиты! — с раздражением сказал Колосок. — Честное слово, бандиты! По-настоящему, обязанность полицейских — защищать население от грабителей, в действительности же они защищают лишь богачей. А богачи-то и есть самые настоящие грабители. Только грабят они нас, прикрываясь законами, которые сами придумывают. А какая, скажите, разница, по закону меня ограбят или не по закону? Да мне всё равно!
— Тут у вас как-то чудно! — сказал Винтик. — Зачем же вы слушаетесь полицейских и ещё этих… как вы их называете, богачей?
— Попробуй тут не послушайся, когда в их руках все: и земля, и фабрики, и деньги, и вдобавок оружие! — Колосок пригорюнился. — Теперь вот явлюсь домой, — сказал он, — а полицейские схватят меня и посадят в кутузку. И семена отберут. Это ясно! Богачи не допустят, чтоб кто-нибудь сажал гигантские растения. Не суждено, видно, нам избавиться от нищеты!
— Ничего, — сказал Знайка. — Мы дадим вам прибор невесомости. Пусть попробуют тогда сунуться со своим оружием! Видали, как полетели эти пятеро полицейских?
Винтик и Шпунтик тут же соорудили для Колоска прибор невесомости и стали показывать, как обращаться с ним.
— Это что же? — с недоумением сказал Колосок. — Я, значит, должен буду всё время болтаться в состоянии невесомости?

© Н. Носов "Незнайка на Луне". 1965 г. Изд-во "Детская литература".

— unknown (16/06/2011 10:31)   
Если кому-то так нужна отрицаемость, то можно сначала зашифровать контейнер LUKS (со всеми его полезными фичами — быстрое и сравнительно безопасное удаление ключа и смена паролей), а поверх для маскировки ещё раз зашифровать простым cryptsetup с другой парольной фразой, подробнее см. на основе FAQ[link20].

Полицейский комиссар сказал, что все это увертки, так как отличить полицейского от бандита не так уж трудно. В ответ на это стрелявший из пистолета сказал, что теперешнего полицейского не отличишь от бандита, так как полицейские часто действуют заодно с бандитами, бандиты же переодеваются в полицейскую форму, чтоб удобнее было грабить. В результате честному коротышке уже совершенно безразлично, кто перед ним: бандит или полицейский.


© Н. Носов "Незнайка на Луне". 1965 г. Изд-во "Детская литература".
Гость (16/06/2011 11:18)   
Если кому-то так нужна отрицаемость, то можно сначала зашифровать контейнер LUKS (со всеми его полезными фичами — быстрое и сравнительно безопасное удаление ключа и смена паролей)

При смене пароля перешифровывается мастер-ключ в слоте, а не сам диск. Если пароль скомпрометирован, лучше перешифровывать, т.к. противник мог скопировать шифрованный паролем мастер-ключ и узнать его.

а поверх для маскировки ещё раз зашифровать простым cryptsetup с другой парольной фразой

Двойное шифрование не добавит производительности, да и стоит ли оно того тут, когда можно и без этого.
Гость (16/06/2011 11:19)   
Если пароль скомпрометирован, лучше перешифровывать, т.к. противник мог скопировать шифрованный паролем мастер-ключ и узнать его.

Кроме того, трудно убедить себя в том, что предыдущая копия точно и надёжно шреддится с диска... да и как это проконтролировать? Смотреть hexdump'ом?
— unknown (16/06/2011 12:01, исправлен 16/06/2011 12:03)   

При смене пароля перешифровывается мастерключ в слоте, а мастер-ключ, шифрующий сам диск не меняется. По смыслу то же, но так точнее.


В ряде случаев — совсем незаметно изменений производительности или надежности.


Обсуждалось. Т.н. antiforensic-алгоритм в LUKS — соль для ключа хранится в "хрупком", растянутом виде. Это не панацея, но позволяет сделать восстановление ключа сложной задачей, если в заголовке просто повреждено несколько битов.

Гость (08/09/2013 07:27)   
/comment44987[link21]:
На примере zsh:
$ let "val = 0x24b7f2 ^ 0x6fc035"
$ echo $val
16#4B77C7
Т.е. 24b7f2 ⊕ 6fc035 = 4B77C7 (mod 16).
Вот в двоичной:
$ print $(( [#2] val = 2#10110010 ^ 2#10011011 ))
2#101001
Т.е. 10110010 ⊕ 10011011 = 101001 (mod 2). Мануалы: [1][link22], [2][link23].

То же самое на bash[link24]:
$ let "val = (( 2#10110010 ^ 2#10011011 ))" ; echo $(( 16#$val ))
65
$ let "val = (( 2#10110010 ^ 2#10011011 ))" ; echo $(( 10#$val ))
41
$ let "val = (( 2#10110010 ^ 2#10011011 ))" ; echo $(( 5#$val ))
21
$ let "val = (( 2#10110010 ^ 2#10011011 ))" ; echo $(( 4#$val ))
bash: 4#41: value too great for base (error token is "4#41")
$ let "val = (( 2#10110010 ^ 2#10011011 ))" ; echo $(( 2#$val ))
bash: 2#41: value too great for base (error token is "2#41")
Да, все знают, что bash sucks.

Можно написать скрипт для вычисления XOR двух файлов. Если кому-то не лень, покажите, как это (такой скрипт) короче записать.
Гость (08/09/2013 07:38)   

Воистину. zsh:
$ print $((500./3+2))
168.66666666666666
bash:
$ print $((500./3+2))
bash: 500./3+2: syntax error: invalid arithmetic operator (error token is "./3+2")
$ print $((500/3+2))
Warning: unknown mime-type for "168" -- using "application/octet-stream"
Error: no such file "168"
:)
Гость (08/09/2013 11:19)   
Самый простой вариант на C:
void xor_two_files()
{
        FILE* in1 = fopen("file1", "rb");
        FILE* in2 = fopen("file2", "rb");
        FILE* out = fopen("output", "wb");
 
        while ( !feof(in1) && !feof(in2) )
        {
                fputc( fgetc(in1) ^ fgetc(in2), out );
        }
        fclose(out);
        fclose(in2);
        fclose(in1);
}
Если размеры файлов не совпадают, в выходном файле будет лишний байт. Вот пример более аккуратный:
void xor_two_files()
{
        FILE* in1 = fopen("file1", "rb");
        FILE* in2 = fopen("file2", "rb");
        FILE* out = fopen("output", "wb");
 
        for (;;)
        {
                unsigned char c1 = fgetc(in1);
                unsigned char c2 = fgetc(in2);
 
                if ( feof(in1) || feof(in2) ) break;
 
                fputc(c1 ^ c2, out);
        }
        fclose(out);
        fclose(in2);
        fclose(in1);
}
Он с правильным обрезанием: если размеры файлов разные, будет обрезание по меньшему из файлов. Примеры кода платформонезависимы. Код медленный, т.к. ксорит по одному байту, но для небольших файлов и редких специальных случаев (типа тех, что обсуждаются в этом топике) он сойдёт.
— pgprubot (20/07/2015 19:21, исправлен 20/07/2015 19:25)   

Не знаю, как в DragonFly, но такое впечатление, что в NetBSD (последний стабильный релиз) dmsetup существует лишь номинально. Если адресовать[link27] один из неиспользуемых дисковых разделов (в смысле disklabel'а — например, /dev/wd0k) с помощью dmsetup, то устройство /dev/mapper/DEV_NAME создаётся, но ничего с ним ни сделать. Оно не читается, на нём не нарезать ФС, не покормить им группу томов как физическим томом и т.д. Для чистоты эксперимента надо бы ещё проверить вообще неиспользуемый диск или хотя бы неразмеченное дисковое пространство. В гугле на тему использования dmsetup в NetBSD полнейший тотальный молчок.


Было бы логичным, если б device mapper, как более базовый кирпич для работы с диском (и LVM поверх него) был полностью независим как от DOS'овской системы разбиения дисков, так и BSD'шной (disklabel), но в инструкциях пишут то, что этому противоречит:


17.5.[link28] Disklabel each physical volume member of the LVM

The slice must begin at least two sectors after end of disklabel part of disk. On i386 it is sector “63”. Therefore, the “size” value should be “total sectors” minus 2x “sectors”. Edit your disklabel accordingly
#        size   offset    fstype   [fsize bsize   cpg]
d:  4197403       65      4.2BSD                       # (Cyl. 1 - 4020*)

Т.е. если какое-то блочное устройство надо подключить как физический том к VG, это устройство нужно предварительно разметить disklabel'ом и оставить там место для метаданных. Аналогичные требования для объединения блочных устройств через ccd:


T[link29]he slice must begin at least one cylinder offset from the beginning of the disk/partition to provide space for the special CCD disklabel. The offset should be 1x sectors/cylinder (see following note). Therefore, the “size” value should be “total sectors” minus 1x “sectors/cylinder”. Edit your disklabel accordingly

Можно зашифровать весь диск целиком (бессигнатурно) с помощью cgd, а внутри его разбить с помощью LVM. Это точно работает, но как там с необходимостью задания правильных оффсетов — не помню.


Поидее, если какое-то блочное устройство используется как физический том или группа томов, пространство под метаданные выделяется из самого устройства, а не из дополнительного свободного места на физическом устройстве, где расположен данный физический том или группа томов. То ли всё так и есть, а в инструкциях пишут лишние требования, то ли действительно требования необходимы и вызваны тем, что device mapper был портирован таким вот корявым образом.


Ссылки
[link1] http://www.truecrypt.org/docs/?s=hidden-operating-system

[link2] https://www.pgpru.com/comment39520

[link3] https://www.pgpru.com/comment44582

[link4] http://biblia.org.ua/bibliya/mf.html#13v24

[link5] http://ru.wikipedia.org/wiki/Огюст_Керкгоффс

[link6] https://www.pgpru.com/comment44799

[link7] https://www.pgpru.com/comment37647

[link8] https://www.pgpru.com/comment42043

[link9] http://iq.org/~proff/marutukku.org/

[link10] https://www.pgpru.com/comment42052

[link11] https://www.pgpru.com/novosti/2008/steganografijapripomoschislabojjkriptografiipomogaetborotjsjasdushiteljamisvobody

[link12] https://www.pgpru.com/comment43000

[link13] https://www.pgpru.com/comment5938

[link14] https://www.pgpru.com/comment36078

[link15] https://www.pgpru.com/comment43592

[link16] https://www.pgpru.com/biblioteka/slovarj/bezopasnostjchereznejasnostj

[link17] http://blog.netbsd.org/tnf/entry/netbsd_lvm_enabled_by_default

[link18] http://netbsd.gw.com/cgi-bin/man-cgi?dmsetup++NetBSD-current

[link19] https://cryptsetup.googlecode.com/svn-history/r42/wiki/LUKS-standard/on-disk-format.pdf

[link20] http://code.google.com/p/cryptsetup/wiki/FrequentlyAskedQuestions

[link21] https://www.pgpru.com/comment44987

[link22] http://www.csse.uwa.edu.au/programming/linux/zsh-doc/zsh_10.html

[link23] http://zsh.sourceforge.net/Doc/Release/Arithmetic-Evaluation.html

[link24] http://wiki.bash-hackers.org/syntax/arith_expr

[link25] https://www.pgpru.com/comment45000

[link26] https://www.pgpru.com/comment73407

[link27] https://www.pgpru.com/comment82946

[link28] https://www.netbsd.org/docs/guide/en/chap-lvm.html

[link29] https://www.netbsd.org/docs/guide/en/chap-ccd.html