Доступен (https://www.veracrypt.fr/en/Release%20Notes.html) релиз проекта VeraCrypt 1.22 (https://www.veracrypt.fr/en/), в рамках которого развивается форк системы шифрования дисковых разделов TrueCrypt, прекратившей (https://www.opennet.dev/opennews/art.shtml?num=39889) своё существование. VeraCrypt примечателен заменой используемого в TrueCrypt алгоритма RIPEMD-160 на SHA-512 и SHA-256, увеличением числа итераций хэширования, упрощением процесса сборки для Linux и macOS, устранением проблем (https://veracrypt.codeplex.com/discussions/569777#PostConten...), выявленных в процессе аудита (https://www.opennet.dev/opennews/art.shtml?num=39573) исходных текстов TrueCrypt. При этом, VeraCrypt предоставляет режим совместимости с разделами TrueCrypt и содержит средства для преобразования TrueCrypt-разделов в формат VeraCrypt. Код VeraCrypt поставляется под лицензией Apache 2.0.
В новой версии проведена оптимизация реализации шифра Kuznyechik с использованием инструкций SIMD, что позволило ускорить работу данного шифра в два раза. Добавлена поддержка 5 новых связок алгоритмов шифрования: Camellia-Kuznyechik, Camellia-Serpent, Kuznyechik-AES, Kuznyechik-Serpent-Camellia и Kuznyechik-Twofish. В версии для Linux решены проблемы с установкой GUI в окружениях с новыми версиями KDE и устранён сбой wxWidgets при резервном копировании или восстановлении заголовка раздела.
Также внесена большая порция специфичных для платформы Windows исправлений, в том числе обеспечена работа команды TRIM при шифровании не системных SSD-накопителей, добавлена опция для отключения TRIM на системных накопителях, упрощён формат XML-файлов и добавлен пакет для извлечения бинарных файлов без привилегий администратора.
URL: https://www.veracrypt.fr/en/Release%20Notes.html
Новость: https://www.opennet.dev/opennews/art.shtml?num=48369
зачем отключать трим?
Насколько я помню, если трим включён на шифрованном SSD то можно определить общую ёмкость занятого пространства. Некоторые могут счесть это косяком в безопасности.
ты помнишь криво
Some storage devices (e.g., some solid-state drives, including USB flash drives) use so-called 'trim' operation to mark drive sectors as free e.g. when a file is deleted. Consequently, such sectors may contain unencrypted zeroes or other undefined data (unencrypted) even if they are located within a part of the drive that is encrypted by VeraCrypt. VeraCrypt does not block the trim operation on partitions that are within the key scope of system encryption (unless a hidden operating system is running) and under Linux on all volumes that use the Linux native kernel cryptographic services. In those cases, the adversary will be able to tell which sectors contain free space (and may be able to use this information for further analysis and attacks) and plausible deniability may be negatively affected.https://www.veracrypt.fr/en/Trim Operation.html
Возможно ли использовать VeraCrypt в качестве библиотеки, реализующей возможность подключения криптоконтейнеров эксклюзивно к своей программе? То есть нужно какое-то API, повторящее API доступа к ФС, с помощью которого программа могла бы открывать и закрывать файлы на криптоконтейнере, читать и писать в них, работать с директориями и т.д.
Понимаю что для этого нужно чтобы в данной библиотеке была реализация какой-то ФС. Но интересно - как решаются такие задачи, и решаются ли вообще?
GVFS/thread
А это решение кроссплатформенно?
всегда интересовало: почему вендовые проги работают исключительно в винде, макосьные - исключительно в макоси, а линуксоидам вменено в обязанность писать и для линукса, и для винды, и для макоси?
Это не обязанность, а интерес. Для некоторых прог желательно чтобы у них было как можно больше пользователей.
>Это не обязанность, а интерес.Это ещё и возможность (трудоёмкость и квалификация разработчиков)
Неквалифицированные разработчики - не нужны.
Откуда возьмется квалификация, если никто не будет принимать неквалифицированных разработчиков?
может надо сначала головой думать просто? ты посмотри какие платформы поддерживает веракрипт. интересный аналог. с такой логикой не удивлюсь, что gvfs и не шифрует ничего.
> линуксоидам вменено в обязанность писать и для линукса, и для винды, и для макосиНе выдумывай
Ну в линуксе же свободный код =), а если серьезно, то нужжна поддержк полпулрный систем, что естественно.
> то нужжна поддержк полпулрный систем, что естественно.Сосать они должны, портирование на комерческие платформы - коммерческое, как грится - Call Now.
Иди посоветуй это Штольману, он с удовольствием поддержит идею. После чего в сообществе пишущих опенсорс сразу станет понятно, кто вменяемые, а кто - нет.
Потому что качественно написанные программы легче портировать, а ведь самые лучшие программисты пишут как раз под Линукс, да? ;)
> GVFSГлюкодромная кривизна какая-то.
https://www.reddit.com/r/linux/comments/2ag37z/feedback_on_gvfs/
Свеженагугленное разоблачение GVFS... Мило. Попробуй еще вот эти запросы:- авторов GVFS разоблачили в прямом эфире смотреть на ютубе без смс
- GVFS бесплатные альтернативы скачать для Windows 10 кряк кейген
- GVFS глюкодром научные доказательства глюкодромности GVFS
Я бы конечно дико бы смеялся, если бы сам от него кучу глюков не отхватывал. Самая жесть в Webdav.
Но специально дал ссылку на чужой юсерэкспиеренс.
> Самая жесть в Webdav.Спасибо за весьма конкретное описание проблемы. Уже исправляем. Ответственному за WebDAV-бэкенд выписана задача "избавиться от жести в Webdav".
Тут, как бы, не багтрекер
Всем привет, ${programName} глюкодром, но подробности не приведу, у нас тут не багтрекер все-таки. Просто примите это как факт. ${programName} — глюкодром. Во так вот.
man cryptsetup
или ретро losetup но он deprecated
Кузнечик, Новичок... Кто там названия придумывает?
Офисный планктон, т.к. на большее они не способны.
Чем хуже Serpent, Blowfish, Twofish, Cobra, Rabbit и уж тем более Rijndael?
> Чем хуже Serpent, Blowfish, Twofish, Cobra, Rabbit .Blowfish - [Blo]ck [w] [f]ast [s]oftware encrypt Остальное заполнили до ближайшего слова.
Twofish/Threefish, двойное,тройное Blowfish.Cobra - х.з. о чём ты, OB - это автоматом что-то объектное, CORBA - Common Object Request Broker Architecture
> .. и уж тем более Rijndael?
Vincent Rijmen, Joan Daemen.
Давайте про LZ, LZO, LZ4, LZH, LZW, LZMA,...
И что ? Чем лучше кузнечика всё это ?Cobra — алгоритм симметричного блочного шифрования (размер блока 128 бит, ключ длиной до 576 бит), разработанный немецким криптологом Кристианом Шнайдером в качестве первого шифра, имеющего структуру гетерогенной сети Фейстеля
В криптомирке есть народный обычай - придумывать труднопроизносимые имена для шифров.
> В криптомирке есть народный обычай - придумывать труднопроизносимые имена для шифров.Труднопроизносимые? Вот примеры действительно трудного названия:
"Гречищевчанця"
"Джещтопчикевич"
> Вот примеры действительно трудного названия:
> "Гречищевчанця"
> "Джещтопчикевич"Co jest tutaj trudne?
>> Вот примеры действительно трудного названия:
>> "Гречищевчанця"
>> "Джещтопчикевич"
> Co jest tutaj trudne?Напиши транскрипцию этих слов
> TrueCrypt, прекратившей своё существование.С хрена ли - существование? Только развитие, вообще-то.
А учитывая, что от того развития, которое демонстрирует VC, линуксоидам ни жарко, ни холодно - вообще неочевидна нужность этого форка.
нужность линукcоукушенных тоже совершенно неочевидна.
точнее, совершенно очевидна их ненужность.
>KuznyechikЭто тот, в котором Бирюков "бэкдор" нашёл?
Пока ещё не бэкдор.
Всем понятно, что такая огромная нелинейная подстановка S' взята не с потолка, она и не должна быть взята с потолка, иначе её просто не проанализируешь даже на нелинейность. Конечно, по-хорошему, алгебраическую структуру этой подстановки должны были нам представить сами разработчики, а не Бирюков.
Связку AES-Twofich нельзя?
Можно, разрешаю.
А дыры тоже встроили по предложению АНБ? или как?
У тебя проблемы с АНБ? С этого места поподробнее, диктофон включён...
"мало платят!"
Думается образ АНБ собирательный. В основном беспокоят неадекваты с опеннета, которые годами держат диктофоны включенными.
Товарищ из NSA, залогиньтесь!
> А дыры тоже встроили по предложению АНБ? или как?вообще-то, если вы внимательно читали анонс, то свежие эм...методы шифрования, встроены по моему предложению.
кто нибудь в курсе, можно ли в сабже создавать разделы без шифрования? Использую сабж как портабельные контейнеры - получается гораздо удобнее чем пилить зипы/тары на пару сотен гигов
> кто нибудь в курсе, можно ли в сабже создавать разделы без шифрования? Использую сабж как портабельные контейнеры - получается гораздо удобнее чем пилить зипы/тары на пару сотен гиговда. разумеется, команда вот такая:
losetup -f /путь/к/файлу-контейнера.img
Я так понимаю, это для винд*зятников и тех, кто не осилил cryptsetup и LVM on LUKS?
> Я так понимаю, это для винд*зятников и тех, кто не осилил cryptsetup
> и LVM on LUKS?для тех кто в курсе, что ваш cryptsetup (и еще и отдельно luks) никогда не проходил такого аудита, как трукрипт и веракрипт (потому что вы не только тyпые, но и жадные, а деньги дали пользователи, привыкшие платить за софт).
А если покопать в их историческом прошлом, то вы узнаете много смешных подробностей, про то как линуксные рукожопы когда-то умудрились сделать такой des, что он на самом деле оказывался xor.
это не считая скрытых контейнеров, plausible deniability и т д, о чем линуксоукушенные вообще "не, не слышал". В общем-то, оно и правильно, что вам скрывать-то - свою хом-мейд порнуху с однокласницами?
> для тех кто в курсе, что ваш cryptsetup (и еще и отдельно luks) никогда не проходил такого аудита, как трукрипт и веракрипт (потому что вы не только тyпые, но и жадные, а деньги дали пользователи, привыкшие платить за софт).мне всегда казалось что cryptsetup более популярный среди и пользователей и среди разработчиков (кто контрибьютит туда).
если исключить из польззователей ``я-у-мамы-хакер``ов толку от которых нуль.
взять хотябы включённую-полмолчанию-в-cryptsetup фичу "AF stripes" -- её наличе сразу говорит о том что ребята думали головой.
> это не считая скрытых контейнеров, plausible deniability и т д, о чем линуксоукушенные вообще "не, не слышал". В общем-то, оно и правильно, что вам скрывать-то - свою хом-мейд порнуху с однокласницами?
это нужно против какого сценария?
типичное использование cryptsetup -- это против ситуации когда злоумышленник твой ноутбук украл из сумки и решили порыться в твоих файлах. возможно пошанатожировать чтобы, а возможно сразу денег поднять так как в ноутбуке сохранённые пароли и сессии в браузере.
если есть залогиненные сессии в Facebook -- то злоумышленник может у всех знакомых жертвы попросить денег "взаймы".
если злоумышленник не разбирается в том как вскрывать эти запороленные-штуки-всякие -- то может попросить своего коллегу-знакомого компьютерщика-очкарика.
как "скрытые контейнеры plausible deniabilit" помогают от этого? очкарик не сможет взломать их по причине того что не сможет найти? (именно по этой причине, а не по причине что не знает пароля к ним?)
Тем, что он не будет даже пытаться их брутфорсить?
> Тем, что он не будет даже пытаться их брутфорсить?выдержка из cryptsetup.
Key Slot 0: ENABLED
Iterations: 2455634удачи с брутфорсом :-D
(все настройки -- *поумолчанию* . так что не надо отчевать типа "в вот в VeraCrypt я могу сделать вот-так-и-вот-так!!". когда у тебя украдут ноутбук -- ты уже ни чего сделать не сможешь! задним умом)
> Тем, что он не будет даже пытаться их брутфорсить?а ты уверен что не будет?
откуда такая уверенность?
https://cloud.githubusercontent.com/assets/3496115/23905925/...
вот смотри -- подобрал хакер пароль к Partition2_OuterVolume -- и увидил что на нем лежат бесполезные данные, необновляемые много месяцев (ни один файл не обновлён уже давно) или же наоборот файлы с датой изменения из будущего.
после чего начнёт подбирать пароль к Partition2_InnerVolume .
а мог наверно и сразу без подбора пароля к Partition2_OuterVolume уже начинать подбирать пароль к Partition2_InnerVolume, верно?
короче -- что должно остановить очкарика (помошника злоумышленника) осуществлять подбор пароля к скрытому разделу?
--------------------------------------------------
раз уж ты уверен что ни кто не станет подбирать пароль к твоему скрытому разделу -- то значит наверно сделаешь пароль там "123123", да?
или же сделаешь пароль посложнее чем "123123" -- и в итоге опять (как и в случае с "cryptsetup") вся безопасность будет упираться в сложность его брутфорса?
понимаешь что ваши "скрытые разделы" это полная чушь?
> мне всегда казалось что cryptsetup более популярный среди и пользователейну естественно - что в установочные скрипты включили, то у вас и "популярно".
> взять хотябы включённую-полмолчанию-в-cryptsetup фичу "AF stripes"
это чтобы с гарантией лишиться всех своих данных при мельчайшем сбое диска? Ну да, полезная "фича".
(если бы я так переживал за ключ - я бы просто вообще не хранил его рядом с данными)> это нужно против какого сценария?
"не, не слышали", как и предполагалось.
Самого типового - прищемив тебе пальчики дверью, у тебя спрашивают - что это у зайчика-то внутри, чогойсь у тебя весь диск-то пошифрован?
> типичное использование cryptsetup -- это против ситуации когда злоумышленник твой ноутбук
> украл из сумкиа ты и паролем на профиль браузера не озаботился, зато у тебя криптсетап? Бывает, чо.
А если включенный сопрут, что делать будешь? (автолок у тебя там же, видимо, где и пароль профиля?)типичное вообще-то использование cryptsetup, помимо банальной паранойи - когда подлежащих надежному хранению данных _много_ (например, прием платежей) и проще пошифровать их вместе с диском, чем индивидуально разбираться. Собственно, и трукрипта тоже.
для мелочи, не предусмотренной внутри конкретной программы (или если паранойя не позволяет ей верить) есть encfs (тоже прошла аудит, хотя и с погрешностями) или, для неудачников, виндовое встроенное шифрование.
> а ты и паролем на профиль браузера не озаботился, зато у тебя криптсетап? Бывает, чо.вобще-то cryptsetup проще чем пароль на профиль браузера делать. разве не?
и при этом кроме сессий браузера -- cryptsetup защищает ещё и от кражи документиков которые тоже не желательно было бы отдавать для глаз злоумышленника.
паролировать профиля браузера -- на порядок сложнее чем cryptsetup всего диска. это требовало бы довольно много продумывать нюансов. и главное -- становится совершенно бессмысленным в случае cryptsetup .
...так что этот сарказм не очень понял -- вот этот -- "паролем на профиль браузера не озаботился, зато у тебя криптсетап?". да -- не обзавёлся, и что? ну очевидно потому что пароль на профиль браузера уже не имеет смысла в случае cryptsetup .
> А если включенный сопрут, что делать будешь?
ну в этом случае злоумышленник будет должен подбирать пароль к логину-в-систему. (особо прошаренные злоумышленники возможно попытаются воспользоваться техникой физической заморозки оперативной памяти. тут я ничего сделать против этого не могу, простите)
> (автолок у тебя там же, видимо, где и пароль профиля?)
автолок в операционных системах -- поумолчанию. какой смысл его отключать?
> вобще-то cryptsetup проще чем пароль на профиль браузера делать. разве не?не. Если ты, к примеру, вот сейчас осознал, что лоханулся - "master password" в мазиле включить еще не поздно. А с криптсетапом - только переставлять систему, не забыв еще пару раз вайпнуть носитель.
> автолок в операционных системах -- поумолчанию. какой смысл его отключать?
ну я не знаю, что у любителей криптсетапа в головах, вот браузерные профили они не запирают, может и клавиатуру с экраном тоже.
А если таки запирается - ну расскажи мне, как ты получишь доступ к тому же facebook профилю, стырив ноут - пароля ты не знаешь, остается перезагрузка, браузер даже если был отперт - после ребута хрен.
можно, конечно, до посинения подбирать пароль, там довольно старинная и кривая технология, рано или поздно подберется, на хорошем железе (кстати, про использование голов авторами cryptsetup не для того чтоб в них есть: какой умник привязал число итераций по умолчанию к производительности локального процессора?) Но сдаецца мне, если тебе твои данные дороги, к этому моменту все пароли от акаунтов и чего там еще было, должны быть уже поменяны. А то я уже и не знаю, где в нашем мире можно вводить свой супер-пароль, не опасаясь попасть в камеры наблюдения, и это беспокоит меня куда больше теоретически возможного подбора.
>> вобще-то cryptsetup проще чем пароль на профиль браузера делать. разве не?
> не. Если ты, к примеру, вот сейчас осознал, что лоханулся - "master password" в мазиле включить еще не поздно. А с криптсетапом - только переставлять систему, не забыв еще пару раз вайпнуть носитель.согласен -- если ты первый раз в жизни покупаешь свой первый компьютер -- то наиболее вероятно что именно в такой ситуации ты и окажешься:
операционная система уже установлена а задним числам вставить шифрвоание на неё -- тот ещё квест.
ИМЕННО В ЭТОМ случае предложенный тобой способ зашифровать профиль браузера -- будет нормальный выход. тут я с тобой согласен.
и разумеется -- это является редким случаем. разве нет? зачем ты его описываешь так как будто наоборот он есть наиболее вероятный?
остальные типичные случаи -- когда ты покупаешь очередной 10й ноутбук в своей жизни.
и тут ты уже врядли так лоханёшься.
потому что как я говорил выше -- сделать cryptsetup (на новом компьютере) проще чем зашифровать профиль браузера.
>[оверквотинг удален]
> тот ещё квест.
> ИМЕННО В ЭТОМ случае предложенный тобой способ зашифровать профиль браузера -- будет
> нормальный выход. тут я с тобой согласен.
> и разумеется -- это является редким случаем. разве нет? зачем ты его
> описываешь так как будто наоборот он есть наиболее вероятный?
> остальные типичные случаи -- когда ты покупаешь очередной 10й ноутбук в своей
> жизни.
> и тут ты уже врядли так лоханёшься.
> потому что как я говорил выше -- сделать cryptsetup (на новом компьютере)
> проще чем зашифровать профиль браузера.Зашифровать действующую систему безпроблем!
Накой шифровать профиль браузера, если его можно целиком (браузер)
запихать в контейнер?
Или если нужна полумера, то все секурное размести на шифрованный раздел!
Короче, нечего тучи нагонять!
> какой умник привязал число итераций по умолчанию к производительности локального процессора?А к чему его надо привязывать? Время проверки пароля определяется именно производительностью локального процессора, а эффективность брутфорса зависит только от времени проверки пароля.
> А к чему его надо привязывать?подайте резюме в редхат, вы им подходите.
> Время проверки пароля определяется именно производительностью локального процессора, а
> эффективность брутфорса зависит только от времени проверки пароля.конечно, конечно, я ж ваш пароль буду подбирать на вашей же rpi.
> конечно, конечно, я ж ваш пароль буду подбирать на вашей же rpi.формула успеха тут очень простая:
чем мощнее у тебя железка -- тем лучше защиту можешь на неё нацепить.
а cryptsetup просто снимает с пользователя бремя вручную высчитывать мощность пк. делая это автоматом.
> конечно, конечно, я ж ваш пароль буду подбирать на вашей же rpi.Если ты вытащишь мой диск и будешь подбирать пароль на своей системе чем мне в принципе могут помочь какие-то ограничения в моём ядре?
> это не считая скрытых контейнеров, plausible deniability и т д, о чем
> линуксоукушенные вообще "не, не слышал". В общем-то, оно и правильно, что
> вам скрывать-то - свою хом-мейд порнуху с однокласницами?Это тот который при монтировании тома показывает в окне либо "Normal" либо "Hidden" (или как там в натуре он пишет), вместо того, что бы всегда показывать "Normal" (вдруг кто из-за плеча посмотрит). Да, это верх "скрытых контейнеров, plausible deniability"!
Имхо, аудит не панацея. ТС пример того, что даже после прохождения его, проект прекратил свое развитие, а казалось бы должно было открыться 2-е дыхание.
Причем cryptsetup может контейнера ТС и VC, а наоборот? Тотоже..
Аргументы, типа а зачем не принимаются )
> а казалось быЗря казалось. После прохождения аудита у ТС резко выросла популярность - и автор вместо снимания сливок вдруг бросил проект. Очевидно, под давлением.
> Зря казалось. После прохождения аудита у ТС резко выросла популярность - и
> автор вместо снимания сливок вдруг бросил проект. Очевидно, под давлением.и значит - было за что давить.
То есть разнообразным товарищам майорам результат аудита показался стоящим.отчасти, конечно, желаемого результата они добились.
>> а казалось бы
> Зря казалось. После прохождения аудита у ТС резко выросла популярность - и
> автор вместо снимания сливок вдруг бросил проект. Очевидно, под давлением.Авторы.
И там, вполне возможно, была еще и неплохая "демотивация" (это мне так читалось между строк их[ТС-разрабов] стейтмента) – т.к. денег на аудит, за пару месяцев, собрали существенно больше, чем задонатили трукрипту за все время его существования[0]
Т.е. как бы, люди много лет старались, писали, исправляли, реверсили [1], а вот "сливки" сняли "левые чуваки"-аудитщики.[0] Это по памяти, когда-то копал документацию, принцип работы, загрузчика и т.д. ну и натыкался на призыв доната с циферками за текущий год. Пруфануть не смогу - страницы в вебархиве не сохранилось
[1] "нижнеуровневая" aрхитектура Окошек - там и с доками (было?) довольно швах, ну и в сорцы тоже в случе чего не глянуть.
С левыми чуваками можно было и базаритьт,
на предмет "поделится"
> Очевидно, под давлением.каким к чёрту давлением?
вообще-то автор вполне ясно написал причину.
и про давление там ни слова.
[quote]
The development of TrueCrypt was ended in 5/2014 after Microsoft terminated support of Windows XP. Windows 8/7/Vista and later offer integrated support for encrypted disks and virtual disk images. Such integrated support is also available on other platforms (click here for more information). You should migrate any data encrypted by TrueCrypt to encrypted disks or virtual disk images supported on your platform.
[/quote]вполне понятно из текста что смысла в TrueCrypt просте нет. времена WindowsXP уже прошли и теперь все современные системы имеют встроенные стредства дискового шифрования.
на кой хрен искать тут теории заговора -- совершенно не ясно.
а иначе -- может ещё инопланетян сюда приплетём? и планету Нибиру?
> вообще-то автор вполне ясно написал причину.угу, ему ж донейтили одни только пользователи XP, бедные, а остальные пользовались "integrated support".
> и про давление там ни слова.
автор не озаботился canary report, и те же, кто заставили его прекратить проект, вполне могли использовать те же "неодолимые аргументы" и для того, чтобы заставить автора помолчать.
При этом он зачем-то выпустил "специальную" версию, внезапно, не умевшую создавать контейнеры и шифровать нешифрованные диски (каковая и стала прилетать всем невнимательным, тыкавшим в большую кнопку "скачать"). Потом, правда, сделал вид, что ничего такого не было, и даже сайтик восстановил ненадолго.
> encrypted disks and virtual disk images. Such integrated support is also
> available on other platforms (click here for more information). You shouldповторяю уже задававшийся вопрос: кто и как проводил аудит этих "integrated support". Раз вы так хорошо разбираетесь в windows - начните с нее. Про мяк-ось тоже интересно.
> вполне понятно из текста что смысла в TrueCrypt просте нет. времена WindowsXP
да, я понял, смысла нет, товарищ майор.
Действительно, кому нужны альтернативные шифровальщики, кроме рептилоидов?
Цель аудита ведь именно так и была заявлена: давайте выясним доподлинно, надежна ли программа, которая вот-вот станет ненужной и прекратит развитие за ненадобностью.
Кстати, вы товарищам из VeraCrypt забыли рассказать, что они не нужны с самого начала. Даже странно, что они из всего TC дорабатывают именно подоконную версию - ведь ХР уже нет!..
> Даже странно, что они из всего TC дорабатывают именно подоконную версию - ведь ХР уже нет!..Ничего странного: подоконники не умеют читать документацию и предпочитают продолжать пользоваться тем, к чему привыкли (до сих пор сохранились экземпляры, которые принципиально сидят на XP). А линуксоиды, кому надо, давно осилили cryptsetup, encfs или что кому больше глянулось.
Сами не замечаете дыр в своей логике?
Подоконники предпочитают пользоваться тем, к чему привыкли - и вдруг переползут с TC именно на VC? При том, что встроенные средства и все такое?
А линуксоидам вдруг стало "надо осиливать" что-то другое при том, что аудит НИКАКИХ проблем в ТС под Линуксом не обнаружил.
> Сами не замечаете дыр в своей логике?
> Подоконники предпочитают пользоваться тем, к чему привыкли - и вдруг переползут с
> TC именно на VC?Наиболее продвинутые переползут, там ведь принципиальных отличий нет, ничего нового осваивать не надо. Только новое название запомнить (хотя и это не всем по силам, как видно по числу пользователей AOO).
> А линуксоидам вдруг стало "надо осиливать" что-то другое при том, что аудит
> НИКАКИХ проблем в ТС под Линуксом не обнаружил.А много ли линуксоидов вообще пользовалось когда-то TC? Только дуалбутчики плюс-минус погрешность. Но дуалбутчиками долго не бывают.
Системы имеют "СВОИ" ))) Это раз!
Кроссплатформенность - это два!
Вот приходишь ты в кафе с вайфаем (или еще куда ни будь в довольно таки публичное место). Нет, конечно же, у тебя выход в Интернет через Tor и/или VPN. Все хорошо! Ставишь ноутбук на стол, включаешь, вводишь пароли... и вот тут начинается.
Далее должен идти длинный список опасностей которые актуальны с момента начала работы с расшифрованными данными (например):
Видео наблюдение.
Коробочка под столом считывающая нажатие клавиш.
Выпитое кофе с подсыпанным порошком (достаточно одной таблэтки ;)
Отвлекающие действия "сторонних" лиц, с последующим выкручиванием рук.
...
Кто-то еще говорит про рептилоидов?
Если за твоими данными всерьез охотятся - криптоконтейнер всерьез их не защитит.
Он - всего лишь для того, чтобы в них не мог влезть любой желающий.
> Кто-то еще говорит про рептилоидов?
> Если за твоими данными всерьез охотятся - криптоконтейнер всерьез их не защитит.так и запишем - у вас никаких ценных данных нет. одна порнуха (разумеется, модели строго 18+), и та прячется в основном от младшего братца, чтоб не заляпал клавиатуру.
> Он - всего лишь для того, чтобы в них не мог влезть любой желающий.
от любого желающего вполне достаточно пароля на вход. При этом ты не рискуешь внезапно лишиться всей своей порнухи только потому, что единственный блок из расчудесного "AF stripe" оказался битым.
Человек, не ленящийся смонтировать твой диск на своей системе - уже не любой желающий, он, внезапно, может оказаться настолько неленив, что прежде чем тырить диск, посмотрит что за пароль ты вводишь.
Например, самый распространённый кейс для шифрования - ты работаешь с коммерческими данными и опасаешься не целенаправленной атаки, а банально забыть бук или кражи. Обычно там ничего катастрофически ценного нет, ради чего пальцы щемить или порошок сыпать, а вот если подарок подарить, оставив всё в открытом виде - то может и уплыть что-то. Умер диск - ну из бэкапа поднимешь, в любом случае их делать надо и они делаются обычно автоматом, а то и вовсе работа идёт с облаком, а на диске - так, локальный кэш.Всё более серьёзное один хрен требует дополнительных мер.
А вот насчёт камер - это да, давно пора на токены перебираться. Не потому что "злоумышленник" свою примостил, а потому что банального видеонаблюдения хватит, камеры там сейчас всё лучше.
Например, из keepassx горячими клавишами ввод запрещен?
Или озираться стиль жизни? )))
Речь, вроде, была о пароле для расшифровки диска (тут, правда, я и сам не знаю, можно ли токеном сделать) и пароле разблокировки экрана. Какой keepassx?
загрузчик выносится на внешний носитель, где
делается ввод рандомного сессионого пароля - это самое простое.
Экран, если ноут, вообще нечего блокировать.
Крышку надо закрывать, а лучше вырубать к хренам вообще.
Пример, как попадаются пиплы с включенными ноутами есть в инете.
Keepassx - когда работаешь и есть сомнение, что кто то подсматривает.
Не понял, а рандомный сессионный пароль откуда брать?
Ключ не пароль.
Генерируется при загрузке.
> Keepassx - когда работаешь и есть сомнение, что кто то подсматривает.Но ведь придется или держать кипас открытым или опять таки, вводить "под наблюдением" пароль уже для него?
>давно пора на токены перебираться.Тогда тебе и яйцы щемить не надо будет, достаточно будет обшмонать карманы и забрать токен. Товарищ майор одобряэ!
>>давно пора на токены перебираться.
> Тогда тебе и яйцы щемить не надо будет, достаточно будет обшмонать карманы
> и забрать токен. Товарищ майор одобряэ!Может он сам майор? )))
Оно не от товарища майора - во-первых, от того всё равно бесполезно, во-вторых нарваться на любопытного охранника с видеонаблюдением шанс куда больше.edit: Но если конкретно тебя тревожит такая ситуация - можно сделать двухфакторку - токен + пароль. Сто раз говорил - от модели угроз надо плясать, тогда и решения найдутся.
>нарваться на любопытного охранника с видеонаблюдением шанс куда больше.Разглядеть, что ты вставляешь токен, куда проще, чем что ты вводишь на клаве.
Ну и пусть смотрит, какие проблемы? Защита от любопытных глаз, а не от выкрученных рук.
> Ну и пусть смотрит, какие проблемы? Защита от любопытных глаз, а не
> от выкрученных рук.правильный токен от этого тоже защищает - анти-пином (но яйца, учти, обратно тебе не пришьет).
Но опять же - не вижу на рынке ничего, доступного частному лицу или мелкой лавочке.
Разумеется. Но конкретно мне этот "правильный" не нужен, хватит просто его присутствия и более-менее вменяемого протокола обмена. Всё то же - модели угроз.Можешь глянуть в сторону железных кошелей для биткоинов, они там через один умеют и токеном работать заодно, код и схемы открытые, есть с TPM, есть без - на любой вкус. Порядка 100 баксов стоят, для начала - trezor (тупо на stm32 )и ledger nano (stm32 + st31).
Есть и дешевле токены.
> Например, самый распространённый кейс для шифрования - ты работаешь с коммерческими данными
> и опасаешься не целенаправленной атаки, а банально забыть бук или кражи.можно детальней? вот я работаю с "коммерческими данными" - имена/мэйлы моих клиентов, местами даже номера их кредиток (обычно удаляю сразу, но можно лохануться и забыть), не говоря о всяких логинах-паролях, они обожают их не только присылать, но еще и цитировать в мэйле.
ну и вот спер какой-нибудь ловкий воришка мой ноут. Ты думаешь, a) он знает как добраться до моей почты в нем? b) она ему хоть сколько-то интересна? d) он знает что делать с тем же номером кредитки?
Причем времени у него очень мало - как только я доберусь до сети, пароли превратятся в тыкву.А уж от собственно коммерческой инфы - то есть как раз имен и явок - ему пользы ровно ноль, разьве что он админ-неудачник, настолько голодный, что вынужден подрабатывать кражей ноутов.
но вот в нужный момент не иметь под рукой этих имен-адресов- это очень неприятная история.
> делаются обычно автоматом, а то и вовсе работа идёт с облаком,
а вот это тебе, типа, не ссыкотно? Там-то админы (и голодные или обозленные неудачники тоже), они знают что делать с этой инфой.
> А вот насчёт камер - это да, давно пора на токены перебираться.
токены+пин (на самом деле пароль, а не четыре цифирки, пины придуманы во времена до вездесущих камер).
К сожалению, хрен кто такое производит для широкой публики.Я уже пару раз показывыл, как выглядит _почти_правильный_ токен. https://geektimes.ru/post/234857/
> Не потому что "злоумышленник" свою примостил, а потому что банального видеонаблюдения
> хватит, камеры там сейчас всё лучше.а защита все шитовей и шитовей, поэтому видео с этих камер охрана может вообще не видеть, зато чувак за соседним столиком в той же кафешке - очень даже.
Сам не доберётся - с шансами найдёт кому сунуть железку на предмет поиска интересного. Воры тоже вполне в курсе прогресса."В нужный момент не иметь" - лечится как раз облаками и прочим удалённым хранением. Если облака - значит, это клиентская система, и что там творят админы клиента - его головоная боль, не моя. Если мой сервер - тут моя ответственность, конечно. Там либо быть уверенным в физической безопасности либо всё держать зашифрованным. Ну и универсальный рецепт - не работать с тем, что действительно секретно, где попало. Это ещё и неудобно кроме всего прочего.
А вот смысл пина я сейчас не вижу совсем (в отличие от подтверждения железной кнопкой на токене) - если смотрят - подсмотрят, если голову будут отбивать - сам скажешь, а про...ть одновременно и ноут и токен - это уже суметь надо, тут лучший рецепт - бухать поменьше.
> Сам не доберётся - с шансами найдёт кому сунуть железку на предмет
> поиска интересного. Воры тоже вполне в курсе прогресса.у тебя много знакомых воров? У меня был один, ну так он вряд ли принес бы мне что-то краденое. К тому же он сидит.
> "В нужный момент не иметь" - лечится как раз облаками и прочим
> удалённым хранением. Если облака - значит, это клиентская система, и что
> там творят админы клиента - его головоная боль, не моя. Еслиданные-то чьи ты в облаке собрался сохранять?
Если свои - то надо не просохатить доступ, это куда хуже чем просохатить ноут, потому что добраться к твоему онедрайву действительно может любой мелкий жулик, увидев пароль, он тоже там свои фоточки хранит.
Если клиентов, то зачем тебе к ним доступ, да еще хз откуда?
> мой сервер - тут моя ответственность, конечно. Там либо быть уверенным
> в физической безопасности либо всё держать зашифрованным. Ну и универсальный рецептфизическая безопасность мало чего стоит, если у тебя утек пароль от ssh на этот сервер (или, того хуже, логин от админки колло - туповатый биоробот радостно поможет кульхацкеру "восстановить пароль").
> А вот смысл пина я сейчас не вижу совсем (в отличие от
> подтверждения железной кнопкой на токене) - если смотрят - подсмотрят, еслисмысл банален - если токен попал в чужие руки вместе с ноутом (то есть они знают или могут догадаться, от чего именно был токен) - это еще не означает, что они знают пин.
> голову будут отбивать - сам скажешь, а про...ть одновременно и ноут
> и токен - это уже суметь надо, тут лучший рецепт -он либо в ноуте торчит, либо рядом с ним лежит, где он еще, по-твоему, должен быть - на шею вешаешь, как корове колокольчик?
"Хочешь узнать человека - не слушай, что о нем говорят люди. Послушай, что он говорит о людях".
Забавная нестыковка: по скоропалительным суждениям вам не дашь и тридцати, но нынешней молодежи уже незачем хранить порно на компьютере.Я не шифрую системный диск и никогда не видел смысла этого делать. Контейнер с теми данными, которые представляют коммерческую тайну или интеллектуальную собственность, у меня зашифрован 36-символьной не вполне русской фразой. Просто подглядеть ее трудновато... и, внезапно, я не ввожу ее каждый раз, когда сажусь за компьютер.
У каждого свои секреты и их уровень.
99% населения вообще нечего скрывать.
Примкнем к ним? А накой гостайна?
Коммерсанты тоже парятся зря...
> 99% населения вообще нечего скрывать.
> Примкнем к ним? А накой гостайна?
> Коммерсанты тоже парятся зря...в общем-то, как правило, таки зря.
Все известные мне утечки (в смысле - не из желтой прессы, а вокруг меня и знакомых) были не от того что кто-то стырил доступ, валявшийся почти открыто, а от того, что данные (или технологию) упер кто-то, кто и так имел эту возможность, согласно штатному расписанию.
Вот это правильно!
шифрование - вмогательный инструмент,
который не защитит от крота.
Предают те, кто ближе всего!
> Я не шифрую системный диск и никогда не видел смысла этого делать.ок, открою вам глаза: смысл вообще-то есть, чтобы временно взявший "поиграть" этот самый диск не добавил туда незаметно что-то непрошенное. Что аккуратно сольет весь распрекрасный 36символьный пароль просто прозапас, а сами данные скопирует во время тихое.
Поэтому мы и добавляем аутентификационные методы поверх шифрования.на самом деле, в моей модели угроз это гораздо более весомая опасность. Но на фоне возможности потерять все данные - менее весомая.
> собственность, у меня зашифрован 36-символьной не вполне русской фразой. Просто подглядеть
> ее трудновато... и, внезапно, я не ввожу ее каждый раз, когдасоответственно, контейнер остается открыт всем желающим?
Или на самом деле нет там ни тайны ни собственности, потому что обычно именно ради этих данных (и вообще внезапно настигшей работы) и садятся за компьютер в неподходящем месте. Котиков посмотреть можно и с телефона.
С трудом представляю, как можно незаметно "взять поиграть" диск из моего рабочего или домашнего компьютера.
А если он попадет в чужие руки и я буду об этом знать, то уж потрачу час на переустановку системы. Не винда же, чтобы день конопатиться. Винда и Хакинтош у меня в виртуалках, к контейнеру они имеют доступ только через общую папку, когда он примонтирован.
Ну, и будем реалистами: органам мои данные без надобности, а конкурентам слабо сорганизовать такую схему. Можно не параноить.> соответственно, контейнер остается открыт всем желающим?
Контейнер - да, он лежит в корне рабочего раздела, копия - в корне рабочей флешки.
Открыт? С чего бы? Я его смонтировал - поработал - отмонтировал. Желающие идут лесом.
И делаю я это довольно нечасто, кстати. В неподходящих местах - никогда.
> С трудом представляю, как можно незаметно "взять поиграть" диск из моего рабочего
> или домашнего компьютера.а в чем проблема? Ну ладно, дома голодный кавказавр, а на работе-то что мне помешает?
> А если он попадет в чужие руки и я буду об этом
> знать, то уж потрачу час на переустановку системы. Не винда же,угу, тебе об этом выдадут справку с подписью и печатью.
Приходишь ты домой, а компьютер выключен, хотя был вроде включен. Или не был? Блин, батарею в UPSе давно надо было поменять.
Или ты по каждому такому чиху бросаешься переставлять систему?> Ну, и будем реалистами: органам мои данные без надобности, а конкурентам слабо
> сорганизовать такую схему. Можно не параноить.гм, у тебя точно-точно замки на входной двери устойчивы к бампингу? В офисе секьюре-зоны, контроль времени пребывания (не ушел вовремя - пиши объяснительную и зови охрану, дверь не откроется), уборщицу водят под конвоем, а сама секьюрить - честнейшие люди?
> И делаю я это довольно нечасто, кстати. В неподходящих местах - никогда.
тогда что ж такое важное для бизнеса там лежит?
А то юз паттерн все больше смахивает как раз на порнуху ;-)
> а в чем проблема?Вы знаете, я не любитель бондианы. В контексте данного обсуждения - именно в этом.
> тогда что ж такое важное для бизнеса там лежит?
То, что не должно попасть к конкурентам. Всего лишь. Никаких ключей к мировому господству.
> А то юз паттерн все больше смахивает как раз на порнуху ;-)
Вы же понимаете, что тест Роршаха вы завалили?
>> а в чем проблема?
> Вы знаете, я не любитель бондианы.то есть коллеги - честнейшие люди, прыщавый сосед Вася не может найти в гугле статью и заказать пачку китайских zero keys чисто поинтересоваться где чо плохо лежит, и ключи вы ни разу не теряли?
А от кого вы тогда шифруетесь-то "36символьным паролем"? От рептилоидов?>> тогда что ж такое важное для бизнеса там лежит?
> То, что не должно попасть к конкурентам. Всего лишь. Никаких ключей кнельзя ли конкретики? Я вам свою озвучил. Вроде, больше ничего ценного для посторонних у меня нет.
>> А то юз паттерн все больше смахивает как раз на порнуху ;-)
> Вы же понимаете, что тест Роршаха вы завалили?я ленивый, порнуха тоже нешифрованная лежит, прямо в ~/pron
> А от кого вы тогда шифруетесь-то "36символьным паролем"?От реальных угроз. Вы так лихо выдумываете фантастические, что, думаю, и со списком того, что имеет не пренебрежимую вероятность, тоже справитесь.
> нельзя ли конкретики?
А смысл? Чтобы вам было о чем поспорить? Оно мне надо?
> От реальных угроз. Вы так лихо выдумываете фантастическиеда, я понял - любопытный коллега (или не совсем коллега) на работе - это для вас фантастика.
> А смысл?
чтоб самому не выглядеть фантазером. А то что кто-то что-то выдумывает петь вы можете, а когда спрашиваешь о "реальных угрозах" вашей "супер коммерческой тайне" - так в туман.
P.S. Думаю, что все же - прон. BDSM или еще что похуже, что коллеги специально искать не будут, оно им и нахрен не надо, но и на глаза это им лучше б не попадалось.
> любопытный коллега (или не совсем коллега) на работе - это для вас фантастика.Настолько любопытный, чтобы поставить кейлоггер мне на Убунту? Увы, это даже не мечты.
Я буквально сегодня одному объяснял, что в спаме от Рамблера должна быть ссылка "отписаться", а другому - что на принтер, который компьютер не видит сам, бесполезно пытаться что-то отправить по сети.> чтоб самому не выглядеть фантазером.
Боги! Вы правда полагаете, что я так взволнован вашим обо мне мнением? Полноте, будьте хоть немного самокритичны. Да и трудно представить, куда мне дальше падать в ваших глазах - вы и так, похоже, упорно представляете меня тинейджером, ведущимся на подначки, пытающимся выдумать собственную важность и дрожащим от мысли, что кто-то узнает про его коллекцию порнухи. При всем желании такое мнение мне испортить не под силу ;)
> Настолько любопытный, чтобы поставить кейлоггер мне на Убунту?а что такого-то? (я и логгер ставить не буду, просто подменю вам cryptsetup или что у вас там, мне это быстрее и проще чем искать какую-то неведомую фигню для убунты. Займет пять минут. Могу даже в deb запаковать, но, скорее всего, вы не проверяете и контрольных сумм тоже.)
в общем, понятно, use case мы не дождемся. Как обычно у владельцев "коммерческих тайн", в реальности админящих микролавочку по продаже просроченных котлет. Там, похоже, и порнухи-то стоящей нет, так что я был о вас слишком хорошего мнения :-(
>Контейнер с теми данными, которые представляют коммерческую тайну или интеллектуальную собственностьА как лучше сделать этот контейнер малозаметным?
> А как лучше сделать этот контейнер малозаметным?не пользоваться им ;-)
> А как лучше сделать этот контейнер малозаметным?Если то, что у вас есть секрет - это секрет, то скорее всего, тот секрет не так важен.
Можно обойтись без контейнера, просто спрятать подальше. И отключить отображение последних файлов.
Что значит малозаметным?
О каком приложении и ОС идет речь?
> Что значит малозаметным?
> О каком приложении и ОС идет речь?ОС - Линукс.
Какое приложение у тоже Анонима - не знаю.
> Кто-то еще говорит про рептилоидов?Согласен, рептилоиды со вздыбленными чешуйками уже давно все убежали, после того как прочитали человеческие мысли в некоторых "недалеких" головках.
> Если за твоими данными всерьез охотятся - криптоконтейнер всерьез их не защитит.
> Он - всего лишь для того, чтобы в них не мог влезть
> любой желающий.Согласен! Просто думал может кто то с опытом поделится методами ;) Ведь как говорится осведомлен значит вооружен.
Иногда охотники не хотят/не могут/бояться себе проявить.
Ответочка может прилететь или подтянут за тухляки/блудняки)))
> Вот приходишь ты в кафе с вайфаеми первым делом разблокируешь там свой секьюрный-пресекьюрный диск прямо на радость местной системе наблюдения и всем, кто получил к ней доступ или получит завтра? Молодец, коноплев, это пять.
я тут, сидя в кафе с вайфаем, вынужден был объяснять владельцу кафе, чтоб поменьше ржал над белой обезьяной, почему я каждый раз по привычке озираюсь, прежде чем прикасаться к клавиатуре.
(дикая азиатская страна, где камера из каждой щели даже в столице еще не торчит, а интернет, ну надо же, даже в деревенской кафешке уже есть вполне приличный)
Сегодня "кафе с вайфаем" в нашей стране совсем не то место, где можно работать с секретными данными - хоть ты обвешайся vpn'ами и шифрованием.
> Далее должен идти длинный список опасностей которые актуальны с момента начала работы
_до_ начала работы.
>> Далее должен идти длинный список опасностей которые актуальны с момента начала работы
> _до_ начала работы.Да, вот его и хотелось бы обсудить.
Чтобы его обсуждать надо начать с описания модели угроз - что, от кого и в каких ситуациях защищаем. Половина пунктов сама собой нарисуется.
Куча дятлов стоящих/сидящих за пределами кафе/торгцентр/заправка и т.д. и юзающих их инет.
Не видел никогда? Приглядись и увидишь.
блин, мы это делаем чтоб за столик не платить (а с заправки поперла охрана), а не потому что такие дятлы, что не видим камер наружного наблюдения!подумаешь, йолки, они увидят пароль от моих котиков.
Можете спать спокойно.
Камер, которые могут смотреть сквозь метал еще не изобрели.
А те что стоят, не могут на расстоянии 15 метров зафиксировать
какие кнопки на клаве жмутся, как и физиономии с надлежищим качеством ))
> А те что стоят, не могут на расстоянии 15 метров зафиксироватьаллах с вами, не покупайте устаревшее на десять лет г-но.
Обычный "погодозащищенный" ассортимент алиэкспресса, если не жмотить последние копейки, вполне способен различить при покадровом воспроизведении ваши кнопки, даже если вы их слепым набором набираете (а пароли часто содержат несколько неудобных символов, сбивающих слепой набор - да, авторы идиотских "буква-цифра-знаки-разный case" тоже живут в прошлом веке)
Я вас умоляю, ну нет нигде 360 градусов окружения камерами!
Перед тем как заниматься секурными делами, не помешает определить диспозицию.
А "снаружи" объекта, размещение камер еще больше ограничено,
и как было сказано, сквозь железку они еще не научились видеть.
Ввод паролей в принципе не рекомендуется делать руками, ибо даны уже много лет нам
помощники в виде хранителей паролей, там же и клавиатурный ввод предусмотрен.
> Я вас умоляю, ну нет нигде 360 градусов окружения камерами!нет, ну если щемиться в дырку между помойным бачком и стеной, от камеры ты,конечно, спрячешься, хотя охрана той заправки, возможно, наоборот, пойдет выяснять, в чем там дело, ибо за типового дятла из описанных при этом сойти не получится, те не шифруются. Но как-то это уже слишком напоминает шпионские страсти.
> Ввод паролей в принципе не рекомендуется делать руками, ибо даны уже много
> лет нам помощники в виде хранителей паролей, там же и клавиатурный ввод предусмотрен.это чтоб их все просохатить чохом?
(я вот не могу заставить себя поверить ни тому, что в keepass не окажется бэкдора, ни что при его глюке все мои пароли не превратятся в тыкву именно в момент, когда будут нужны)ладно б, какую-нибудь нормальную биометрию для его разблокировки предложить, но ее, нормальной, не хранящей bmp со сканом твоего отпечатка прямо на диске, наверное, уже тоже не делают.
Интересная ситуёвина была с участием криптоконтейнеров от VeraCrypt. Однажды нужно было передать файлы, создал контейнер, кинул через google disk. Оригинал контейнера остался на компе. Все норм, передал, открыл. Где-то через полгода снова понадобилось содержимое. Взял вариант с гуглодиска, а хренушки! Контейнер битый! Вариант с компа открылся без проблем. Не стал париться, опять залил рабочий
контейнер на гуглодиск. Проверил, скачав его по-новой и открыв - работает. Опять оставил. Через пару месяцов попробовал открыть - опять битый!
хеш пробовал проверять?
> хеш пробовал проверять?зачем, за него вера проверит. Раз говорит что битый - значит, битый.
Наверное, кому-то хватило ума замаунтить прямо с гуглодрайва:)
Добрый день есть ьвопрос если есть возможность помогите пожалуйста. Задача - 2 операционки одна фейк , вторая рабочая , я так собственно и сделал , но столкнулся с проблемой , где хранить файлы ? получается всё только на диске С системном потому что смонтировать диск с оставшейся памятью я не могу (ошибка , либо том уже смонтирован ...) как мне добиться того чтоб было 2 операционки с возможностью использовать и память другого раздела ?
