шифрованная ФС

To: debian-russian@lists.debian.org
Subject: шифрованная ФС
From: "Dmitry E. Oboukhov" <dimka@avanto.org>
Date: Thu, 22 Mar 2007 00:19:20 +0300
Message-id: <[🔎] 20070321211920.GB12366@avanto.mpei.ac.ru>
In-reply-to: <[🔎] etrrjb$sg7$1@sea.gmane.org>
References: <[🔎] 20070321150351.GB8005@avanto.mpei.ac.ru> <[🔎] etrrjb$sg7$1@sea.gmane.org>

>> кто-либо пользуется сабжем?
>> если да то каким?
> Использую шифрование для нотера -
> настроил инсталятором Дебиана - по
> паролю.
> Если случиться груcтное и нотер исчезнет
> - мои пароли на почту и сайты не попадут к
> "шутникам".
> В ситуации "маски шоу" для сервера это не
> поможет - они просто попросят сказать
> пароль.
а если грубо говоря в фирме не будет человека знающего пароль на момент
маски-шоу?
я конечно понимаю терморектальный криптоанализ и все такое
но если маски-шоу устраивается государством то хоть какую-то видимость
законности должны соблюсти.
изымают допустим сервер, его выключают
а после включения там пусто
ФС монтируется руками.
ключей нет: рассматривайте логи системы и что там еще не скриптовано.


> Единственный метод для противодействия
> "маскам" - автоматическое физическое
> уничтожение данных в сам момент налета -
> мне известен только один случай
> применения такой системы - в ACK (Агенство
> Стратегических коммуникаций) - фирма
> обслуживала Явлинского -  погуглите -
> очень поучительная история.
> Для бизнеса не подойдет.
>> какие наработки есть по поводу
>> совмещения удобства и секьюрности никто
>> не даст ссылочек на почитать или своими
>> словами бы рассказал?
> Вы сначали разберитесь что вам нужно (по
> сути) и зачем.
> Может вам просто хостинг на западе с vpn
> нужен ?
да я в свете статей о маски шоу интересуюсь
пока сугубо теоретически.

кстати, а кто что думает над таким решением:


1. используем метод шифрования "на лету" (то есть метод когда шифрование
в момент размонтирования происходит нам не подходит)
2. шифруем с ключом
3. ключ располагаем на каком-либо хостинге под запароленой страничкой.
4. скрипт монтирования спрашивает у нас адрес пароль логин и пароль к
ключу. 
5. скрипт в сеть может ходить скажем через tor чтобы если внешний
снифер стоит не могли перехватить адрес.

это в смысле чтобы и от паролей избавиться (пароли таки расшифровать
перебором можно а ключи фиг) и избавиться от носителей которые на момент
маски-шоу могут оказаться рядом с сервером.

сервер как правило стоит в локалке ну и если ключ кому-то попадет то ему
еще надо узнать от какого он хоста зачем итп == вероятность маленькая
через эту дырку залезть.

адрес сервера логин пароль они легко запоминабельны. а ключ можно
держать длиннее самого длинного пароля.

Reply to:

Follow-Ups:
- Re: шифрованная ФС
  - From: Artem Chuprina <ran@ran.pp.ru>
- Re: шифрованная ФС
  - From: Andrey Lyubimets <andrey@nskes.ru>

References:
- шифрованная ФС
  - From: "Dmitry E. Oboukhov" <dimka@avanto.org>
- Re: шифрованная ФС
  - From: Nicholas <spam@networkgate.us>

Prev by Date: Re: Sound problem
Next by Date: Re: шифрованная ФС
Previous by thread: Re: шифрованная ФС
Next by thread: Re: шифрованная ФС
Index(es):
- Date
- Thread