Re: и ещё про шифрован ие

[sergio <debian-russian@sergio.spb.ru>]

Pavel Ammosov wrote:
> On Thu, Mar 13, 2008 at 09:55:06PM +0300, sergio wrote:
> > При этом очень хочется, скажем, шифровать мускульные дазы. Но я как-то 
> > плохо себе представлю, что бы дебиан поднялся без var'a. Те надо выность 
>
> По крайней мере sarge загружается без /var. В многопользовательский
> режим и пускает по ssh :) Узнал об этом случайно опытным путём.
кривой какой-то вариант.

> Что касается mysql, то местоположением его файлов совершенно не
> обязательно должен быть /var, это задаётся в конфиге.

это я к тому, что все такие приложения придётся запускать руками..

> > И ещё: если получить рута на компутере с подмонтированными шифрованными 
> > разделами --- можно узнать пароль от них?
>
> В таком контексте говорят обычно не о паролях, а о ключах шифрования. И
> так как этот ключ нужен для собственно шифрования, находится в
> оперативной памяти, а root может её читать всю целиком, то он сможет их
> узнать, да.
да, но мало-ли..

> Если нужна защита, то существует IBM 4758 (http://www.ibm.com/security/cryptocards/)
> Это PCI-карта, представляющая защищённое хранилище ключей (от
> физического взлома, от нагрева, охлаждения, рентгеновского излучения) с
> собственной батарейкой, генератор случайных чисел, сама шифровалка, 
> разграничение доступа и тп и тд :)
а как она их там хранит? и почему их нельзя будет оттуда выдрать?

> Только в Россию ты её не привезёшь, потому что у нас есть сексуальные
> меньшинства с гостом и странным оборудованием, органично переплетшиеся с
> госструктурами. Они сами не могут нормально сделать и другим не дают.
а по-подробнее?

--
sergio.