Fórum Root.cz
Hlavní témata => Software => Téma založeno: MasterSv 11. 09. 2014, 15:47:31
-
Ahoj vsichni,
Chtel bych Vas tu pozadat o vas nazor/radu/tip, ktery program je podle vas aktualne nejlepsi/nejbezpecnejsi na
zasifrovani bud celeho HDD, nebo jen nektere partition ?
Posledni dobou se hodne pise o TrueCryptu a jeho o ukonceni jeho vyvoje z duvodu (nevim co je na tom pravdy)
prolomeni jeho sifrovani.
Takze otazka zni: Co pouzivate na sifrovani vy ?
Predem diky za rady/tipy
-
Odpoved je jednoducha, prolomeno nic nebylo ...
-
Pokud jedes ciste Linux, tak nejspis dm-crypt.
Problem je, ze nemuzes zasifrovat /boot. To by resil trebas Opal, ale ten AFAIK neni podporovany na Linuxu.
-
Ja pouzivam GELI na FS a na soubory OpenSSL/AES.
-
Nebál bych se toho truecryptu, až to budou schopni rozkódovat naši odborníci....tak na Rootu už na to téma bude článek s návodem ;D
Samozřejmě, jestli po tobě nejdou trojpísmenkové agentury ;D
Pokud ano, tak doporučuji psací stroj a psát jedině u ..vodopádu? (chtěl jsem napsat kohoutku, ale psací stroj je poměrně hlučné zařízení)
Ono se totiž ze zvuku psacího stroje dá dovodit, co se píše za text ;D
-
Diky vsem za odpovedi,
Jen sem si uvedomil (uznavam, ze pozde), ze jsem mel ten svuj dotaz "trosku" rozvest :-)
Takze dodatecne:
- Duvod, proc chci sifrovat. V ntb mam data tykajici se me prace/podnikani, danove priznani, faktury,
dopisy na urady, vypisy z bank.uctu, smlouvy atd.. (samozrejme ze mam od toho jeste zalohu na extHDD).
- Z duvodu me prace casto cestuji a ntb vozim s sebou a kdyby nahodou doslo k tomu, ze ho nekde necham,
nebo jeste lepe, ze mne ho nekdo ukradne, tak opravdu nechci, aby ty data byly volne pristupny kdejakymu
corkaroj.
- Na ntb mam dualboot W7/Ubuntu 14.04 (holt nektere veci se mi na Linuxu nepodarilo zprovoznit, takze tam
musim trpet i M$ balast :-)
- Rozdeleni partitions je nasledujici: pro W7 2part (c:System, d:data) s tim ze data co chci sifrovat jsou na d:\
pro Ubuntu klasicky jednu part. + swap, s tim ze data z d:\ "sdili" s W7.
- A ted to prijde...moje predstava je zasifrovat d:\ s tim ze bude pristupne jak z W7 tak z Ubuntu.
Vzhledem k tomu, ze TrueCrypt je dostupny jak pro win tak linux, tak si myslim, ze by to nemel byt problem ne ?
- A posledni otazka..jakou verzi TC doporucite ? v.7.1a, jestli jsem to pochopil spravne tak v.7.2 uz je jen "desifrovaci" ?
-
Bych se podival, jestli existuje encfs nebo ecryptfs pro widle. To by melo proti tipickym corkaroj stacit, na ty cely disk sifrovat nemusite.
-
No ja bych chtel radsi sifrovat celou "Deckovou" partysnu. Jasne je hafo programku co umi
udelat sifrovanou slozku, ale ja si rikam
'Kdyz uz sifrovat, tak radeji preventivne celou part :-)'
-
Truecrypt, bez problémů. Mám vyzkoušené.
-
Ja používám novinku na trhu produkt eTrezor, funguje nejen na bezpečne šifrování dat, ale i správu a používáni hesel a elektronického podpisu, mohu určitě doporučit! Petr
-
Ja používám novinku na trhu produkt eTrezor, funguje nejen na bezpečne šifrování dat, ale i správu a používáni hesel a elektronického podpisu, mohu určitě doporučit! Petr
A to je zase co? Najdu neco ruskeho a pak nejakou ceskou stranku, ktera vypada, jako by prodavala hadi olej.
-
No ja bych chtel radsi sifrovat celou "Deckovou" partysnu. Jasne je hafo programku co umi
udelat sifrovanou slozku, ale ja si rikam
'Kdyz uz sifrovat, tak radeji preventivne celou part :-)'
Mate na to dostatecne tlusty HW? Widle jsou monstruozita o velikosti snad 15 GB. To vse se bude muset za behu desifrovat. Swap file se bude muset porad sifrovat a desifrovat.... Tak abyste nemel Widle, co se plazi jeste 10x hur, jak normalne. Jinak cely disk kdysi sifrovalo PGP, jestli to jeste existuje.
-
No ja bych chtel radsi sifrovat celou "Deckovou" partysnu. Jasne je hafo programku co umi
udelat sifrovanou slozku, ale ja si rikam
'Kdyz uz sifrovat, tak radeji preventivne celou part :-)'
Mate na to dostatecne tlusty HW? Widle jsou monstruozita o velikosti snad 15 GB. To vse se bude muset za behu desifrovat. Swap file se bude muset porad sifrovat a desifrovat.... Tak abyste nemel Widle, co se plazi jeste 10x hur, jak normalne. Jinak cely disk kdysi sifrovalo PGP, jestli to jeste existuje.
AES-NI
-
Mate na to dostatecne tlusty HW? Widle jsou monstruozita o velikosti snad 15 GB. To vse se bude muset za behu desifrovat. Swap file se bude muset porad sifrovat a desifrovat.... Tak abyste nemel Widle, co se plazi jeste 10x hur, jak normalne. Jinak cely disk kdysi sifrovalo PGP, jestli to jeste existuje.
Chce sifrovat jen cely jeden oddil a nejsou tam na nem widle, osobne za me Veracrypt.
-
Za me jedine rozumne reseni: SED. Pravda neni moc velky vyber - samsung ci intel (bavime-li se o obycejnem mainstreamu).
A porno na plotne jsem zasifroval veracryptem.
Proti nahodnym nalezcum/zlodejickum to bohate postacuje oboji.
-
Pokud jedes ciste Linux, tak nejspis dm-crypt.
Problem je, ze nemuzes zasifrovat /boot.
GRUB už to umí (GRUB_ENABLE_CRYPTODISK v některých distribucích).
A jeden motivační příklad proč nevěřit „hardwarovému“ šifrování: https://eprint.iacr.org/2015/1002.pdf
-
A jeden motivační příklad proč nevěřit „hardwarovému“ šifrování: https://eprint.iacr.org/2015/1002.pdf
Myslis, ze prumernej Ferda nekde ve frcu tohle zvladne aplikovat do praxe?
-
A jeden motivační příklad proč nevěřit „hardwarovému“ šifrování: https://eprint.iacr.org/2015/1002.pdf
Myslis, ze prumernej Ferda nekde ve frcu tohle zvladne aplikovat do praxe?
Nevím, jestli jsem průměrnej Ferda, ale většinu těch útoků bych podle toho paperu podle mě implementovat zvládl.
A další věc je, že nevíš, jestli se ty zranitelnosti objeví ve formě paperu, nebo ve formě point-and-click recovery aplikace.
-
Pokud jedes ciste Linux, tak nejspis dm-crypt.
Problem je, ze nemuzes zasifrovat /boot. To by resil trebas Opal, ale ten AFAIK neni podporovany na Linuxu.
Ale může: http://www.pavelkogan.com/2014/05/23/luks-full-disk-encryption/
-
Podle mych zkusenosti bych volil sifrovani celeho "D:" oddilu. Na starickem eee PC mam truecrypt (myslim 7.1a, posledni s funkcnym sifrovanim), WinXP a ubuntu. Po startu systemu se spusti T.Crypt, do okynka zadam heslo a je to. Vse v poradku, ke zdilene datum pristupuji z obou systemu bez problemu.
-
Pokud jedes ciste Linux, tak nejspis dm-crypt.
Problem je, ze nemuzes zasifrovat /boot.
GRUB už to umí (GRUB_ENABLE_CRYPTODISK v některých distribucích).
A jeden motivační příklad proč nevěřit „hardwarovému“ šifrování: https://eprint.iacr.org/2015/1002.pdf
Grub to sice umí, takže je možné mít šifrovaný initramdisk a kernel, ale konfiguráky + moduly ke GRUBU v /boot stále musí být nezašifrované.
-
Pokud jedes ciste Linux, tak nejspis dm-crypt.
Problem je, ze nemuzes zasifrovat /boot.
GRUB už to umí (GRUB_ENABLE_CRYPTODISK v některých distribucích).
A jeden motivační příklad proč nevěřit „hardwarovému“ šifrování: https://eprint.iacr.org/2015/1002.pdf
Grub to sice umí, takže je možné mít šifrovaný initramdisk a kernel, ale konfiguráky + moduly ke GRUBU v /boot stále musí být nezašifrované.
Tohle je bohuzel problem tahani se za vlasy z baziny :/
Bud je nejaky kus disku nesifrovany, nebo je najky kus, nad kterym nemam kontrolu (firmware disku) nesifrovany. Nastesti se to da, alespon teoreticky, i kombinovat, takze staci, aby fungovalo alespon jedno sifrovani OK a ve vysledku je vse OK. Ale nemohu rict, ze bych s OPALem nebo alternativami mel dobre zkusenosti, pokazde jsem to u Linuxu radeji vzdal a doufam, ze zlou pokojskou nepotkam.
-
Pokud jedes ciste Linux, tak nejspis dm-crypt.
Problem je, ze nemuzes zasifrovat /boot.
GRUB už to umí (GRUB_ENABLE_CRYPTODISK v některých distribucích).
A jeden motivační příklad proč nevěřit „hardwarovému“ šifrování: https://eprint.iacr.org/2015/1002.pdf
Grub to sice umí, takže je možné mít šifrovaný initramdisk a kernel, ale konfiguráky + moduly ke GRUBU v /boot stále musí být nezašifrované.
Tohle je bohuzel problem tahani se za vlasy z baziny :/
Bud je nejaky kus disku nesifrovany, nebo je najky kus, nad kterym nemam kontrolu (firmware disku) nesifrovany. Nastesti se to da, alespon teoreticky, i kombinovat, takze staci, aby fungovalo alespon jedno sifrovani OK a ve vysledku je vse OK. Ale nemohu rict, ze bych s OPALem nebo alternativami mel dobre zkusenosti, pokazde jsem to u Linuxu radeji vzdal a doufam, ze zlou pokojskou nepotkam.
Spoluziak sa niekedy davno chvalil oddielom /boot na USB kluci, ktory mal stale pri sebe a z ktoreho bootoval. Disk bol sifrovany cely. Je treba strazit ten USB kluc, ale ten je skladnejsi ako HDD.
-
Grub to sice umí, takže je možné mít šifrovaný initramdisk a kernel, ale konfiguráky + moduly ke GRUBU v /boot stále musí být nezašifrované.
neni tak uplne pravda, /boot je sifrovanej, tedy jak initrd&kernel tak konfiguraky+moduly(stage 2) ke grubu, jedine co neni sifrovane je crypto grub modul co je ulozen spolecne s core.img v prostoru "stage 1.5" mimo veskere partisny
-
Sice byl tenhle thread původně 2 roky mrtvej, ale nedá mi to, abych se nepodělil.
Linux a LUKS.
Akorát si pamatuju, že ve starších verzích CentOSu a/nebo openSUSE (tak 10.x, 11.x) šlo udělat nezašifrovaný /boot a zbytek už jen pod heslem. Myslím, že to tehdy původně chtělo při bootu heslo ke každému zašifrovanému filesystému extra. Aby to tak neprudilo a ptalo se na heslo jen jednou, tak jsem musel ohákovat initskript v initrd (nechat tam jen /) a vytvořit crypttab na rozšifrování ostatních, ale pak už to tak bylo i po updatech. Tehdy jsem běžel na ThinkPadu R40 a jelo to dobře!
Dneska mě instalátor nenechá zašifrovat root filesystém. Takže zhoršení...