Šifrování disku: co použít?

[Jenda]

Pokud jedes ciste Linux, tak nejspis dm-crypt.

Problem je, ze nemuzes zasifrovat /boot.

GRUB už to umí (GRUB_ENABLE_CRYPTODISK v některých distribucích).

A jeden motivační příklad proč nevěřit „hardwarovému“ šifrování: https://eprint.iacr.org/2015/1002.pdf

[Reklama]

[to_je_jedno]

A jeden motivační příklad proč nevěřit „hardwarovému“ šifrování: https://eprint.iacr.org/2015/1002.pdf

Myslis, ze prumernej Ferda nekde ve frcu tohle zvladne aplikovat do praxe?

[Jenda]

A jeden motivační příklad proč nevěřit „hardwarovému“ šifrování: https://eprint.iacr.org/2015/1002.pdf

Myslis, ze prumernej Ferda nekde ve frcu tohle zvladne aplikovat do praxe?

Nevím, jestli jsem průměrnej Ferda, ale většinu těch útoků bych podle toho paperu podle mě implementovat zvládl.

A další věc je, že nevíš, jestli se ty zranitelnosti objeví ve formě paperu, nebo ve formě point-and-click recovery aplikace.

[sosna]

Pokud jedes ciste Linux, tak nejspis dm-crypt.

Problem je, ze nemuzes zasifrovat /boot. To by resil trebas Opal, ale ten AFAIK neni podporovany na Linuxu.

Ale může: http://www.pavelkogan.com/2014/05/23/luks-full-disk-encryption/

[Petr]

Podle mych zkusenosti bych volil sifrovani celeho "D:" oddilu. Na starickem eee PC mam truecrypt (myslim 7.1a, posledni s funkcnym sifrovanim), WinXP a ubuntu. Po startu systemu se spusti T.Crypt, do okynka zadam heslo a je to. Vse v poradku, ke zdilene datum pristupuji z obou systemu bez problemu.

[Reklama]

[Jamie]

Pokud jedes ciste Linux, tak nejspis dm-crypt.

Problem je, ze nemuzes zasifrovat /boot.

GRUB už to umí (GRUB_ENABLE_CRYPTODISK v některých distribucích).

A jeden motivační příklad proč nevěřit „hardwarovému“ šifrování: https://eprint.iacr.org/2015/1002.pdf

Grub to sice umí, takže je možné mít šifrovaný initramdisk a kernel, ale konfiguráky + moduly ke GRUBU v /boot stále musí být nezašifrované.

[Ondra Satai Nekola]

Pokud jedes ciste Linux, tak nejspis dm-crypt.

Problem je, ze nemuzes zasifrovat /boot.

GRUB už to umí (GRUB_ENABLE_CRYPTODISK v některých distribucích).

A jeden motivační příklad proč nevěřit „hardwarovému“ šifrování: https://eprint.iacr.org/2015/1002.pdf

Grub to sice umí, takže je možné mít šifrovaný initramdisk a kernel, ale konfiguráky + moduly ke GRUBU v /boot stále musí být nezašifrované.

Tohle je bohuzel problem tahani se za vlasy z baziny :/

Bud je nejaky kus disku nesifrovany, nebo je najky kus, nad kterym nemam kontrolu (firmware disku) nesifrovany. Nastesti se to da, alespon teoreticky, i kombinovat, takze staci, aby fungovalo alespon jedno sifrovani OK a ve vysledku je vse OK. Ale nemohu rict, ze bych s OPALem nebo alternativami mel dobre zkusenosti, pokazde jsem to u Linuxu radeji vzdal a doufam, ze zlou pokojskou nepotkam.

[slovak]

Pokud jedes ciste Linux, tak nejspis dm-crypt.

Problem je, ze nemuzes zasifrovat /boot.

GRUB už to umí (GRUB_ENABLE_CRYPTODISK v některých distribucích).

A jeden motivační příklad proč nevěřit „hardwarovému“ šifrování: https://eprint.iacr.org/2015/1002.pdf

Grub to sice umí, takže je možné mít šifrovaný initramdisk a kernel, ale konfiguráky + moduly ke GRUBU v /boot stále musí být nezašifrované.

Tohle je bohuzel problem tahani se za vlasy z baziny :/

Bud je nejaky kus disku nesifrovany, nebo je najky kus, nad kterym nemam kontrolu (firmware disku) nesifrovany. Nastesti se to da, alespon teoreticky, i kombinovat, takze staci, aby fungovalo alespon jedno sifrovani OK a ve vysledku je vse OK. Ale nemohu rict, ze bych s OPALem nebo alternativami mel dobre zkusenosti, pokazde jsem to u Linuxu radeji vzdal a doufam, ze zlou pokojskou nepotkam.

Spoluziak sa niekedy davno chvalil oddielom /boot na USB kluci, ktory mal stale pri sebe a z ktoreho bootoval. Disk bol sifrovany cely. Je treba strazit ten USB kluc, ale ten je skladnejsi ako HDD.

[nobody(ten pravej)]

Grub to sice umí, takže je možné mít šifrovaný initramdisk a kernel, ale konfiguráky + moduly ke GRUBU v /boot stále musí být nezašifrované.

neni tak uplne pravda,  /boot je sifrovanej, tedy jak initrd&kernel tak konfiguraky+moduly(stage 2) ke grubu, jedine co neni sifrovane je crypto grub modul co je ulozen spolecne s core.img v prostoru "stage 1.5" mimo veskere partisny

[iany]

Sice byl tenhle thread původně 2 roky mrtvej, ale nedá mi to, abych se nepodělil.

Linux a LUKS.

Akorát si pamatuju, že ve starších verzích CentOSu a/nebo openSUSE (tak 10.x, 11.x) šlo udělat nezašifrovaný /boot a zbytek už jen pod heslem. Myslím, že to tehdy původně chtělo při bootu heslo ke každému zašifrovanému filesystému extra. Aby to tak neprudilo a ptalo se na heslo jen jednou, tak jsem musel ohákovat initskript v initrd (nechat tam jen /) a vytvořit crypttab na rozšifrování ostatních, ale pak už to tak bylo i po updatech. Tehdy jsem běžel na ThinkPadu R40 a jelo to dobře!

Dneska mě instalátor nenechá zašifrovat root filesystém. Takže zhoršení...