TrueCrypt: bezpečnost používání přes SSH

[Jenda]

...

Při instalaci nevím, instaluju debootstrapem a tam problém nikdy nebyl.

Scrub na šifrovaném disku, tedy nejen dešifrování, ale i parsování souborového systému a počítání checksumů, mi na i3-2350M (tedy dnes už spíš low-end) jede 260 MB/s.

[Reklama]

[Mirek Prýmek]

tak nevim, jak se k tomu stavi typicky instalator.

Takhle: https://www.eff.org/files/images_insert/ubuntu_crypto1.png a už drahně let.

Krome toho je tu porad problem s tim, ze sifrovani zere vykon

Zaprvé, s AES-NI to nepoznáš a za druhé si prostě musíš vybrat - buď chceš být paranoidní a něco tě to stojí, nebo nechceš.

Nekdy je asi lepsi mit dva stroje, na jednom delat na vykon narocne neprilis tajne zalezitosti a na druhem mit detske porno, plany na vyhozeni Bileho domu do luftu a tajny recept na babovku po babicce. Nebo mit na stroji dve distra, jedno pro privatni veci se sifrovanim, TORem a tak, druhe nesifrovane a nikdy nemontovat oddily druheho distra z toho, ktere zrovna bezi.

Vzhledem k tomu, že tazatel řeší i naposledy otevřené soubory, tak nejspíš s ničím jiným než plány na vyhození Bílého domu do povětří nepracuje

[JardaP .]

Vzhledem k tomu, že tazatel řeší i naposledy otevřené soubory, tak nejspíš s ničím jiným než plány na vyhození Bílého domu do povětří nepracuje

Tak pokud jde o to, aby se manzelka nemohla podivat, jestli prez ssh necumnel na porno, tak napriklad v LXDE by tohle nebyl problem. Pokud vim, tak posledni otevrene soubory jsou ulozeny na kazde FS extra, takze kdyz napriklad odmontuju EcryptFS, tak soubory, ktere jsem z nej otevrel, ze seznamu poslednich souboru zmizi a znovu se objevi, kdyz EcryptFS zase namontuju. Predpokladam, ze v pripade TrueCryptu by se to chovalo stejne. Je mozne, ze jine DE to resi nejak blbe a soubory v seznamu stale visi, i kdyz dany FS neni k dispozici. A v ciste textovem prostredi snad ani nic jako posledni otevrene soubory neexistuje.

[j]

Krome toho je tu porad problem s tim, ze sifrovani zere vykon

Zaprvé, s AES-NI to nepoznáš a za druhé si prostě musíš vybrat - buď chceš být paranoidní a něco tě to stojí, nebo nechceš.

Pri bezny praci to nepoznas ani bez AES-NI. Ani pri kopirovani velkych souboru se nedostanes pres nejakych 40% na hodne starym CPU (C2).

[sdfasdf]

Nebo mit na stroji dve distra, jedno pro privatni veci se sifrovanim, TORem a tak, druhe nesifrovane a nikdy nemontovat oddily druheho distra z toho, ktere zrovna bezi.

Dve distra nepomozu ovela viac ako 2 uzivatelske ucty + ACL. Predpokladam, ze by data niekoho zaujimali.
Ked niekto v jednom distre ziska roota, moze lahko zabackdoorovat dotaz na heslo a dostane sa aj do druheho distra. Tuto separaciu poskytne aj ACL.

[Reklama]

[JardaP .]

Ked niekto v jednom distre ziska roota, ...

Tak jiste, holt se musite snazit, aby Roota neziskal. Slo mi o to, aby v distru s tajnym obsahem nemohl nekdo vycucnout obsah disku a hledat kousky dat ze swapu nebo docasnych souboru. Pokud se chcete pripravovat na tu nejhorsi eventualitu, tak ziskani roota neni jedina moznost. Oni to z vas take muzou vymlatit kusem vodovodni trubky.

[Zaviš]

Ked niekto v jednom distre ziska roota, ...

Tak jiste, holt se musite snazit, aby Roota neziskal. Slo mi o to, aby v distru s tajnym obsahem nemohl nekdo vycucnout obsah disku a hledat kousky dat ze swapu nebo docasnych souboru. Pokud se chcete pripravovat na tu nejhorsi eventualitu, tak ziskani roota neni jedina moznost. Oni to z vas take muzou vymlatit kusem vodovodni trubky.

Tak to je nejvhodnější asi Whonix v KVM nebo Virtualboxu a pro jistotu ještě zašifrovaný v kontejneru... :-).