LUKS: „nejbezpečnější“ nastavení

[Trubicoid2]

No ale furt tam ta data jsou, spoléháš jen na to, že útočník neumí použít GDB a ty jaderné struktury si vypsat . V případě distribučního jádra/jádra se standardními parametry by to mohlo být i celkem snadné, protože si snadno sežene debug symboly.

Data kde jsou? Na disku? Sifrovana data ano, ale sifra nikde ukozena neni. Muzu delat rucne cryptsetup create --cipher ... Potom rucne cryptsetup remove ... rmmod... A jak ted jen ze sifrovanyho disku zjistis, jaka sifra byla pouzita? Nezjistis...

Jeste findaeskey najde primo klic aes, ne passphrase, ta se nedrzi v pameti.

[Reklama]

[Lol Phirae]

PČR tě bude mlátit dokud nevydáš heslo? Nějaké zkušenosti? (neříkám tak ani tak, jen se ptám)

Pokud to heslo znas, tak ho z tebe muzou vymlatit. Pokud heslo neni, no tak holt neni a maj smulu. Hod si klic na microSD a v pripade potreby ji holt rozkouses a sezeres, no... Vivat paranoia. 

[Jenda]

To už větší riziko hrozí při cestě do Velké Británie, tam můžete dostat pálku za neposkytnutí hesla, takže jediné rozumné řešení je TrueCrypt a "hidden partition" s dvojím heslem pro "plausible deniability".

Už je hidden partition u TC použitelná? https://www.abclinuxu.cz/clanky/steganograficke-souborove-systemy-a-verohodna-popiratelnost#proc-verohodna-popiratelnost-v-truecryptu-neni-uplne-verohodna

Data kde jsou? Na disku?

Ne, v paměti, kterou jsem přes cold-boot vydumpoval, je klíč. Je jenom otázkou mojí šikovnosti, jestli ho najdu.

[Trubicoid2]

Ne, v paměti, kterou jsem přes cold-boot vydumpoval, je klíč. Je jenom otázkou mojí šikovnosti, jestli ho najdu.

no ty odpovidas na neco jinyho, slo o to, jak poznat sifru kdyz nepouzivas luks, jen cryptsetup bez luksu, kterej sifry nikam nepoznaci a ani nema zadnou hlavicku

ale kdyz dam cryptsetup remove, tak jak jsem byl naznacil, tak v pameti zadny klic nebude, tedy kdyz pockam dost dlouho dobu, tak jej neco prepise

[Franta.]

PČR tě bude mlátit dokud nevydáš heslo? Nějaké zkušenosti? (neříkám tak ani tak, jen se ptám)

Pokud to heslo znas, tak ho z tebe muzou vymlatit. Pokud heslo neni, no tak holt neni a maj smulu. Hod si klic na microSD a v pripade potreby ji holt rozkouses a sezeres, no... Vivat paranoia. 

IMHO pokud jsi aspoň trochu psychicky odolný, tak tě PČR nezlomí. Ale když budeš mít klíč na kartě a heslo si nebudeš pamatovat, tak ji musíš použít při každém bootu → tzn. asi nebude někde úplně zašitá, budeš ji mít někde po ruce – a tam si myslím, že je dost velká šance, že ji najdou.

[Reklama]

[Jenda]

no ty odpovidas na neco jinyho, slo o to, jak poznat sifru kdyz nepouzivas luks, jen cryptsetup bez luksu, kterej sifry nikam nepoznaci a ani nema zadnou hlavicku

Odpovídám na „Prikladem je treba cold-boot attack, kde automaticky v pameti hledaji AES klice.“ Když vydumpuju paměť systému s přimountovaným svazkem, tak v paměti kromě klíčů najdu i algoritmus.

[Trubicoid2]

aha, no uz to chapu, takze utocnik zjisti, ze v dumpu pameti neni aes klic, zjisti, ze na disku neni luks hlavicka, tak bude hledat pres gdb v dumpu sifru, aby pak stejne kazdych 256 bytu pameti zkusil brute-force pouzit jako klic k teto sifre?

no asi by to slo, ale je to dost hard-core, muzu takovej dump z legrace udelat 

[Jenda]

tak bude hledat pres gdb v dumpu sifru, aby pak stejne kazdych 256 bytu pameti zkusil brute-force pouzit jako klic k teto sifre?

No a nebo se mu přímo podaří zjistit, na které adrese v paměti je ten klíč.

Nedělej to, sám takové věci bohužel neumím.

[trubicoid2]

tak nic, zase se nic nenaucim     

jinak aesfindeky prochazi celou pamet bez znalosti pozice, jen vi, jak ten klic ma vypadat