Šifrování celého disku a USB token

[Jack]

Zdravim, je v linuxu nasledujici reseni /idealni by bylo multiplatformni/, ktere umoznuje:

• Zasifrovat cely disk (mimo /boot)
• Desifrovat ho pouze pomoci smartcard/usb tokenu (usb tokenem nemyslim obycejnou flashku)
• Idealne zalozeno na gnuPG
• Lze pouzit vice nez jen jeden klic, resp. vice nez jednu smartcard
• Sifrovani, ktere by bylo mozne poprit, tedy "Deniable encryption"
• Je opensource

Poradi mi mistni odbornici?
Ja osobne jsem premyslel, ze by se takto asi dal ohnout LUKS, zde je bohuzel zrejme, ze se jedna o sifrovany disk (podle hlavicky), proto hledam jeste lepsi reseni, existuje?

[Reklama]

[KapitánRUM]

Abit dělal cca tohle zařízení, které máme ještě pořád nasazené u řady zákazníků :
http://www.abit.com.tw/page/en/multimedia/multimedia_detail.php?pMODEL_NAME=SecureIDE&fMTYPE=Encryption+Device

Je osazené chipem enova viz: http://www.enovatech.net/

A je to:
HW zařízení, které systém vůbec nevidí -> žádné ovladače.
Připojuje se mezi HD a datový kabel, ven se vyvede konektor podobný firewire, na který se připojuje HW klíč.
Zařízení nesnižuje rychlost a za roky používání s ním nebyl jediný problém.
Chtěli jsme tato zařízení pro SATA vyrábět a dodávat pod naší značkou, teda šéf chtěl, ale základní objednávka měla být ve výši 200 000,- Kč, což bylo prostě hrozně moc.

No, bohužel, jejich zařízení se vesměs prodává jako součást něčeho a ne samostatně.

[KapitánRUM]

Tak beru zpět!
Hledal jsem dost dlouho a našel:
http://www.addonics.com/category/cipherchain.php

[JardaP .]

Abit dělal cca tohle zařízení, které máme ještě pořád nasazené u řady zákazníků :
http://www.abit.com.tw/page/en/multimedia/multimedia_detail.php?pMODEL_NAME=SecureIDE&fMTYPE=Encryption+Device

Jo, jenze kdo na to kdy delal nejake peer review? Vi se, co je  tom za sifrovaci algoroitmus a hlavne jak dobre/blbe byl implementovan? Bez toho tomu nemuzes verit. Asi to pomuze v pripadech obycejne kradeze notebooku, ale kdybych byl sef Al-Kajdy, tak bych to nepouzival.

[Michal]

S Deniability bych to nevidel moc ruzove. Technicky mozna ano - proste budes mit plny disk na pohled nahodnych dat. Ale kdo ti uveri, ze ti ke stesti staci mit gigovy /boot a zbytek disku zes schvalne nechal lezet ladem? Navic kdyz v initramdisku bude skript ktery bude kontrolovat jestli je pritomny tvuj HW token a podle toho kdyztak ten zbytek disku pripoji (pocitam ze ty setup prikazy nebudes pokazde chtit psat rucne).

Obavam se ze udelat deniability tak aby to bylo 'uveritelny' neni moc jednoduchy. Mozna pomoci steganografie ukryt par supertajnych informaci, dejme tomu. Ale o celem zasifrovanem disku prohlasovat ze tam nic neni, to ti asi nikdo nezbasti.

[Reklama]

[KapitánRUM]

Šef kdysi vyráběl "na první pohled rozbité" CD mechaniky.
Do CD mechaniky se vložil pevný disk s tím Abit Secure IDE a dokud se mechanika nerozdělala, tak nebylo vidět, že je uvnitř pevný disk.
Chlubil se mi, že dokonce i šuplíček mechaniky vyjížděl!
Navíc to, bez zastrčeného tokenu, nehlásilo žádný disk.

A kdo by rozdělával CD mechaniku, jestli dovnitř náhodou někdo neschoval hadr?
Navíc ani datový kabel nebyl nápadný.

Myslím, že mu udělám radost a to šifrovací zařízení z USA objednám.

[alfi]

Do CD mechaniky se vložil pevný disk s tím Abit Secure IDE a dokud se mechanika nerozdělala, tak nebylo vidět, že je uvnitř pevný disk.

dobrý nápad :-) taky bych ale věříl spíš tomu, že půjde skrýt celý disk/kus disku, než aby šifrovaný oddíl vypadal jako reálná data. např. nějakou flashku, na které je napsané 1GB, ale ve skutečnosti tam jsou dvě i víc a zobrazí se až nějakým speciálním ovladačem/klíčem..

[KapitánRUM]

To rozhodně, velikost disku VS reálná data se dá porovnat snadno.
Skrýt se dá možná několik desítek GB do obnovovací partitiony, do souborů s body obnovení nebo do "falešného" tempu.