Čím šifrovat disk se zálohami?

[cr]

DD,
potrebuji sifrovat externi disk se zalohami. Jedna se 500GB plotnovy disk pripojovany pres USB 2.0.

Koukal jsem na cryptoloop, ale ten uz neni bezpecny a navic uz je neudrzovany:
http://www.abclinuxu.cz/zpravicky/truecrypt-5.1#4
http://en.wikipedia.org/wiki/Cryptoloop
https://help.ubuntu.com/community/EncryptedFilesystemHowto#Using_losetup

Pak jsem koukal na dm-crypt:
http://en.wikipedia.org/wiki/Dm-crypt
http://www.root.cz/serialy/diskove-sifrovani-pomoci-dm-cryptluks/
ten by, jak jsem pochopil mel byt mnohem bezpecnejsi.
V pripade nouze je mozne pomoci FreeOTFE http://en.wikipedia.org/wiki/FreeOTFE cist i na Windows.

Pak je tu samozrejmne asi nejznamejsi TrueCrypt.

Je lepsi zasifrovat cely oddil (hda1), nebo si vytvorit na hda1 napr. ext3 a na nem teprve sifrovany soubor opet s ext3?

Rad bych pouzil ext3. Disk nepotrebuji pouzivat ve Windows, staci Linux.

Jakou sifru a sifrovaci mod je nejlepsi/nejbezpecnejsi pouzit?

Co byste mi doporucili?

Dekuji.

[Reklama]

[Mirek Prýmek]

Je lepsi zasifrovat cely oddil (hda1), nebo si vytvorit na hda1 napr. ext3 a na nem teprve sifrovany soubor opet s ext3?

Nejlepší je mít ext3 oddíl, v něm soubor taky s ext3, do něj si uložíš soubory virtuálního stroje, do něj pak nainstaluješ Windows, do nich nainstaluješ TrueCrypt, kterým zašifruješ soubor, na kterém budeš mít DOSEMU a do něj teprve nahraješ ty zálohy.

[DgBd]

No, minimálně ten šifrovaný ext3 v souboru dává smysl. Odpojím ho a soubor pak můžu bez obav překopírovat kamkoliv. A nemusím řešit jak co kam překopírovat.

[Mirek Prýmek]

No, minimálně ten šifrovaný ext3 v souboru dává smysl. Odpojím ho a soubor pak můžu bez obav překopírovat kamkoliv. A nemusím řešit jak co kam překopírovat.

Čili s ním můžu zacházet úplně stejně, jako bych zacházel s partišnou pomocí dd

[#]

Vubec nepises co potrebujes sifrovat/resp duvod a jestli chces aby to pusobilo na prvni pohled sifrovane nebo chces naopak pusobit jakoze tam nic sifrovanyho neni nebo chces treba pusobit, ze tam je hafo sifrovanyho, ale cast z toho opravdu skryt. To jsou dost zasadni parametry, aby slo rict neco blizsiho na vseobecnej dotaz co je nej ...

[Reklama]

[#]

Jo a pokud to jsou teda fakt jen zalohy tak neco stylu

echo "mojeniggAl33thesloPYCO!" | gpg --batch -q --passphrase-fd 0 --cipher-algo AES256 -c SOUBORKZASIFROAVANI

je taky reseni (samo zalezi co zalohujes, jestli treba db, nebo spousty souboru, kde tohle nemusi byt uplne ideak)

[cr]

Vubec nepises co potrebujes sifrovat/resp duvod a jestli chces aby to pusobilo na prvni pohled sifrovane nebo chces naopak pusobit jakoze tam nic sifrovanyho neni nebo chces treba pusobit, ze tam je hafo sifrovanyho, ale cast z toho opravdu skryt. To jsou dost zasadni parametry, aby slo rict neco blizsiho na vseobecnej dotaz co je nej ...

Nemusi to nijak pusobit. Proste sifrovany disk. Asi narazite na skryty oddil v TrueCrypt sifrovanem disku - to nepotrebuju.

Je to 500GB disk, soubory od malych (<1MB) az po velke (priblizne <1GB).

Uz jsem se asi rozhodl pro nesifrovany ext3 oddil a v nem soubor s sifrovanym ext3 oddilem.

Hlavne bych rad znal nazor na TrueCrypt versus dm-crypt/LUKS. Kdysi jsem nekde cetl, ze v TrueCryptu muze byt backdoor. Naopak dm-crypt je v jadre, tudiz toto nebezpeci zde tolik nehrozi.

Dale jsem cetl, ze v TrueCryptu je lepsi pouzit heslo, nez soubor jako klic (je to bezpecnejsi). Jak to ma dm-crypt?

[Mirek Prýmek]

Naopak dm-crypt je v jadre, tudiz toto nebezpeci zde tolik nehrozi.

Jak přesně fakt, že je nějaký kód v jádře, snižuje možnost, že je v něm backdoor?

[Jenda]

Uz jsem se asi rozhodl pro nesifrovany ext3 oddil a v nem soubor s sifrovanym ext3 oddilem.

Proboha proč?

Jinak osobně používám dm-crypt (čistě kvůli tomu, že už v jádře byl, a nechtělo se mi instalovat další program - Truecrypt a na šifrovaný externí disk rsyncuju.

[DgBd]

No, minimálně ten šifrovaný ext3 v souboru dává smysl. Odpojím ho a soubor pak můžu bez obav překopírovat kamkoliv. A nemusím řešit jak co kam překopírovat.

Čili s ním můžu zacházet úplně stejně, jako bych zacházel s partišnou pomocí dd

Opravdu?
- nemusím to při zálohování celé znovu šifrovat
- nemusím pokaždé psát heslo a pamatovat si ho, když to chci zašifrovat a poslat jinam

[JardaP .]

Opravdu?
- nemusím to při zálohování celé znovu šifrovat
- nemusím pokaždé psát heslo a pamatovat si ho, když to chci zašifrovat a poslat jinam

Nejak nechapu. Proc bych to znovu sifroval, kdyz je to sifrovane? Jak nemusim psat heslo, kdyz je to sifrovane? Je uplne jedno, jestli to je oddil nebo soubor.

[pepak]

Je lepsi zasifrovat cely oddil (hda1), nebo si vytvorit na hda1 napr. ext3 a na nem teprve sifrovany soubor opet s ext3?

Obecně bych téměř vždy doporučoval souborové kontejnery před šifrovanými partitionami nebo zařízeními. Velkou výhodou souborů totiž je, že je lze docela dobře chránit před neúmyslným poškozením (K souboru kompletně zruším právo pro mazání i pro zápis, zápis pak povolím jedině šifrovacímu ovladači - pak můžu normálně zapisovat do připojeného disku, ale samotný kontejner jen tak nějakým opomenutím nezničím. Srovnej s tím, že Windows minimálně od sedmičky výše mají tendenci do "neinicializovaných" disků zapisovat [někdy s dotazem, někdy bez - třeba při instalaci]...). To už bys musel mít extra důvod, proč šifrovat zařízení nebo partitions - např. požadavek na plausible deniability.

Jakou sifru a sifrovaci mod je nejlepsi/nejbezpecnejsi pouzit?

Pokud použiješ TrueCrypt, tak je to jedno.

Pokud použiješ něco jiného, tak určitě režim XTS a šifru buď jednu z těch v TrueCryptu (AES/Rijndael, Twofish, Serpent) nebo eventuelně ještě možná RC6. Pokud jsi optimistický nebo věřící paranoik, tak v kaskádě (musíš doufat/věřit, že v té kaskádě nedochází k nežádoucím interakcím, které by snižovaly sílu šifry; pokud vím, žádný výzkum na toto téma zatím nebyl publikován.)

[DgBd]

Opravdu?
- nemusím to při zálohování celé znovu šifrovat
- nemusím pokaždé psát heslo a pamatovat si ho, když to chci zašifrovat a poslat jinam

Nejak nechapu. Proc bych to znovu sifroval, kdyz je to sifrovane? Jak nemusim psat heslo, kdyz je to sifrovane? Je uplne jedno, jestli to je oddil nebo soubor.

Asi se jeden z nás ztratil ve vlákně, nebo nepochopil to, co napsal Miroslav Prýmek :-)

[Mirek Prýmek]

Asi se jeden z nás ztratil ve vlákně, nebo nepochopil to, co napsal Miroslav Prýmek :-)

Myslím, že Jarda to pochopil úplně přesně

Řešili jsme rozdíl mezi 1) šifrovaný oddíl na disku (partišně) a 2) šifrovaný oddíl v souboru.

Imho tam žádnej rozdíl není (kromě těch drobností, co psal pepak, ale to mi přijde jako prkotiny): ad 1) překopíruju pomocí dd, ad 2) překopíruju pomocí cp. Nic navíc šifrovat/dešifrovat nemusím, je to úplně stejná situace - co je za úložiště pod tím nehraje roli.

Proti souboru mluví to, že má dvojí režii (fs nad fs).

[cr]

OK, takze kdyz budu mit disk a na nem budu chtit udelat dm-crypt souborovy kontejner, tak postup bude:

Kód: [Vybrat]

# dd if=/dev/urandom of=/tmp/cr.img bs=1M count=128
# losetup `losetup -f` /tmp/cr.img
# cryptsetup luksFormat -c aes-xts-plain -s 512 --verbose --verify-passphrase /dev/loop0
# cryptsetup luksOpen /dev/loop0 sifrovano
# mkfs.ext3 /dev/mapper/sifrovano
# umount /dev/mapper/sifrovano
# cryptsetup luksClose sifrovano
# losetup -d /dev/loop0
A kdyz ho budu chtit pouzivat:

Kód: [Vybrat]

# losetup `losetup -f` /tmp/cr.img
# cryptsetup luksOpen /dev/loop0 sifrovano
# mount -t ext3 /dev/mapper/sifrovano /tmp/sifrovanoMNT
    ... budu pracovat s diskem
# umount /dev/mapper/sifrovano
# cryptsetup luksClose sifrovano
# losetup -d /dev/loop0
Mam pravdu?