Καλησπέρα,
για να μην το βγάλω offtopic το arch linux section, παραθέτω εδώ την απορία μου.
Έχουμε ένα σκληρό και θέλουμε να τον κρυπτογραφήσουμε.
- Πως το κάνουμε αυτό ( υπάρχει εντολή; Ξέρω ότι υπάρχουν προγράμματα τύπου truecrypt)
- Υπάρχει θέμα αν γίνει όλος ο δίσκος; Ακόμα και τα αρχεία συστήματος; Υπάρχει κάποια καθυστέρηση ως προς το read/write;
(λέω όλο το δίσκο, γιατί διάβασα ότι αν κρυπτ. ένα directory πχ. home τότε μπορούν μέσω κάποιου άλλου directory να έχουν πρόσβαση στα κρυπτογραφημένα αρχεία ( πολύ χοντρικά)
-Ποια μέθοδος θεωρείται ασφαλής; Διάβασα ότι ο,τι είναι από 128bit και πάνω, μέχρι στιγμής δεν σπάει. Ισχύει;
-Ο Συνδυασμός αλγορίθμων έχει να προσφέρει κάτι παραπάνω;


Γενικά οποιαδήποτε πληροφορία ή παραπομπή σε άρθρο θα ήταν καλοδεχούμενη για να το κατανοήσω περισσότερο.

(λέω όλο το δίσκο, γιατί διάβασα ότι αν κρυπτ. ένα directory πχ. home τότε μπορούν μέσω κάποιου άλλου directory να έχουν πρόσβαση στα κρυπτογραφημένα αρχεία ( πολύ χοντρικά)


Μπορείς να κρυπτογραφήσεις όλο τον δίσκο, κάποιες κατατμήσεις (πχ /home) ή ακόμη και κάποιους καταλόγους ή αρχεία.


Καλησπέρα,
Έχουμε ένα σκληρό και θέλουμε να τον κρυπτογραφήσουμε.
- Πως το κάνουμε αυτό ( υπάρχει εντολή; Ξέρω ότι υπάρχουν προγράμματα τύπου truecrypt)

Για κρυπτογράφηση απλών καταλόγων ή αρχείων μπορείς να χρησιμοποιήσεις διάφορες μεθόδους πχ το truecrypt, encrypted rar, κτλ. Θεωρητικά υπάρχει μια άλφα μανούρα για να αποκρυπτογραφείς αυτόματα κατά την είσοδο αλλά πλέον τα πράγματα είναι πολύ εύκολα και μπορεί να γίνει από τα init script του shell ή ακόμη και μέσω pam που είναι και πιο δόκιμο.

Αν θέλεις να κρυπτογραφήσεις μία κατάτμηση ή όλο τον δίσκο υπάρχουν και πάλι πολλές μέθοδοι όπως loop-aes, cryptsetup, κτλ αλλά οι περισσότερες είναι αρχαίες. Η πιο δόκιμη μέθοδος είναι με το LUKS (χρησιμοποιείς πάλι την εντολή cryptsetup) με την οποία μπορείς να αλλάζεις εύκολα κωδικό αν χρειαστείς και έχει διάφορα άλλα πλεονεκτήματα.



- Υπάρχει θέμα αν γίνει όλος ο δίσκος; Ακόμα και τα αρχεία συστήματος;

Όχι δεν υπάρχει πρόβλημα, ίσα ίσα είναι πιο ασφαλές γιατί αν πχ κρυπτογραφήσεις μόνο το /home και όχι τίποτα άλλο, μπορεί κάποια στιγμή να γραφτούν πληροφορίες στο μη-κρυπτογραφημένο swap.



Υπάρχει κάποια καθυστέρηση ως προς το read/write;

Υπάρχουν πολλοί αλγόριθμοι κρυπτογράφησης που μπορείς να χρησιμοποιήσεις άλλοι πιο αργοί και άλλοι πιο γρήγοροι. Αυτός που χρησιμοποιείται πιο συχνά είναι ο αλγόριθμος AES (σε παλιές εκδόσεις πυρήνα με την μέθοδο cbc-essiv ενώ από ένα πυρήνα και μετά με την πιο ασφαλή xts). Αν έχεις επεξεργαστή P4 και μικρότερο θα χάσεις πολύ σε ταχύτητα (σε μένα παίρνω 30MB/s αντί για 80-100MB/s που μπορεί να δώσει ο δίσκος). Σε Core2 Duo και πάνω η καθυστέρηση είναι πολύ μικρή και αν έχεις i5/i7 επεξεργαστή αυτός περιέχει εσωτερικά εντολές για την χρήση του AES οπότε δεν χάνεις καθόλου σε επιδόσεις.



-Ποια μέθοδος θεωρείται ασφαλής; Διάβασα ότι ο,τι είναι από 128bit και πάνω, μέχρι στιγμής δεν σπάει. Ισχύει;


Το cryptsetup από τη μάνα του επιλέγει 256bit (2x128) στην xts-plain και μπορείς με πολύ μικρή μείωση των επιδόσεων (συνήθως έχεις ακριβώς ίδια ταχύτητα) να επιλέξεις 512bit (2x256).

Στο 99% των περιπτώσεων, το πρόβλημα έγκειται στους ανθρώπους και όχι στον ίδιο τον αλγόριθμο. Πολύς κόσμος επιλέγει το μεγαλύτερο αριθμό bits που μπορεί να επιλέξει, "ώστε να έχει ασφάλεια" αλλά βάζει κωδικό paok4.

Το cryptsetup για να εξαλείψει και αυτό το πρόβλημα (όσο αυτό γίνεται φυσικά. πρέπει να επιλέγουμε καλό κωδικό) δεν κρυπτογραφεί τα δεδομένα σου με τον κωδικό που δίνεις. Παράγει ένα μεγάλο αριθμό τυχαίων δεδομένων και με αυτό το "κλειδί" κρυπτογραφεί τα δεδομένα του δίσκου. Ο κωδικός χρησιμοποιείται μόνο για την αποθήκευση αυτού του κλειδιού στον δίσκο (για αυτό μπορείς κιόλας να αλλάζεις κωδικούς χωρίς να επηρεάζονται τα δεδομένα).

Με λίγα λόγια, δεν χρειάζεται να πρήζεσαι για αυτό και η ασφάλεια θα είναι μια χαρά. Δες και αυτό :)

http://imgs.xkcd.com/comics/security.png

Χμ, ψάξε για LUKS στο google ή στο φόρουμ. ;)

Συνοπτικά, γίνεται μέσα από το kernel, κρυπτογραφεί ολόκληρα partition, σε σύγχρονους επεξεργαστές (διπύρηνους) δεν προκαλεί ορατή καθυστέρηση, η πιο σωστή μέθοδος είναι 256bit AES.

Για να κρυπτογραφήσεις τα partition του λειτουργικού θα πρέπει να αναζητήσεις έναν οδηγό για LUKS ειδικά για τη διανομή σου.

Το χρησιμοποιώ αρκετά χρόνια και το βρίσκω αρκετά ασφαλές.Ακόμη και σε περίπτωση hardware βλάβης, πχ bad sectors, αν δεν χτυπήσει το header του partition όπου αποθηκεύεται το κλειδί, μπορείς να κάνεις ανάκτηση αρχείων κανονικά.

........Auto merged post: mrsaccess πρόσθεσε 4 λεπτά και 2 δευτερόλεπτα αργότερα ........

Με πρόλαβε με πολύ πιο αναλυτικό post ο imitheos! :oneup:

Μάλιστα... κατανοητό μέχρι εδώ..
Τώρα κοιτάω στο arch wiki, και βλέπω ότι έπρεπε να είχα κρυπτογραφήσει το δίσκο πριν την εγκατάσταση :/

Μπορείς και μετά. Κάνεις ένα backup πχ με rsync σε 2ο δίσκο τα δεδομένα σου + λειτουργικό και έπειτα ακολουθείς της οδηγίες από το Arch wiki ή άλλο tutorial για κρυπτογράφηση του σκληρού. Αντιγράφεις από το backup στον κρυπτογραφημένο πλέον σκληρό με livecd. Έτσι το είχα κάνει κι εγώ.

Ημίθεος και mraccess εσείς σε τι διανομή το έχετε δοκιμάσει; Εσύ megahead13 είδα σε άλλο ποστ.
Είναι κάτι εύκολο γενικά(γιατί θεωρία οκ το κοίταξα,αλλά δεν το έκανα στην πράξη) ή θα τα κάνω μαντάρα;

Ημίθεος και mraccess εσείς σε τι διανομή το έχετε δοκιμάσει; Εσύ megahead13 είδα σε άλλο ποστ.
Είναι κάτι εύκολο γενικά(γιατί θεωρία οκ το κοίταξα,αλλά δεν το έκανα στην πράξη) ή θα τα κάνω μαντάρα;

Η διαδικασία για την δημιουργία της κρυπτογράφηση / κατατμήσεων / filesystems / κτλ είναι ίδια σε όλες τις διανομές (τουλάχιστον στη περίπτωση που το κάνεις χειροκίνητα. Σε κάποιες διανομές πχ fedora γίνεται πάρα πολύ εύκολα από τον εγκαταστάτη). Η διαφορά έγκειται στην δημιουργία του initramfs. Το Arch έχει πολύ καλό wiki οπότε υποθέτω ότι το εξηγεί πολύ καλά.

Εγώ χρησιμοποιώ Slackware 64bit οπότε το έχω δοκιμάσει εκεί. Έχω κρυπτογραφήσει ολόκληρο το δίσκο οπότε χρησιμοποιώ το crypt container σε συνδυασμό με τον LVM για να έχω πολλές κατατμήσεις (GPT -> Crypt -> LVM -> Filesystems).

Ωραία. Θα το δοκιμάσω και στην πράξη αύριο.
Ωστόσο κάτι τελευταίο που δεν κατανοώ. Έχω ένα φλασάκι. Το έχω κρυπτογραφήσει με το bitlocker και όταν θέλω να έχω πρόσβαση μου ζητάει κωδικό. Όλα ωραία και καλά. Όταν το κρυπτογραφήσω όμως με true crypt , μου το εμφανίζει ως μη διαμορφωμένο χώρο στο My Computer και το ανοίγει μόνο μέσω του προγράμματος..

Άργησα λίγο αλλά απαντώ. Σε Gentoo το έχω. Είναι σημαντικό imo να κάτσεις λίγο να διαβάσεις τις εντολές που χρειάζονται από command line για να διαχειριστείς LUKS partitions καθώς και το πως λειτουργούν.

Είναι πολύ εύκολο, απλά αν το πας από γραφικό περιβάλλον (δεν ξέρω αν υποστηρίζεται κιόλας) όταν συναντήσεις πρόβλημα κάποια στιγμή, δεν θα μπορείς να το διορθώσεις εύκολα.

Μόλις μάθεις τις εντολές ή πχ πως παίρνεις backup το header που περιέχει τα κλειδιά θα αισθανθείς κι εσύ μεγαλύτερη ασφάλεια γιατί, μην ξεχνάς πως αν για οποιοδήποτε λόγο χάσεις το κλειδί σου θα χάσεις και τα δεδομένα σου.

Πάντως με 512 παρατήρησα κάποια, μικρά, κολληματάκια... Θα δοκιμάσω και 256.
Δεν ήταν τελικά κάτι το τραγικό να τα φτιάξω (δεδομένου το πολύ καλά-στημένo wiki του arch)