LINUX.ORG.RU
ФорумDesktop

нативное шифрование раздела в debian - надежно ли?

 , , , ,


0

1

сабж, или лучше на него не полагаться и все палево сгружать в трукрипт контейнер? и, кстати, как оно по скорости?

просто оно нахаляву при установке предлагает, вот я и думаю. десктоп перевел на дебиан, следом перевожу нетбук

UPD: на десктопе палево не держу, поэтому не спрашивал



Последнее исправление: n0153 (всего исправлений: 1)

Трукрипт на данный момент как средство шифрования провис в воздухе.

Deleted
()

Всё как обычно. Всё это шифрование FileVault/BitLocker/whatever хорошо для отпугивания скрипт-кидись, если мобильный девайс сопрут. Во всех остальных случаях надо пологаться на эффект неуловимого Джо. Термокриптоанализ, (умышленные) баги в реализации и сливание ключей ещё никто не отменял.

Т.ч., не знаю, что там сейчас в дебиан, но включай. Обычно, не помешает (на мобильном девайсе). Единственная оговорка — ДЕЛАЙ (нешифрованные) БЕКАПЫ! (и храни их где-нибудь в очень надёжном месте) Т.к. востонавливать шифро-раздел, в случае чего (мало ли?), я даже не представляю как.

beastie ★★★★★
()
Последнее исправление: beastie (всего исправлений: 4)

трукрипт контейнер

truecrypt нужно бы уже удалить с машины навсегда. В других случаях для нетбука ты, скорее всего, заплатишь скоростью и ещё подумаешь, хранить ли всякую ерунду или работать быстро.

Deleted
()
Ответ на: комментарий от Deleted

Трукрипт на данный момент как средство шифрования провис в воздухе.

ничто не мешает пользоваться последней нормальной версией, а там утрясется как-нибудь.

Обычно, не помешает (на мобильном девайсе).

я имею в виду как сугубо основное средство защиты чувствительной информации.

Т.к. востонавливать шифро-раздел, в случае чего (мало ли?), я даже не представляю как.

мне по сути не нужно восстанавливать раздел. мне нужно буквально несколько файлов восстановить. что может случится? пароль забуду? если забуду, значит не нужны мне эти файлы. почему хочу раздел - хочу что бы хистори браузера не палилась. только за этим. можно даже систему на нешифрованный, а хомяк на шифрованный поставить, как-то так. может быть это даже можно сделать средствами того же трукрипта?

по сути криптовать разделы кроме хомяка резона особого нет. у меня нет цели скрывать мои предпочтения в плане ПО.

n0153
() автор топика

truecrypt. Как работал, так и работает.

xtraeft ★★☆☆
()
Ответ на: комментарий от n0153

хочу что бы хистори браузера не палилась. только за этим

Симлинк каталога браузера на контейнер трукрипта?

xtraeft ★★☆☆
()
Ответ на: комментарий от n0153

хочу что бы хистори браузера не палилась. только за этим

боишься, что мамка загрузится с livecd и увидит, что ты ходишь по порносайтам?

anonymous
()

Для начала определись, от кого защищаешься.

Deleted
()

Ознакомься с тредом. Потом выяснили в массе тестов, что всё-таки лучше xts.

Наиболее нормальным является xts-essiv:sha256, при этом twofish более линеен в скоростях, а для aes скорость записи всегда выше чем скорость чтения.

трукрипт

Забудь это днище.

Umberto ★☆
()
Последнее исправление: Umberto (всего исправлений: 1)
Ответ на: комментарий от Umberto

xts-essiv:sha256

Тут я забыл и ошибся, лучше ctr-essiv:sha256, ctr параллелится.

Есть ещё такой скрипт.

#!/bin/bash

## This script benchmarks write and read performance of given block ciphers.
## Edit the list of 'cryptsetup' options at the end of this file.
## 
## Results are written in MiB/s (2^20 bytes per second) in a CSV file and stdout.
##
## You must have a writable block device of at least 1.05 GiB of size.
## WARNING: The contents of the block device will be overwritten.
##
## You can create a temporary loopback device on a ram-disk as follows: 
##    mkdir /mnt/ramdisk
##    mount -t tmpfs none /mnt/ramdisk -o size=1200m
##    dd if=/dev/zero of=bigsecret bs=1048576 count=1024
##    losetup /dev/loop0 bigsecret
##
## A key must be put in $KEYFILE. It can be anything.
##
## Author: Heikki Salokanto <heikki.salokanto@gmail.com>


OUT=/tmp/results.csv
KEYFILE=/tmp/keyfile
BLOCKDEV=/dev/loop0

if [ $UID != 0 ]; then echo "Must be root"; exit 1; fi

printf "%-35s%9s%9s\n" "Options" "Write" "Read" | tee $OUT

cd /mnt
[ -d cr ] || mkdir cr  

while read opts; do

	printf "%-35s" "$opts" | tee -a $OUT

	cryptsetup -q $opts luksFormat $BLOCKDEV $KEYFILE
	cryptsetup --key-file $KEYFILE luksOpen $BLOCKDEV crypt

	mkfs.ext4 -m 0 -q /dev/mapper/crypt
	mount /dev/mapper/crypt cr

	( time -p { dd if=/dev/zero of=cr/file bs=1048576 count=1024; sync; } ) 2>&1 \
	  | perl -ne 'printf "%9.2f", 1024/$1 if /real (.+)$/' | tee -a $OUT

	echo 3 >/proc/sys/vm/drop_caches

	( time -p dd if=cr/file of=/dev/null bs=1048576 ) 2>&1 \
 	  | perl -ne 'printf "%9.2f\n", 1024/$1 if /real (.+)$/' | tee -a $OUT

	umount cr
	cryptsetup luksClose crypt

done <<EOF
-c aes-xts-plain -s 256
-c aes-cbc-essiv:sha256 -s 128
-c aes-xts-plain -s 384
-c aes-cbc-essiv:sha256 -s 192
-c aes-xts-plain -s 512
-c aes-cbc-essiv:sha256 -s 256

-c twofish-ctr-plain64:sha256 -s 128
-c twofish-ctr-essiv:sha256 -s 128

-c twofish-ctr-plain64:sha256 -s 256
-c twofish-ctr-essiv:sha256 -s 256
EOF
Umberto ★☆
()
Последнее исправление: Umberto (всего исправлений: 1)
Ответ на: комментарий от beastie

хорошо для отпугивания скрипт-кидис

Под это понятие 80% работников спецслужб подходят :)

Umberto ★☆
()
Ответ на: комментарий от n0153

- хочу что бы хистори браузера не палилась.

tmpfs. Засунь туда и .cache и .config

Deleted
()
Ответ на: комментарий от n0153

Текущая «нормальная» версия теперь тоже под вопросом, пока аудит не доделают.

Deleted
()
Ответ на: комментарий от Umberto

Тут я забыл и ошибся, лучше ctr-essiv:sha256, ctr параллелится.

А xts, как будто, не параллелится. Для шифрования накопителей лучше всего использовать именно XTS. Это самый (или один из топовых) быстрый вариант, и надежный.

ValdikSS ★★★★★
()
Ответ на: комментарий от Umberto

у меня:

$ cryptsetup benchmark --cipher aes-xts-plain64
# Tests are approximate using memory only (no storage IO).
#  Algorithm | Key |  Encryption |  Decryption
     aes-xts   256b   152,1 MiB/s   155,3 MiB/s

$ cryptsetup benchmark --cipher aes-ctr-essiv
# Tests are approximate using memory only (no storage IO).
#  Algorithm | Key |  Encryption |  Decryption
     aes-ctr   256b   114,0 MiB/s   116,0 MiB/s

xts-essiv не нужен, да и похоже что cryptsetup сам заменяет essiv на plain: https://www.linuxquestions.org/questions/linux-security-4/luks-xts-plain-vs-x...

crowbar
()

Это dm-crypt, какие ещё нужны комментарии?

и, кстати, как оно по скорости?

#  Algorithm | Key |  Encryption |  Decryption
     aes-cbc   128b   498.9 MiB/s  1884.4 MiB/s
 serpent-cbc   128b    74.6 MiB/s   287.4 MiB/s
 twofish-cbc   128b   168.4 MiB/s   221.2 MiB/s
     aes-cbc   256b   375.3 MiB/s  1500.1 MiB/s
 serpent-cbc   256b    77.8 MiB/s   287.6 MiB/s
 twofish-cbc   256b   171.4 MiB/s   221.3 MiB/s
     aes-xts   256b  1601.2 MiB/s  1602.4 MiB/s
 serpent-xts   256b   274.7 MiB/s   281.1 MiB/s
 twofish-xts   256b   212.6 MiB/s   216.4 MiB/s
     aes-xts   512b  1276.1 MiB/s  1282.9 MiB/s
 serpent-xts   512b   274.3 MiB/s   279.6 MiB/s
 twofish-xts   512b   214.7 MiB/s   216.4 MiB/s
Gotf ★★★
()
Ответ на: комментарий от beastie

ДЕЛАЙ (нешифрованные) БЕКАПЫ!
нешифрованные

facepalm.svgz

Gotf ★★★
()
Ответ на: комментарий от ValdikSS

А xts, как будто, не параллелится. Для шифрования накопителей лучше всего использовать именно XTS. Это самый (или один из топовых) быстрый вариант, и надежный.

Надёжный cbc. Де-факто стандарт NSA.

Это самый (или один из топовых) быстрый вариант

Ну так половиной ключа оперирует, и при том проигрывает ctr.

Umberto ★☆
()
Ответ на: комментарий от crowbar 
/root # cryptsetup benchmark --cipher aes-ctr-essiv
# Tests are approximate using memory only (no storage IO).
#  Algorithm | Key |  Encryption |  Decryption
     aes-ctr   256b  1252.3 MiB/s  1266.2 MiB/s
Gotf ★★★
()
Ответ на: комментарий от Umberto

Надёжный cbc. Де-факто стандарт NSA.

Поэтому-то в шапке с какой-то из шестых версий по умолчанию XTS? :)

Gotf ★★★
()
Ответ на: комментарий от Gotf

Эм, да вот уже нашёл.

Cryptsetup 1.6.0-rc1 Release Notes
Changes (since version 1.6.0-rc1)

    Change LUKS default cipher to to use XTS encryption mode, aes-xts-plain64 (i.e. using AES128-XTS).
        XTS mode becomes standard in hard disk encryption.
        You can still use any old mode:

А как же NSA, cbc, default?

Собственно, окаменелое, 1.4.3-4, и без бенчмарка, так что вышеописанный скрипт очень полезен. 

apt-cache policy cryptsetup
cryptsetup:
  Установлен: 2:1.4.3-4
  Кандидат:   2:1.4.3-4
  Таблица версий:
 *** 2:1.4.3-4 0
        500 http://ftp.de.debian.org/debian/ wheezy/main amd64 Packages
        100 /var/lib/dpkg/status

Umberto ★☆
()
Последнее исправление: Umberto (всего исправлений: 1)

фактически я переосмыслил свой подход к безопасности и решил что лучше сделать так что бы ничего не сохранялось вообще. то есть я включил private browsing по дефолту в том профайле который для tor и отключил логи в пиджине. теперь любое палево какое только может сохранится, будет сохранено моими руками, то есть я могу спокойно засунуть его в контейнер. соответственно я переформулировал вопрос и наверное даже не буду создавать другой тред, а просто посмотрю что пишут в уже существующих. пока склоняюсь в пользу LUKS, ну например потому что он уже есть у меня на андроиде.

n0153
() автор топика
Ответ на: комментарий от n0153

к приватному браузингу имеются вопросы:

root@home:~# ls -l /proc/8953/fd
total 0
lrwx------ 1 n0153 n0153 64 Jul  2 13:40 0 -> /dev/null
lrwx------ 1 n0153 n0153 64 Jul  2 13:40 1 -> /dev/null
lr-x------ 1 n0153 n0153 64 Jul  2 13:40 10 -> pipe:[2544438]
lrwx------ 1 n0153 n0153 64 Jul  2 13:40 100 -> socket:[2562018]
lrwx------ 1 n0153 n0153 64 Jul  2 13:40 101 -> socket:[2562532]

lr-x------ 1 n0153 n0153 64 Jul  2 13:40 16 -> /dev/urandom
lr-x------ 1 n0153 n0153 64 Jul  2 13:40 17 -> pipe:[2548123]
l-wx------ 1 n0153 n0153 64 Jul  2 13:40 18 -> pipe:[2548123]
lrwx------ 1 n0153 n0153 64 Jul  2 13:40 19 -> socket:[2548124]
lrwx------ 1 n0153 n0153 64 Jul  2 13:40 2 -> /dev/null
lrwx------ 1 n0153 n0153 64 Jul  2 13:40 20 -> /home/n0153/.mozilla/firefox/nejdymxw.profile2/permissions.sqlite
lrwx------ 1 n0153 n0153 64 Jul  2 13:40 21 -> /home/n0153/.mozilla/firefox/nejdymxw.profile2/places.sqlite
lrwx------ 1 n0153 n0153 64 Jul  2 13:40 22 -> /home/n0153/.mozilla/firefox/nejdymxw.profile2/places.sqlite-wal
lrwx------ 1 n0153 n0153 64 Jul  2 13:40 23 -> /home/n0153/.mozilla/firefox/nejdymxw.profile2/places.sqlite-shm
lrwx------ 1 n0153 n0153 64 Jul  2 13:40 24 -> /home/n0153/.mozilla/firefox/nejdymxw.profile2/cookies.sqlite
lrwx------ 1 n0153 n0153 64 Jul  2 13:40 25 -> /home/n0153/.mozilla/firefox/nejdymxw.profile2/cookies.sqlite-wal
lrwx------ 1 n0153 n0153 64 Jul  2 13:40 26 -> /home/n0153/.mozilla/firefox/nejdymxw.profile2/content-prefs.sqlite
lrwx------ 1 n0153 n0153 64 Jul  2 13:40 27 -> /home/n0153/.mozilla/firefox/nejdymxw.profile2/webappsstore.sqlite
lrwx------ 1 n0153 n0153 64 Jul  2 13:40 28 -> /home/n0153/.mozilla/firefox/nejdymxw.profile2/webappsstore.sqlite-wal
lrwx------ 1 n0153 n0153 64 Jul  2 13:40 29 -> /home/n0153/.mozilla/firefox/nejdymxw.profile2/webappsstore.sqlite-shm
l-wx------ 1 n0153 n0153 64 Jul  2 13:40 3 -> /home/n0153/.mozilla/firefox/nejdymxw.profile2/marionette.log
lr-x------ 1 n0153 n0153 64 Jul  2 13:40 30 -> /home/n0153/.mozilla/firefox/nejdymxw.profile2/webappsstore.sqlite
lrwx------ 1 n0153 n0153 64 Jul  2 13:40 31 -> /home/n0153/.mozilla/firefox/nejdymxw.profile2/webappsstore.sqlite-wal
lrwx------ 1 n0153 n0153 64 Jul  2 13:40 32 -> /home/n0153/.mozilla/firefox/nejdymxw.profile2/cert8.db
lrwx------ 1 n0153 n0153 64 Jul  2 13:40 33 -> /home/n0153/.mozilla/firefox/nejdymxw.profile2/key3.db
lr-x------ 1 n0153 n0153 64 Jul  2 13:40 34 -> /home/n0153/.mozilla/firefox/nejdymxw.profile2/places.sqlite
lrwx------ 1 n0153 n0153 64 Jul  2 13:40 35 -> /home/n0153/.mozilla/firefox/nejdymxw.profile2/places.sqlite-wal
lr-x------ 1 n0153 n0153 64 Jul  2 13:40 36 -> /home/n0153/.mozilla/firefox/nejdymxw.profile2/places.sqlite
lrwx------ 1 n0153 n0153 64 Jul  2 13:40 37 -> /home/n0153/.mozilla/firefox/nejdymxw.profile2/places.sqlite-wal
lrwx------ 1 n0153 n0153 64 Jul  2 13:40 38 -> /home/n0153/.mozilla/firefox/nejdymxw.profile2/cookies.sqlite-shm
lrwx------ 1 n0153 n0153 64 Jul  2 13:40 39 -> /home/n0153/.mozilla/firefox/nejdymxw.profile2/cookies.sqlite
lrwx------ 1 n0153 n0153 64 Jul  2 13:40 4 -> socket:[2544432]
lrwx------ 1 n0153 n0153 64 Jul  2 13:40 40 -> socket:[2550162]
lrwx------ 1 n0153 n0153 64 Jul  2 13:40 41 -> socket:[2550163]
lrwx------ 1 n0153 n0153 64 Jul  2 13:40 42 -> socket:[2549205]
lrwx------ 1 n0153 n0153 64 Jul  2 13:40 43 -> /home/n0153/.mozilla/firefox/nejdymxw.profile2/downloads.sqlite
lrwx------ 1 n0153 n0153 64 Jul  2 13:40 44 -> /home/n0153/.mozilla/firefox/nejdymxw.profile2/healthreport.sqlite
lrwx------ 1 n0153 n0153 64 Jul  2 13:40 45 -> /home/n0153/.mozilla/firefox/nejdymxw.profile2/healthreport.sqlite-wal
lrwx------ 1 n0153 n0153 64 Jul  2 13:40 46 -> /home/n0153/.mozilla/firefox/nejdymxw.profile2/healthreport.sqlite-shm
lr-x------ 1 n0153 n0153 64 Jul  2 13:40 47 -> /home/n0153/.mozilla/firefox/nejdymxw.profile2/places.sqlite
lrwx------ 1 n0153 n0153 64 Jul  2 13:40 48 -> /home/n0153/.mozilla/firefox/nejdymxw.profile2/places.sqlite-wal
lrwx------ 1 n0153 n0153 64 Jul  2 13:40 49 -> socket:[2551953]
lrwx------ 1 n0153 n0153 64 Jul  2 13:40 5 -> anon_inode:
lrwx------ 1 n0153 n0153 64 Jul  2 13:40 55 -> socket:[2551531]
lrwx------ 1 n0153 n0153 64 Jul  2 13:40 56 -> socket:[2553487]
lrwx------ 1 n0153 n0153 64 Jul  2 13:40 57 -> socket:[2551774]
lrwx------ 1 n0153 n0153 64 Jul  2 13:40 58 -> socket:[2551638]
lrwx------ 1 n0153 n0153 64 Jul  2 13:40 59 -> socket:[2551640]
l-wx------ 1 n0153 n0153 64 Jul  2 13:40 6 -> /home/n0153/.mozilla/firefox/nejdymxw.profile2/.parentlock
lrwx------ 1 n0153 n0153 64 Jul  2 13:40 60 -> socket:[2551641]
lrwx------ 1 n0153 n0153 64 Jul  2 13:40 61 -> socket:[2556507]
lrwx------ 1 n0153 n0153 64 Jul  2 13:40 62 -> socket:[2548996]
lrwx------ 1 n0153 n0153 64 Jul  2 13:40 63 -> /home/n0153/.mozilla/firefox/nejdymxw.profile2/signons.sqlite
lrwx------ 1 n0153 n0153 64 Jul  2 13:40 64 -> socket:[2553489]
lrwx------ 1 n0153 n0153 64 Jul  2 13:40 65 -> socket:[2549128]
lrwx------ 1 n0153 n0153 64 Jul  2 13:40 7 -> anon_inode:[eventpoll]
[2556932]
lrwx------ 1 n0153 n0153 64 Jul  2 13:40 89 -> socket:[2559078]
lrwx------ 1 n0153 n0153 64 Jul  2 13:40 9 -> socket:[2544437]
lrwx------ 1 n0153 n0153 64 Jul  2 13:40 90 -> socket:
(часть сокетов убрал, а то ЛОР на размер сообщения ругается)

в самих директорях творится примерно вот такое:


n0153@home:~/.cache/mozilla/firefox/nejdymxw.profile2$ ls -lR
.:
total 8
drwxr-xr-x 2 n0153 n0153 4096 Jul  2 13:45 safebrowsing
drwxr-xr-x 2 n0153 n0153 4096 Jul  2 13:40 startupCache

./safebrowsing:
total 1504
-rw-r--r-- 1 n0153 n0153     12 Jul  2 13:45 goog-malware-shavar.cache
-rw-r--r-- 1 n0153 n0153 383280 Jul  2 13:45 goog-malware-shavar.pset
-rw-r--r-- 1 n0153 n0153 461224 Jul  2 13:45 goog-malware-shavar.sbstore
-rw-r--r-- 1 n0153 n0153     12 Jul  2 13:45 googpub-phish-shavar.cache
-rw-r--r-- 1 n0153 n0153 401118 Jul  2 13:45 googpub-phish-shavar.pset
-rw-r--r-- 1 n0153 n0153 254954 Jul  2 13:45 googpub-phish-shavar.sbstore
-rw-r--r-- 1 n0153 n0153     44 Jul  2 13:45 test-malware-simple.cache
-rw-r--r-- 1 n0153 n0153     16 Jul  2 13:45 test-malware-simple.pset
-rw-r--r-- 1 n0153 n0153    232 Jul  2 13:45 test-malware-simple.sbstore
-rw-r--r-- 1 n0153 n0153     44 Jul  2 13:45 test-phish-simple.cache
-rw-r--r-- 1 n0153 n0153     16 Jul  2 13:45 test-phish-simple.pset
-rw-r--r-- 1 n0153 n0153    232 Jul  2 13:45 test-phish-simple.sbstore

./startupCache:
total 1292
-rw-r--r-- 1 n0153 n0153 1320754 Jul  2 13:44 startupCache.4.little

в самих файлах всякая бинарная ерунда нечитаемая.

это точно безопасно?

кроме того запретил этой профайлу флэш посредством flashblock. яваскрипт запретить не получится, куки тоже - сайтам это нужно.

кстати не смотря на flashblock флэшплеер висит в процессах. это как, нормально?

n0153
() автор топика
Ответ на: комментарий от n0153

в качестве контейнера кстати запилил LUKS с дефолтными настройками. также зашифровал своп.

n0153
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Desktop