Plausible deniability (вопрос к специалистам)

> Но это уже усложнит задачу службам - ещё надо восстановить файл с криптофс, а не получить его существование нахаляву.

ерунда это. трудность восстановления файла и трудность его расшифровки - несравнимы.

> Думаю, если б судили и у нас, то аргумент о применении шифрования в суде играл бы не в мою пользу. Не говорю уже о проблеме выпытывания пассфраз...

нет. любой адвокат нахрен разнесет аргумент. что будет у следствия? файл с случайным набором символов. Нет средств доказать, что это криптоконтейнер, разве что вы не попались на watermarking-атаку.

> Будет ли виден сам факт, что программа "трукрипт" установлена?

Разумеется. Ну, хотите, скачивайте из интернета каждый раз, а потом удаляйте.

> Они бы сделали её "внутрисистемной" - вот это был бы класс. То есть контейнеры мы должны создавать НЕ НА СВОБОДНОМ месте на диске, а на той его части, которая официально принадлежит файловой системе. Причём с точки зрения файловой системы это никак не должно выглядеть - просто всякие осколки и мусор на диске. И вообще, могли бы ребята продумать чуть получше трукрипт - так, чтоб не видно было само то, что этот самый трукрипт используется.

какая разница - системный, или нет? система должна знать, какие из псевдосвободных блоков используются для шифрования. ничто не помешает атакующему это выяснить.

Я вам уже предложил простой вариант. Возьмите пачку фильмов. В каком-нибудь файле оставьте заголовок, а по смещению, скажем, килобайт 30, пусть там будет криптоконтейнер. Я не знаю, какой из существующего софта это умеет, но функциональность тут минимальная, дописать это несложно, если что.

> Я вот вспомнил, в некоторых продуктах alladin есть ... как вы считаете, могли руководство компании оставить лазейку в продуктах такого рода и предоставлять доступ к данным в обход знания ключа спец. службам ?

у них есть договор типа что они этого делать небудут и что их продукт чист от вещей подобного рода ?

Это уже вопрос к ним :) Я не знаю.

Надо быть реалистом с ИБП.
Я вообще комп никогда не выключаю без надобности.
Если мне чай надо отойти сделать - мне что, делать дизмаунты с удалением и выключением компа? Не пойдёт. Надо пользоваться блокиратором экрана. Но ресет должен всё возвращать в исходное состояние.

2 saper

По поводу alladin.
Я погуглю.
Но оперативники будут знать о том, что alladin таким свойством обладает... Да и что они дураки что ли - мою систему грузить??
Они перво-наперво сделают образ диска (!!!), как положено на следственном
деле, а потом будут, со своей системы загрузившись, разбираться с моим диском.
Так что такое свойство по-серьёзному только для лохов сгодится.

2 ivlad

> какая разница - системный, или нет? система должна знать, какие из псевдосвободных блоков используются для шифрования. ничто не помешает атакующему это выяснить.

Поидее после загрузки системы налету ей нужно указать куда лазить не надо, и писать куда не надо. Если этого не указать - то никаких псевдоблоков как бы и не существует... Так оно должно поидее работать.

***************

Ещё я подумал, теперь так получается:
пока единственный способ, - это ставить трукрпт или нечто схожее в tmpFS и монтировать всё потом. После перезагрузки прийдётся снова ставить трукрипт в tmpFS
:(

Можно было бы поставить его куда-нить в конейнер для стеги, но сама прога, которая стегу делает останется засвеченной. Таким образом, задача свелась рекурсивно к предыдущей.
То есть как ни крути - начало цепочки будет видно. Либо это начало цепочки ставить в опративку и так каждый раз...

А идея с первым контейнером, который раскрывается якобы под давлением - мне не очень нравится. Они же заведомо будут знать что так делают...
Лучше, если якобы ничего не шифруется.

2 MiracleMan

А как тот чел сделал, что модуль грузился после перезагрузки? Я правильно понимаю? Где тот модуль лежал и откуда он его грузил?

Напишите цель и условия задачи, только более четко, судя по содержимому сообщений условия меняются или могут меняться, значит цель не обозначена.

А вот ИМХО TrueCrypt можно на удаленном серваке держать...
а лучше на нескольких, и в случайном порядке подгружать с однго из них.

Цель:
полностью правдоподобное отрицание наличия укрывательства информации какой бы то ни было. Анализ диска и данных с точки зрения компетентных лиц и спецслужб не должен содержать косвенных сколько-нибудь обоснованных улик наличия скрываемой информации.

Условия:
1) Объём скрываемых данных - 10 гигабайт, которые смонтированы как криптофс в домашний каталог.
2) Кнопка ресет в любой момент времени превращает содержимое диска в состояние, описанное выше как "цель", то есть моё присутствие за компьютером в момент когда всё смонтировано, но экран залочен, не обязательно. При этом, при нажатии ресета с хорошей надёжностью не происходит уничтожения скрываемой информации, и впоследствии данная информация может быть легко восстановлена вплоть до состояния, которое было до "ресет".
3) По возможности, желательно не использовать для реализации посторонние носители информации (кроме жёсткого диска компьютера), так как все посторонние носители так же легко могут быть приобщены к судебному следствию как и сам жёсткий диск.
4) Скорость работы с укрываемыми данными должна быть настолько быстрой, чтобы можно было использовать в реальном времени эти данные как содержимое домашнего каталога, конфигурационные файлы из которого читаются и пишутся соответствующими десктопными программами.

> А вот ИМХО TrueCrypt можно на удаленном серваке держать...
а лучше на нескольких, и в случайном порядке подгружать с однго из них.

Угу, только удалённый сервак тоже может быть приобщён к следствию :)
А так же все сетевые логи промежуточных серваков.

Конституция РФ:

Статья 49 1. Каждый обвиняемый в совершении преступления считается невиновным, пока его виновность не будет доказана в предусмотренном федеральным законом порядке и установлена вступившим в законную силу приговором суда. 2. Обвиняемый не обязан доказывать свою невиновность. 3. Неустранимые сомнения в виновности лица толкуются в пользу обвиняемого.

> Они перво-наперво сделают образ диска (!!!), как положено на следственном деле, а потом будут, со своей системы загрузившись, разбираться с моим диском.

Конечно, нужно исходить из этого, но на деле они не всегда это делают. Были преценденты.

А как же раскрываемость преступлений повышать если не пытками?
А звонки путину и слоник где тут? Разве можно без этого?
А где детектор лжи и всякие психовоздействия с помощью "разбалтывающих" препаратов?
Мы будем как с террористами бороться? УК соблюдать или мочить в сортире? Я не террорист, но применение ук будет таким же, думаю.
И вообще это всё написано для быдла, реально никого этот ук не волнует уже давно. Для выяснения подробностей достоточно погуглить и прочитать "катехизис еврея в ссср" - там хорошо про всё это написано.
Так что про законность прийдётся забыть :(

> Поидее после загрузки системы налету ей нужно указать куда лазить не надо, и писать куда не надо. Если этого не указать - то никаких псевдоблоков как бы и не существует... Так оно должно поидее работать.

Ты себе представляешь размер этой информации? Ее нужно или доставлять в систему, или хранить в ней.

Если ты будешь при загрузке системы вводить список блоков fs, которые не нужно использовать, это будет работать, но тогда тебе где-то придется хранить список блоков. И еще возиться с его расширением, если что.

И потом, мы ведь говорим о общедоступной схеме, про которую будет знать атакующий. Ничто не помешает ему взять дамп всех неиспользуемых блоков и поискать среди них те, распределение байт в которых равномерно.

Пока я решаю по максимум чтоб лучшую секъюрность получить.
А в реале... Можно начать с того, что, "а найдут ли меня за тором и прайвокси" если я не ошибся в настройке? Захотят ли меня искать если сети я не взламываю, правительственные сайты не обгаживаю, на форумах фсб угрожающие посты не пишу... Но предположим, что захотят.

Стелим соломку на самый ужасный случай, а если падать не прийдётся - тем уж лучше :) Всё ж понятно.

> А как же раскрываемость преступлений повышать если не пытками?

если уже речь об этом идет, то никакие криптоконтейнеры не нужны. Какая разница, что выпытывать - ключ к контейнеру, или чистосердечное признание?

#define MODERATORIAL

Поэтому, тему терморектального криптоанализа предлагаю тут не обсуждать.

> Пока я решаю по максимум чтоб лучшую секъюрность получить.

Я же тебе показал, что твой метод не добавляет надежности.

> Ты себе представляешь размер этой информации? Ее нужно или доставлять в систему, или хранить в ней.

> Если ты будешь при загрузке системы вводить список блоков fs, которые не нужно использовать, это будет работать, но тогда тебе где-то придется хранить список блоков. И еще возиться с его расширением, если что.

> И потом, мы ведь говорим о общедоступной схеме, про которую будет знать атакующий. Ничто не помешает ему взять дамп всех неиспользуемых блоков и поискать среди них те, распределение байт в которых равномерно.

*********************

Ну где-то должен быть хвост... потянув за который цепочка будет не плохо раскручиваться. Но та часть хвоста, первая, которая уже физически размещена на диске, должна быть тщательно завуалирована.
А неиспользуемые блоки, так же как и используемые случайно, есть у всех в системе. Просто надо подделаться под реальную систему максимально близко.

Пояснение по поводу пыток, если я не внятно выразился:
Отличие здесь вот в чём:

В стандартной схеме: тебя пытают и говорят "ты вот здесь так-то и так-то зашировал инфу, подводят тебя к компу когда там уже есть приглашение для ввода пароля, и говрят "вводи пас" а то будет плохо".

В моей схеме: тебя будут пытать таким образом: "скажи нам каким образом ты запрятал инфу на этом диске, иначе будет плохо".

Это разные вещи.
Предполагается, что 2-м путём спецслужбы пойдут с намного меньшей вероятностью чем 1-м путём. Тем более, что они сами до конца не будут уверены в том, что я действительно что-то скрываю и и в чём-то виновен.
А то так можно любого с улицы взять и всё что хочешь на него повесить под пытками.

Если же схемы 1 и 2 равновероятны, то тогда вообще не нужна стега, берём и шифруем стандартным образом и через криптофс и наличие пряток шифрования вообще не критично. Моя интуиция подсказывает что тем не менее это не так.

IMHO, без модуля ядра не обойтись... Скорее всего самописного...

Для того, чтобы не вызвать подозрений, ведь не достаточно просто подмонтировать fs, необходимо чтобы либо в приложениях не оставались имена секретных файлов, либо чтобы на обычной fs были файлы с такими же именами (пусть и пусты, удаленные).

И раз уж надо писать модуль, туда можно напихать чего угодно, весь вопрос где его хранить... Можно ли штатными средствами dd, tar, crypt и т.д. извлечь из файлов типа mp3 бинарник размером хотя бы 100 кбайт?

Секрет --- это когда знает один человек... В данном случае секретом является сама возможность организации подобного хранилища... Врядли подобные решения есть в открытом доступе...

> Можно ли штатными средствами dd, tar, crypt и т.д. извлечь из файлов типа mp3 бинарник размером хотя бы 100 кбайт?

штатными - нет, но есть N вариантов с стеганографией.

2 ivlad
> штатными - нет, но есть N вариантов с стеганографией.

нет :)
Каждый вариант со стеганографией подразумевает наличие стеганографической проги которую надо прятать так же как и сам файл с криптоFS. Таким образом проблема рекурсивно сводится к предыдущей.
Единственный выход который я пока вижу - вообще не ставить спецсофт на комп. Соответствующие программы прийдётся каждый раз скачивать из инета или откуда-либо, ставить их в tmpFS в памяти, а после с помощью их уже монтировать контейнеры. Вот.

Я хочу без модуля оболйтись - я не умею программировать :)
Думаю, есть проги типа трукрипта, работающие с контейнерами, ставим их каждый раз после перезагрузки откуда-нибудь извне в tmpFS и далее по стандарту.

> И раз уж надо писать модуль, туда можно напихать чего угодно, весь вопрос где его хранить... Можно ли штатными средствами dd, tar, crypt и т.д. извлечь из файлов типа mp3 бинарник размером хотя бы 100 кбайт?

Плохой вариант, не чистый - могут попалить с палёной mp3шкой.

> Секрет --- это когда знает один человек... В данном случае секретом является сама возможность организации подобного хранилища... Врядли подобные решения есть в открытом доступе.

Майкрософт наверное думает, что оупенсорс - идиотизм :)
Ни для кого не секрет, что такую систему, с полной plausible deniability, создать можно - при этом она будет полностью открытой и прозрачной для всех, а сложность диагностики наличия скрытой информации будет стремиться к сложности проблем стегоанализа. Создана ли уже такая система - не знаю. В какой-то степени, похоже, многие для себя данную проблему как-то решают.

2 secure_crolik (*) (06.03.2006 14:28:30)

А как вы думаете? Там же где и все остальные в Linux, текущем ядре.. Впрочем, в BSD по аналогии, без принципиальной разницы.. Можно так - появляется якобы новое устройство в системе, а этот модуль - якобы драйвер для этого устройства.. Теперь понятно? ;-)

2 secure_crolik (*) (07.03.2006 21:56:59)

Извините, но при вашей постановке задачи без модульностей и модификаций обойтись не удасться.. Если для вас это неприемлемо, то прислушайтесь к тому, что говорил ivlad..

>В какой-то степени, похоже, многие для себя данную проблему как-то решают.

Так или иначе, по мере надобности, конечно.. Просто, далеко не каждый об этом будет открыто писать..

Удачи вам в ваших изысканиях.. ;-)

а откуда у тебя столько действительно секретной _важной_ информации на 10Г. или это -- деццкое порно?

> а откуда у тебя столько действительно секретной _важной_ информации на 10Г. или это -- деццкое порно?

А, вот и отдел "К" подтянулся. Запаздываете... ;)

http://newsru.com/crime/09mar2006/bank.html
ага :)

Специально для онанимуса:

> а откуда у тебя столько действительно секретной _важной_ информации на 10Г. или это -- деццкое порно?

Да, конечно, речь идёт о нескольких гигабайтах детской порнографии.

> А, вот и отдел "К" подтянулся. Запаздываете... ;)

Да :)))
Отдел "K" жжот :)
Пришёл один человек, и всё опошлил :)

2 saper

> http://newsru.com/crime/09mar2006/bank.html

Ага, только что прочитал перед лором :)
Всё думаю, что же за это "сверхсекретные методы" по их описанию что они применили? Или это всё журналисты...
И интересно как это они так умудрились вынести его с машины "вместе с креслом" :) И чтоб он, сидя в машине, в момент отправки письма (!)
не смог воспользоваться методом скрытия информации нажатием одной кнопки... Или он ламер, или журналисты перевоали всё. Или об неудачных методах отлова фсб не любит оглашать свои неудачи?

Если ити законными методами, то ты можешь "забыть пароль" и не вспомнить его.

Если же нет:

Ректотермальный криптоанализ настолько эффективен, что может даже переходить в криптосинтез и работать без наличия исходного шифротекста.

Если исходить из возможности применения данного метода, то лучше сразу "заворачиваться в простыню и ползти на кладбище".

Можно конечно поиграться с чем-то вроде Phonebook имеющим несколько уровней. Набить в пару уровней дезу и выдавать ее по требованию.

Дарю способ штатными средствами скрыть 100-200 kb. (для ядерного модуля и ключей к нему - позаглаза)

что потребуется:

1. большой файл с мусором (~ 100 метров). лучше всего взять реальный свопник, понахратить его немного (чтоб по нарушенной структуре не отследили), положить в tmp, назвать пострашнее и поставить дату модификации год назад.

2. выбрать два случайных смещения внутри файла. запомнить их. придумать пасс.

3. взять требуемую инфу, и ДВАЖДЫ поксорить сначала данными из файла с первого смещения, затем паролем (или наоборот). полученную белиберду записать по адресу второго смещения.

4. теперь главное - тщательно покурив маны по dd и awk (sed), создать такой pipeline, чтобы на входе был мусорный файл, два смещения и пароль, а на выходе - исходная инфа. ВНИМАНИЕ: этот pipeline выучить как "отче наш" и тщательно следить, чтобы он случайно не попал в .bash_history.

5. полученные данные скидывать на ram-disk (предварительно неплохо бы отключить свопник - мало ли).

PS в качестве мусорного файла можно использовать фильм. при небольшом объёме данных они будут видны просто как секундная помеха.

PPS Лучше заготовить две поксоренных области с разными смещениями и паролями.

> взять требуемую инфу, и ДВАЖДЫ поксорить сначала данными из файла с первого смещения, затем паролем (или наоборот)

если пароль состоит только из печатных символов, распределение его слишком мало, что бы его можно надежно использовать в качестве входа в XOR. Нужно сначала преобразовать.

можно конечно, но это сильно усложнит pipe. пароль собсно нужен только для невозможности взлома перебором смещений.

> пароль собсно нужен только для невозможности взлома перебором смещений.

ты же понимаешь, что это никак не усилит устойчивость? xor по печатным символам практически не меняет распределение, так что атака подбором смещений для большого размера криптоконтейнера (а у нас большой криптоконтейнер) почти не усложнится.