LINUX.ORG.RU

Дистрибутив и ПО для работы с конф. данными + вопрос про ГПСЧ

 


0

2

Для работы с приватными данными используется компьютер, отключенный от сети. Связь с внешним миром — с помощью флешки. Какой дистрибутив удобнее использовать с этом случае? Я собирался загружаться с LiveCD, но подходящей сборки не нашел. Ubuntu Privacy Remix вполне устроил, но он не видит харды, а они нужны. От системы требуется стабильность и, если она будет на hdd, возможно, какие-то способы проверки целостности. Флешки при подключении должны автоматически монтироваться noexec. Кто-нибудь работал с Qubes?

Также хотел бы услышать советы по поводу софта для шифрования. Привык к TrueCrypt, но готов взглянуть и на другие варианты. Нужна поддержка ключ. файлов и каскадных алгоритмов (ThreeFish приветствуется, хотя устроит и Serpent+Twofish или что-то в этом роде). Систему шифровать необязательно, если не остается каких-то временных файлов или других следов, по которым можно судить о данных на зашифрованных дисках. (В этом смысле мне нравится LiveCD.)

Использовать ли /dev/random или есть смысл заморачиваться с каким-то другим источником энтропии?


Какого рода конф. данные и зачем нужен именно аппаратный гсч? надеюсь там УЦ или ещё что-то важное, а не фотки с голыми тётками, которые надо от мамки прятать?

anonymous ()

или есть смысл заморачиваться с каким-то другим источником энтропии?

Спроси у ребят из ФАПСИ, они должны знать. ;)

У нас тут в России обычно такая работа - по разработке систем шифрования, подлежит сертификации и лицензированию со стороны ФСБ. А ты именно такую систему хочешь сконструировать. Очевидно же, что готового решения тебе тут не предложат.

NeProfessor ()
Ответ на: комментарий от NeProfessor

фапси уже десять лет как нету. И решение предложат, если он задачу нормально сформулирует.

anonymous ()

Использовать ли /dev/random или есть смысл заморачиваться с каким-то другим источником энтропии?

Лучше дать коту пробежаться по клавиатуре и взять от этого хеш - больше случайности будет.

segfault ★★★★★ ()
Ответ на: комментарий от anonymous

Я готов уточнить задачу, что именно нужно конкретизировать? На компьютере обрабатываются данные, обмен с внешней средой очень ограниченный. Самый вероятный вектор атаки — заражение флешки, с помощью которой компьютер обменивается данными с другими, подключенными к сети машинами. Также хотелось бы обезопаситься на случай физического изъятия дисков.

Насчет ГСЧ — неоднократно слышал, что /dev/random использовать не рекомендуется, вот и хочу уточнить, действительно ли это так. (На всякий случай, кот имеется.)

Ankor ()
Ответ на: комментарий от Ankor

Я готов уточнить задачу, что именно нужно конкретизировать?

так вот и интересно, в чём его основная задача. В принципе, если общение с внешним миром используется только через флешку и консоль, надо прочитать руководство анб по локальной безопасности и кусок шапкиного деплоймент гайда на ту же тему.

От изъятия дисков помогает LUKS, но с некоторых пор я не уверен, что для работы с ним можно безопасно использовать aesni.

Аппаратный гсч, может и хорошая штука, только они либо сертифицированы у нас и неустойчивы к нашей гебне, либо несертефицированы у нас и начинены фичами тамошней гебни, да ещё и небось нелегальны у нас, так что придётся пользоваться программным. Правда тоже фиг знает как доверять коду, начинённому закладками, может проще изготовить биологический дсч из клавиатур, котов и лазерной указки.

anonymous ()

Я не совсем понял, как так получается, что Вы работаете с гэбнёй, а она от Вас не требует какое-нибудь сертифицированное говно, типа МСВС, позволяет использовать не сертифицированные продукты? Если вопрос касается безопасности машины, которая от интернета отключена, то можно использовать любой дистриб (fedora, ubuntu server (потом apt-get install ubuntu-desktop делаете), debian, gentoo, centos, rhel), которые поддерживают LUKS из коробки. Для ГСЧ используйте audio-entropyd и https://github.com/pfactum/libpfrng/ . И аналогичные есть. Только микрофон не забудьте подключить и проверить. :)

ktulhu666 ☆☆☆ ()
Ответ на: комментарий от ktulhu666

Через микрофон анб вирусы передаёт прямо в биос.

anonymous ()

Лучший источник энтропии - твой моск.

Valdor ★★ ()
Ответ на: комментарий от ktulhu666

Мы не работаем с гэбней. За ответ большое спасибо, действительно, подключу микрофон.

руководство анб по локальной безопасности

Имеете в виду их руководство по RHEL или что-то еще?

Ankor ()
Ответ на: комментарий от Ankor

руководство анб по локальной безопасности

Это не я писал.

Мы не работаем с гэбней.

Вам NDA просто мешает говорить, верно? :))

ktulhu666 ☆☆☆ ()

http://www.securitycode.ru/products/pak_sobol/abilities/
Сертификаты ФСТЭК и ФСБ (в варианте Росомаха - сертификат министерства обороны) - т.е. закладок от АНБ там нет.

Поддержка операционных систем


FreeBSD 5.3/6.2/6.3/7.2/8.2.
МСВС 3.0 x86.
Альт Линукс СПТ 6.0.0 х86/х64.
ALT Linux Desktop 4.0.2 Secure Edition x86/Lite x86.
ALT Linux Server 4.0.0 Secure Edition x86/x64.
Astra Linux Special Edition «Смоленск» x64.
Debian 6.0.3 x86/x64, Debian 5.0.3 x86/5.0.5 x86.
Mandriva ROSA Desktop 2011.0 x86/x64.
Mandriva 2008 Spring x86/x64.
Red Hat Enterprise Linux 6.0 x86/x64.
Red Hat Enterprise Linux 4.1 Update 1 Secure Edition x64.
VMware Infrastructure ESX 3.5 x86/vSphere ESX 4.0 x64/
4.1 x64/4.1 Update 1 x64/4.1 Update 2 x64.

yirk ★★★ ()

Есть проверенный и годный по теме вариант - сертифицированный апмдз Максим с microSD на плате + astra linux (можно даже CE, если наличие сертификата не важно) на этой microSD. Операционка грузится в режиме 'только для чтения'. Апмдз контролирует целостность ОС. Рекомендую. Подробно можно в саппорте узнать. http://rusbitech.ru/support/tech/

mkv457vv ()
Ответ на: комментарий от Ankor

от физичесткого изъятия хардов хорошо спасает растяжка из гранаты в корпусе (шутю)

обычного LUKS с правильно подобраными параметрами должно быть вполне достаточно, чтоб не было зараженных флешек надо noexec добавить в параметры монтирования( зависит от конкретного дистрибутива)

для гсч - лучше использовать то что в ядре по умолчанию, поддержку аппаратного ГСЧ от интел вроде как рекомендуют гасить

Slackware_user ★★★★★ ()

Вы когда диплом об высшем по специальности «Информационная безопасность» поку^W получали почему не прокунсультировались по этим вопросам тогда ?

yakunprufovnebudet ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.