Дистрибутив и ПО для работы с конф. данными + вопрос про ГПСЧ

Какого рода конф. данные и зачем нужен именно аппаратный гсч? надеюсь там УЦ или ещё что-то важное, а не фотки с голыми тётками, которые надо от мамки прятать?

или есть смысл заморачиваться с каким-то другим источником энтропии?

Спроси у ребят из ФАПСИ, они должны знать. ;)

У нас тут в России обычно такая работа - по разработке систем шифрования, подлежит сертификации и лицензированию со стороны ФСБ. А ты именно такую систему хочешь сконструировать. Очевидно же, что готового решения тебе тут не предложат.

фапси уже десять лет как нету. И решение предложат, если он задачу нормально сформулирует.

фапси уже десять лет как нету.

Это да.

Использовать ли /dev/random или есть смысл заморачиваться с каким-то другим источником энтропии?

Лучше дать коту пробежаться по клавиатуре и взять от этого хеш - больше случайности будет.

Я готов уточнить задачу, что именно нужно конкретизировать? На компьютере обрабатываются данные, обмен с внешней средой очень ограниченный. Самый вероятный вектор атаки — заражение флешки, с помощью которой компьютер обменивается данными с другими, подключенными к сети машинами. Также хотелось бы обезопаситься на случай физического изъятия дисков.

Насчет ГСЧ — неоднократно слышал, что /dev/random использовать не рекомендуется, вот и хочу уточнить, действительно ли это так. (На всякий случай, кот имеется.)

Я готов уточнить задачу, что именно нужно конкретизировать?

так вот и интересно, в чём его основная задача. В принципе, если общение с внешним миром используется только через флешку и консоль, надо прочитать руководство анб по локальной безопасности и кусок шапкиного деплоймент гайда на ту же тему.

От изъятия дисков помогает LUKS, но с некоторых пор я не уверен, что для работы с ним можно безопасно использовать aesni.

Аппаратный гсч, может и хорошая штука, только они либо сертифицированы у нас и неустойчивы к нашей гебне, либо несертефицированы у нас и начинены фичами тамошней гебни, да ещё и небось нелегальны у нас, так что придётся пользоваться программным. Правда тоже фиг знает как доверять коду, начинённому закладками, может проще изготовить биологический дсч из клавиатур, котов и лазерной указки.

Я не совсем понял, как так получается, что Вы работаете с гэбнёй, а она от Вас не требует какое-нибудь сертифицированное говно, типа МСВС, позволяет использовать не сертифицированные продукты? Если вопрос касается безопасности машины, которая от интернета отключена, то можно использовать любой дистриб (fedora, ubuntu server (потом apt-get install ubuntu-desktop делаете), debian, gentoo, centos, rhel), которые поддерживают LUKS из коробки. Для ГСЧ используйте audio-entropyd и https://github.com/pfactum/libpfrng/ . И аналогичные есть. Только микрофон не забудьте подключить и проверить. :)

Через микрофон анб вирусы передаёт прямо в биос.

Лучший источник энтропии - твой моск.

Мы не работаем с гэбней. За ответ большое спасибо, действительно, подключу микрофон.

руководство анб по локальной безопасности

Имеете в виду их руководство по RHEL или что-то еще?

Вроде про rhel.

руководство анб по локальной безопасности

Это не я писал.

Мы не работаем с гэбней.

Вам NDA просто мешает говорить, верно? :))

http://www.securitycode.ru/products/pak_sobol/abilities/
Сертификаты ФСТЭК и ФСБ (в варианте Росомаха - сертификат министерства обороны) - т.е. закладок от АНБ там нет.

Поддержка операционных систем

FreeBSD 5.3/6.2/6.3/7.2/8.2.
МСВС 3.0 x86.
Альт Линукс СПТ 6.0.0 х86/х64.
ALT Linux Desktop 4.0.2 Secure Edition x86/Lite x86.
ALT Linux Server 4.0.0 Secure Edition x86/x64.
Astra Linux Special Edition «Смоленск» x64.
Debian 6.0.3 x86/x64, Debian 5.0.3 x86/5.0.5 x86.
Mandriva ROSA Desktop 2011.0 x86/x64.
Mandriva 2008 Spring x86/x64.
Red Hat Enterprise Linux 6.0 x86/x64.
Red Hat Enterprise Linux 4.1 Update 1 Secure Edition x64.
VMware Infrastructure ESX 3.5 x86/vSphere ESX 4.0 x64/
4.1 x64/4.1 Update 1 x64/4.1 Update 2 x64.

Есть проверенный и годный по теме вариант - сертифицированный апмдз Максим с microSD на плате + astra linux (можно даже CE, если наличие сертификата не важно) на этой microSD. Операционка грузится в режиме 'только для чтения'. Апмдз контролирует целостность ОС. Рекомендую. Подробно можно в саппорте узнать. http://rusbitech.ru/support/tech/

от физичесткого изъятия хардов хорошо спасает растяжка из гранаты в корпусе (шутю)

обычного LUKS с правильно подобраными параметрами должно быть вполне достаточно, чтоб не было зараженных флешек надо noexec добавить в параметры монтирования( зависит от конкретного дистрибутива)

для гсч - лучше использовать то что в ядре по умолчанию, поддержку аппаратного ГСЧ от интел вроде как рекомендуют гасить

Вы когда диплом об высшем по специальности «Информационная безопасность» поку^W получали почему не прокунсультировались по этим вопросам тогда ?