LINUX.ORG.RU
решено ФорумSecurity

Безопасность безопасности

 , , ,


1

2

Я храню на своем ноутбуке свои интим фоточки. Мой старший брат хочет получить к ним доступ, чтобы меня шантажировать тем, что расскажет все моей маме.
Предположим, что для пущей секурности я шифровал корень, но тогда grub2 просится вынести его раздел подальше от шифрования.
Внимание вопрос: Какова вероятность того, что мой старший брат проникнет ночью в мою комнату и изменит initramfs таким образом, что cryptsetup сохранит мой пароль куда-нибудь на HDD?

★★★★★

Последнее исправление: Klymedy (всего исправлений: 1)

/boot на флешку и носи её на шее.

anonymous
()

Может все файлы или раздел подписывать и проверять хэш файлов при загрузке? Ключи можно держать на зашифрованном разделе.

Hope ★★
()

Какова вероятность того, что мой старший брат проникнет ночью в мою комнату и изменит initramfs таким образом, что cryptsetup сохранит мой пароль куда-нибудь на HDD..

навернякатака и произойдёт!

именно поэтому обычно всегда и говорят что — шифрование может защищать только в случаях когда злоумышленники не имеют периодического физического доступа к твоей системе.

в твоём случае тебе всего-лишь придётся угостить пару раз пивом брата, ну и вообще сдружиться с ним :-) — то есть отнять у него повод красть твои фотки. или переехать от него в другую квартиру :)

user_id_68054 ★★★★★
()
Ответ на: комментарий от anonymous

Ах да, вероятность, очевидно же, 50/50: или проникнет, или нет.

или проникент или нет — это не 50/50 :-) ..

каждый раз когда я пытаюсь пройти в дверной проём — я либо прохожу свободно, либо врезаюсь лбом в стену (промазал мимо дверного проёма).. тут тоже вероятность 50/50 ? :-D

user_id_68054 ★★★★★
()

Высока, это классическая «атака уборщицы», кроме этого он может снимать образы шифрованных разделов, скажем раз в сутки или неделю и выяснять в каких областях изменяются данные, и много чего прочего.

Umberto ★☆
()
Ответ на: комментарий от AITap

Ясно. Так и сделаю. Спасибо!

r0ck3r ★★★★★
() автор топика
Ответ на: комментарий от user_id_68054

врежешься ты в косяк или пройдешь в дырку в каждом конкретном случае - 50/50... ?! :D lol

anonymous
()
Ответ на: комментарий от user_id_68054

старший брат на службе^W дома не пьет(

r0ck3r ★★★★★
() автор топика
Ответ на: комментарий от Umberto

от того, что он выяснит, в каких областях меняются данные, разве он что-то полезное узнает? Разве не все данные шифрованы? Или только структура ФС?

r0ck3r ★★★★★
() автор топика
Последнее исправление: r0ck3r (всего исправлений: 1)
Ответ на: комментарий от r0ck3r

от того, что он выяснит, в каких областях меняются данные, разве он что-то полезное узнает?

например сможет узнать — обновил ли ты свой архив — новыми видеофайлами :-)

или сможет (с определённой вероятностью) узнать когда ты делал последний раз апдейт системы :) ..

вообщем утилита cryptsetup-reencrypt — частично сможет исправить ситуацию, но не шипко хорошо в случае если физический доступ у злоумышленника слишком частый.

user_id_68054 ★★★★★
()

Qubes OS придумали уже.

anonymous
()
Ответ на: комментарий от user_id_68054

Благодарю, понял. Вопрос закрыт. Думаю о потайном бронированном подвале. Жаль, правда, что я живу на пятом этаже - ну да ладно - попытаюсь объяснить нужность этого соседям снизу.

r0ck3r ★★★★★
() автор топика

Внимание вопрос: Какова вероятность того, что мой старший брат проникнет ночью в мою комнату и изменит initramfs таким образом, что cryptsetup сохранит мой пароль куда-нибудь на HDD?

В зависимости от экономической выгоды от данной операции. Рекомендую использовать доверенную загрузку или внешний бут раздел (на флешке).

ktulhu666 ☆☆☆
()
Ответ на: комментарий от r0ck3r

от того, что он выяснит, в каких областях меняются данные, разве он что-то полезное узнает? Разве не все данные шифрованы? Или только структура ФС?

Практически ничего, кроме последнего доступа к областям диска и объёму измененной информации. В случае отсутствия перебоев по питанию (ИБП/ноут) можете проверять аптайм и запретить гибернацию. И ещё поставить внешнюю систему мониторинга, которая Вам звонит при отсутствии пингов. Не забывайте про атаки через хотребут и заморозку памяти, когда можно снять дамп вместе с ключами.

ktulhu666 ☆☆☆
()
Ответ на: комментарий от AITap

Лучше носите /boot на заблокированной от записи SD-карте.

Одному мне кажется, что гипотетически гиперактивный брат ТС и к ней имеет физический доступ и задача все же не решена? И в принципе не решается?..

t184256 ★★★★★
()

Пожми их в squashfs и переименуй в Rammstein - Benzin.mp3. Фиг догадается, что фоточки именно там.

Valdor ★★
()

Я храню на своем ноутбуке свои интим фоточки.

Фоточки с осликом? или с барашком?

anonymous
()

r0ck3r, твой братик вполне может читать ЛОР, и прочитав твой вопрос здесь он не станет заморачивать себе голову, а возьмет паяльник...

carthrbc
()
Ответ на: комментарий от carthrbc

не, ну то что терморектальный криптоанализ никто не отменял и так понятно

r0ck3r ★★★★★
() автор топика

Используйте TPM + Trusted Boot (trustedgrub, например). Если ваш старший брат изменит initramfs, то система не загрузится (шифрованный раздел не расшифруется). Однако, если ваш старший брат — горничная, то он может провернуть атаку типа evil maid, таким образом украдет ваш пароль, а уже потом, как-нибудь в ваше отсутствие, будет его использовать.

Но и от этого можно себя уберечь. Более подробно тут http://theinvisiblethings.blogspot.se/2009/10/evil-maid-goes-after-truecrypt....

ValdikSS ★★★★★
()
20 октября 2014 г.

А «старший брат» это вариация большого брата? Если у него есть доступ к твоей комнате (а значит он знает где она нахоидтся) скорее всего он будет подбирать пароль с помощью терморектального криптоанализа. Держи /boot на флешке.

oskar0609
()
Ответ на: комментарий от oskar0609

да, это именно он.
Да, так сейчас и делаю), ну а терморектальный криптоанализ никто не отменял, поэтому остается надеяться на адекватов, ну то есть, адвокатов :)

r0ck3r ★★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Security