Самоуничтожение ключа к диску

Короткий путь: пишешь скрипт для initramfs, который проверяет наличие в /proc/cmdline определённого аргумента и стирает метаданные LUKS. Наличие аргумента обеспечивается пунктом меню GRUB. Кстати, отлично я придумал, можно и себе такое запилить :)

А можно по-подробнее? :) Сомневаюсь, что я такой скрипт сам могу написать.

Я не знаю подробнее, это зависит от дистрибутива и даже конкретной версии, и даже в одном дистре могут быть разные варианты создания initrd. Для Debian/Ubuntu я сделаю в ближайшее время, если не забуду.

при логине, ВМЕСТО имени пользователя Skogkeeper вводишь Skogkeper. В скрипте ~/.bash_login этого пользователя вбиваешь

shred -uvz -n666 keyfile

Ubuntu 12.04/14.04

Этот вариант не подходит, так как чтобы залогинится нужно расшифровать винт ключом для начала. А его надо удалить до расшифровки.

тогда сделай так:

1. образ initramfs дополни скриптом, который делает shred

2. передавай параметр init=this_script при загрузке этого пункта меню.

А вот как делается initramfs в убунте — я не знаю.

Выложу в этой теме, когда сделаю.

Вот ты траллируешь или правда?

Опечатка такого типа встречается чуть более чем пару раз в час при сидении на работе с постоянными блокировками и разблокировками сеансов. Это сразу проще руками затереть и радоваться.

Паттерн должен быть правдоподобен, но не сразу же в ногу.

https://www.kali.org/how-to/emergency-self-destruction-luks-kali/

Наличие аргумента обеспечивается пунктом меню GRUB. Кстати, отлично я придумал, можно и себе такое запилить :)

Главное случайно его потом не выбрать при запуске. А то печалька получится =).

Опечатка такого типа встречается чуть более чем пару раз в час

ну хозяин думать ведь должен, и помнить о том, что ТАК опечатываться НЕЛЬЗЯ. Сложно что-ли посмотреть, перед тем, как пароль на вход вбивать? Можно другую «опечатку» использовать, например замена «l» на «1». Главное, что-бы враг не обратил внимания на эту «опечатку».

с постоянными блокировками и разблокировками сеансов.

когда ты разблокируешь сеанс, то другое имя не пойдёт. Необходимо новый сеанс начинать, и там вводить имя с «опечаткой».

но не сразу же в ногу.

это уже детали. Для безопасности лучше сразу в голову. Как у меня. А у меня весь /home в tmpfs, и мне достаточно выдернуть аккумулятор. На носителях ВСЁ зашифровано.

Ну можно пароль простенький поставить на этот пункт, GRUB умеет.

Оно того стоит? Чем ж ты занимаешься-то...

Да он просто задрот, косящий под илитку и кулхацкера.

Оно того стоит?

решать тебе.

Не знаю ни единого способа (google не помог), но могу предположить, что должен быть ввод секретной фразы для удаления или какой-то особенный пункт меню grub при выборе которого всё затрется.

Как правило, это не делают по двум причинам:

1. Если твой винт будут анализировать, то сначала с него сделают копию и работать будут с копией, так что удаление раздела ничего не даст. 2. Защищать (и помнить) нужно две фразы - для расшифровки и для удаления. Если атакующий украдет фразу для удаления (и, особенно, если удаление случается, если неправильно ввести фразу несколько раз), то можно за тебя удалить данные, чему ты будешь не рад.

Вполне нормально полагаться на стойкое шифрование и plausible deniability (как было в TrueCrypt с вложенными контейнерами).

Как я понимаю, он собирается удалять данные сам, если его поймают и заставят самого вводить пароль в комп.

P.S.Вроде как в Kali Linux такое из коробки для LUKS.

Если его поймают, то сначала сделают копию винта, а потом спросят пароль. То есть, он окажется в ситуации из п.1. Если введет пароль так, что данные удалятся, их восстановят из копии, вставят паяльник поглубже и предложат вторую попытку.

так что удаление раздела ничего не даст

Дак ТС, вроде как, про удаление ключа или раздла с загрузчиком, который на USB-флешке у него. Там, ИМХО, можно и пункт в меню загрузчика и какую-нибудь кнопку/скрип на рабочий стол, чтобы можно было удалить прямо из работающей системы.

mkdir /root/rfs
cd /root/rfs
mv /boot/initramfs-linux.img .
gunzip -c -9 initramfs-linux.img | cpio -i -d -H newc --no-absolute-filenames
nano hooks/rmkey # Наш хук-скрипт
nano config { HOOKS="udev rmkey" } 
find . | cpio -o -H newc | gzip -9 > initramfs-linux.img
mv initramfs-linux.img /boot

Rmkey должен искать в /proc/cmdline полученный от загрузчика парамерт, означающий что ключ необходимо удалить. В загрузчике, естественно нужно сделать пункт, передающий такой параметр.

Шифрование персональных данных - единственный способ защититься от доступа к ним любого желающего с live-usb флешкой.
А если ты хочешь реально что то спрятать от тех, кто нтересуется... Я бы не расчитывал. ИТ и приватность вообще вещи несовместимые

Это вопрос, что быстрее, пароль он введет или ему руки сломают, так? Не относится к IT безопасности.

Зачем руками, если есть /etc/initramfs-tools/?

+1

вместо флешки запиши на microsd. В случае проблем ломаешь носитель, глотаешь носитель итд. Копию только сохрани гденить данных. На случай первого апреля. ;)

Зря вы так. Есть требования к ПЭВМ, в частности для таких контор как ФСБ и др. Правда у них есть ряд документов, которые обрабатываются только на печатных машинках.