LINUX.ORG.RU

LUKS и TRIM

 ,


1

1

Есть SSD зашифрованный с помощью LUKS и используемый в качестве системного. На АрчВики встретил предупреждение насчёт использования discard/TRIM вместе с LUKS т.к это якобы может дать атакующему возможность узнать тип фс и объем настоящих (не рандомных) данных. Насколько легко получить эту информацию? Вот пруф на вики (секция Discard/TRIM support for solid state drives (SSD) ) :https://wiki.archlinux.org/index.php/Dm-crypt/Specialties

Если атакующий - это не АНБ, а вы - не Эдик Сноуден, то можете не переживать. Пароль к диску у вас будут добывать старым проверенным способом: паяльником и утюгом.

DawnCaster ()

Ну а если серьезно, то математических изысканий на этот счёт - насколько сильно условному атакующему упрощается задача по взлому шифра - я ещё не встречал. В теории, знание о конкретной ФС и о размещении настоящих данных, может дать ему понимание о размещении конкретных структур этой ФС на диске и самое главное - о наличии конкретного набора данных в определённом месте диска, что значительно облегчит как тупо брут-форс так и другие виды атак.

DawnCaster ()
Ответ на: комментарий от alexferman

Да нет цели у меня скрыться от правительства/ФСБ/АНБ (пока что). Кроме как прона с лошадьми/мульфильмов с лошадьми/паленого софта для окошек ничего запретного не держу. Просто прочёл на вики заметку о особенностях TRIM и решил поинтересоваться.

А что насчёт «против лома нет приема» то он есть. В случае возможного маски-шоу сжечь флешку с ключ-файлом который расшифровывает диски. И всё. Хоть пусть тебя горящим ломом пытают - не смогут они получить то что они хотят. Ну просто не смогут.

FluffyPillow ()
Ответ на: комментарий от DawnCaster

А тогда по другому вопрос поставлю: насколько богатым на знания должнен быть атакующий чтобы воспользоваться возможностью анализа уязвимого шифрованного диска?

FluffyPillow ()
Ответ на: комментарий от FluffyPillow

И скажи мне, как ты даже под пытками скажешь им содержимое ключ-файла из urandom?

А этого и не требуется. Достаточно будет под пытками признаться во всех смертных грехах, и всё. Ну не узнают они, что у вас на диске был прон с лошадями, вам-то от этого какой профит, если вы и так и так будете покалечены и будете одинаковый срок мотать.

DawnCaster ()
Ответ на: комментарий от FluffyPillow

насколько богатым на знания должнен быть атакующий чтобы воспользоваться возможностью анализа уязвимого шифрованного диска?

Достаточно умным, конечно. Ходят слухи, что даже АНБ не всегда могёт шифры ломать. И у нас такие специалисты судя по слухам тоже есть.

Вопрос только в том, что если вас не подозревают в каком-нибудь шпионаже, то никто не будет тратить ИХ время на взлом вашей коллекции хоум видео с понями.

DawnCaster ()
Ответ на: комментарий от DawnCaster

то никто не будет тратить ИХ время на взлом вашей коллекции хоум видео с понями.

То есть если я не какая-нибудь важная персона, то при экспертизе дисков и обнаружении что на них все сектора забиты мусором, те «эксперты» копать дальше не будут?

FluffyPillow ()
Ответ на: комментарий от FluffyPillow

то при экспертизе дисков и обнаружении что на них все сектора забиты мусором, те «эксперты» копать дальше не будут?

Не совсем так. Они просто предъявят какое-нибудь обвинение в противодейтсвии следствию, а в виде профилактики посадят под арест чтобы чего не вышло.

Понимаете, пока что в нашей судебной практике не было таких дел, когда изымают полностью шифрованные диски и не могут провести экспертизу. По крайней мере таких дел, что-бы они получили большую огласку и резонанс. Даже в западной судебной практике их немного. Так что как будет действовать наша судебно-карательная машина в случае невозможности проведения экспертизы из-за шифрования дисков - никто точно не знает.

Вангую, что после нескольких громких случаев с шифрованием дисков у нас - придумают очередной идиотский закон о запрете шифрования устройств хранения, и тогда уже никак не отмажетесь, и по факту будет так - если шифруетесь - значит виновны, и 10 лет строгача.

DawnCaster ()
Ответ на: комментарий от FluffyPillow

Если погуглить новости, то вот в щбабодной Бриташке, например, вроде как есть наказание за непредоставление пароля для доступа властей к зашифрованнй информации. Учитывая как у нас любят копипастить западное законодательство в самых худших проявлениях - можно ожидать и у нас чего-нибудь подобного

DawnCaster ()
Ответ на: комментарий от DawnCaster

Хорошо. А если будет системе в системе? То есть имеем чистую и не имеющую шифрования систему, а уже с неё при нужных действиях и условиях загружается шифровання версия? Вот подробнее: https://habrahabr.ru/post/92022/

FluffyPillow ()
Ответ на: комментарий от FluffyPillow

Ну, хз что тогда будет, может и прокатит. Я не знаю, потому что таких дел у нас в стране ещё не было.

Даже если такой вариант и будет работать, возникает такой вопрос: стоят-ли ваши гигабайты прона с пониной всех этих усилий и неудобств по организации удалённой работы и хранению информации.

Особенно если учесть что попав в лапы нашей судебной системой за что нибудь они вас все-равно да посадят\оштрафуют в независимости от того виновны вы в чём-либо или нет.

То есть, условно, за вашу понину вам дадут какую-нибудь условку\штраф, а если ничего не найдут или найдут что-нибудь подозрительное но недоказуемое - подбросят вам какое-нибудь жесткое порево за которое дадут уже пару лет реального срока.

В любом случае, рассуждать об этом всём сейчас не имеет особого смысла. Я не знаю что точно может быть, и никто не знает, так как информации по данному вопросу нет.

DawnCaster ()
Ответ на: комментарий от DawnCaster

Точно? Ведь право не свидетельствовать против себя - это само собой разумеющееся право человека (есть и в конституции РФ). А выдача пароля - это как раз из этой темы с моей точки зрения.

gag ★★★★★ ()
Ответ на: комментарий от gag

Точно?

Не точно. Читал где-то несколько раз. Специально в вопросе не разбирался, т.к поездки туда мне не грозят.

Ведь право не свидетельствовать против себя - это само собой разумеющееся право человека

Что совсем не противоречит законам об обязательной выдачи ключей, например. А отказываешься выдавать и свидетельствовать против себя - просто посадят на время следствия. Которое будет идти пока они не взломают ваш ключик AES, то есть ДОЛГО.

А если вдруг, они его вскроют и не найдут ничего - ну, извинятся и выпустят. А главное, никаких законов не нарушат. Не уверен, что вам от этого будет легче, конечно.

DawnCaster ()
Ответ на: комментарий от gag

Вы ведь понимаете, что и у нас и в «более цивилизованных» странах можно присесть на время следствия. И вроде как вина не доказана, а человек сидит. И судя по последним новостям в которых кошмарят всяких «видео-блоггеров», и людей имеющих отношение к IT - вероятность так присесть без какой-либо доказанной вины весьма высока.

DawnCaster ()
Ответ на: комментарий от DawnCaster

А если вдруг, они его вскроют и не найдут ничего - ну, извинятся и выпустят. А главное, никаких законов не нарушат. Не уверен, что вам от этого будет легче, конечно.

Вы тоже в розовых очечках? ) По пунктам. У обычного человека комп на вскрытие не заберут. Только у того, кто уже на карандаше. То есть, например, есть логи провайдера, или стук от анб, что вы скачали манифест чучхе или котиков в неправильной позе. После этого никакая экспертиза не будет неделями вскрывать шифры. Для упрощения жизни манифест с котиками возьмут из кэша и просто запишут на ваш хард, затем отправят другим экспертам. Либо просто передадут дело в суд на основе имеющихся данных от провайдера. В российских судах процент оправдательных приговоров - мизерный, самый низкий в мире.

Так что вся эта крипта - для ложного самоуспокоения

vaddd ()
Ответ на: комментарий от vaddd

Я про британцев писал, ветку обсуждения посмотрите.

Как такое дело скорее всего у нас будет рассматриваться - я уже писал. По сути, да, попав в нашу судебную систему в качестве подозреваемого, шансов оправдаться практически нет, в независимости от того виноваты ли вы или нет.

DawnCaster ()
Ответ на: комментарий от vaddd

Так что вся эта крипта - для ложного самоуспокоения

Ну, не совсем так. Может быть полезно для защиты от физической кражи устройства и защиты корпоративной информации на устройствах типа ноутбуков.

DawnCaster ()
Ответ на: комментарий от DawnCaster

А отказываешься выдавать и свидетельствовать против себя - просто посадят на время следствия. Которое будет идти пока они не взломают ваш ключик AES, то есть ДОЛГО.

Если чисто формально, то не до того как взломают, а до истечения максимально допустимого срока (например, есть такое число в 6 месяцев). Иначе надо снова в суде получать продление.

gag ★★★★★ ()
Ответ на: комментарий от gag

до истечения максимально допустимого срока (например, есть такое число в 6 месяцев). Иначе надо снова в суде получать продление.

Я хз как там в британии, но у нас если нужно будет - продлят. Все последние громкие дела за неправильные комментарии в интернетах тому подтверждение.

DawnCaster ()
Ответ на: комментарий от vaddd

По пунктам. У обычного человека комп на вскрытие не заберут.

Читал статью в реномированном компьютерном журнале: пришли, хотели забрать. Т.к. человек был уверен, что невиновен, и чтобы избежать потери своего домашнего сервера на неизвестное время. Ему пришлось всё рассказать, всё показать, что у него там, и что это какая-то ошибка. Посмотрели, поверили. Потом выяснилось, что кто-то тупо в письме указал его домен (как в спам письмах). А пока инфа шла между разными инстанциями, получился «испорченный телефон»: что-то типа в «маловероятно имеет отношение» потерялось такое неважное слово как «маловероятно». Этот случай не идёт вообще ни в какое сравнение с математиком с ТОРом. Т.к. тут пострадал человек просто со своим домашним почтовым сервером. Ну или вывод: обычный человек, который хочет иметь удалённый доступ к своему ПК, даже dyndns не должен использовать.

gag ★★★★★ ()
Ответ на: комментарий от DawnCaster

Пароль к диску у вас будут добывать старым проверенным способом: паяльником и утюгом

самый надежный из всех способов. в народе имеет комплексное научное название: термо-ректальный криптоанализ

marshal81 ()