[требуется решение] Шифрование?

а в чем по вашему бонус внешнего ключа?

> а в чем по вашему бонус внешнего ключа?
не надо помнить пароль

Нашел примерное решение для рабочих станций: http://www.ancud.ru/catalog/ide.html Хотелось бы такое же для ноутбуков.

Прелесть внешнего ключа в том, что его можно хранить у одного человека, а пользоваться компьютером будет другой. Ключик можно хранить в сейфе, и даже если человек заболеет и т.д. (тьфу-тьфу-тьфу), доступ к данным останется. При этом, скомпрометировать железный ключ сложнее.

Плюс, необходимо, чтобы при краже/изъятии/[подставить нужное] даже если диск сняли и подключили к другой машине, данные остались неразголашенными.

Примерно так.

Плюс, необходимо, чтобы при краже/изъятии/[подставить нужное] даже если диск сняли и подключили к другой машине, данные остались неразголашенными.

Если уж произошла «краже/изъятии/[подставить нужное]», то проще будет «изъять» сразу с ключом. Это даже проще, чем пароли выбивать.

Ну почемуже? А в друг хулиганы сопрут мой ноутбук, а там куча интимных фото? пароли знаете ли ни кто выбивать в таким случае не будет. Да и ключик врядли прихватят, ежли он был не рядом.

>>Нашел примерное решение для рабочих станций: http://www.ancud.ru/catalog/ide.html

Даже не буду спрашивать о драйверах под линукс.

Или это независимая аппаратная надстройка?

А в друг хулиганы сопрут мой ноутбук, а там куча интимных фото?

Ну так, чтобы зайти, таки, пароль нужен, не? :) Банальная ФС с шифрованием и всё. Ключик лишняя сущность.

>Или это независимая аппаратная надстройка?
именно

>Ну так, чтобы зайти, таки, пароль нужен, не? :)

ключик нужен только в момент включения - то есть раз в день.

Даже не буду спрашивать о драйверах под линукс.

для остальных программно-аппаратных решений у них есть дрова под линукс и под солярку, помимо офтопика

>Банальная ФС с шифрованием и всё.

Вопрос скорее об «изъят компьютер». Разве шифрованная ФСс обеспечит «как бы» отсутствие данных?

шифрование физического тома LVM посредством dm-crypt (luks). Ключ на флешке, защищен парольной фразой.

Только если защита от кражи, достаточно закриптовать /home теми же средствами dm-crypt+luks просто хорошим паролем, ибо шифрование снижет производительность.

Кстати наверняка там оставлен бэкдор для спецслужб. Не могу поверить что их сертифицировали без такой функции. Это был параноик-mode.

[параноик mode] Наверняка закладки есть.[/параноик mode]. А вариант с виртуализацией с ОС на шифрованном разделе кто нить пробовал?

Как с физическим доступом? У нас было дурацкое решение для таких целей, даже без шифрования. Вставлялась специальная PCI карта, которая при определенных кондишнах не давала бутаться машние. Все остальное может работать на уровне - не дать загрузить ОС, пушо нельзя ее считать.

Найди ближайшую контору в вашей стране, которая занимается ИБ, у них точно будут (ну или накрайняк быстро под вас сделают) такие решения. Халявных нет, хотя бы из-за того, что у каждого вендора железных ключей свой особый велосипедный протокол работы с ними.

Это для секьюрности локалхоста подойдет. Флешка может быть скопирована, а ключ можно только скомуниздить

Самый надежный способ в этом случае - шифровать разделы, а пароль хранить в голове.

Голова имеет слабую устойчивость к терморектальным методам криптоанализа.

Это для секьюрности локалхоста подойдет. Флешка может быть скопирована

А я видел флешки с встроенным сканером отпечатков пальцев. Правда лень было спрашивать как он работает, наверное дрова какие нить нужны под вантуз %)

Разные есть. Первые которые появлялись в продаже требовали дров, недавно видел автономное решение.

Первые которые появлялись в продаже требовали дров, недавно видел автономное решение.

А как это работает ? Типа вставил флешку - и пока пальцем не провел, она просто не примонтируется (не распознается дисковое устройство ?)

Попробуйте покопать в сторону Intel Trusted Platform Module (Intel TPM). На корпоративные ноуты TPM точно ставится очень давно, да и на многие другие тоже. И заточки под токены в бивисе иногда есть, и встроенное шифрование в винчестерах имеется.

Не знаю, как далеко теперь прогресс зашел. Возможно, надо только разобраться, как это включить, если ноут подходящий. Сам не копал. Мне шифрования разделов паролем хватает.

Это лажа. Пока что такие бытовые сенсоры не обеспечивают должного уровня безопасности

http://vds-admin.ru/content/view/25/28/
http://www.nixp.ru/articles/linux_crypting_hdd_with_loop-aes
http://mdf-i.blogspot.com/2008/06/linux.html
http://www.linux.org.ru/view-message.jsp?msgid=2215881
http://www.gentoo.ru/node/16999

В общем, гугл даёт много полезной информации. Думаю ты найдёшь то что нужно.

тогда хранить пароль на внешнем носителе.

Пока что такие бытовые сенсоры не обеспечивают должного уровня безопасности

Да не факт, это при доступе на какой нить серьезный объект или к серьезному терминалу я понимаю типа там сканер не тока отпечатков, а какая нить тепловая карта, пульс, наверное можно и днк плюс сканировать сетчатку глаза, а если у тебя сопрут флешку с личной коллекцией домашнего порно с твоей женой и тобой в главной роли - сомневаюсь что кто-то будет ее расшифровывать, ну и на такую флешку можно взгромоздить все равно криптфс, которую можно смонтировать тока после того как пальцем проведешь, по моему это уже довольно секурная тема )

Всем спасибо. Пока остановился на этом - http://www.linux.org.ru/view-message.jsp?msgid=2215881