cryptsetup и detached header

0

1

Вопрос так, чтоб удостовериться, так как прямого указания в махан не нашёл.

Используется ли отделённый хедер при работе с _уже подключённым_ устройством?

Я так понимаю (по тестам так же), что хедер используется при открытии только один раз, для получения мастер-ключа, который потом, пока устройство смонтировано, хранится в оперативе.

Всякие команды, требующие обращения к хедеру (luksAddKey/luksSuspend/luksResume) выводим за скобки, это и так ясно и указано в документации.

Иными словами, после монтирования устройства, хедер можно съесть?

Ссылка

←	О GPG-шифровании на IMAP

А в linux'е есть поддержка mutual TLS?

→

Иными словами, после монтирования устройства, хедер можно съесть?

Да. Приятного аппетита.

Gotf ★★★
(10.12.13 18:42:41 MSK)

Ссылка

Ты уверен, что тебе нужен LUKS? PLAIN-dmcrypt всем лучше, кроме того, что он не LUKS.

ephecaff ★
(10.12.13 18:46:12 MSK)

Ответ на: комментарий от ephecaff 10.12.13 18:46:12 MSK

Ты уверен, что тебе нужен LUKS? PLAIN-dmcrypt всем лучше, кроме того, что он не LUKS.

LUKS достаточно полезная обёртка над dm-crypt.

Согласен с арчевики:
dm-crypt does not allow multiple pass-phrases, nor does it allow changes to the pass-phase or key-file after initial set-up.

LUKS uses pass-phrase salting and hash iteration, and as such can be more secure than plain dm-crypt. It is essential that a pass-phrase or key-file with very high entropy is used with dm-crypt.

Так что при отделении хедера исчезают и недостатки.

Umberto ★☆
(10.12.13 19:42:05 MSK) автор топика

Ответ на: комментарий от Umberto 10.12.13 19:42:05 MSK

Если бы ты копнул глубже, то читал бы...

LUKS ... CAN be more secure than plain dm-crypt.

как

PLAIN-dmcrypt МОЖЕТ быть менее безопасным, чем LUKS. Если руки растут из задницы, и совсем не понимаешь, что такое криптография.

А в умелых руках у LUKS никаких существенных преимуществ нет, а вот недостатков - целый вагон.

ephecaff ★
(10.12.13 20:10:37 MSK)

Ответ на: комментарий от ephecaff 10.12.13 20:10:37 MSK

а вот недостатков - целый вагон.

Enumerate please

Umberto ★☆
(10.12.13 20:14:19 MSK) автор топика

Ответ на: комментарий от Umberto 10.12.13 20:14:19 MSK

Enumerate please

Давно тыкал dmcrypt, но вот, что я запомнил:

1. Факт наличия криптоконтейнера. В некоторых странах ты обязан расшифровать контейнер по просьбе компетентных органов, прецедент был(чувак отказался сотрудничать и сел).

2. Ключ шифрования хранится в контейнере в заведомо известном месте (хоть и подсоленный и обработанный N раз ключевым хэшем).

3. Если 1(один!) бэдблок удачно попадает на заголовок контейнера - то прощай ВСЯ информация.

ephecaff ★
(10.12.13 20:30:45 MSK)

Ответ на: комментарий от ephecaff 10.12.13 20:30:45 MSK

В некоторых странах

Именно в некоторых.

Если 1(один!) бэдблок удачно попадает на заголовок контейнера - то прощай ВСЯ информация.

Если кто-то использует стойкое шифрование, но не использует бэкапы, то он определённо этого заслуживает.

Ключ шифрования хранится в контейнере в заведомо известном месте (хоть и подсоленный и обработанный N раз ключевым хэшем).

Иии…?

Gotf ★★★
(10.12.13 20:34:14 MSK)

Ответ на: комментарий от ephecaff 10.12.13 20:30:45 MSK

1. Факт наличия криптоконтейнера.

Факт наличия высокоэнтропийного файла в тех же странах может быть трактован как контейнер. Будь у него хедер или нет.

2. Ключ шифрования хранится в контейнере в заведомо известном месте

Если ты упустил название топика: detached header

3. Если 1(один!) бэдблок удачно попадает на заголовок контейнера - то прощай ВСЯ информация

Ещё раз напомнить название топика?

Umberto ★☆
(10.12.13 20:42:51 MSK) автор топика

Ответ на: комментарий от ephecaff 10.12.13 20:30:45 MSK

1. Факт наличия криптоконтейнера.

Где-то читал, что один ученый вез на жестком диске сырые записи с радиотелескопа в виде бинарного файла 70+ ГБ, а на границе потребовали пароль для расшифровки «криптоконтейнера».

lu4nik ★★★
(10.12.13 20:50:14 MSK)

Ссылка

Ответ на: комментарий от Gotf 10.12.13 20:34:14 MSK

Именно в некоторых.

А в других тебя угостят шампанским или паяльником, а потом покажут пальцем и скажут: «Педобир!». И поверь, к этому моменту Майорик на твой комп уже накатит семёрочку и зальёт 146 гигов вещдоков.

Иии…?

Выхлоп ГСЧ в любом случае надёжнее, чем весь этот огород.

ephecaff ★
(10.12.13 20:53:37 MSK)

Ссылка

Ответ на: комментарий от Umberto 10.12.13 20:42:51 MSK

Если ты упустил название топика: detached header

Ха! Я тыкал dmcrypt до того, как ~~это стало мейнстримом~~ запилили фичу «detached header». Я подразумевал, что ты собираешься затирать заголовок вручную dd-шкой! И так - каждый раз =)

ephecaff ★
(10.12.13 21:04:58 MSK)

Ответ на: комментарий от ephecaff 10.12.13 21:04:58 MSK

detached и attached header можно использовать для разных областей одного и того же раздела

anonymous
(14.12.13 08:40:55 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	О GPG-шифровании на IMAP

Security

А в linux'е есть поддержка mutual TLS?

→

Похожие темы