OpenSSL юзаю по-всякому

и в своём софте, и по работе, и для шифрования файликов и прочего

Тоньше надо, товарищ капитан.

А почему его, а спецсофт?

Потому что оно действительно Open и удобно для шифрования пары файликов. Я тоже использую OpenSSL для шифрования бакапов, хранящихся на удаленных носителях. Ну и соответственно LUKS на флешке и на внешнем харде. Имею при себе флешку с Tails Linux - это просто удобный дистрибутив + его секретность слегка завораживает. Ну и KeePass использую соответственно. Использую именно его, потому как мультиплатформенно и удобно лично мне.

1. диски не шифрую, своей железной двери в квартире доверяю, что никто посторонний в дом не проникнет и не украдёт компьютер.

1.1. если ноутбук используется в дороге, где его могут украсть, то вся информация хранится на съёмных накопителях (через SATA - USB переходник) и tmpfs в процессе работы.

2. шифрую бэкапы, перед тем как их залить на всевозможные облака: документы вконтакте, яндекс диск, личная vds. просто от посторонних глаз защищаю свою интеллектуальную собственность. на себя не надеюсь, мои флешки/диски в любой момент могут сломаться, а онлайн-сервисы все сразу не лягут.

3. при использовании публичных wi-fi сетей, в т.ч. если используется мобильный интернет, использую socks5 прокси которая идёт из коробки в ssh. пробрасываю до VDS, а от VDS до дома, дом — всегда конечная точка выхода в сеть.

4. при подключении к чатам по возможности стараюсь соблюдать конфеденциальность, хотя понимаю что не все так делают. ты сидишь в одной конференции с людьми, общаешься, но некоторые из них могут использовать plain-подключение и все разговоры видно MitM. но к счастью, коммьюнити ничего сверхценного из себя не представляет, чтобы было что скрывать. иначе бы все использовали собственный сервер с шифрованием, конечно же.

Весьма подробно. Извиняюсь за личный вопрос, но тут в одном треде писали, что Вас прицеп отвалился? Так ли это?

Если у вас паранойя, то не значит, что за вами следят.

Если у вас паранойя, то не значит, что за вами не следят.

Fixed

По сабжу - PGP и OTR в переписке.

свою интеллектуальную собственность

Не ты ли недавно заверял, что совершенно нормально нахаляву пользоваться продуктами чужого труда?

Ссылку, сестра! Сссылку!

я. и продолжаю так думать. пусть пользуются нахаляву моими продуктами, я не против, другой вопрос, кто ж сорцы даст кроме меня? :)

Ну и на случай маски-шоу: за видео с понями уже спокойно сесть можно.

Давай смодерируем ситуацию. Я - сотрудник чего-то там. Ты - обычный линуксоид со сколиозом и плохим зрением, сидишь посреди комнаты на железном стуле, руки за спиной в браслетах. Место действия - следственный отдел, кабинет допроса. Время действия - после 22:00. Я медленно достаю ПР 73 или ПР-К («Контакт») и говорю тебе почти шепотом: «скажи пароль от диска или эта штука (подношу тебе к самому лицу) окажется у тебя в одном месте. А чтобы ты был сговорчивее, сержант Утконосов (120 килограмм мышц) спускает тебе штаны и крепко держит. Что ты выберешь?

там на диске может быть достаточно данных для расстрела, так что лучше помолчать, наверное...

Такие данные хранят на флешке, которая закопана под кривым деревом на N километре трассы, а не дома. И если «они» пришли именно за этими данными, то через пару суток общения расстрел покажется просто божьей благодатью.

Мне лично интересно что ты будешь делать в такой ситуации когда данные зашифрованы тобой с помощью публичного ключа, а приватного у тебя нет.

ну, наверное, пытки уже не применяются? сто лет как это незаконно в правохранительных органах что роисси, что шса (есть patriot act, но чтоб под него попасть надо постараться, и пытки опять же в исключительных случаях а не на общем потоке). Т.е. если ты не собираешься взорвать Москву ядерной бомбой, наверное, всё ок?

Ну в такой ситуации я, конечно же, проснусь. А потом буду долго думать, почему мне снился такой извращенский сон...

www.linux.org.ru/forum/talks/11948028?cid=11948583
www.linux.org.ru/forum/talks/11948028?cid=11948621
Как отучить ребёнка от игр и привить любовь к линуксу?

Это я знаю. Развязка драмы где?)

Дык я у автора драмы и хотел её узнать.

Может быть напьюсь.

ssh и sshfs

Какие алгоритмы в SSH используешь? Какие ключи?

LUKS Blowfish

Почему не Twofish?

OpenVPN

Какие алгоритмы?

sha256 и md5

Хорошо, но лучше sha512 и whirlpool.

SSH - это ECDSA и RSA (на старых устройствах) с DH. ХЗ, какой там симметричный шифр потом используется. DSA на старых системах.
LUKS - потому что если бы мне важна была бы параноидальная безопасность, то я бы использовал вложенное шифрование.
OpenVPN - всё по дефолту. В DH всегда, конечно.

Для начала менты и спецура - две разные штуки. Вкратце как происходит приём, на примере жителя небольшого городка. Ты барыга на рампе. Тебя берут возле магазина, куда ты утром/вечером выходишь за сижками. Пару раз тебя роняют на глазах у прохожих об асфальт, выворачивают руки и надевают браслеты. Через пару часов у тебя затекут кисти и ты будешь умолять послабить их. Омону/беркуту/собру класть на твои права, на декларацию прав человека и остальные писульки. И это ещё меньшая из зол, но обычно умные люди стараются всем видом показать что даже в мыслях не было оказывать сопротивление. А самые умные сами падают на землю, когда видят группу в своем направлении. Вторая группа в это время забирает твой комп, ноут, планшет, мобилку, флешки и другую технику. Дальше тебя везут в РОВД, хороший знак если тебя сразу запишут на проходной. Ну и лучше чтобы, если уж принимают, принимали утром (в том плане, что днем особо не зверствуют. Иногда лучше чтобы вечером, следак уйдет домй и будет время всё обдумать). Никто тебе не зачитает права и не даст позвонить мамке/жене/брату. Тебя сходу будут ломать психологически на признание. Пока один следак пишет протоколы, второй постарается вытащить любым способом признание в кардинге, торговле, съемках в порно и другим. Если молчишь, «да/нет», тогда начнут прессовать слегка. Выбьют стул, приложат книжкой по голове, ПРкой по ноге. Если и тут результата ноль, то ближе к вечеру тебе, совершенно офигевшему от происходящего и потерянному, предъявят обвинение, зачитают права и наконец дадут позвонить. Пока всё это происходит, какой-нибудь продвинутый криминалист загрузится под твоим юзером и прошерстит винт. Если ничего не найдет подозрительного, то тебя, скорее всего подержат пару суток и отпустят на подписку. А вот если находит что-то, то тут начинается самое интересное. Вариант 1: всё зашифровано. Тебя закрывают на 3-15 суток и будут бить пока не скажешь пароль. Бьют по-разному, зависит от смены, от настроения, от аллаха. Примерно одинаково везде бьют током, бьют палкой, противогаз, в редких случаях запускают в камеру пару отморозков в форме и масках. Тут всё зависит от тебя и от нужности добыть инфу с винта. Если инфа нужна очень, если сверху пришел приказ любой ценой, то из тебя вытащат пароль. Вариант 2: диск не зашифрован. Будут бить пока не признаешь что комп твой.

Ну а если ты спалился перед ФСБ/ФБР, то ты просто лошара и вон из профессии. Из тебя достанут воспоминания как ты первый раз в жизни обосрался.

Хорошо если сможешь проснуться. Может быть так, что очень захочется проснуться, а не сможешь, потому что это не сон.

И что из это? В суде это не будет считаться за доказательства, т.к. они получены незаконным путем. Или не про Москву сейчас говорите?

Когда «очень надо», методы никого не волнуют. Если есть обоснованное подозрение, что ты собрался устроить новую Дубровку (и не по заказу властей), то у тебя не будет прав и свобод, и никакое шифрование тебе не поможет.

Само собой порно от мамки или исходники ядра можно успешно шифровать от яндекса. Но это лол.

А откуда у Вас такие подробности? Вы были участником такой ситуации?

Ну тогда нужно использовать электромагнитное уничтожение данных по пульту. Либо удаленное удаление ключа из заголовка LUKS.

Это если успеешь :)

Да всем пофиг на твои «незаконные доказательства». Так называемая «Система Правосудия» нифига не правосудия, а репрессий. Пример из жизни. Один мой знакомый имел 2 года условно. В один прекрасный вечер приезжает приезжает его товарищ и говорит мол погнали тёлочек поснимаем на машине, покатаемся. Через неделю за ним приходят. Дают 2 года 3 месяца общего режима, машину угнал тот его друг и приехал к нему. Ну а вообще, народная примета, закрывают на сизо - не оправдают. Про Москву ничего не скажу, я там только проездом пару раз бывал.

У меня разнообразный круг общения :)

использовать электромагнитное уничтожение данных по пульту

Лол, вот типичная ошибка параноиков. Они чомусь считают что им позвонят в дверь, представятся и будут ждать. Принимают дома только мамкиных диллеров, которые гарантированно не успеют смыть доб в унитаз. или утром твоя мать пойдет купить сынуле кэфирчика, к ней подойдет сотрудник с ксивой и она людезно пригласит их домой. Пока ты спишь.

Либо удаленное удаление ключа из заголовка LUKS.

Используй USB-ключ на микроСД, её сломать за секунду можно в кармане. Тыжпрограммист, форкни slim, запили там генерацию пароля в зависимости от фазы луны и месячных твоей девушки.

Стоп, а что за slim? А cryptsetup уже давно поддерживает внешний заголовок или ключ на внешнем носителе.

Вот кстати да, запили скрипт, который в зависимости от будет менять тебе пароль от фс. Ео же можно менять на LVM/ecryptfs?

Померший менеджер входа. На тот случай, когда они будут ковырять твой пк, а не снимут винт.

Алсо, когда-то была идея запилить такую штуку, которая бы анализировала промежутки во времени между нажатиями клавиш и от этого отталкиваясь выполнялись какие-нибудь действия. Например ты говоришь мусору правильный пароль, но введет он его не с твоей скоростью. А значит тихонько удалится какой-нибудь каталог. Но вот как это сделать программно на случай съёма диска я даже понятия не имею. Если переписать модуль ФС, то это ж локально будет работать.

Для подобной фигни уже давным-давно есть «пароль под принуждением» и теневая ФС/система. Тебе вообще никто не мешает иметь на компе пустую винду, а грузить через флешку с удаленными (в интернетах) iscsi/NFS томами. Против помершего скринсейвера есть скринсейвер от гугла, который вообще имеет процесс, который мониторит основной. Вместо работы на гэбню лучше бы в интернетах подольше бы сидели. Глядишь, и мозг бы самозародился.

Ео же можно менять на LVM/ecryptfs?

LVM тут не причём. В cryptsetup (dm-crypt) и ecryptfs можно.

в интернетах подольше бы сидели

Это глупо. Лучше быть специалистом в чем-то одном. Для обмена опытом и придуманы все эти ббс, чаты, форумы. И я на вашу гэбню не работаю.

лучше бы в интернетах подольше бы сидели.

Лол. Чтоб таким как ты быть?)

Нуу или таким, как Вы. У Вас же два чая на аватарке и Вы постоянно сидите на ЛОРе. Так что Вы точно не лучше меня. :)

Bacula плохо шифрует

Шифрованные бекапы в bacula.

Когда я был моложе Bacula шифровала только содержимое файлов, но точно не их названия и, вероятно, не их размер. Если нужно шифрование на шифровании, то надо тома Bacul'ы размещать на шифрованых файловых системах.

С того времени ничего не поменялось. Бэкенд - шифрованные ФС или LTO5 с аппаратным AES шифрованием.

ну, наверное, пытки уже не применяются? сто лет как это незаконно в правохранительных органах

https://meduza.io/feature/2015/09/16/bez-sleda-i-sledstviya

В суде это не будет считаться за доказательства, т.к. они получены незаконным путем.

Вылезай из криокамеры.

Ехало шифрование через шифрование,
видит шифрование — шифрование.
Сунуло шифрование шифрование в шифрование,
Шифрование, шифрование шифрование шифрование.

Я за бан.

У меня LUKS на НЖМД.

Ага, напиши ещё об это кутулхе в твиттор.

А он там есть?