Давайте поговорим о слоне в комнате: используемые вами инструменты для шифрования файлов мироточат метаданными, и никто об этом не говорит

Security through obscurity

Минимизация метаданных шифрованию не помеха.

Неужели всем норм?

Простая удобная безопасность, вроде ключа от дома, лучше идеальной безопасности, которой никто не пользуется.

Obscurity может предотвращать кукоторые классы атак и, конечно, должно идти в комбинации с традиционной сильной криптографией.

Юз-кейс: берем огромную надпись «счастье» в формате png, нарезаем на 100500 мелких кусков-файлов. В них стеганографируем фотографию жопы в формате jpeg и никому об этом не рассказываем. Абсолютное шифрование.

Слишком сложно. В картинку не спрячешь гигабайтный файл.

Представляю решение, способное устранить все перечисленние в ОП-посте утечки, и простое в использовании:

https://github.com/hakavlad/tird

Готовое решение уже существует.

Кроме того, пользователям нужна простая модель того, как безопасность обеспечивается, чтобы использовать её хорошо. Ясность иконки ключа в браузере превосходит запутанные и часто небезопасные шаги ручной установки сертификатов X.509.

CryFS не подвержен пунктам 1, 4, 5

Утечка размера. Без рандомизированного паддинга по размеру зашифрованного файла можно определить размер сообщения.

Полнодисковое шифрование с предварительным заполнением диска рандомом решает этот вопрос.

Заголовок выдаёт всё: инструмент, версия, параметры шифрования и KDF. В идеале контент неотличим от случайных данных, нет различимого заголовка.

Это уже не задача шифрования, а другая: сокрытия факта шифрования.

Итд. Часть «ошибок» существует только для шифрования отдельных файлов, часть выходит за рамки.

Почему все ведут себя так, будто это номально?

У линуксового luks есть вариант работы с заголовком в отдельном файле (detached header) https://linuxconfig.org/how-to-use-luks-with-a-detached-header тогда основной зашифрованный объем не будет иметь метаданных, кроме самого факта наличия большого объема рандомной инфы. Еще есть опция --offset чтобы работать, начиная с какого-то смещения. Тогда можно прятать шифрованное внутри каких-то других файлов и/или дискового пространства.

У линуксового luks есть вариант работы с заголовком в отдельном файле

Это довольно сложно. Предложен инструмент, утраняющий большинство (6/7) утечек из коробки при шифровании отдельных файлов.

Давай я тебе дам базу кипаса и отвечу на все эти вопросы, а ты откроешь файл и возьмешь все деньги, которые найдешь там? Ставка 100$.

По пунктам 5 и 7: Зашифровать в виде невнятного набора бинарных данных и встроить в какой-нибудь другой файл нетрудно.

Но если эти данные - не вопрос жизни и смерти, то скорей всего без метаданных вы спустя уже несколько месяцев, особенно, если таких данных будет множество, не сможете вспомнить ни что это, ни как это расшифровывать.

Базу кипаса, тебя и пяльник. Готов попробовать.

Ну ок, максимальную минимизацию метаданных проводим для самых чувствительных данных, или при угрозах - например, при риске трансграничных проверок с принуждением к раскрытию ключей.

Выглядит интересно, но извини, не совсем понятно, чем это лучше luks? У тебя, как я понял, также вообще говоря нужен ключевой файл. А если не нужен, то стойкость вызывает сомнения, потому что просто пароль нужно как-то расширять до 128 или 256 бит (или еще сколько-то) и хранить с солью.

Ключеые файлы или пароли - все опционально, на ваш выбор. Стойкость не вызывает сомнения, если парольная фраза достаточно длинная.

потому что просто пароль нужно как-то расширять до 128 или 256 бит

Features

Strong key stretching: Argon2id (libsodium «sensitive» profile) — 1 GiB memory, 1 lane, 4 passes (default and minimum).

потому что просто пароль нужно как-то расширять до 128 или 256 бит (или еще сколько-то) и хранить с солью.

Нафига его хранить? В случае нахождения зашифрованного ключа на той же машине или поблизости от нее на флешке, с точки зрения безопасности, разница между расшифровыванием ключа паролем и генерацией ключа из пароля ОТСУТСВУЕТ.

Если ты ввел неправильный пароль во втором случае ты получишь рандомную хрень вместо расшифрованных данных, а не предупреждение что пароль не подошел. Ну и? Это что, проблема?

Обеспечивая безопасность важно не забыть обеспечить возможность продуктивной работы. В противном случае лучшим инструментом обеспечения безопасности был бы shred, который дейвитительно удовлетворяет пунктам ОП (кроме 6).

Он может и не вскроет, а вот спецслужбы вполне. Это приоткрывает тайну о том, что все эти шифровки - для лохов и вскрываются на 123. А метаданные и инструментарий шифрования позволяет эффективно брутить пароли, предоставляя статус программам подбора паролей

Ничего не норм. Безопасность не должна строится на каких-то стрёмных шифрованиях. Должно быть просто безопасное общество, в котором каждый мог бы доверять каждому.

Это возможно, кто бы что ни говорил про утопичность такой идеи, но нашему обществу до такого осознания и человечности примерно как до Пекина раком.

P.S. Ставьте больше фейспалмов. Вы ещё не знаете, что это написал человек, который недавно перевёл почти 200 тысяч рублей почти незнакомой девочке, просто потому что она попросила.

За подход «не нравится — делай как считаешь правильным, а не ной» — зачёт. За рекламу проекта в формате «вы все дураки, один я знаю, как правильно», а не как-то более скромно — незачёт.

хранить с солью

Пароль хранить не надо. При расшифровке для проверки корректности данных и ключей используется MAC tag, и ничего более. Некоторые хранят рядом хэш пароля - это порочная практика, потенциально облегчающая перебор.

спецслужбы вполне

Если вскрыть 256 бит с 5кк циклами так легко, то предлагаю того же Димеза тряхнуть, по айпишнику меня найти и заставить переписать хату.

все эти шифровки - для лохов

man EROI

эффективно брутить пароли

Когда компы станут квантовыми и начнут брутить такие пароли, то выгоднее будет фондовую биржу сломать на пару триллионов. Это отсылка к предыдущему пункту, если кто пропустил.

Договориться встретиться в условленном месте. При встрече вести себя как старые друзья, зайти в кафе и общаться на отвлеченные темы. Вечером погулять по городу, посмотреть достопримечательности. Ночью закрыть занавесками/жалюзи окна и выключить свет. Лечь в одну постель, накрыться одеялом. Самое время обменяться хэшем. Шептать на ухо плохой вариант - могут подслушать. Не следует использовать ручку - ее могли подменить. Лучший вариант - передающий должен по памяти чертить пальцами по коже принимающего символы, принимающий должен их запоминать.

Он может и не вскроет, а вот спецслужбы вполне

Спецслужбы не могут нарушить законы физики и математики. Это такие же кожаные мешки, как и прочие люди.

Спецслужбы не могут нарушить законы физики и математики. Это такие же кожаные мешки, как и прочие люди.

Спецслужбы могут просто пригласить тебя поговорить - и ты сам дашь все ключи, покажешь куда вводить и скопируешь дешифрованные файлы на флешку. Потому что работать можно не только с математикой, но и с людьми.

Неужели всем норм?

Мне норм. Мне инструмент шифрования нужен для непосредственно шифрования, а не для обфускации или сокрытия информации. Факт наличия зашифрованных данных не является риском в модели угроз.

Для других моделей угроз наверняка есть более подходящие инструменты, учитывающее написанное вами.

Use FDE, Luke!

У FDE нет аутентификации, как правило.

Раскрой тему.

Это довольно сложно.

Ничего сложного. К вызову cryptsetup добавляется всего один аргумент. Systemd-encrypt тоже поддерживает эту фичу, предоставляя опцию header в crypttab. Только grub не поддерживает внешние заголовки. Но и это можно обойти, вынеся /boot на флешку.

Подмена данных останется незамеченной. Нет контроля целостности данных.

Подмена данных останется незамеченной. Нет контроля целостности данных.

Это с чего вдруг? Оно даже не расшируется, если ты данные повредишь.

Расшифруется с повреждениями, без детекции повреждений. Что веракрипт, что лукс.

Расшифруется с повреждениями, без детекции повреждений. Что веракрипт, что лукс.

Про веракрипт не знаю, а с луксом есть более одного варианта, как это избежать. Так что не говори тогда о том, чего не знаешь.

С паяльником из тебя 100$ и без базы кипаса можно достать.

Упоминается «experimental integrity support» https://gitlab.com/cryptsetup/cryptsetup/-/blob/main/FAQ.md – это не включено по умолчанию.

Ты можешь использовать dm-integrity под/над dm-crypt, да в принципе ты даже dm-verity можешь использовать. Использовать «под» имеет в том числе и в случае RAID1, для self-healing.

Действительно,

10.2 What new features does LUKS2 have?

Authenticated encryption

Только как правильно многие заметили, это от терморектального криптоанализа не спасёт. Это всё хорошо в случае кражи накопителей.

Если ты ввел неправильный пароль во втором случае ты получишь рандомную хрень вместо расшифрованных данных, а не предупреждение что пароль не подошел. Ну и? Это что, проблема?

Как всегда вопрос удобства против безопасности. Но если грамотно сделать, то безопасность не так, чтобы сильно страдает.

А нахрена это всё обычному человеку?

Юзкейс: понадобилось защитить от постороннего доступа кого попало фотографию члена, сделанную в 16 лет, когда ещё был молодым и он стоял так, как уже никогда.

Нахрена вся эта чехарда с сокрытием метаданных или отрекаемостью?

Если условным спецслужбам с терморектальным криптоанализатором понадобится его увидеть, ты и так не против показать, если они так хотят. Никаких последствий это не принесёт, ведь достоинство твоё, не чужое…

Ну ладно, про член это шутка. Но не все файлы требуют такой защиты.

В конце концов, может сам когда-нибудь забудешь, что там и понадобятся подсказки, чтобы понять, как это открыть.

Вот бытовые инструменты их и оставляют. На то они и бытовые.

К средствам, которые требуют небытовых методов, я бы отнёс, например, криптокошель на 100000 битков. Вот за такое могут и убить, если не расшифруешь или не докажешь, что потерял.

Он может и не вскроет, а вот спецслужбы вполне.

Битлокер вскроют, особенно американские. А вот про luks и трук(вера) крипт вроде как были истории успеха (или не успеха с чьей стороны смотреть).

это от терморектального криптоанализа не спасёт

В случаях, если противник не знает, что искать, это может помочь. Нет данных (скрыты) - не отчего требовать пароль. Другое дело - если противник знает что ищет и уверен, что это у вас есть.

А нахрена это всё обычному человеку?

А кто сказал, что это для обычных? Это для террористов, педофилов, наркоторговцев и прочих подобных. Обычным вообще скрывать нечего.

Обычным может понадобится та же база KeePass, которая не соответствует ни одному требованию

противник знает что ищет и уверен, что это у вас есть

Децкий сад. Ну вот узнаешь ты что у меня лярд баксов. Можно вынести хату, банк, дать по башке. А если нужна инфа, заряжаются менты, девачка случайно на диван подсаживается, соседская бабка опознает убийцу Кеннеди. И так далее. Нахрена ваши компы взламывать, людям чо делать нечего? Такие же приколисты и винду делали с железной дверью и картонными стенами.

Я недавно осознал что №1 в моей модели угроз - это «1000 разных источников мне медленно капают на мозги информацией о том что я что-то должен делать не так, как я спланировал сам», а вовсе не какие-то другие физические/материальные угрозы.

И, внезапно, информация на тему «как лучше заботиться о своей приватности/безопасности» с точки зрения угрозы капаяния на мозги не отличается от информации «как лучше заботиться о своей внешности» или «как лучше заботиться о своей духовности».

Источники разные, посылы у утих источников разные, а верхнеуровневый эффект - один, капают на мозги.

И единственный выход тут - или вначале придумываешь свой план, в той степени в которой можешь, и только потом знакомишься с другими изысканиями по теме, анализируешь их со скепсисом и возмжно перенимаешь из них лучшее, или принимаешь решение быстро полностью от балды не полагаясь ни на какие источники.

Иначе - очень скоро начинаешь задаваться вопросами «а почему я вообще поступаю так, ничего положительносго от этого не имею, и вообще похоже что меня программирует ИИ»

Нахрена ваши компы взламывать, людям чо делать нечего?

Можно перевернуть рассуждение. Нахрена девочек подсылать, бабок заряжать, если достаточно комп взломать? Это один из возможных, но не единственный конечно, вектор атаки.

Повторю, man EROI. Дцать лет назад симки перевыпускали почти всем, кто хоть как-то засветил номер и бабки, цена вопроса 5к на дропа. Сейчас работают только адресно, если 100к+ засвечено. Или можно отправить тонны емейлов с какой, рисков 0%, шансов почти 0%. А если есть наводка, то и голос подделают и дипфейк и телефоны родни выключат. И это работает! РКН лютует из-за таких вот простых методов, а не потому что ваши архивы с порнухой брутфорсят.