LINUX.ORG.RU

используете ли вы «скрытый том» в TrueCrypt? и делаете ли это правильно?

 , , ,


10

4

После смерти TrueCrypt — то и дело анонсируются его форки.

Например [недавно], был анонсирован форк под названием «CipherShed» ( www.linux.org.ru/news/security/10872429 )...

Кроме кроссплатформенности — одной из ключевых особенностей TrueCrypt называется «скрытый том».

Цель голосования — выяснить насколько востребована эта особенность («скрытый том») среди нашего маленького сообщества.

Всем проголосовавшим и отписавшимся в комментариях — спасибо за участие! Также - ставьте лайк и удаляйте меня из игнора :)

# P.S.: я [понимаю] что пункт голосования {4} будет самый популярный. но этот пункт голосования нужен для того чтобы потом можно было бы его мысленно исключить из результатов!

# P.P.S.: все параноики, проголосовавшие тут, отписывайтесь в комментариях о том как у вас реализовано дисковое шифрование, и какое количество скрытых томов у вас имеется и где ;)

  1. я не использую дисковое шифрование740 (65%)

    ********************************************************************************************************************************************************************************************************************************************************************************************************************************

  2. я использую дисковое шифрование, НО я НЕ использую функцию "скрытый том". Моя программа не умеет "скрытый том" (LUKS? BitLocker? ...?) или\и я не использую "скрытый том", так как считаю что это не нужно... (а быть может я считаю что это нужно, но всё равно пока что нигде не использую)217 (19%)

    *********************************************************************************************

  3. я не знаю как работает дисковое шифрование (и работает ли вообще?) на моих компьютерах. Если оно что-то и делает, то я понятия не имею как :-)109 (10%)

    ***********************************************

  4. другое (напишу в комментариях).29 (3%)

    ************

  5. я использую TrueCrypt (или аналог) и использую "скрытый том", НО при этом я НЕ имитирую активность на внешнем фиктивном томе (надеясь на то, что эту мою оплошность банально не заметят)19 (2%)

    ********

  6. я использую TrueCrypt (или аналог) и использую "скрытый том", при этом время от времени я имитирую активность на внешнем фиктивном томе18 (2%)

    *******

Всего голосов: 1132

я не использую ни где ни какого дискового шифрования. ни TrueCrypt, ни LUKS, ни BitLocker, вообще ни какого.

This. Ибо не нужен я никому.

yura_ts ★★ ()
Ответ на: комментарий от yura_ts

...не нужен я никому.

ды по большей части это нужно не для кого-то. а для собственного спокойствия. :-)

ну и вообще ты нужен нам всем, не отчаивайся! :)

user_id_68054 ★★★★★ ()
Ответ на: комментарий от user_id_68054

не для кого-то. а для собственного спокойствия

Ага. До тех пор, пока к тебе не придут с паяльником :)

intelfx ★★★★★ ()

Где пункт «Кто все эти люди?» или «Штоэта?»

Vier_E ★★★ ()
Ответ на: комментарий от Vier_E

Как где? :) Вот же он — «я не знаю как работает дисковое шифрование (и работает ли вообще) на моих компьютерах. если оно что-то и делает, то я понятия не имею как :-) .»

user_id_68054 ★★★★★ ()

модераторы, добавьте пожалуйста пункт:

Анонимность надо запретить. Никому, кроме преступников и террористов, она не нужна.

форумные тролли очень хотят голосовать за него :)

user_id_68054 ★★★★★ ()
Ответ на: комментарий от user_id_68054

Ну это шибко длинно же :) Кто-то до конца и не осилит дочитать.

Vier_E ★★★ ()
Ответ на: комментарий от Vier_E

Ну тогда уж не анонимность, а шифрование же. Опрос же не про анонимность, а про криптографию.

блин. точно.. досадная ошибка..

ну один фиг — модераторы всё равно наверное не будут ни чего добавлять :-)

user_id_68054 ★★★★★ ()
Ответ на: комментарий от Vier_E

Ну это шибко длинно же :) Кто-то до конца и не осилит дочитать.

первое моё голосование.

ещё не смог познать весь его дзэн :)

user_id_68054 ★★★★★ ()


1. Отпиливаешь от HDD половину «с конца». Разделов в этом месте ни каких не создаешь.
2. TrueCrypt'ом в не размеченном месте создаешь шифрованный том. Со стороны все так же выглядит, что половина диска просто не размечена.
3. Монтируешь шифрованный том. Забиваешь половину шифрованного тома всяким шлаком, упорядочив занятые сектора от начала (хотя последнее и не обязательно).
4. Помечаешь все не занятые сектора на шифрованном томе как bad.
5. Создаешь в шифрованном томе скрытый том по размеру равный свободному месту в шифрованном томе.
6. На шифрованном томе удаляешь весь шлак.

Все! Пользуйся на здоровье!
Любая твоя активность на шифрованном томе не приведет к потере данных на скрытом томе. Пользуйся двумя томами в зависимости от потребностей.
Со стороны выглядит, что половина физического HDD просто не размечена. Всегда можно отмазаться, что забыл разметить или оставил про запас, что бы сразу шлаком не загадить.
TrueCrypt на ПК с шифрованным и скрытым томом не храни. Лучше иметь portable-версию где-нить в облаке или на удаленном VPS/VDS.
Говори, что слова такого как «криптография» в жизни не слышал.

Со стороны никто никогда не прикопается, ни одна экспертиза не определит, что на не размеченной части диска что-либо есть. Ну а уж если сам скажешь про шифрованный том, то про скрытый так же никто никогда не определит. Можешь даже «экспертам» продемонстрировать активность на шифрованном разделе, ведь эксперты знают, что активность на шифрованном томе приводит к потере информации на скрытом томе, и после продемонстрированной активности любой эксперт заявит, что даже если скрытый том существовал, то теперь он абсолютно не пригоден для чтения.

ivanlex ★★★ ()
Последнее исправление: ivanlex (всего исправлений: 1)
Ответ на: комментарий от user_id_68054

первое моё голосование.

Собираешь информацию, кто чем пользуется, что бы потом сливать инфу тем, кто ходит с паяльником? Уверяю тебя, здравомыслящий человек выберет пункт 5, или пункт 4. А не на «дяденек» ли ты работаешь?

Кто же сам себя спалит, ведь все знают, что, то, что однажды попало в интернет - навсегда там остается. Сегодня «Вася Пупкин» в твоем опросе выберет «использую скрытый том», а завтра «дяденьки» начнут копать под «Васю». И «Вася» уже не отмажется, что у него нет ничего, потому что ему предъявят результат опроса, и воткнут в анус анальный термо крипто дешифратор, который сразу дешифрует все явки, пароли...

ivanlex ★★★ ()
Ответ на: комментарий от ivanlex

ну так-то — способ который ты описал — мне кажется очень интересным!

его особенность это:

1. TrueCrypt на ПК с шифрованным и скрытым томом не храни...

2. используй bad-блоки

но здесь я вижу два подводных камня:

1:

если шифровать только отдельный раздел с файлами, а не полностью операционную систему (или хотя бы /home/) — то действительно ли это безопасно(?)..

возможно ответ «да».. но на 100% я не уверен. думаю зависит от деятельности.. (от характера секретной информации).

ведь в /home/.../.cache/ может что-то остаться, ды и ещё фиг знает где.. вообщем нужно тщательно изучать вопрос о том какой кэш где хранится и какие где логи ведутся..

(как вариант решения проблемы: можно сделать две шифрованные операционный системы. одну фиктивную, другую скрытую? по той же самой технологии с bad-блоками.. думаю ответ «да» :))

2:

большое количество bad-блоков, при условии полностью хорошего smart-состояния жёсткого диска — это подозрительно :-)

а всплывёт эта подозрительность — в момент когда следователи скачают все файлы из файловой системы (к себе на анализ) — и вдруг обнаружат несоответствие занятого этими файлами места и количества занятого\свободного места в файловой системе.

а сверять свободное\занятое место и место занимаемое скаченными файлами — они будут для того чтобы случайно не пропустить что-то («вдруг я забыл ещё какие файлы скачать?» — подумает следователь.. и окажется прав.. :))

я прям так и вижу как думает следователь — «что-то не так с занимаемым пространством.. что-то не сходится.. но моя интуиция подсказывает мне, что в моей практике совпадений не бывает.... пойду побью подозреваемого!» :)

user_id_68054 ★★★★★ ()
Последнее исправление: user_id_68054 (всего исправлений: 5)
Ответ на: комментарий от ivanlex

И «Вася» уже не отмажется, что у него нет ничего, потому что ему предъявят результат опроса, и воткнут в анус анальный термо крипто дешифратор, который сразу дешифрует все явки, пароли...

но ведь база данных опроса — хранится в неприкосновенности на святой земле, в том месте, куда зло не может проникнуть? :-)

Кто же сам себя спалит

могут спасилить!

дело в том что часть тех людей (не все, но часть) кто используют шифрование — испытывают нездоровый дефицит внимания.

они могут сообщить свой метод шифрования, просто для того, чтобы не оказаться отрезанным от внимания других (обычных) людей!

user_id_68054 ★★★★★ ()
Последнее исправление: user_id_68054 (всего исправлений: 4)
Ответ на: комментарий от user_id_68054

Когда следователь подумает: «что-то не так с занимаемым пространством.. что-то не сходится..», он просто посмотрит статистику ФС и увидит, что часть поверхности ФС повреждена. У него не вызовет это подозрений, и в этом он найдет объяснение несоответствия размера данных с размером шифрованного тома.

А большое количество bad-блоков - да просто винт уронил. Или, если врать по умному, то:
- Комрад Следователь. Раньше инфа на другом HDD хранилась, который битый был и уроненный. На старом HDD половина поверхности bad-блоками заплыла. А я просто образ слил оne to one. Вот образ и получился с bad-блоками. Так на новом HDD и осталось с bad-блоками. А как исправить это - я не знаю. И вообще - я дурачок.

Да и вообще - зачем следователю говорить о, даже шифрованном томе, не говоря уже о скрытом. Просто часть диска не разметил. Думал создать раздел на будущее, к примеру раздел для дуалбута, или раздел для бекапов, или еще для чего-нибудь... Нет никаких шифрованных томов. Что такое TrueCrypt - первый раз слышу, что такое шифрование - знать не знаю. Ведь, если следователь не узнает про шифрованный том, то и вопросов про bad-блоки у него и не возникнет.

Да и вообще - храни инфу на VPS/VDS на частном сервере в Малазии, где у тебя раздел с данными еще разок зашифрован. А следователю скажешь, что про VPS/VDS не слыхал никогда, что это такое - только догадываешься... быть может новый сорт синтетического масла для ДВС?!

ivanlex ★★★ ()
Ответ на: комментарий от ivanlex

Или, если врать по умному, то:
- Комрад Следователь. Раньше инфа на другом HDD хранилась, который битый был и уроненный. На старом HDD половина поверхности bad-блоками заплыла. А я просто образ слил оne to one. Вот образ и получился с bad-блоками.

да.. вот это разумно :)

И вообще - я дурачок.

ну эт вообще универсальный метод :-)

Да и вообще - храни инфу на VPS/VDS на частном сервере в Малазии, где у тебя раздел с данными еще разок зашифрован. А следователю скажешь, что про VPS/VDS не слыхал никогда, что это такое - только догадываешься... быть может новый сорт синтетического масла для ДВС?!

а вот тут я хочу сказать следующее...

да! этот метод — имеет место быть!

но это уже не дисковое шифрование.. а уже ближе к GPG.

то есть — у него другая область применения.

ды и не все хотят хранить инфу на удалённых серверах (по тем или иным своим страхам). даже зашифрованную.

это не значит что хранить инфу на удалённых серверах это плохо.. просто это значит что это немножко не тот вопрос котоырй мы тут обсуждаем :-)

мне кажется — дисковое шифрование оно более целостное как бы это сказать.. затрагивает более маленькую инфраструктуру.. (в стиле — "всё что мне нужно — эт лишь мой ноутбук и пароль к нему!")

user_id_68054 ★★★★★ ()
Ответ на: комментарий от user_id_68054

Есть еще один нюанс. Не шифруй паролем. Шифруй файл-ключами, такими, что бы их содержимое нельзя было запомнить и воссоздать. Небольшой кусок уникального белого шума.

Если уж тебя застукают за употреблением шифрованного тома, или, еще хуже, скрытого тома - уничтожь файл-ключи. Тогда следователи пытать тебя не будут, ибо бесполезно. Или сразу отпустят, или... или сразу грохнут.

P.S. Или пользуйся HDD с подрывателем. Есть такие, нам предлагали. В случае ЧП, жмешь на кнопку, и взрывные заряды уничтожают пластину жесткого диска. Тогда к твоим данным точно не придраться.

ivanlex ★★★ ()
Последнее исправление: ivanlex (всего исправлений: 1)
Ответ на: комментарий от ivanlex

Если уж тебя застукают за употреблением шифрованного тома, или, еще хуже, скрытого тома - уничтожь файл-ключи.

а если я не успел их уничтожить?

в этом случае они должны как-то надёжно храниться (по умолчанию) в секретном месте?

[гипотетическая ситуация: ворвался наряд омона, с иконой в руках Лика Святого Михалкова, и всех за скунду расставил у стенки в ряд, и приснял у всех штаны (чтобы некомфортно себя чувствовали и не лазили бы по карманам)]

но что же за такое секретное место придумать.. мне вот в голову не приходит ни чего, кроме тюбика зубной пасты. :)

Или пользуйся HDD с подрывателем. Есть такие, нам предлагали. В случае ЧП, жмешь на кнопку, и взрывные заряды уничтожают пластину жесткого диска. Тогда к твоим данным точно не придраться.

крутяг! а кнопка удалённая (по радио)? или прям на нём?

user_id_68054 ★★★★★ ()
Последнее исправление: user_id_68054 (всего исправлений: 3)
Ответ на: комментарий от user_id_68054

Файл-ключом может быть любой файл. Например, музыкальная композиция симфонии Бетховена, которая храниться вместе с кучей других композиций классических произведений. И не храни файл-ключи на том же ПК, где находится шифрованный том. На вопросы о наличии в логах обращений к музыкальным файлам по сети, ответ: «Музыку слушал по сети, музыка перешла в общественное достояние, так что хранить, слушать имею право». А пока следователь ковыряется с твоим ПК, ты удаляешь папку с музыкой на другом ПК.

Да вообще, способов придумать можно множество. Повесить скрипт на горячую клавишу, который при нажатии удаляет файл-ключа. Или скрипт, который удаляет файл-ключа, если не происходит неких событий, которые скажут, что все хорошо. Или наоборот, скрипт, который удаляет если происходят какие либо события. Полет фантазии неограничен. Главное не обращаться к файл-ключу в скриптах по имени. Папка - в ней две сотни однотипных файлов, ничем не приметных - стихи, рассказы, музыка... И разумеется они не на том ПК, где шифрованный том. А еще лучше - не в том здании.

ivanlex ★★★ ()
Ответ на: комментарий от user_id_68054

крутяг! а кнопка удалённая (по радио)? или прям на нём?

Нам предлагали кнопку у директора поставить, а жесткие в серверной. Способ, по проводу или беспроводной - мы не уточняли. Точно помню, что они еще могут на события реагировать, заранее настроенные. К примеру введенный неверный пароль. Вернее как не верный: один пароль - все хорошо, второй пароль - все плохо. На сколько я знаю, у них тоже вариантов много. Но мы в то время отказались.

ivanlex ★★★ ()
Ответ на: комментарий от ivanlex

сложно всё это.. не вижу я в этом целостной идеи — вижу только фрагменты наработок. кучу мелких факторов нужно учитывать..

(а если продумать всё (или состыковать) НЕ доконца — то ситуация может в итоге выглядеть очень подозрительной :)).

но тем не менее — всё это быть может — годно к применению даже и на практике.. допускаю это :-)

думаю что практическая проблема всей этой сложности быть может в том — что людям работать нужно, а не думать постоянно о том как бы себя не спалить.. :)

Нам предлагали кнопку у директора поставить, а жесткие в серверной.

правильно ли я понимаю что если директор случайно (с перепугу) взорвёт HDD — то это всё равно не будет фатально-страшно, так как подразумевается что бэкапы раз в неделю всё равно делаются из серверной на удалённые другие серверы?

user_id_68054 ★★★★★ ()
Последнее исправление: user_id_68054 (всего исправлений: 3)
Ответ на: комментарий от user_id_68054

правильно ли я понимаю что если директор случайно (с перепугу) взорвёт HDD

Не правильно мыслишь, потому как такие HDD планировалось ставить туда, где сверхсекретная информация, копия которой существовать вообще не должна. А ты говоришь бэкапы... Никаких бэкапов сверхсекретной инфы. А если бэкапы попадут в чужие руки?! Мне кажется директор был готов смириться с потерей информации, лишь бы не было утечки.

Но те жесткие все равно не взяли. Отказались от такой идеи. Слишком дорого, да и нет необходимости. Ни один ОМОН не действует за секунду. Да и секунда - это тоже длительное время, за которое многое успеть можно. В любом случае, времени грохнуть папку с музыкой - хватит. Локти потом будешь кусать, думая как потом все восстановить.

Уникальный файл-ключа не воссоздашь, пароль от страха забудешь. Можно записать любимую симфонию Бетховена на диск и хранить дома, среди сотен других дисков с разнообразными записями, что бы, когда все уляжется - воспользоваться любимой музыкальной композицией не только для прослушивания, а как ключиком к очень важным и сверхсекретным данным.

ivanlex ★★★ ()
Ответ на: комментарий от ivanlex

Не правильно мыслишь, потому как такие HDD планировалось ставить туда, где сверхсекретная информация, копия которой существовать вообще не должна. А ты говоришь бэкапы... Никаких бэкапов сверхсекретной инфы. А если бэкапы попадут в чужие руки?! Мне кажется директор был готов смириться с потерей информации, лишь бы не было утечки.

вспомнился мне фрагмент ходожественного фильма: http://youtu.be/vwEwhTEe1so?t=3m20s (там где чувак обнаружил через nmap открытый 80 порт О_БОЖЕ_ДЫРА(!), и к нему через telnet подключился как root :)) — ему позвонили в дверь, а он весь на стрёме был — и вот прям точно бы нажал бы на эту кнопку детанации HDD, если бы эта кнопка бы она у него :).

user_id_68054 ★★★★★ ()
Последнее исправление: user_id_68054 (всего исправлений: 4)

Везде использую LUKS. От аналитиков с паяльниками скрывать нечего, но так спокойнее — никто не будет ползать по моему украденному ноуту в поисках «чего интересного» (как недавно на ЛОРе ползали по какой-то корпоративной файлопомойке). «Мне скрывать нечего» — аргумент эксгибициониста.

crowbar ()
Ответ на: комментарий от crowbar

«Мне скрывать нечего» — аргумент эксгибициониста.

у мня вот тож LUKS ноутбуке .. и я что думаю по этому поводу..

мысль такая: ну коль установил я себе LUKS (правда давно, а не вчера) — то может уже и пора бы мне наделать фоток себя голым в ванне(?).. :)

ну типа как для того, чтобы всё это шифрование не оказалось зря :-) ..

если бы, например, у меня бы была бы девушка — то понятное дело что я хранил бы на ноутбуке коллекцию домашнего приватного видео. а так как девушки нет — то получается что мой LUKS простаивает в холостую :-)

user_id_68054 ★★★★★ ()
Последнее исправление: user_id_68054 (всего исправлений: 2)
Ответ на: комментарий от user_id_68054

Накачай себе десять гигабайт ЦП и шифруй его сколько угодно. =)

intelfx ★★★★★ ()
Ответ на: комментарий от intelfx

Накачай себе десять гигабайт ЦП и шифруй его сколько угодно. =)

так пишешь будто он где-то есть в интернете :-)

user_id_68054 ★★★★★ ()
Ответ на: комментарий от user_id_68054

Определение ответа на этот вопрос я оставлю интересующимся =)

intelfx ★★★★★ ()

что пункт голосования {4}

Во время голосования порядок поменяется (в результатах)

будет самый популярный.

По этому он будет первым

KennyMinigun ★★★★★ ()
Ответ на: комментарий от KennyMinigun

Хм.. Значит придётся менять текст голосования — по мере голосования :-)

user_id_68054 ★★★★★ ()

ни где ни какого

CYB3R ★★★★★ ()

А вы с qulinxao не родственники случайно?

// для себя интересуюсь

d_a ★★★★★ ()

Пока не использую.

Miguel ★★★★★ ()

А это плохо?

я не использую ни где ни какого дискового шифрования. ни TrueCrypt, ни LUKS, ни BitLocker, вообще ни какого.

GNU-Ubuntu1204LTS ★★★ ()

Когда-то LUKS

Когда у меня была стационарная ЭВМ весь НЖМД кроме загрузочного раздела (да-да, и раздел подкачки тоже) был с LUKS'ом. Сейчас у меня только одноядерный ноутбук, не готов жертвовать производительностью, потому ничего не шифрую. Вот если куплю себе Samsung Chromebook 2, то подумаю о шифровании, там процессор 8 ядерный.

Camel ★★★★★ ()
Ответ на: комментарий от ivanlex

Эксперты такие эксперты

Можешь даже «экспертам» продемонстрировать активность на шифрованном разделе, ведь эксперты знают, что активность на шифрованном томе приводит к потере информации на скрытом томе, и после продемонстрированной активности любой эксперт заявит, что даже если скрытый том существовал, то теперь он абсолютно не пригоден для чтения.

Это если эксперты совсем эксперты, и не сделали снимок всего НЖМД прежде чем давать его в руки владельцу.

Camel ★★★★★ ()
Ответ на: А это плохо? от GNU-Ubuntu1204LTS

ни где ни какого

Изви ни те, за чем Вы так пише те?

Sadler ★★★ ()

ни где ни какого

ох...

kott ★★★★★ ()

я использую дисковое шифрование, НО я НЕ использую функцию «скрытый том». моя программа не умеет «скрытый том» (LUKS? BitLocker? ...?) или\и я не использую «скрытый том», так как считаю что это не нужно... (а быть может я считаю что это нужно, но всё равно пока что ни где не использую).

dm-crypt/LUKS.

Gotf ★★★ ()

А где пункт «я идиот и все сейчас расскажу, а еще очень хочу чтобы все окончательно запретили, вот же расписано что экспертов обойти не проблема, а ведь такое могут обсуждать только закоренелые педористы и террофилы».

handbrake ★★★ ()

стандартное шифрование папки /home в убунту, это все

umren ★★★★★ ()

я использую дисковое шифрование, НО я НЕ использую функцию «скрытый том».

Ибо шифрование использую преимущественно на случай кражи/потери ноутбука.

jollheef ★★★★☆ ()

На бубунте - ecryptfs, на винте truecrypt не в файле а на всём физическом устройстве. Для чего? Не потому что есть что скрывать, просто не хочу чтобы к моим личным данным был доступ в случае кражи или утери диска. Или представьте сломается винт - понес в ремонт, а там получили доступ.

I-Love-Microsoft ★★★★★ ()
Ответ на: Эксперты такие эксперты от Camel

Это если эксперты совсем эксперты, и не сделали снимок всего НЖМД прежде чем давать его в руки владельцу.

Ага, особенно зеркало с массива в десятки TB данных. Хотя, если речь про обычного пользователя, то... А что «то»?

Ну есть у них образ. Сказать есть ли там скрытый том может только человек, который это наверняка знает. А мы уже предопределили, что данный человек всегда будет отвечать, что скрытого тома там нет.

ivanlex ★★★ ()

Не пользую. Пока для меня будет большей проблемой буде невозможность восстановления данных в случае факапа, чем несанкционированный доступ

Avial ★★★ ()

Как-то уж слишком многословно

GblGbl ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.