[Sysadmins] Шифрование диска

Nikolay A. Fetisov =?iso-8859-1?q?naf_=CE=C1_naf=2Enet=2Eru?=
Вт Июл 22 11:32:02 MSD 2008 

On Tue, 22 Jul 2008 09:50:49 +0300
Yury Konovalov wrote:

> 22 июля 2008 г. 9:42 пользователь Nikolay A. Fetisov написал:
> > О проблемах использования скрытого раздела в TrueCrypt расписано в
> > статье http://www.schneier.com/paper-truecrypt-dfs.pdf . Не говоря уже о
> > вынужденной необходимости использования FAT для основного раздела.
> 
> Чушь, использую  cryptsetup-luks, ...
> Использую ext3

Речь идёт о возможности создания в TrueCrypt т.н. скрытого диска
(hidden volume), когда внутри основного раздела выделятся второй
раздел, доступный по отдельному паролю. Основная задача такого решения -
обеспечение "правдоподобного отказа" (plausible denial), т.е.
возможности отказаться предоставить ключи к защищённым разделам при
угрозе или применении насилия.

LUKS подобные вещи не поддерживает и поддерживать не будет.

> Зачем FAT ? 

В TrueCrypt никакой информации о наличии скрытого раздела не хранится.
При вводе пароля к разделу сначала этим паролем расшифровывается
заголовок основного раздела, если пароль не подходит - то заголовок
скрытого раздела, расположенный в конце диска по известному смещению.
Если не удалось расшифровать и заголовок скрытого раздела -
пользователю сообщается об ошибке ввода пароля. 

Это поведение - стандартное и применяется вне зависимости от того,
создавался или нет скрытый раздел. При работе с основным диском нет
возможности определить, есть ли скрытый раздел _и какую часть
диска он занимает_. При работе со скрытым разделом нет возможности
определить, _какая часть диска занята файлами и метаданными файловой
системы основного раздела_.

Т.е., при использовании чего-либо кроме FAT на основном диске при
работе со скрытым диском есть большая вероятность порчи метаданных
файловой системы основного диска; после чего при проверке/восстановлении
файловой системы основного диска будут гарантированы разрушены
соответствующие блоки с данными скрытого раздела.


> Я правда эти доки не читал, мож чего не понимаю.
Если используете криптографию, то имеет смысл почитать. В том числе о
возможных проблемах с надежностью защиты, о правовых вопросах
применения таких решений, и т.п. Иначе может оказаться, что ежедневно
надеваемый бронежилет - это новое платье короля.

-- 
С уважением,
Николай Фетисов

Подробная информация о списке рассылки Sysadmins