eCryptfs -- где указать опции алгоритма шифрования? Или чем лучше шифровать данные?

safocl	# 4 года, 9 месяцев назад
Темы: 122 Сообщения: 1571 Участник с: 08 октября 2015	`rw,nosuid,nodev,relatime,ecryptfs_fnek_sig=f7dc096fbb16b665,ecryptfs_sig=f7dc096fbb16b665,ecryptfs_cipher=aes,ecryptfs_key_bytes=16,ecryptfs_unlink_sigs` и да, вроде нашел как глядеть с какими параметрами монтируется))) надо было просто посмотреть команду mount

safocl	# 4 года, 9 месяцев назад
Темы: 122 Сообщения: 1571 Участник с: 08 октября 2015	vasek ls /home/vasek/Private wm И спрашивается - на хрена мне такое шифрование? и еще вопрос -- реальный ключ был еще в связке ключей? если да, то могло как у меня расшифроваться только имя файла, а не содержимое. По факту расшифровал скорее всего реальный ключ, который не был уволен.

safocl

# 4 года, 9 месяцев назад

Темы: 122

Сообщения: 1571

Участник с: 08 октября 2015

vasek
ls /home/vasek/Private
wm

И спрашивается - на хрена мне такое шифрование?

и еще вопрос -- реальный ключ был еще в связке ключей? если да, то могло как у меня расшифроваться только имя файла, а не содержимое. По факту расшифровал скорее всего реальный ключ, который не был уволен.

vasek	# 4 года, 9 месяцев назад (отредактировано 4 года, 9 месяцев назад)
Темы: 47 Сообщения: 11742 Участник с: 17 февраля 2013	safocl, не хочу дальше экспериментировать - понял одно - все это лажа, очень много нюансов нужно учитывать - ЭТО НЕ ДЛЯ МЕНЯ. Если уж так нужна папка с кучей файлов, то можно намного проще и намного безопасней - openssl Для шифрования - создаем папку, кидаем нужные файлы (можно и создать субдиректории (дополнительные директории) в этой папке) - упаковываем, например, tar - шифруем полученный упакованный файл, используя openssl Для расшифровки - расшифровываем - распаковываем - пользуемся В принципе все это можно автоматизировать, но это намного надежнее .... PS - никогда не использую то, что не надежно или в котором есть нюансы по использованию. Если уж шифруем, то шифруем и не нужно мне никакого mount. Плюс к этому - всегда нужно проверять на стойкость к взлому. Ошибки не исчезают с опытом - они просто умнеют

vasek

# 4 года, 9 месяцев назад (отредактировано 4 года, 9 месяцев назад)

Темы: 47

Сообщения: 11742

Участник с: 17 февраля 2013

safocl, не хочу дальше экспериментировать - понял одно - все это лажа, очень много нюансов нужно учитывать - ЭТО НЕ ДЛЯ МЕНЯ.
Если уж так нужна папка с кучей файлов, то можно намного проще и намного безопасней - openssl
Для шифрования
- создаем папку, кидаем нужные файлы (можно и создать субдиректории (дополнительные директории) в этой папке)
- упаковываем, например, tar
- шифруем полученный упакованный файл, используя openssl
Для расшифровки
- расшифровываем
- распаковываем
- пользуемся
В принципе все это можно автоматизировать, но это намного надежнее ....

PS - никогда не использую то, что не надежно или в котором есть нюансы по использованию. Если уж шифруем, то шифруем и не нужно мне никакого mount. Плюс к этому - всегда нужно проверять на стойкость к взлому.

Ошибки не исчезают с опытом - они просто умнеют

safocl	# 4 года, 9 месяцев назад
Темы: 122 Сообщения: 1571 Участник с: 08 октября 2015	vasek Плюс к этому - всегда нужно проверять на стойкость к взлому. кстати, в 2014 году был аудит безопасности, вроде сказали что есть некритичные недочеты, но вроде лучше чем EncFS, gocryptfs вообще в такой проверке признан опасным и эксплоитным, но енто было в 2017 году сча хз как там. по поводу truecrypt -- оно жеж не может отдельные файлы шифровать вроде, только целиком файловые системы (портиции дисков). Да и к тому же проект заброшен, есть продолжение в виде veracrypt, уж его лучше тогда использовать. Но там так же только целиком диски либо их партиции шифровать... Да и вроде неплох LUKS через dm-crypt

safocl

# 4 года, 9 месяцев назад

Темы: 122

Сообщения: 1571

Участник с: 08 октября 2015

vasek
Плюс к этому - всегда нужно проверять на стойкость к взлому.

кстати, в 2014 году был аудит безопасности, вроде сказали что есть некритичные недочеты, но вроде лучше чем EncFS, gocryptfs вообще в такой проверке признан опасным и эксплоитным, но енто было в 2017 году сча хз как там.

по поводу truecrypt -- оно жеж не может отдельные файлы шифровать вроде, только целиком файловые системы (портиции дисков). Да и к тому же проект заброшен, есть продолжение в виде veracrypt, уж его лучше тогда использовать. Но там так же только целиком диски либо их партиции шифровать... Да и вроде неплох LUKS через dm-crypt

vasek	# 4 года, 9 месяцев назад (отредактировано 4 года, 9 месяцев назад)
Темы: 47 Сообщения: 11742 Участник с: 17 февраля 2013	safocl по поводу truecrypt – оно жеж не может отдельные файлы шифровать вроде, только целиком файловые системы (портиции дисков). Можешь создать файл-контейнер любого размера и накидать туда кучу файлов (плюс к этому внутри этого контейнера можно создать еще один скрытый файл-контейнер) ... и никто его у тебя не расшифрует. По поводу заброшенности - да заброшен, больше не развивается, последняя версия TrueCrypt 7.1, но версия вполне рабочая, кстати эта же версия имеется и у нас в репах (extra/truecrypt 1:7.1a-6). Почему заброшен - попробую объяснить. Сложился такой порядок - любой публично используемый способ шифрования не может сущестовать без пригляда соответствующих органов, этому органу должны быть переданы ключи, если фирма сопротивляется, на нее оказывается сильнейше давление. TrueCrypt был очень популярен и очень надежен (были даже конкурсы по взлому и он был на высоте). Подкатили соответствующие органы, TrueCrypt отказал ... но долго не устоял и вынужден был прекратить свое дальнейшее развитие ... но не сдался. Говорят что последняя версия 7.1 также надежна, ключи не переданы. Но слухи ходят разные ... истина где то рядом. Но скажу тебе одно, пользоваться можно смело, попрообуй установи и поюзай. Да есть сейчас ему замены, но это все не то. PS - информация об одном таком контейнере, зашифрованным truecrypt du -h ~/TTT/stc11 101M /home/vasek/TTT/stc11 file ~/TTT/stc11 /home/vasek/TTT/stc11: COM executable for DOS ls ~/TTT/stc11 /home/vasek/TTT/stc11 cat ~/TTT/stc11 \| head -3 �r�6�M@�8��GȲF�RL�2]W@��S�l��C� \�G�jZ�n��+̍<��!6�� \�3��d�ȓ��}��A�T<.�g�u��f�{UVV6~��v΍5G8��N�[�o��$۲��X��\]4_�� ]�� ߔz�J}�� :k��Ⱥ��d"ѥ\|��r(%�� 3��D�~j��.U�e��`��e��?\Ic�J(�yw�_�Cqu��i,��T�� Расшифруем, Монтируем (через GUI) lsblk* `NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT loop1 7:1 0 100M 0 loop └─truecrypt7 254:0 0 99,8M 0 dm /media/truecrypt7` ls /media/truecrypt7 Basa ls /media/truecrypt7/Basa kp1.kdb kp2.kdbx Ошибки не исчезают с опытом - они просто умнеют

vasek

# 4 года, 9 месяцев назад (отредактировано 4 года, 9 месяцев назад)

Темы: 47

Сообщения: 11742

Участник с: 17 февраля 2013

safocl
по поводу truecrypt – оно жеж не может отдельные файлы шифровать вроде, только целиком файловые системы (портиции дисков).

Можешь создать файл-контейнер любого размера и накидать туда кучу файлов (плюс к этому внутри этого контейнера можно создать еще один скрытый файл-контейнер) ... и никто его у тебя не расшифрует.
По поводу заброшенности - да заброшен, больше не развивается, последняя версия TrueCrypt 7.1, но версия вполне рабочая, кстати эта же версия имеется и у нас в репах (extra/truecrypt 1:7.1a-6).
Почему заброшен - попробую объяснить. Сложился такой порядок - любой публично используемый способ шифрования не может сущестовать без пригляда соответствующих органов, этому органу должны быть переданы ключи, если фирма сопротивляется, на нее оказывается сильнейше давление. TrueCrypt был очень популярен и очень надежен (были даже конкурсы по взлому и он был на высоте). Подкатили соответствующие органы, TrueCrypt отказал ... но долго не устоял и вынужден был прекратить свое дальнейшее развитие ... но не сдался. Говорят что последняя версия 7.1 также надежна, ключи не переданы. Но слухи ходят разные ... истина где то рядом.
Но скажу тебе одно, пользоваться можно смело, попрообуй установи и поюзай. Да есть сейчас ему замены, но это все не то.

PS - информация об одном таком контейнере, зашифрованным truecrypt
du -h ~/TTT/stc11
101M /home/vasek/TTT/stc11
file ~/TTT/stc11
/home/vasek/TTT/stc11: COM executable for DOS
ls ~/TTT/stc11
/home/vasek/TTT/stc11
cat ~/TTT/stc11 | head -3

�r�6�M@�8��GȲF�RL�2]W@����S�l��C�	\�G�jZ�n��*+̍<��!6����
���\�3��d�ȓ���}���A�T<.�g�u���f�{UVV6~���v΍5G8���N�[�o���$۲��X���\]4_��
]���                                                                   ߔz�J}��
�:k���Ⱥ��d"ѥ|��r(%�� 3���D�~j��.U�e��`��e���?\Ic�J(�yw�_�Cqu���i,���T��

Расшифруем, Монтируем (через GUI)
lsblk

NAME         MAJ:MIN RM   SIZE RO TYPE MOUNTPOINT
loop1          7:1    0   100M  0 loop
└─truecrypt7 254:0    0  99,8M  0 dm   /media/truecrypt7

ls /media/truecrypt7
Basa
ls /media/truecrypt7/Basa
kp1.kdb kp2.kdbx

Ошибки не исчезают с опытом - они просто умнеют

safocl	# 4 года, 9 месяцев назад
Темы: 122 Сообщения: 1571 Участник с: 08 октября 2015	vasek свои технологии TrueCrypt не передал. чот не понятно, как именно он мог не передать, если код был открыт? и про какие ключи идет речь которые он не раскрыл, все же с открытым исходным кодом? на счет контейнера енто понятно, но он будет занимать определенное место вне зависимости от того будет ли он полон или нет... по ентому хз, но пока меня eCryptfs убедил, однако пичаль конечно, если в том случае которым я его использую нельзя менять алгоритм шифрования и длину ключа шифрования.

safocl

# 4 года, 9 месяцев назад

Темы: 122

Сообщения: 1571

Участник с: 08 октября 2015

vasek
свои технологии TrueCrypt не передал.

чот не понятно, как именно он мог не передать, если код был открыт?
и про какие ключи идет речь которые он не раскрыл, все же с открытым исходным кодом?

на счет контейнера енто понятно, но он будет занимать определенное место вне зависимости от того будет ли он полон или нет...
по ентому хз, но пока меня eCryptfs убедил, однако пичаль конечно, если в том случае которым я его использую нельзя менять алгоритм шифрования и длину ключа шифрования.

safocl	# 4 года, 9 месяцев назад
Темы: 122 Сообщения: 1571 Участник с: 08 октября 2015	ну и если совсем п.с. то правительственные органы требующие ограничения анонимности так же можно понять, ибо анонимность и шифрование могут быть использованы не только в благих целях. тут такой хрупкий баланс должен быть, что бы твоя инфа не была доступна для иных лиц без превышения ее цены затратами на ее расшифровку...

safocl

# 4 года, 9 месяцев назад

Темы: 122

Сообщения: 1571

Участник с: 08 октября 2015

ну и если совсем п.с. то правительственные органы требующие ограничения анонимности так же можно понять, ибо анонимность и шифрование могут быть использованы не только в благих целях.
тут такой хрупкий баланс должен быть, что бы твоя инфа не была доступна для иных лиц без превышения ее цены затратами на ее расшифровку...

vasek	# 4 года, 9 месяцев назад
Темы: 47 Сообщения: 11742 Участник с: 17 февраля 2013	safocl тут такой хрупкий баланс должен быть, что бы твоя инфа не была доступна для иных лиц без превышения ее цены затратами на ее расшифровку… Лично я не возражаю, про передачу инфы в соответствующие органы, но даже и одобряю, тем более в наш неспокойный век. И это правильно. В части взлома - не нужно быть параноиком, что то взломать очень и очень не просто, а с другой стороны обычные юзеры и на хрен никому не нужны. Так что пользуйся чем хочешь ... но есть один совет - не используй нюансы шифрования, которые заточены на вход в систему юзера - как пример safocl Для PAM главное что бы пользователь зашел в свое окружение (залогинился) если имеешь физический доступ к компу, то залогинится под любым юзером (в том числе и под root) вообще не проблема. А потому с этой точки зрения мне ecryptfs и не нравится, как уже писал, примонтировать папку не проблема. А вот чтобы защитить наиболее важную информацию (например, пароли) нужно использовать не традиционные способы. Ошибки не исчезают с опытом - они просто умнеют

vasek

# 4 года, 9 месяцев назад

Темы: 47

Сообщения: 11742

Участник с: 17 февраля 2013

safocl
тут такой хрупкий баланс должен быть, что бы твоя инфа не была доступна для иных лиц без превышения ее цены затратами на ее расшифровку…

Лично я не возражаю, про передачу инфы в соответствующие органы, но даже и одобряю, тем более в наш неспокойный век. И это правильно.
В части взлома - не нужно быть параноиком, что то взломать очень и очень не просто, а с другой стороны обычные юзеры и на хрен никому не нужны.
Так что пользуйся чем хочешь ... но есть один совет - не используй нюансы шифрования, которые заточены на вход в систему юзера - как пример

safocl
Для PAM главное что бы пользователь зашел в свое окружение (залогинился)

если имеешь физический доступ к компу, то залогинится под любым юзером (в том числе и под root) вообще не проблема. А потому с этой точки зрения мне ecryptfs и не нравится, как уже писал, примонтировать папку не проблема.

А вот чтобы защитить наиболее важную информацию (например, пароли) нужно использовать не традиционные способы.

Ошибки не исчезают с опытом - они просто умнеют

vasek	# 4 года, 9 месяцев назад
Темы: 47 Сообщения: 11742 Участник с: 17 февраля 2013	Цитата из одного источника До сих пор остаётся непонятным, что вынудило авторов программы (TrueCrypt) отказаться от её поддержки. Существует версия, что ими заинтересовались спецслужбы, как это было в случае с почтовым сервисом Lavabit. Напомним, что его основатель Ладар Левисон отчаянно сопротивлялся попыткам агентов получить доступ к частной переписке 400 тыс. пользователей. На одном из этапов переговоров агенты потребовали выдать им ключ SSL от сервера, ссылаясь на судебное постановление, которого владелец Lavabit не имел права ослушаться. Чтобы защитить пользователей, Левисону пришлось удалить всю информацию с серверов, включая почтовые ящики пользователей. Ошибки не исчезают с опытом - они просто умнеют

vasek

# 4 года, 9 месяцев назад

Темы: 47

Сообщения: 11742

Участник с: 17 февраля 2013

Цитата из одного источника

До сих пор остаётся непонятным, что вынудило авторов программы (TrueCrypt) отказаться от её поддержки. Существует версия, что ими заинтересовались спецслужбы, как это было в случае с почтовым сервисом Lavabit. Напомним, что его основатель Ладар Левисон отчаянно сопротивлялся попыткам агентов получить доступ к частной переписке 400 тыс. пользователей. На одном из этапов переговоров агенты потребовали выдать им ключ SSL от сервера, ссылаясь на судебное постановление, которого владелец Lavabit не имел права ослушаться. Чтобы защитить пользователей, Левисону пришлось удалить всю информацию с серверов, включая почтовые ящики пользователей.

Ошибки не исчезают с опытом - они просто умнеют

safocl	# 4 года, 9 месяцев назад
Темы: 122 Сообщения: 1571 Участник с: 08 октября 2015	vasek не используй нюансы шифрования, которые заточены на вход в систему юзера - как пример в том то и дело, я как раз и использую мануальный способ расшифровки, а не при входе пользователя.