Поксорить (xor) раздел диска

Какой-то странный способ шифрования ты выбрал.

cryptsetup -c xor ...

почему странный? быстро, просто предложишь что лучше?

задача на пару дней зашифровать диск. потом расшифровать обратно. для постоянного использование оно ненужно.

Скрипт ксорящий по 1 байту ненужен

Чтение/запись всё равно будет блоками, так что можно и по 1 байту.

Зачем его вообще ксорить? Потому что кто-то прочитает? Ну тогда он сможет взять дамп твоего диска и расшифровывать его сколько хочет.

Потому что к нам иногда приезжает ФСБ. Они не будут заниматься подбором пароля, попытками расшифровать.

Но могут поискать сигнатуры или текст на диске своими охуенными программами.

Я считаю что ксора достаточно для того чтобы они ничего не прочитали.

Дело в том что раздел 200гб а комп слабый, шифрование AES занимало 4 часа. И упиралось в проц.

Не хочется тратить 4 часа на щифровку/расшифорвку.

Потому что к нам иногда приезжает ФСБ. Они не будут заниматься подбором пароля, попытками расшифровать.

Просто признайся сразу.

P.S.: выше советовали cryptsetup

Мне не нравится cryptsetup т.к. раздел всегда будет шифрован, а комп слабый, будет есть мое ЦП почем зря. А мне нужно раз в год. ФСБшники звонят и предупреждают о визите.

Проверь сначала, что это не лохотрон приезжает.

А не проще ли вообще винт тогда убрать ? :D

ФСБшники звонят и предупреждают о визите

А хоть раз тортик к чаю купили? Чай вообще предлагали? Не могут же ФСБ-шники прямо об этом сказать, положение обязывает. Не нужны им ваши диски вообще.

Кстати, xor'ить достаточно MBR, читаться не будет.

Винт учетный. Комп опечатан. На компе наклейка с серийником винта, который внутри.

ФСБшники звонят и предупреждают о визите.

Какие вежливые и галантные :)

rm /dev/sda

:)

раздел 200гб а комп слабый, шифрование AES занимало 4 часа. И упиралось в проц.

Это - 14МБайт/с. Если комп слабый, то вангую максимальную скорость io около 25MБайт/с, без упирания в проц - это 2 часа. Тебя устроят? Выгодаешь ли ты, что хочешь?

Мне не нравится cryptsetup т.к. раздел всегда будет шифрован, а комп слабый, будет есть мое ЦП почем зря. А мне нужно раз в год.

а потом расшифровать, не?

Возможно, я чего то не понимаю. Все примеры которые я нашел в инете описывают как из чистого диска сделать шифрованный навсегда, а потом монтировать его через мапер.

т.е. насколько я понимаю он не может сделать из нешифрованного диска шифрованный и наоборот.

Если я не прав, прошу ткнуть лицом т.к. неосилил сам.

А я сам не осилил, не знаю. Пусть нас ткнет общественность.

Нужно же просто прочитать блок с диска и записать обратно.

типа: cat /dev/sda2 | xor 255 > /dev/sda2

только команды которая xor делает мне не найти

нашел это: https://github.com/goncalopp/xor-pipe/blob/master/xor.c

буду через него делать но я разочарован что такую простую вещь линух не может из коробки

Это делает програмка на С строчек 15.

почему странный?

Потому, что если твоя инфа кому-то нужна, то расшифровать это - как два пальца. Особенно если «шифровать» вместе с MBR всякими.

Потому что к нам иногда приезжает ФСБ. Они не будут заниматься подбором пароля, попытками расшифровать.
Но могут поискать сигнатуры или текст на диске своими охуенными программами.

Вот мне интересно, а какой ты ожидаешь их реакцию когда они увидят HDD в опечатанном и потенциально рабочем компе и даже не размеченный?

Это все равно что оставить на столе кейс с надписью «не для ФСБ». Я уже молчу про то, что задача «что-то прятать от ФСБ» как бы намекает...

попробуй

cat /tmp/firefox-27.0.source.tar | openssl rc4 > ~/123.112

rc4 «чуть» надежней xor. и очень не требовательно к процу

Как сделать это прямо на /dev/sda1 надо подумать

В таком случае логичней шифровать только содержимое файлов.

Скинь образ раздела на внешний винчестер, спрячь его хорошенько, на компе затри всё нулями и поставь заново операционку, а после ухода маски-шоу верни всё на место.

Меня это мало волнует: «У нас администратор был, но уволился. Это он мне компьютер делал.»

К сожалению openssl -rc4 не катит:

D:\progs\xor-pipe>ls in.txt

D:\progs\xor-pipe>cat in.txt
"qwe"

D:\progs\xor-pipe>cat in.txt | openssl rc4  > out.txt
enter rc4 encryption password:
Verifying - enter rc4 encryption password:

D:\progs\xor-pipe>cat out.txt
Salted__>↑&RЧ'А%Iж?+щYmK
D:\progs\xor-pipe>ls -ls
total 2
1 -rw-r--r-- 1 OS Администраторы  8 Nov 21 13:49 in.txt
1 -rw-r--r-- 1 OS Администраторы 24 Nov 21 14:08 out.txt

а проверь ключ -nosalt должно избавить от префикса

ащ. счас буду велосипед писать.

Так-то они то же могут еще эффективней сыграть с тобой в режим дурочка: не можешь предъявить данные для чтения или ключ расшифровки для получения данных читабельных ты или админ нехороший человек — проедем, разберемся что как и чего.

Ты понимаешь, что чтобы зашифровать 200ГБ диск one-time pad'ом, тебе понадобится хранить 200ГБ ключ?

Если варез - сноси или увольняйся. Если что-то иное - не храни на опечатанных ПК, кроме криптографии используй стеганографию.

Меня это мало волнует: «У нас администратор был, но уволился. Это он мне компьютер делал.»

Ясно. Молод ты и зелен пока, если считаешь, что такое проканает.

Мой тебе совет - держись подальше от дел, которые требуют шифровать что-то от ФСБ.

Необходимо зашифровать раздел диска, простейшим способом,чтобы его нельзя было прочитать. Идеально подходит XOR т.к. быстро.

зачем тебе «быстро»? Узкое место тут — запись на диск. Даже если у тебя SSD. Используй GnuPG, и не парься.

используя только стандартные утилиты?

NoWay. Таким идиотизмом только ты страдаешь.

Я считаю что ксора достаточно для того чтобы они ничего не прочитали.

а где ты СЧ брать для шифрования?

Если комп слабый, то вангую максимальную скорость io около 25MБайт/с

вряд-ли. Скорее поменьше будет.

т.е. насколько я понимаю он не может сделать из нешифрованного диска шифрованный и наоборот.

можно через временный файл:

$ TMP=$(mktemp)
$ gpg  --encrypt  --recipient you --output $TMP /dev/sda
$ cat $TMP  >/dev/sda
$ rm $TMP

200гб случайных чисел можно и из линукса добыть, а вот где хранить ключ и временный образ на опечатаном системнике — вопрос.

понадобится как минимум 1 байт и как максимум 200гб ксор же о.о

Хотелось бы услышать почему не прокатит. Ну висит в компе неразмеченный том 200гб что дальше то?

вообщето я хотел ксорить по 4 байтовой константе...

Ну стоит в кабинете ген. директора сейф, от которого якобы потерян ключ, ну и что?

Самая большая ошибка - считать других людей глупыми.

А ломается XOR на раз-два. Его проблема такова A xor B = C ; C xor A = B , где A - оригинальная инфа, B - пароль, С - зашифрованный текст. Иными словами «пароль» можно восстановить сделав xor зашифрованного текста и оригинального. Оригинальный текст легко узнается так как, если ты шифруешь с FAT, то уйму служебных полей там предельно легко восстановить. Основная фишка всех модных алгоритмов шифрования - чтобы нельзя было восстановить пароль зная зашифрованный текст и оригинальный. XOR в данном случае - эталон ненадёжного алгоритма, по этому критерию его можно помещать в палату мер и весов.

А возвращаясь к закрытому сейфу с потерянным ключом - можно достать автоген (пригнать IT-шника), а можно и применить ректальный криптоанализ классический метод: за 300 зеленых любой клерк сдаст «уволившегося админа». А далее общение с админом, то есть с тобой. И, поскольку бюджет скорее всего будет уже потрачен на клерка, там обойдутся не так ласково, как с клерком.

Как видишь, вариантов масса. Так что беги из той конторы пока не поздно.

200гб случайных чисел можно и из линукса добыть

можно. Но либо это будут плохие и не годные для шифрования числа, либо тебе понадобится миллиарды лет для добычи (PoC попробуй добыть десяток килобайт из /dev/random).

вообщето я хотел ксорить по 4 байтовой константе...

нахрена, если всё равно запись будет занимать всё время? Учти, что запись и вычисления работают параллельно, потом у ты даже ничтожного увеличения скорости НЕ заметишь.

PS: вот тебе: http://linuxforum.ru/viewtopic.php?id=36816

Это если ОЧЕНЬ ХОЧЕТСЯ странного.

а можно и применить ректальный криптоанализ

а если использовать gpg, то ключ можно оперативно уничтожить. И тогда никакой ректальный анализ не поможет.

Ты дважды подумал? Месье любитель острых ощущений? ;)

Ты дважды подумал? Месье любитель острых ощущений?

я трижды подумал. Те данные, за которые могут засунуть паяльник в жопу, я «шифрую» командой shred. А то, что GnuPG шифрую от кражи/потери и т.п., что-бы всякие дебилы не лазали по моим файлам.

Убедил

Хоть тема и стара, но не удержался...

Кстати, xor'ить достаточно MBR, читаться не будет.

Неправда. Если автору нужно защитить данные от сканирования диска, то это совершенно не верно. И xor вполне защитит от любого автоматического сканирования диска на известные «сигнатуры». А вообще достаточно чистить свободное пространство диска, и держать секретную инфу в шифрованных контейнерах, на физических дисках, которые можно легко уничтожить.

только dd, только разврат!