Задачка по шифрованию раздела

Без пароля и ключа? Интересно. Подписался

С чисто логической точки зрения затея не имеет смысла.
Ибо в досягаемости злоумышленника будет находиться ключ.

TPM с часовым механизмом, предоставляющий доступ в заданное время.

Требуется зашифровать несистемный раздел, с возможностью его автоматического монтирования при старте системы, не вводя руками пароль(и не пропихивая его в открытом виде) и не предоставляя ключ. Физического доступа нет) Реально ли такое?

NoWay

Т.е. зашифровать возможно, но потом нельзя будет расшифровать. Никому, даже вам. А чем вы докажете, что вы — это вы? Ведь по вашему условию ни вашего ключа, ни вашего пароля вы не вводили.

Можно зашифровать вашим публичным ключом. Который известен всем. Такой вариант вам подойдёт?

С чисто логической точки зрения затея не имеет смысла. Ибо в досягаемости злоумышленника будет находиться ключ.

имеет. Мой ключ в моём профиле. Но ты всё равно не сможешь расшифровать мои файлы, хотя ключ у тебя есть. За то ты сможешь зашифровать свои файлы для меня, и проверить мою подпись.

Да, через dmсrypt + astrallib делается легко. Погугли...

про dm-сrypt помню, а вот по astrallib ничего путного в гугле не всплыло, если подскажешь куда копать буду признателен!

имеет. Мой ключ в моём профиле.

Грузим single-mode, получаем рута и творим чего хотим.

Грузим single-mode, получаем рута и

отсасываем. Потому что мой ключ у тебя есть, но это только публичный. Ладно, на диске(на моём) есть секретный, но он закрыт паролем, который хранится только в моей голове. Т.ч. открыть — увы, не получится.

Другое дело, что ТС хотел открытие(чтение) без пароля, потому требованиям из первого поста этот вариант не удовлетворяет — автоматически можно только ЗАПИСАТЬ файл(т.е. зашифровать). А вот ОТКРЫТЬ (прочитать) уже нельзя.

Можно сделать наоборот — запретить запись, но разрешить чтение кому угодно. Это ЭЦП называется — тогда ТС сможет смонтировать диск (read only), но такой диск можно создать только с закрытым ключом и со вводом пароля. Тогда ТС защитится от ИЗМЕНЕНИЯ своих данных.

требованиям из первого поста этот вариант не удовлетворяет

Отож. У ТСа так или иначе подразумевается наличие пароля/ключа в паблике, ибо иначе оно не может быть автоматизировано по чисто логическим причинам.

да, в моём нетбуке реализована защита от чтения — для входа нужно ввести пароль, и бекап распаковывается в /home/, который в RAM. Далее бекап делается автоматически, без постороннего усилия обратно на флешку. Для входа нужен специальный ключ(он есть на флешки), и пароль, которым зашифрован этот ключ.

Отож. У ТСа так или иначе подразумевается наличие пароля/ключа в паблике, ибо иначе оно не может быть автоматизировано по чисто логическим причинам.

он может вводить ключ(пароль) ОДИН раз, при первом входе. А далее ключ будет хранится в RAM. (у меня он прямо в $HOME хранится)

он может вводить ключ(пароль) ОДИН раз, при первом входе

Может. У меня есть несколько шифрованных серваков с дропбиром в инитрд, которые можно запускать по сети. Но это не автоматизируется, пароль все равно надо вводить ручками или скриптом, который лежит в открытом виде.

Требуется зашифровать несистемный раздел, с возможностью его автоматического монтирования при старте системы, не вводя руками пароль(и не пропихивая его в открытом виде) и не предоставляя ключ. Физического доступа нет) Реально ли такое?

Ответь сначал на такой вопрос: что ты такого готов делать при входе в систему, что не может сделать злоумышленник?

Пожайлуста:
http://www.howtoforge.com/automatically-unlock-luks-encrypted-drives-with-a-k...

Но это не автоматизируется, пароль все равно надо вводить ручками или скриптом, который лежит в открытом виде.

естественно. И закрывать нет смысла, ибо враг его откроет не хуже, чем сама система.

не предоставляя ключ.

with-a-keyfile

клоунада продолжается.

Будем считать что злоумышленник войти в саму систему не сможет, но неким образом получит доступ к жестокому диску с тем самым разделом)

Физического доступа нет

Кроме как себе он его никому не предоставит

Ключ на флешку, флешку монтировать по UUID

Физического доступа нет

Кроме как себе он его никому не предоставит

т.е. у него есть? А что он пароль не может набрать?

Ключ на флешку, флешку монтировать по UUID

тебе стакан водки, а потом dd if=/dev/sdb of=/dev/sdc bs=4M, и твой ууид у меня в кармане. Вместе с ключом. А ты и не сном ни духом.

Будем считать что злоумышленник войти в саму систему не сможет, но неким образом получит доступ к жестокому диску с тем самым разделом)

Тогда можно разместить ключ на другом жестком диске или вырабатывать его из каких-то серийных номеров устройств и прочей машино-зависимой всячины.

Ну так каждый раз набирать лениво, наверно, это нормально.
Ну, а на счет водки, я не пью, а под описание ТС самое то, унес флешку и все путем в случае чего.

Ну так каждый раз набирать лениво, наверно, это нормально.

если это сервер, который перезагружается раз в месяц — то пароль ввести не сложно(раз в мес).

унес флешку и все путем в случае чего.

да, но её можно легко и быстро клонировать. Т.ч. пароль нужен.

Я просто сказал, что подходит под требования ТС, а ты упертый наркоман. Минусы и так очевидны.

Ну, можно с TPM извратиться. Но зачем? В этом нет никакого смысла

Я просто сказал, что подходит под требования ТС, а ты упертый наркоман. Минусы и так очевидны.

наркоман это ты, т.к. не видишь того, что требования ТСа противоречат сами себе.

да

да, в моём нетбуке реализована защита от чтения — для входа нужно ввести пароль, и бекап распаковывается в /home/, который в RAM. Далее бекап делается автоматически, без постороннего усилия обратно на флешку. Для входа нужен специальный ключ(он есть на флешки), и пароль, которым зашифрован этот ключ.

Можно поподробнее, ничего не понятно. Какой ещё бекап?

если это сервер, который перезагружается раз в месяц — то пароль ввести не сложно(раз в мес).

Т.е. пока админ будет спать, сервер будет лежать? Сервер должен быть доступен сразу после загрузки, вот почему, например, секретные ключи SSL даже крупных сервисов не шифруются, хотя так хочется.

Можно поподробнее, ничего не понятно. Какой ещё бекап?

а если свет вырубится ВНЕЗАПНО? Все мои данные похеряться. Потому _необходим_ бекап, зашифрованный конечно.

Т.е. пока админ будет спать, сервер будет лежать?

упавший сервер — само по себе авария.

Ну и админы могут работать 24/7, если их трое.