Чем паролить флешку?

Юзать аппаратные решения, наподобие iStorage datashur Pro.

Luks, Veracrypt.

не понимаю почему игнориться tomb для шифрования. По-моему очень удобно. Людям обязательно нужно либо полное шифрование диска, либо целой директории. Зачем, когда создание контейнеров гораздо удобнее?

Зависит от целей. Если нужно непременно зашифровать все содержимое, то luks хорошо подходит. Можно еще шифровать не разделы или блочное устройство, а создавать зашифрованный контейнер. Если нужно скрытое шифрование, то только veracrypt.

ssh, https, gpg

не понимаю почему игнориться tomb для шифрования

Так ответ же прямо на главной странице проекта:

Tomb works only on GNU/Linux systems.

Tomb works only on GNU/Linux systems.

я забыл на каком сайте нахожусь

Самый очевидный вариант — LUKS. С его помощью можешь зашифровать либо раздел на флешке, либо создать файл с шифрованной ФС в нём. Как тебе будет удобнее.

Пример с файлом:

fallocate -l 1gb my_encrypted_file # создаём файл размером в 1гб
sudo cryptsetup luksFormat --type luks1 my_encrypted_file # создаём крипто-контейнер
sudo cryptsetup luksOpen my_encrypted_file TEMP # открываем контейнер и создаём на его основе виртуальное блочное устройство
sudo mkfs.xfs /dev/mapper/TEMP # размечаем файловую систему на устройстве (вместо XFS можно выбрать ext4, например)
mkdir temp # создаём директорию для монтирования фс
sudo mount /dev/mapper/TEMP temp # монтируем фс
df -h # убеждаешься, что всё ок и можешь продолжать работать как с обычной директорией

С разделом всё то же самое, просто подставляешь раздел (/dev/sdXn) вместо файла.

Нельзя сказать, что это очень удобно, нов случае потери, об утечке данных можно не беспокоиться.

зип архив с паролем

VeraCrypt. Переносимость в обоих смыслах: и в смысле «кроссплатформенность» и в смысле «переносимость с машины на машину». Что очень удобно.

Недостаток — дефицит доверия (кто-то скажет «паранойя»). То, что VeraCrypt активизировался вскоре после печального и загадочного финала оригинального TrueCrypt, наводит на вопрос: может, там уже из коробки встроен хитрый незаметный бэкдор, благодаря которому авторов не преследуют? Но собственно, такой же вопрос всегда будет к любой программе шифрования…

Собственно, я для себя проблему решил просто. Для рандомного Васи Пупкина (включая банальных шантажистов и коммерческих шпионов малого и среднего калибра) бэкдор с вероятностью 99% не доступен. А вот от товарища майора из ФСБ/ЦРУ/Моссада ни одна программа шифрования не спасёт. Поэтому просто то, чего вы не хотите сообщать товарищу майору — не доверяйте компьютеру. Держите это в голове.

А вот от товарища майора из ФСБ/ЦРУ/Моссада ни одна программа шифрования не спасёт

Да как вы заели уже с этими майорами и прочими…

Заели — не читай. ТС не пояснил, от кого он хочет шифроваться, поэтому необходима классификация угроз.

Заели — не читай.

Классно придумал, молодец! Один мудак ляпнул, а остальные, как попугаи полетели повторять на каждом углу. Да, да, тс точно шифруется от майора, инфа 100%!!!

У меня luks, весьма доволен.

я забыл на каком сайте нахожусь

Бывает. Я тоже забыл, что только linux умеет работать с флешками.

Поэтому просто то, чего вы не хотите сообщать товарищу майору — не доверяйте компьютеру. Держите это в голове.

…пока товарищ майор не применит терморектальный криптоанализ

Товарищ майор тоже имеет место быть, просто даже при внезапной ревизии.

А цель банальна, что бы при утере не каждый первый гопник прочитал файлы с паролями, ссылками, документами. Основное требование - удобность, потом кроссплатформенность и на третьем месте уже стойкость к взлому. При включенном паяльнике думать быстро надо.

Основное требование - удобность

В таком случае весь раздел в TrueCrypt, которого более, чем достаточно для большинства случаев, особенно данного. И паранойя про VeraCrypt мучать не будет и время монтирования быстрее. Да, несколько лишних секунд, но если делать это по несколько раз в день и если еще промазал пару раз по кнопкам, то VeraCrypt будет бесить.

Заели — не читай. ТС не пояснил, от кого он хочет шифроваться, поэтому необходима классификация угроз.

Ну вы хоть поясните, что вы имеете ввиду. А то звучит как присказка, которую все повторяют, просто потому что где-то слышали.

Поэтому просто то, чего вы не хотите сообщать товарищу майору — не доверяйте компьютеру. Держите это в голове.

Я же могу наколхозить шифрование, которое будет выглядеть как полный диск шума, без единого идентификатора, без заголовков LUKS/GPT/MBR и ещё чего угодно. Ключ у меня в голове. Выходит, в ваших словах есть противоречие.

Юзать аппаратные решения, наподобие iStorage datashur Pro.

Закрытая проприетарщина не надёжна, там может быть бекдор. Только программные решения с открытым кодом. Несколько хороших вариантов уже предложили.

SDCard, например, называется так, потому что она Secure Digital.

По каким-то неведомым причинам в mmc-utils патчик добавляющий операции с паролем не принимают, но есть https://patchwork.kernel.org/project/linux-mmc/patch/8BE392D8-E755-4F24-A2FA-251A396988AF@turczak.de/

https://github.com/alcooper/mmc-password-utils

Или даже

https://media-www.micron.com/-/media/client/global/documents/products/technical-note/sd-cards/tnsd01_enable_sd_lock_unlock_in_linux.pdf

Если что, последняя сцылка от производителя.

Не на всех карточках работает, правда. В основном китайский дешёвый шлак либо не умеет, либе его плющит.

Я же могу наколхозить шифрование, которое будет выглядеть как полный диск шума, без единого идентификатора, без заголовков LUKS/GPT/MBR и ещё чего угодно. Ключ у меня в голове. Выходит, в ваших словах есть противоречие.

cryptsetup plainOpen ...

И будет выглядеть, как неформатированный диск. Правда, придется помнить hash, cipher и др. параметры криптования. Ну, как мы это делали в детстве, когда люкса еще не было. :)

Теоретически - да.

Но для кейса «потерял флешку» это норм решение.

Товарищ майор тоже имеет место быть, просто даже при внезапной ревизии.

Тогда надо еще:

1. защищать ключи шифрования если используешь LUKS есть патчи хранящие мастерключ не в оперативно, а в регистрах CPU.

2. Защищаться от буткитов ворующих ключи шифрования. Сидят они в прошивках диска и/или BIOS/EFI.

что бы при утере не каждый первый гопник прочитал файлы

Шифрование защитит, шифровать лучше диск а не отдельные файлы.

Самое главное при работе с шифрованием и не только - держать бекап всех данных. Если шифрование имеет заглавия, например LUKS, необходимо их бекапить также.

что бы при утере не каждый первый гопник прочитал файлы

https://github.com/FS-make-simple/fxor по заранее предусмотренному бинарнику.

Luks, Veracrypt.

Удваиваю этого регистранта. Вроде более простого решения и нет.

GEOM ELI, GEOM GBDE.

Я же могу наколхозить шифрование, которое будет выглядеть как полный диск шума, без единого идентификатора, без заголовков LUKS/GPT/MBR и ещё чего угодно. Ключ у меня в голове. Выходит, в ваших словах есть противоречие.

Нет там противоречия. Ты можешь наколхозить всё, что угодно, но если товарищ майор почему-то подозревает, что это самое у тебя есть, то после ректального криптоанализа сам расскажешь и покажешь. Даже то, чего не было. Поэтому в случае с этим самым майором куда важнее, чтобы он даже не подозревал, что у тебя может быть искомое. Речь велась об этом, как мне кажется.

live usb и mount www
crypto api f2fs зашифровать home

LUKS и только LUKS.

и только LUKS

Почему и только? Вопрос не праздный, но практический.

Учи матчасть, параноик. После того как TC крякнул, провели аудит кода.

И да, если товарищу майору понадобится, ты расскажешь ему ВСЁ.

Держи это в голове.

Просто монтируй там директорию с нужными данными как encfs.

А вообще, если на твоей флешке reiserfs, а не банальный vfat, то уже далеко не каждый первый встречный гопник сможет ее хотя бы подмонтировать...

тор.майор это медведь какой то судя по описанию

Потому что мы на linux.org.ru. Остальное в линуксе немного для галочки.

Остальное в линуксе немного для галочки.

Это шифрование в лине немного для галочки. Не оффтопик. Особой надобности прятать трояны нету.

Твердейше обосновал, в граните отлил, прямо скажем, не для галочки.

Отсутствие нормальных альтернатив доказать сложно, а вот опровергнуть можно одним контрпримером. Справишься?

А у меня вот такой вопрос. Вот нужно мне с флешки, зашифрованной LUKS, скинуть файлы на оффтопик. У меня что-то получится? Ведь, вроде как, LUKS штука линуксовая

Понятия не имею насчёт оффтопика. Но при наличии WSL в системе, почти наверняка сможешь.

Не корысти справляния ради, а токмо волею пославшей мя супруги замечу, что truecrypt и veracrypt есть для линукса тоже, раз уж мы, как тут метко подметили, на linux.org.ru
Но конечно же, можно сказать что только luks, хотя cryptsetup и то и то тоже обрабатывает. Может оно и для галчки, незнаю.

Закрытая проприетарщина не надёжна, там может быть бекдор

Как будто в открытом не может…

Есть, причем именно что справедливости ради. Воткни флешку с LUKSом и флешку с этим твоим велоcrypt в комп с убунтой 14.04, сразу почувствуешь разницу.

в комп с убунтой 14.04

Я предпочитаю Windows 3.11 for workgroups

сразу почувствуешь разницу.

Ну вот это уже откровенный калл понёсся. Ежели на компе я должен делать только то, что хочется вам, но не мне, то зачем мне этот комп?

Оно и видно по выбору средств шифрования.

Потому что ты выберешь те два тепличных условия, где эта маргинальщина будет работать. // К.О.

Потому что…

… с русским языком у тебя плохо. Совсем непониматъ!