LINUX.ORG.RU

[требуется решение] Шифрование?


0

0

Требуется решение, позволяющее загрузить компьютер только с использованием внешнего ключа (например, рутокен или иной носитель). Если при включении ключ не вставлен, то компьютер включиться не должен. Вариант решения хотелось бы такой, который можно применять на ноутбуках. Шифрование разделов? или есть «железное» решение?

★★
Ответ на: комментарий от rapid

> а в чем по вашему бонус внешнего ключа?
не надо помнить пароль

x905 ★★★★★
()
Ответ на: комментарий от rapid

Нашел примерное решение для рабочих станций: http://www.ancud.ru/catalog/ide.html Хотелось бы такое же для ноутбуков.

Прелесть внешнего ключа в том, что его можно хранить у одного человека, а пользоваться компьютером будет другой. Ключик можно хранить в сейфе, и даже если человек заболеет и т.д. (тьфу-тьфу-тьфу), доступ к данным останется. При этом, скомпрометировать железный ключ сложнее.

Плюс, необходимо, чтобы при краже/изъятии/[подставить нужное] даже если диск сняли и подключили к другой машине, данные остались неразголашенными.

Примерно так.

gserg ★★
() автор топика
Ответ на: комментарий от gserg

Плюс, необходимо, чтобы при краже/изъятии/[подставить нужное] даже если диск сняли и подключили к другой машине, данные остались неразголашенными.

Если уж произошла «краже/изъятии/[подставить нужное]», то проще будет «изъять» сразу с ключом. Это даже проще, чем пароли выбивать.

Ximen ★★★★
()
Ответ на: комментарий от Ximen

Ну почемуже? А в друг хулиганы сопрут мой ноутбук, а там куча интимных фото? пароли знаете ли ни кто выбивать в таким случае не будет. Да и ключик врядли прихватят, ежли он был не рядом.

RaDiSt
()
Ответ на: комментарий от RaDiSt

А в друг хулиганы сопрут мой ноутбук, а там куча интимных фото?

Ну так, чтобы зайти, таки, пароль нужен, не? :) Банальная ФС с шифрованием и всё. Ключик лишняя сущность.

Ximen ★★★★
()
Ответ на: комментарий от mclaudt

>Или это независимая аппаратная надстройка?
именно

gserg ★★
() автор топика
Ответ на: комментарий от Ximen

>Ну так, чтобы зайти, таки, пароль нужен, не? :)

ключик нужен только в момент включения - то есть раз в день.

Даже не буду спрашивать о драйверах под линукс.


для остальных программно-аппаратных решений у них есть дрова под линукс и под солярку, помимо офтопика

gserg ★★
() автор топика
Ответ на: комментарий от Ximen

>Банальная ФС с шифрованием и всё.

Вопрос скорее об «изъят компьютер». Разве шифрованная ФСс обеспечит «как бы» отсутствие данных?

gserg ★★
() автор топика

шифрование физического тома LVM посредством dm-crypt (luks). Ключ на флешке, защищен парольной фразой.

Только если защита от кражи, достаточно закриптовать /home теми же средствами dm-crypt+luks просто хорошим паролем, ибо шифрование снижет производительность.

annoynimous ★★★★★
()
Ответ на: комментарий от gserg

Кстати наверняка там оставлен бэкдор для спецслужб. Не могу поверить что их сертифицировали без такой функции. Это был параноик-mode.

mclaudt
()
Ответ на: комментарий от mclaudt

[параноик mode] Наверняка закладки есть.[/параноик mode]. А вариант с виртуализацией с ОС на шифрованном разделе кто нить пробовал?

gserg ★★
() автор топика

Как с физическим доступом? У нас было дурацкое решение для таких целей, даже без шифрования. Вставлялась специальная PCI карта, которая при определенных кондишнах не давала бутаться машние. Все остальное может работать на уровне - не дать загрузить ОС, пушо нельзя ее считать.

vasily_pupkin ★★★★★
()
Ответ на: комментарий от gserg

Найди ближайшую контору в вашей стране, которая занимается ИБ, у них точно будут (ну или накрайняк быстро под вас сделают) такие решения. Халявных нет, хотя бы из-за того, что у каждого вендора железных ключей свой особый велосипедный протокол работы с ними.

vasily_pupkin ★★★★★
()

Самый надежный способ в этом случае - шифровать разделы, а пароль хранить в голове.

Eddy_Em ☆☆☆☆☆
()
Ответ на: комментарий от vasily_pupkin

Это для секьюрности локалхоста подойдет. Флешка может быть скопирована


А я видел флешки с встроенным сканером отпечатков пальцев. Правда лень было спрашивать как он работает, наверное дрова какие нить нужны под вантуз %)

anonizmus
()
Ответ на: комментарий от anonizmus

Разные есть. Первые которые появлялись в продаже требовали дров, недавно видел автономное решение.

gserg ★★
() автор топика
Ответ на: комментарий от gserg

Первые которые появлялись в продаже требовали дров, недавно видел автономное решение.


А как это работает ? Типа вставил флешку - и пока пальцем не провел, она просто не примонтируется (не распознается дисковое устройство ?)

anonizmus
()

Попробуйте покопать в сторону Intel Trusted Platform Module (Intel TPM). На корпоративные ноуты TPM точно ставится очень давно, да и на многие другие тоже. И заточки под токены в бивисе иногда есть, и встроенное шифрование в винчестерах имеется.

Не знаю, как далеко теперь прогресс зашел. Возможно, надо только разобраться, как это включить, если ноут подходящий. Сам не копал. Мне шифрования разделов паролем хватает.

Vit ★★★★★
()
Ответ на: комментарий от vasily_pupkin

Пока что такие бытовые сенсоры не обеспечивают должного уровня безопасности


Да не факт, это при доступе на какой нить серьезный объект или к серьезному терминалу я понимаю типа там сканер не тока отпечатков, а какая нить тепловая карта, пульс, наверное можно и днк плюс сканировать сетчатку глаза, а если у тебя сопрут флешку с личной коллекцией домашнего порно с твоей женой и тобой в главной роли - сомневаюсь что кто-то будет ее расшифровывать, ну и на такую флешку можно взгромоздить все равно криптфс, которую можно смонтировать тока после того как пальцем проведешь, по моему это уже довольно секурная тема )

anonizmus
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.