Полное шифрование HDD

Например в Fedora, для этого есть «галочка».

В suse тоже есть такая галочка, «зашифровать устройство», но она не действует для некоторых разделов и к тому же, при попытке установки пароля пишет «неправильный пароль».

Почитайте.

целиком весь не выйдет. всегда нужен /boot и всегда нужно ядро+{инитрд/инитрамфс} а вот все остальное кроме /boot вполне реально.

Выйдет, достаточно не быть дилетантом.

Выйдет, достаточно не быть дилетантом.

Ну поведай с чего ж ты собрался ядро грузить ?

google://grub2+luks

Вроде оно пока экспериментально, но хауту по поводу мне уже попадалось.

google://grub2+luks

Вроде оно пока экспериментально, но хауту по поводу мне уже попадалось.

И тебя спрошу. Итак исходные данные целиком весь диск зашифрован. Не важно чем и как. Никаких загрузок по сети ибо об этом в исходных не было никаких намеков. Внимание вопрос как ты собрался грузится с целиком полностью зашифрованного диска?

http://lists.gnu.org/archive/html/grub-devel/2011-01/msg00087.html

Загрузчик не зашифрован.

не. ну если и mbr зашиврует, то не справится

Загрузчик не зашифрован.

А где было сказано про mbr? А если ВНЕЗАПНО gpt тогда что?

не. ну если и mbr зашиврует, то не справится

что в фразе «целиком весь диск» (предполагающей не что иное как абсолютно полностью весь диск) непонятно? :)

а зачем всю систему шифровать? какие у тебя там ценные данные? шифруй хомяк да и всё.

>> А если ВНЕЗАПНО gpt тогда что?

Тогда ВНЕЗАПНО GPT-проблемы. Там же GRUB2 ставится в специальный раздел? В чём проблема?

Тогда ВНЕЗАПНО GPT-проблемы. Там же GRUB2 ставится в специальный раздел? В чём проблема?

А проблемы нет… ну почти нет… разве что такая малость что этот раздел будет находится на зашифрованном диске… и чтобы получить доступ к разделу на зашифрованном диске нужно вначале ага ну ты понял

Не надо шифровать весь диск. Ты скачешь из крайности в крайность: от открытого /boot до абсолютно полного шифрования. Достаточно прикрыть /boot, а загрузчик средний злоумышленник не сможет использовать так же легко, как он смог бы поиметь initrd при открытом /boot.

Не надо шифровать весь диск.

Да ты что? А вот ТС хотел

Итак, задача состоит в том, чтобы зашифровать целиком всю информацию на жестком диске

Я уверен, что ТС немного ошибся в формулировке.

Кстати, загрузчик тоже вроде можно зашифровать, но нужен TPM. Правда, я тут уже не в теме, могу ошибаться.

Я уверен, что ТС немного ошибся в формулировке.

Вот поэтому давай дождемся ответов от ТС ;)

Кстати, загрузчик тоже вроде можно зашифровать, но нужен TPM. Правда, я тут уже не в теме, могу ошибаться.

Согласись самое простое и очевидное решение поставленной задачи это незашифрованный /boot. Причем /boot можно ведь и на флешке сделать ;) в таком случае зашифровать можно целиком весь хард.

truecrypt

/thread

Бутируйся с флешки.

Таскай с собой флэшку с /boot или со специально для этого дела небольшим дистром и через kexec. Также может помочь TPM и особо извраощрённые аппаратные конфигурации.

мечтает о TPM шифровании оперативной памяти и шин

Насколько я понял, /boot не содержит абсолютно никакой информации? Размер его не меняется во время использования компьютера? Если да, то всё верно, мне достаточно зашифровать всё кроме /boot.

Насчёт флешки-не вариант.

Шифрование / для чайников (dm-crypt)

Шифрование / для чайников (truecrypt)

В стартпосте забыл упомянуть, True Crypt не подходит, так как не может шифровать раздел с системмой, dm-crypt, насколько я понял, платный.

Дважды 4.2, ты хоть бы по ссылкам сходил, толстячок

man luks

Эти шифрования не помогут против метода «оперативку в жидкий азот»

«оперативку в жидкий азот»

Надёжность метода ни разу не 100%.

Я сходил по ссылкам, спасибо всем за посильную помощь, хоть понял, в каком направлении копать. З.Ы. Про оперативку в жидкий азот отличная шутка, мне нужен высокий уровень безопасности, но не до такой степени. Жаль, что меня приняли за тролля...

ну так необходимо знать ключ шифра, когда информацию снимаешь. Man Криптоанализ.

А кто говорит про троллинг? Вот например.

Я прекрасно знаю, о таких способах, на это и ответил, такой сильный уровень безопасности это уже перебор для меня, а за тролля приняли меня, насколько я понял, «толстячок» это не о лишнем весе.

>Насколько я понял, /boot не содержит абсолютно никакой информации? Размер >его не меняется во время использования компьютера? Если да, то всё верно, мне >достаточно зашифровать всё кроме /boot.

а чтобы бут не подменили попробуй tpm и всё равно ещё можно трояном через сеть.

http://www.grounation.org/index.php?post/2008/07/04/8-how-to-use-a-tpm-with-l...

>как ты собрался грузится с целиком полностью зашифрованного диска?

Очевидно же, нужно записать загрузчик в набортный флеш, например. Или там биос какой.

Очевидно же, нужно записать загрузчик в набортный флеш, например. Или там биос какой.

ну да coreboot было бы круто. да возникает вопрос как обновлять «ведро» в случае залитого в биос «ведра» :) да и не все железо так гладко с coreboot-ом работает…

/boot с вёдрами оставить на корневой файловой системе внутри криптоконтейнера, в биос залить промежуточный загрузчик.

>как обновлять «ведро» в случае залитого в биос «ведра»

Самый тупой способ: допустим, в твоей материнке есть внутренний usb-разъём. Покамаешь на барахолке флешку на несколько мегабайт, припаиваешь туда и устанавливаешь ядро на неё. И весь диск зашифрован.

В качестве успокоения паранойи - флешку брать в переглючателем read-only. В таком виде и жить.

Советующие тут люди напомнили мне http://bash.org.ru/quote/413959

Посмотрите в сторону PGP. Позиционируется как защита почты. Но в опциях есть также возможность шифровать диски и использовать токены.

ну да coreboot было бы круто. да возникает вопрос как обновлять «ведро» в случае залитого в биос «ведра» :) да и не все железо так гладко с coreboot-ом работает…

Так биос и так сам себя обновлять должен уметь (а если не умеет, то ССЗБ). А coreboot, насколько я знаю, обычное линуксовое ядро с диска грузит.