LINUX.ORG.RU
ФорумTalks

Шифрование шиФр0ванiе шифRование шифроVание

 , ,


1

2

Собственно, интересно, как часто и для чего на ЛОРе юзают шифрование. И какое ПО.

Я вот использую:
1. ssh и sshfs для администрирования и доступа к удаленной ФС без геморроя с безопасностью. Часто использую аппаратный токен.
2. LUKS Blowfish для шифрования дисков всех моих рабочих станций и ноутбуков. Некоторых серверов.
3. Truecrypt для оффтопика. Обычно весь диск.
4. Шифрованные бекапы в bacula.
5. OpenVPN для доступа в корпоративные и собственные локалочки. Ну и для маршрутизации трафика вон из диктаторского государства.
6. ecryptfs - когда шифровать файлы нужно, но изначально шифрование не было настроено. Обычно только на серверах.
7. keepassx - для паролей.
8. OTR и PGP - для частных бесед.
9. sha256 и md5 для проверки контрольных сумм бекапов и образов. Ну и PGP после скачивания.

Шифрую диски полностью, чтобы никто не подменил файлы и не поставил троянов. Ну и на случай маски-шоу: за видео с понями уже спокойно сесть можно.

Ну и мой любимый стих по этому поводу:
Ехало шифрование через шифрование,
видит шифрование — шифрование.
Сунуло шифрование шифрование в шифрование,
Шифрование, шифрование шифрование шифрование.

OpenSSL юзаю по-всякому

и в своём софте, и по работе, и для шифрования файликов и прочего

Harald ★★★★★
()

Тоньше надо, товарищ капитан.

Deleted
()
Ответ на: комментарий от ktulhu666

Потому что оно действительно Open и удобно для шифрования пары файликов. Я тоже использую OpenSSL для шифрования бакапов, хранящихся на удаленных носителях. Ну и соответственно LUKS на флешке и на внешнем харде. Имею при себе флешку с Tails Linux - это просто удобный дистрибутив + его секретность слегка завораживает. Ну и KeePass использую соответственно. Использую именно его, потому как мультиплатформенно и удобно лично мне.

Promusik ★★★★★
()

1. диски не шифрую, своей железной двери в квартире доверяю, что никто посторонний в дом не проникнет и не украдёт компьютер.

1.1. если ноутбук используется в дороге, где его могут украсть, то вся информация хранится на съёмных накопителях (через SATA - USB переходник) и tmpfs в процессе работы.

2. шифрую бэкапы, перед тем как их залить на всевозможные облака: документы вконтакте, яндекс диск, личная vds. просто от посторонних глаз защищаю свою интеллектуальную собственность. на себя не надеюсь, мои флешки/диски в любой момент могут сломаться, а онлайн-сервисы все сразу не лягут.

3. при использовании публичных wi-fi сетей, в т.ч. если используется мобильный интернет, использую socks5 прокси которая идёт из коробки в ssh. пробрасываю до VDS, а от VDS до дома, дом — всегда конечная точка выхода в сеть.

4. при подключении к чатам по возможности стараюсь соблюдать конфеденциальность, хотя понимаю что не все так делают. ты сидишь в одной конференции с людьми, общаешься, но некоторые из них могут использовать plain-подключение и все разговоры видно MitM. но к счастью, коммьюнити ничего сверхценного из себя не представляет, чтобы было что скрывать. иначе бы все использовали собственный сервер с шифрованием, конечно же.

Spoofing ★★★★★
()
Ответ на: комментарий от Spoofing

Весьма подробно. Извиняюсь за личный вопрос, но тут в одном треде писали, что Вас прицеп отвалился? Так ли это?

ktulhu666 ☆☆☆
() автор топика
Ответ на: комментарий от vvn_black

Если у вас паранойя, то не значит, что за вами не следят.

Fixed

Kaschenko
()
Ответ на: комментарий от Spoofing

свою интеллектуальную собственность

Не ты ли недавно заверял, что совершенно нормально нахаляву пользоваться продуктами чужого труда?

dk-
()
Ответ на: комментарий от dk-

я. и продолжаю так думать. пусть пользуются нахаляву моими продуктами, я не против, другой вопрос, кто ж сорцы даст кроме меня? :)

Spoofing ★★★★★
()

Ну и на случай маски-шоу: за видео с понями уже спокойно сесть можно.

Давай смодерируем ситуацию. Я - сотрудник чего-то там. Ты - обычный линуксоид со сколиозом и плохим зрением, сидишь посреди комнаты на железном стуле, руки за спиной в браслетах. Место действия - следственный отдел, кабинет допроса. Время действия - после 22:00. Я медленно достаю ПР 73 или ПР-К («Контакт») и говорю тебе почти шепотом: «скажи пароль от диска или эта штука (подношу тебе к самому лицу) окажется у тебя в одном месте. А чтобы ты был сговорчивее, сержант Утконосов (120 килограмм мышц) спускает тебе штаны и крепко держит. Что ты выберешь?

jori
()
Ответ на: комментарий от stevejobs

Такие данные хранят на флешке, которая закопана под кривым деревом на N километре трассы, а не дома. И если «они» пришли именно за этими данными, то через пару суток общения расстрел покажется просто божьей благодатью.

jori
()
Ответ на: комментарий от jori

Мне лично интересно что ты будешь делать в такой ситуации когда данные зашифрованы тобой с помощью публичного ключа, а приватного у тебя нет.

wisp ★★
()
Ответ на: комментарий от jori

ну, наверное, пытки уже не применяются? сто лет как это незаконно в правохранительных органах что роисси, что шса (есть patriot act, но чтоб под него попасть надо постараться, и пытки опять же в исключительных случаях а не на общем потоке). Т.е. если ты не собираешься взорвать Москву ядерной бомбой, наверное, всё ок?

stevejobs ★★★★☆
()
Ответ на: комментарий от jori

Ну в такой ситуации я, конечно же, проснусь. А потом буду долго думать, почему мне снился такой извращенский сон...

ktulhu666 ☆☆☆
() автор топика
Ответ на: комментарий от dk-

Дык я у автора драмы и хотел её узнать.

ktulhu666 ☆☆☆
() автор топика

ssh и sshfs

Какие алгоритмы в SSH используешь? Какие ключи?

LUKS Blowfish

Почему не Twofish?

OpenVPN

Какие алгоритмы?

sha256 и md5

Хорошо, но лучше sha512 и whirlpool.

Chaser_Andrey ★★★★★
()
Ответ на: комментарий от Chaser_Andrey

SSH - это ECDSA и RSA (на старых устройствах) с DH. ХЗ, какой там симметричный шифр потом используется. DSA на старых системах.
LUKS - потому что если бы мне важна была бы параноидальная безопасность, то я бы использовал вложенное шифрование.
OpenVPN - всё по дефолту. В DH всегда, конечно.

ktulhu666 ☆☆☆
() автор топика
Ответ на: комментарий от stevejobs

Для начала менты и спецура - две разные штуки. Вкратце как происходит приём, на примере жителя небольшого городка. Ты барыга на рампе. Тебя берут возле магазина, куда ты утром/вечером выходишь за сижками. Пару раз тебя роняют на глазах у прохожих об асфальт, выворачивают руки и надевают браслеты. Через пару часов у тебя затекут кисти и ты будешь умолять послабить их. Омону/беркуту/собру класть на твои права, на декларацию прав человека и остальные писульки. И это ещё меньшая из зол, но обычно умные люди стараются всем видом показать что даже в мыслях не было оказывать сопротивление. А самые умные сами падают на землю, когда видят группу в своем направлении. Вторая группа в это время забирает твой комп, ноут, планшет, мобилку, флешки и другую технику. Дальше тебя везут в РОВД, хороший знак если тебя сразу запишут на проходной. Ну и лучше чтобы, если уж принимают, принимали утром (в том плане, что днем особо не зверствуют. Иногда лучше чтобы вечером, следак уйдет домй и будет время всё обдумать). Никто тебе не зачитает права и не даст позвонить мамке/жене/брату. Тебя сходу будут ломать психологически на признание. Пока один следак пишет протоколы, второй постарается вытащить любым способом признание в кардинге, торговле, съемках в порно и другим. Если молчишь, «да/нет», тогда начнут прессовать слегка. Выбьют стул, приложат книжкой по голове, ПРкой по ноге. Если и тут результата ноль, то ближе к вечеру тебе, совершенно офигевшему от происходящего и потерянному, предъявят обвинение, зачитают права и наконец дадут позвонить. Пока всё это происходит, какой-нибудь продвинутый криминалист загрузится под твоим юзером и прошерстит винт. Если ничего не найдет подозрительного, то тебя, скорее всего подержат пару суток и отпустят на подписку. А вот если находит что-то, то тут начинается самое интересное. Вариант 1: всё зашифровано. Тебя закрывают на 3-15 суток и будут бить пока не скажешь пароль. Бьют по-разному, зависит от смены, от настроения, от аллаха. Примерно одинаково везде бьют током, бьют палкой, противогаз, в редких случаях запускают в камеру пару отморозков в форме и масках. Тут всё зависит от тебя и от нужности добыть инфу с винта. Если инфа нужна очень, если сверху пришел приказ любой ценой, то из тебя вытащат пароль. Вариант 2: диск не зашифрован. Будут бить пока не признаешь что комп твой.

Ну а если ты спалился перед ФСБ/ФБР, то ты просто лошара и вон из профессии. Из тебя достанут воспоминания как ты первый раз в жизни обосрался.

jori
()
Последнее исправление: jori (всего исправлений: 1)
Ответ на: комментарий от ktulhu666

Хорошо если сможешь проснуться. Может быть так, что очень захочется проснуться, а не сможешь, потому что это не сон.

jori
()
Ответ на: комментарий от jori

И что из это? В суде это не будет считаться за доказательства, т.к. они получены незаконным путем. Или не про Москву сейчас говорите?

ktulhu666 ☆☆☆
() автор топика
Ответ на: комментарий от ktulhu666

Когда «очень надо», методы никого не волнуют. Если есть обоснованное подозрение, что ты собрался устроить новую Дубровку (и не по заказу властей), то у тебя не будет прав и свобод, и никакое шифрование тебе не поможет.

Само собой порно от мамки или исходники ядра можно успешно шифровать от яндекса. Но это лол.

dk-
()
Ответ на: комментарий от dk-

Ну тогда нужно использовать электромагнитное уничтожение данных по пульту. Либо удаленное удаление ключа из заголовка LUKS.

ktulhu666 ☆☆☆
() автор топика
Ответ на: комментарий от ktulhu666

Да всем пофиг на твои «незаконные доказательства». Так называемая «Система Правосудия» нифига не правосудия, а репрессий. Пример из жизни. Один мой знакомый имел 2 года условно. В один прекрасный вечер приезжает приезжает его товарищ и говорит мол погнали тёлочек поснимаем на машине, покатаемся. Через неделю за ним приходят. Дают 2 года 3 месяца общего режима, машину угнал тот его друг и приехал к нему. Ну а вообще, народная примета, закрывают на сизо - не оправдают. Про Москву ничего не скажу, я там только проездом пару раз бывал.

jori
()
Ответ на: комментарий от ktulhu666

использовать электромагнитное уничтожение данных по пульту

Лол, вот типичная ошибка параноиков. Они чомусь считают что им позвонят в дверь, представятся и будут ждать. Принимают дома только мамкиных диллеров, которые гарантированно не успеют смыть доб в унитаз. или утром твоя мать пойдет купить сынуле кэфирчика, к ней подойдет сотрудник с ксивой и она людезно пригласит их домой. Пока ты спишь.

Либо удаленное удаление ключа из заголовка LUKS.

Используй USB-ключ на микроСД, её сломать за секунду можно в кармане. Тыжпрограммист, форкни slim, запили там генерацию пароля в зависимости от фазы луны и месячных твоей девушки.

jori
()
Ответ на: комментарий от jori

Стоп, а что за slim? А cryptsetup уже давно поддерживает внешний заголовок или ключ на внешнем носителе.

ktulhu666 ☆☆☆
() автор топика
Ответ на: комментарий от jori

Вот кстати да, запили скрипт, который в зависимости от будет менять тебе пароль от фс. Ео же можно менять на LVM/ecryptfs?

jori
()
Ответ на: комментарий от ktulhu666

Померший менеджер входа. На тот случай, когда они будут ковырять твой пк, а не снимут винт.

jori
()

Алсо, когда-то была идея запилить такую штуку, которая бы анализировала промежутки во времени между нажатиями клавиш и от этого отталкиваясь выполнялись какие-нибудь действия. Например ты говоришь мусору правильный пароль, но введет он его не с твоей скоростью. А значит тихонько удалится какой-нибудь каталог. Но вот как это сделать программно на случай съёма диска я даже понятия не имею. Если переписать модуль ФС, то это ж локально будет работать.

jori
()
Ответ на: комментарий от jori

Для подобной фигни уже давным-давно есть «пароль под принуждением» и теневая ФС/система. Тебе вообще никто не мешает иметь на компе пустую винду, а грузить через флешку с удаленными (в интернетах) iscsi/NFS томами. Против помершего скринсейвера есть скринсейвер от гугла, который вообще имеет процесс, который мониторит основной. Вместо работы на гэбню лучше бы в интернетах подольше бы сидели. Глядишь, и мозг бы самозародился.

Ео же можно менять на LVM/ecryptfs?

LVM тут не причём. В cryptsetup (dm-crypt) и ecryptfs можно.

ktulhu666 ☆☆☆
() автор топика
Ответ на: комментарий от ktulhu666

в интернетах подольше бы сидели

Это глупо. Лучше быть специалистом в чем-то одном. Для обмена опытом и придуманы все эти ббс, чаты, форумы. И я на вашу гэбню не работаю.

jori
()
Последнее исправление: jori (всего исправлений: 1)
Ответ на: комментарий от dk-

Нуу или таким, как Вы. У Вас же два чая на аватарке и Вы постоянно сидите на ЛОРе. Так что Вы точно не лучше меня. :)

ktulhu666 ☆☆☆
() автор топика

Bacula плохо шифрует

Шифрованные бекапы в bacula.

Когда я был моложе Bacula шифровала только содержимое файлов, но точно не их названия и, вероятно, не их размер. Если нужно шифрование на шифровании, то надо тома Bacul'ы размещать на шифрованых файловых системах.

Camel ★★★★★
()
Ответ на: Bacula плохо шифрует от Camel

С того времени ничего не поменялось. Бэкенд - шифрованные ФС или LTO5 с аппаратным AES шифрованием.

ktulhu666 ☆☆☆
() автор топика
Ответ на: комментарий от ktulhu666

В суде это не будет считаться за доказательства, т.к. они получены незаконным путем.

Вылезай из криокамеры.

Pythagoras ★★
()

Ехало шифрование через шифрование,
видит шифрование — шифрование.
Сунуло шифрование шифрование в шифрование,
Шифрование, шифрование шифрование шифрование.

Я за бан.

Klymedy ★★★★★
()
2 апреля 2017 г.
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.