Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

Encrypted FS

6 views
Skip to first unread message

vac...@vobornik.eu

unread,
May 28, 2006, 5:50:17 AM5/28/06
to
Zdravim,
potreboval bych zabezpecit data na root filesystemu tak, aby ani nabootovani
z jineho media (live CD) se nedala cist. ALE aby se pri "normalnim" bootu ze
spravneho kernelu *automaticky* primountoval a byl funkcni. Napadlo me
pouzit nejaky existujici kryptovaci nastroj, ale vsude jsem nasel jen
metody, kdy je potreba zadavat pri mountu rucne heslo - ja bych potreboval
aby mountoval automaticky. Neco jako:

1. load kernelu z necryptovane mini partition
2. mount a decrypt root FS klicem zakompilovanym uz v kernelu

Pokud by nekdo nabootoval treba z live CD, neprecetl by nic.

Existuje neco takoveho?

Diky

Vasek Vobornik

Peter Cernoch

unread,
May 29, 2006, 6:28:17 AM5/29/06
to
Nevim jestli to bude presne ono, ale zkuste se podivat na TrueCrypt

http://www.truecrypt.org/

umoznuje zadat heslo jako parametr nebo pouzit misto hesla
"key file" tj. jakykoliv soubor.
V pripade ze si jej umistite na flash-ku nebo disketu ci CD
tak to nacte a primountuje.

A hlavne - je to multiplatformni.

Jen doufam ze to bude v case stabilnejsi nez puvodni cryptoloop,
ktery po prechodu na jadlo 2.6 byl totalne prekopany - takze ted
nejsem schopny primountovat kontejnery z 2.4. :-(

Petr Pisar

unread,
May 29, 2006, 11:17:24 AM5/29/06
to
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

vac...@vobornik.eu wrote:
> potreboval bych zabezpecit data na root filesystemu tak, aby ani nabootovani
> z jineho media (live CD) se nedala cist. ALE aby se pri "normalnim" bootu ze
> spravneho kernelu *automaticky* primountoval a byl funkcni.
>

> 1. load kernelu z necryptovane mini partition
> 2. mount a decrypt root FS klicem zakompilovanym uz v kernelu
>

Taky doma zamykate a klic schovavate pod rohozku?

- -- Petr

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2.2 (GNU/Linux)

iD8DBQFEexCEuR4f4nEwzHIRArE5AJ9jHZEF81xcjxcn7B+jyPyLAZDVEQCeI0mj
ehNl5FDUU8pGKNxgQEV19zw=
=IdXG
-----END PGP SIGNATURE-----

garabik-ne...@kassiopeia.juls.savba.sk

unread,
May 29, 2006, 11:44:35 AM5/29/06
to
Petr Pisar <petr....@atlas.cz> wrote:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> vac...@vobornik.eu wrote:
>> potreboval bych zabezpecit data na root filesystemu tak, aby ani nabootovani
>> z jineho media (live CD) se nedala cist. ALE aby se pri "normalnim" bootu ze
>> spravneho kernelu *automaticky* primountoval a byl funkcni.
>>
>> 1. load kernelu z necryptovane mini partition
>> 2. mount a decrypt root FS klicem zakompilovanym uz v kernelu
>>
>
> Taky doma zamykate a klic schovavate pod rohozku?

nemusi to byt az tak nezmyselne...
modelova situacia:
citlive audiovizualne data, pocitac na nedostupnom mieste, obcas tam vypadne elektrina => treba
aby nabootoval automaticky a mal zasifrovany fs
kluc sa drzi na diskete, usb kluci alebo v osobitnej miniparticii

pride policia chraniaca autorsky zakon s prikazom na zabavenie servera - admin bude mat akurat
cas na spustenie prikazu co premaze disketu/usb/particiu, a tym padom
bude dokaz nepouzitelny :-)

--
-----------------------------------------------------------
| Radovan Garabík http://kassiopeia.juls.savba.sk/~garabik/ |
| __..--^^^--..__ garabik @ kassiopeia.juls.savba.sk |
-----------------------------------------------------------
Antivirus alert: file .signature infected by signature virus.
Hi! I'm a signature virus! Copy me into your signature file to help me spread!

Petr Pisar

unread,
May 29, 2006, 12:47:40 PM5/29/06
to
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

garabik-ne...@kassiopeia.juls.savba.sk wrote:


> Petr Pisar <petr....@atlas.cz> wrote:
>> vac...@vobornik.eu wrote:
>>> potreboval bych zabezpecit data na root filesystemu tak, aby ani nabootovani
>>> z jineho media (live CD) se nedala cist. ALE aby se pri "normalnim" bootu ze
>>> spravneho kernelu *automaticky* primountoval a byl funkcni.
>>>
>>> 1. load kernelu z necryptovane mini partition
>>> 2. mount a decrypt root FS klicem zakompilovanym uz v kernelu
>>>
>> Taky doma zamykate a klic schovavate pod rohozku?
>
> nemusi to byt az tak nezmyselne...
> modelova situacia:
> citlive audiovizualne data, pocitac na nedostupnom mieste, obcas tam vypadne elektrina => treba
> aby nabootoval automaticky a mal zasifrovany fs
> kluc sa drzi na diskete, usb kluci alebo v osobitnej miniparticii
>
> pride policia chraniaca autorsky zakon s prikazom na zabavenie servera - admin bude mat akurat
> cas na spustenie prikazu co premaze disketu/usb/particiu, a tym padom
> bude dokaz nepouzitelny :-)
>

Spis bych videl jako pravdepodobnejsi moznost, ze admin bude ten
posledni, co se o zakroku muzu zakona dozvi.

Ne ted opravdu: Standardne se to dela tak, ze klic je zasifrovany a po
kazdem rebootu admin musi zadat passphrase nebo je klic uplne nekde
jinde. No a admin prece tu passphrase vysetrvateli nerekne, protoze
nebude svedcit proti sobe.

Navic neni nutne hledat data na disku, staci odposlechnout sitovy
provoz. Takovy 600MB streamy maji charakteristicky tvar v grafu sitoveho
toku a pochybuji, ze data tekouci ven jsou take sifrovana.

- -- Petr
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2.2 (GNU/Linux)

iD8DBQFEeyWsuR4f4nEwzHIRAgk1AKCBRwR7NyY6I75IJM+GhsDxkdPHCgCfdCRR
KTbgo4LfpazyPdIRt15EAF8=
=SJnu
-----END PGP SIGNATURE-----

David Klementa

unread,
May 30, 2006, 3:15:48 AM5/30/06
to
> nemusi to byt az tak nezmyselne...
> modelova situacia:
> citlive audiovizualne data, pocitac na nedostupnom mieste, obcas tam vypadne elektrina => treba
> aby nabootoval automaticky a mal zasifrovany fs
> kluc sa drzi na diskete, usb kluci alebo v osobitnej miniparticii
>
> pride policia chraniaca autorsky zakon s prikazom na zabavenie servera - admin bude mat akurat
> cas na spustenie prikazu co premaze disketu/usb/particiu, a tym padom
> bude dokaz nepouzitelny :-)

...policie da disketu/usb/particiu do ruk odbornikovi, ktery smazana
data obnovi a vy si posedite par let nekde pekne v chladku... ;o)
Myslim spis ze tady slo o to, aby si pripadne ukradeny HDD nemohl nekdo
prehrat na jinem zeleze... ;o)

ilicz

Petr Vileta

unread,
May 30, 2006, 9:17:15 AM5/30/06
to
Uz jste nekdy videl, co udela takovy imobilizer s USB Flash diskem? Myslim
tim takovou tu vec, co nosi nektere zenske v kabelce, je to na baterie a v
pripade pouzit to da ranu nekolik kilovoltu. Zadny odbornik na tom USB disku
nenajde nic jineho, nez totalne sekvarene soucastky :-)
Takze spravny admin by mel mit i tohle "naradi"...
--
Petr

Skype: callto://fidokomik

Na mail uvedeny v headeru zpravy nema cenu nic posilat, konci to v PR*
:-) Odpovidejte na petr na practisoft cz

Juraj Lutter

unread,
Jun 9, 2006, 9:32:29 PM6/9/06
to
vac...@vobornik.eu wrote:
> Zdravim,
> potreboval bych zabezpecit data na root filesystemu tak, aby ani nabootovani
> z jineho media (live CD) se nedala cist. ALE aby se pri "normalnim" bootu ze
> spravneho kernelu *automaticky* primountoval a byl funkcni. Napadlo me
> pouzit nejaky existujici kryptovaci nastroj, ale vsude jsem nasel jen
> metody, kdy je potreba zadavat pri mountu rucne heslo - ja bych potreboval

Riesil by som to cez ``sfs'' a ``pam_sfs''

otis

0 new messages