Доступен (http://www.saout.de/pipermail/dm-crypt/2017-December/005771....) релиз набора утилит Cryptsetup 2.0 (https://gitlab.com/cryptsetup/cryptsetup), предназначенных для настройки шифрования дисковых разделов в Linux при помощи модуля dm-crypt. Поддерживается работа с разделами dm-crypt, LUKS, loop-AES и TrueCrypt с расширениями VeraCrypt. В состав также входят утилиты veritysetup и integritysetup для настройки средств контроля целостности данных на основе модулей
dm-verity и dm-integrity.
В новой версии обеспечена поддержка дискового шифрования с использованием формата LUKS2, примечательного упрощённой системой управления ключами, возможностью использования секторов большого размера (4096 вместо 512, снижает нагрузку при расшифровке), символьными идентификаторами разделов (label) и средствами резервирования метаданных с возможностью их автоматического восстановления из копии в случае выявления повреждения. Поддержка ранее используемого формата LUKS1 сохранена в полном объёме с обеспечением обратной совместимости. Для преобразования из формата LUKS1 в LUKS2 реализована команда "cryptsetup convert".
В новой версии также представлена поддержка аутентифицированного дискового шифрования (Authenticated Encryption, гарантирует, что блок данных не был модифицирован обходным путём) и контроля целостности данных без шифрования на основе модуля ядра dm-integrity. Для управления модулем dm-integrity добавлена новая утилита integritysetup. Режим аутентифицированного дискового шифрования позволяет совместить защиту данных от чужих глаз и средства обеспечения целостности, как с позиции предотвращения скрытых случайных повреждений информации, так и для блокирования внесения неавторизированных изменений на дисковом уровне.
Среди других изменений:
- Новая реализация функции хэширования паролей PBKDF (Password-Based Key Derivation Function), ориентированная на затруднение проведения параллелизированных атак по подбору пароля по словарю (не позволяет применять GPU из-за потребности в большом размере памяти для вычисления хэша).
- Добавлена опция "--pbkdf-force-iterations", позволяющая самостоятельно выбрать уровень защиты PBKDF, балансируя между затруднением словарного подбора и потреблением ресурсов CPU/потреблением памяти/задержкой при входе.- Возможность использования хэш-функцииа Argon2 (https://password-hashing.net/#argon2) для создания ключей на основе заданного пользователем пароля.
- Поддержка применения встроенного в ядро Linuх хранилища ключей (Kernel keyring) для передачи ключей и паролей доступа к разделу. Поддержка автоматической активации раздела по находящемуся в хранилище ключей токену.
- Поддержка открытия разделов VeraCrypt, в которых используется Personal Iteration Multiplier (PIM).
- Возможность запоминания выбранных для разделов флагов (например, включение TRIM).
- Новая команда "--deferred" которая позволяет пометить устройство для удаления, но произвести удаление после того как оно перестанет использоваться (например, после отмонтирования связанного с ним разедела).URL: http://www.saout.de/pipermail/dm-crypt/2017-December/005771....
Новость: http://www.opennet.me/opennews/art.shtml?num=47728
Так и не смог разобраться во всём этом зоопарке. До сих пор не могу понять, как лучше делать: lvm поверх luks или luks поверх lvm. А теперь ещё и dm-crypt... Вообще не понятно с какого боку его использовать и как он дружит с lvm
Ничего из этого не используйте, лучше шифруйте отдельные файлы/каталоги. LUKS очень любит сыпаться без возможности восстановления, плавали, знаем.
Не так. Лучше делать нешифрованный раздел, а на нём криптоконтейнеры LUKS в файлах. Для удобства можно использовать это: https://git.zx2c4.com/ctmg/about/
> Ничего из этого не используйте, лучше шифруйте отдельные файлы/каталоги. LUKS очень любит
> сыпаться без возможности восстановления, плавали, знаем.юзайте cryptsetup luksHeaderBackup - ничего не пострадает
> Ничего из этого не используйте, лучше шифруйте отдельные файлы/каталоги. LUKS очень любит
> сыпаться без возможности восстановления, плавали, знаем.Можно было остановиться на : "Ничего из этого не используйте.."
Где и у кого он любит %))))
> Ничего из этого не используйтеТоварищ майор, залогиньтесь.
Бред, там нечему сыпаться. Попробуй покупать диски не на AliExpress.
>LUKS очень любит сыпаться без возможности восстановлениянюню. И серверы есть с зашифрованными дисками (centos) и на рабочих ПК с арчем всё пучком уже 10+ лет, несмотря на регулярные подарки от электриков. LUKS хорошка.
luks поверх lvm
наоборот - извращение какое-то )
...ею
Сначало шифруется раздел, а потом на него сажают LVM!
> luks поверх lvm
> наоборот - извращение какое-то )Kak раз-таки извращение - luks поверх lvm! :)
Кому-то больше нравится сверху, кому-то — снизу. Всё нормально.
> Кому-то больше нравится сверху, кому-то — снизу. Всё нормально.*Маководы c вами не согласны!*
Маководы могут по-тихому делать LUKS поверх LUKS или LVM поверх LVM, только пусть не утверждают, что это — норма.
> Так и не смог разобраться во всём этом зоопарке. До сих пор
> не могу понять, как лучше делать: lvm поверх luks или luks
> поверх lvm.Это зависит. Если у тебя один диск, удобнее сделать LUKS прямо на нём. Если дисков несколько, удобнее из них делать PV, а шифровать уже LV.
В каком случае несколько дисков?
Детализируйте.
Оставляй, как тебе предлагает шифровать инсталлятор твоего любимого дистра.
Так инсталятор то и не предлагает вариант. Выбираешь сам.
Ну, раз у тебя дистр для умных, прочти уже арчевики на эту тему (как самую вменяемую документацию), и сам реши.Я юзаю (xfs на (lvm на (luks на (диске)))) как дефолт моего дистра - проблем с дисками нет. Кроме срAн0го раздела UEFI в fat32, который уже 2 раза сыпался и приходилось перегенерировать. Вот уж мерзкая инородная субстанция!
Стоп. Так смотреть что инсталятор предлагает или читать Вики? )))
В том то и дело, инсталятор дает инструменты, а как ты с ними будешь обходится и
в каком порядке это личное дело.
А вот почитать маны перед установкой колнечно не помешает,
а даже приветствуется ))
Читать и смотреть хотя бы сообщения в той ветке, куда отвечаешь. А то какие-то несвязные вопросы получаются.
Или все таки собраться с мыслями и перестать давать не нужные советы?
> Стоп. Так смотреть что инсталятор предлагает или читать Вики? )))
> В том то и дело, инсталятор дает инструменты, а как ты с
> ними будешь обходится и
> в каком порядке это личное дело.
> А вот почитать маны перед установкой колнечно не помешает,
> а даже приветствуется ))проще разумеется ничего не читать, а просто поставить как предлогает дефолтный инсталлятор дефолтного дистра который поддерживает LUKS при инсталляции, как он там это сделает, уже не ваше дело, ваше дело убедится что I/O после этого нае6нется раза в 2 ;) и поставить заново тот же дистр на ext4 без LUKS & LVM, llvm или как там оно называлось...
>[оверквотинг удален]
>> ними будешь обходится и
>> в каком порядке это личное дело.
>> А вот почитать маны перед установкой колнечно не помешает,
>> а даже приветствуется ))
> проще разумеется ничего не читать, а просто поставить как предлогает дефолтный инсталлятор
> дефолтного дистра который поддерживает LUKS при инсталляции, как он там это
> сделает, уже не ваше дело, ваше дело убедится что I/O после
> этого нае6нется раза в 2 ;) и поставить заново тот же
> дистр на ext4 без LUKS & LVM, llvm или как там
> оно называлось...Вот откровение!! Бл... Я столько лет жил неправильно!!
Горе! ))
Вот у меня инсталятор не предлагает ничего. Я выбрал неправильный дистр? )))))))
Напишине об этом тому же Debian.org ))))
> ... ваше дело убедится что I/O после
> этого нае6нется раза в 2 ;) и поставить заново тот же
> дистр на ext4 без LUKS & LVM, llvm или как там
> оно называлось...(приподняв бровь) А вы, надо полагать, LUKS устанавливаете для увеличения IOPS?
а что за дистр, если не секрет?
> а что за дистр, если не секрет?centoso
>> а что за дистр, если не секрет?
> centosoТак нормальные дистрибутивы нужно выбирать.
Типа, выбирай нормальный, т.к. в линуксе нормально - это когда ничего не работает? Нет, спасибо. У меня пусть будет ненормальный, который работает. И никаких просадок iops нет, проверено, если что.Любители искать на жопу приключения пусть продолжают игнорировать документацию и спрашивать в 1024 раз на форуме одно и то же.
1024? Так это человек-рыбка.
Нормальный - этот который дает выбор, а не ставится как хочет!
Что проку в том выборе, если как раз нужный мне параметр выбрать не предлагает _никто_. А именно - тип файловой системы под UEFI-раздел. Можно сколько угодно жонглировать костылями и бредить "выбором", только это всё пустое. Sane defaults рулят, а процесс выбора между двумя стульями меня не заводит.
Спасибо, вот только драйверов ФС в биосах и не хватает.
> Спасибо, вот только драйверов ФС в биосах и не хватает.ясно, спеки uefi разрабатывали высокомерные школьники под руководством эффективных из МС.
Почему то находящиеся рядом ext4 на /boot, и xfs на /storage (это то, что без luks и lvm) не вызывают никаких проблем, однако же fat на uefi разделе постоянно спамит в лог о необходимости fsck, а после проверки крашится.
Нет, ну конечно, раз на хабре храбрые школьники написали, значит "неуиновна". Ну что ж, я рад, что все удовлетворены "грамотными" спецификациями. Это же самое главное - красивые спецификации!
> Спасибо, вот только драйверов ФС в биосах и не хватает.
> https://habrahabr.ru/post/342482/#comment_10523248Это не совсем верная информация. UEFI Specification Version 2.7 ( доступен по ссылке http://www.uefi.org/sites/default/files/resources/UEFI_Spec_... ), раздел "13.3 File System Format":
The file system supported by the Extensible Firmware Interface is based on the FAT file system. EFI defines a specific version of FAT that is explicitly documented and testable.
Conformance to the EFI specification and its associate reference documents is the only definition of FAT that needs to be implemented to support EFI. To differentiate the EFI file system from pure FAT, a new partition file system type has been defined.
...
The definition of the EFI file system will be maintained by specification and will not evolve over time to deal with errata or variant interpretations in OS file system drivers or file system utilities. Future enhancements and compatibility enhancements to FAT will not be automatically included in EFI file systems. The EFI file system is a target that is fixed by the EFI specification, and other specifications explicitly referenced by the EFI specification.
Никто, конечно, не запрещает добавить драйверы для поддержки других ФС. Я даже видел открытые реализации, если не изменяет память.Если конкретному пользователю они нужны, пусть он их и добавляет себе в прошивку.
> Так и не смог разобраться во всём этом зоопарке. До сих пор
> не могу понять, как лучше делать: lvm поверх luks или luks
> поверх lvm.Тут нет лучше-хуже, у этих способов разные характеристики и как делать зависит от того что тебе нужно и как тебе удобнее.
> А теперь ещё и dm-crypt... Вообще не понятно с
> какого боку его использовать и как он дружит с lvmLUKS реализован с помощью dm-crypt, считай что это одно и то же
А чего потратить 15 минут личного времени и прочитать хотя бы Вики?
Шифруйте весь диск целиком вместе с /boot. grub умеет грузится с luks разделов.
lvm так вообще не особо нужен, часто разбивку меняете ?
В теории ДА, но затрах..ся в натуре делать.
> lvm так вообще не особо нужен, часто разбивку меняете ?Каждый раз, как ставлю без lvm, потом бешусь, что решил потакать своему ОКР и исключил якобы ненужную прослойку. То корень требуется расширить, то /var отпочковать, то storage от home отпочковать, то под виртуалку выделить чистый раздел (кстати пришел к выводу, что это для рабочей станции непрактично, лучше использовать образом в файле, а не томе lvm, но это оффтоп) - и без lvm это лишний геморрой, с lvm намного меньше.
Что в LVM смущает, так это то, что он провоцирует сборную солянку, при которой если один из винтов навернулся - вместо того, чтобы восстановить только его содержимое (а то и просто заменить и тихо перекачать торренты) придётся из бэкапа тащить всё.
> Что в LVM смущает, так это то, что он провоцирует сборную солянкуа в zfs/btrfs ты тоже собираешь том из нескольких не-redundant vdev?
безумству храбрых - венок со скидкой.
Никто не мешает ни держать по отдельному lv на каждый pv, чтобы они наворачивались поштучно, ни cобрать зеркало/raid любой мощности внутри группы.
В lvm лично меня смущает что он отдельная прослойка, имеющая свойство рушиться отдельно от нижележащей fs и вышеустановленного шифрования (которые и сами по себе в любой момент могут порадовать крэшем), и восстанавливать это почти невозможно.
Нет. Я ж не ынтырпрайз. Просто держу отдельные XFS-разделы и по возможности раскладываю на них данные по каким-то логическим группам. Простота восстановления (из бэкапа или из внешних источников) - один из критериев. И, опять же, поскольку это домашнее железо и время восстановления или постоянная доступность не критичны - никаких рейдов там не было и не будет. Лучше в бэкап лишний диск сунуть.
> Лучше в бэкап лишний диск сунуть.а смысл переводить киловатты и терабайты на такой бэкап? (который дома чаще всего и развернуть-то некуда, поэтому всегда сомневаешься в его жизнеспособности)
В 2way mirror смысл простой - если он _правильно_ сделан (кто сказал dm? Убивайте, пока маленький!) он дает 2x ускорение по чтению при небольшой потере при записи. (с raid5 и особенно 6 все не так солнечно, но хороший контроллер все еще позволяет получить заметно больше чем с единичного диска)Ну и да, это домашнее железо, мне не только не платят зарплату за беготню вокруг дохлого диска, но еще и, пока не восстановишь, не получится немножечко май...ой, немножечко заработать на других лoхах, if any. Вдвойне обидно.
Так, подождите, какую формулу вы предлагаете? Сейчас уже поздно, хочется спать, не могу распарсить, но интересно. Если я правильно улавливаю: что вместо md?
> Так, подождите, какую формулу вы предлагаете?я никакой не предлагаю, мы тут уже в сторону от темы криптсетапов ушли - у меня дома нет настолько важных врагам данных и в таком объеме, чтобы тотально шифровать диски. А вот их содержимое мне было бы крайне обидно потерять, поэтому raid малехо есть. (кстати, враги нанесут мне максимальный ущерб, тупо сп..в носители)
Если бы я торговал в розницу хмурым и cp оптом, обошелся бы встроенным шифрованием ленововского ноута. Сервис центр в свое время развел руками, если и есть там такие приборы, обычному майору о них не расскажут.
Если торгуешь хмурым уже оптом, или финансировал избирательную компанию Трампа и под тебя копают одновременно ФБР, АНБ и ФСБ, и непременно с линукса - вероятно, использовал бы ext4 over dm. Если линукс не обязательное требование - geli+zfs, этому набору я доверяю в значительно большей степени (и на предмет не превращения контактов нужных людей в тыкву в том числе).
Позиция ясна - МНЕ НЕЧЕГО СКРЫВАТЬ ))
Шифрование зло ))
> я никакой не предлагаю, ...отыменна (с)
если с бэкапом не чудить, а тупо делать rsync - никаких сомнений в работоспособности. если винт засбоит - увижу, если рсинк отвалится - письио не придёт. Скорость чтения и записи тоже не особо важна. А всей беготни кругом в случпе чего - воткнуть диск, разметить и тот же rsync в обратную сторону. затрат моего времени и получаса не будет.Да, если что - бэкап - имеется в виду на отдельно стоящую железку.
> никаких сомнений в работоспособностипара секторов с чем-то важным, но не обновлявшимся уже не читаются - но "никаких сомнений".
> А всей беготни кругом в случпе чего - воткнуть диск, разметить
поставить и настроить систему (с крипто еще отдельно потрахаться, и чем сложнее выбранный механизм, тем дольше)... в общем, не на полчаса тут возни, не на пол-часа.
А с рейдом - дохлое или просто подозрительное выдернул, бросил в ящик с надписью "дискеты", новое воткнул, через день вспомнил - проверил что подцепилось и ссинкалось.
> Да, если что - бэкап - имеется в виду на отдельно стоящую железку.
которая вечно жрет электричество, жужжит и греется. (или которую надо не забывать вкл/выкл)
в общем, не вижу явного смысла в лишних сущностях дома.
Может, и бывает такое, что при абсолютно чистом SMART вдруг "пара секторов перестаёт читаться". Но ни у меня. ни у знакомых не было, специально интересовался. Меня такие шансы устраивают. Плюс самое важное в облаках ещё хранится. Всё там держать - дороговато стало, как отменили анлим Амазона.Поставаить и настроить систему? Ну да, там часа два уйдёт - разметить, накатить базовый образ, выдрать из бэкапа /etc и /var/lib/portage/world, сказать emerge @world и уйти спать. Система у меня летит максимум раз в пять лет (реже, наверное) - не проблема, мягко говоря.
Мелкий бэкап-сервер ничего лишнего не жрёт (и умеет отрубать винт) и отлично решает проблему "вчера что-то снёс, сегодня опомнился", а это случается несколько чаще, чем умершие винты, во всяком случае, у меня.
> Может, и бывает такое, что при абсолютно чистом SMART вдруг "пара секторов перестаёт читаться"Пока не попробуешь именно эти прочитать - он и будет чистым. А когда не прочитаются - depends ;-)
Ну и гуглодок тебе на закусочку: http://research.google.com/archive/disk_failures.pdf
(он немного устарел, но общий вывод не изменяется последние десять лет - сообщения смарта не имеют никакой корелляции с внезапным превращением диска в тыкву. _изменение_ этих сообщений - имеет, но его можно не успеть увидеть)> emerge @world и уйти спать
даже так все плохо?
а работа, которую ты собирался делать, еще недельку подождет? Ну, в этом случае, понятно, можно ничем не заморачиваться.мне хотелось бы от домашней системы совершенно другого - она может стоять месяц, но когда мне понадобилось что-то где-то сделать - она должна работать, а не ой, диски отвалились.
случайно что-то удалить на домашней системе, где никто кроме меня не лазит - мне ни разу не удавалось. Наверное, автоснапшоты от такого бы вполне спасли, но я в них большого смысла не вижу, а в моем варианте они получаются небесплатными.
У меня LUKS поверх сырого диска, а внутри обычная GPT с разделами либо, для системного диска, сразу BTRFS. С GPT приходится выполнять дополнительную команду для того чтобы можно было монтировать отдельные разделы, но работает больше года без проблем.
> У меня LUKS поверх сырого диска, а внутри обычная GPT с разделами
> либо, для системного диска, сразу BTRFS. С GPT приходится выполнять дополнительную
> команду для того чтобы можно было монтировать отдельные разделы, но работает
> больше года без проблем.Ах да, ESP раздел с grub, четырьмя модулями для расшифровки и конфигом в 300 байт на отдельном незашифрованном разделе на флэшке. Всё вместе четверть мегабайта. Всё остальное зашифровано.
> До сих пор не могу понять, как лучше делатьлучше всего GEOM_ELI и не парить мозг.
как известно, "FreeBSD - лучший Линукс".
>> До сих пор не могу понять, как лучше делать
> лучше всего GEOM_ELI и не парить мозг.
> как известно, "FreeBSD - лучший Линукс".Это которое на i5 c AES-NI и AES-XTS 128 aж под 300 МБ/с выдает?
> "FreeBSD - лучший тормоз"fix
Ставь Ubuntu и делай что она говорит.
Ага, вот только инсталлятор Ubuntu не умеет в шифрование диска целиком, только хомяк можно зашифровать. А если паранойя мучает и нужно зашифровать всё к чертям, то достаётся воот такой бубен: https://help.ubuntu.com/community/ManualFullSystemEncryption
Значит не надо тебе, мал еще.
Лучше loop-aes.
> До сих пор могу понять, как лучше делать: lvm поверх luks или luks поверх lvmLVM ненужен. Зеркало mdadm-ом, потом luks и на нем обычные разделы.
> Для преобразования из формата LUKS1 в LUKS2 реализована команда "cryptsetup convert".Но размер сектора при этом изменить не получится, я правильно понимаю?
>> Для преобразования из формата LUKS1 в LUKS2 реализована команда "cryptsetup convert".
> Но размер сектора при этом изменить не получится, я правильно понимаю?скорей всего нет, это при форматировании ручном, в инсталляторах я такой фичи нигде не видел. за исключением дефолтного инсталлера фри пожалуй ;)
> - Новая реализация функции хэширования паролей PBKDF (Password-Based Key Derivation Function),
> ориентированная на затруднение проведения параллелизированных атак по подбору пароля
> по словарю (не позволяет применять GPU из-за потребности в большом размере
> памяти для вычисления хэша).За видяхи обидно :D. На современных гигабайты памяти (а на профессиональных так и пара десятков гигабайт бывает). Неужто не хватает..? :)
>Неужто не хватает..? :)Хватает, но видеопамять потому и видео, что предназначена для графической информации, а не обычной.
Давно уже нет
Память это память. Её без разницы какие байты хранить.
АМДшных карт не касается. Авторы видимо не вкрусе, но современные АМДшные ГПУ(по краней мере в ОпенЦЛ) автоматом лезут в оперативку, если видео памяти недостаточно.
Никто не занимается оптимизацией, щас модно быдлoкод.
>> - Новая реализация функции хэширования паролей PBKDF (Password-Based Key Derivation Function),
>> ориентированная на затруднение проведения параллелизированных атак по подбору пароля
>> по словарю (не позволяет применять GPU из-за потребности в большом размере
>> памяти для вычисления хэша).
> За видяхи обидно :D. На современных гигабайты памяти (а на профессиональных так
> и пара десятков гигабайт бывает). Неужто не хватает..? :)А вы почитайте про архитектуру современных видюх, хотя бы в общих чертах, и внезапно выясниться что имея гигабайты памяти на борту конкретному ядру доступны килобайты\мегабайты памяти.
Или можете просто утешать себя что параллельные вычисления на gpu на порядки быстрей чем на cpu.
А вот такой вопрос: я на vps храню конфиги и ключи openvpn в шифрованном контейнере, если я расшифровал и смонтировал его, то админ vps может просматривать его содержимое? Если да, то как этого избежать?
> А вот такой вопрос: я на vps храню конфиги и ключи openvpn
> в шифрованном контейнере, если я расшифровал и смонтировал его, то админ
> vps может просматривать его содержимое? Если да, то как этого избежать?да, яаа - МОГУ!
никак, куда ты от меня денешься-то? Даже когда ты вводишь свой суперсекретный пароль, я уже в этот момент могу его перехватить.
Шифрование зло!
Все под колпаком. И ТЫ тоже!
Только железо с амд-шной шифрованной памятью и подобным спасёт
> Только железо с амд-шной шифрованной памятью и подобным спасётэто только от соседа-васи, проломившегося в гипервизор, может спасет.
А от меня не спасет, штатные интерфейсы никто не отменял. (буду я еще память вручную читать и разбираться где там порнуха, где пароли от нее, больно надо)
Правильно! Ничего не спасет.
Лапки кверху. Шифрование зло!
> Правильно! Ничего не спасет.
> Лапки кверху. Шифрование зло!на впс на чужом сервере? безусловно.
Перевод невосполнимых ресурсов планеты на имитацию безопасности.первое, что я сделаю, если мне есть что скрывать - сныкаю это на железке под моим контролем и с надежной защитой от физического доступа. А уже потом буду думать, что и как тут шифровать, и надо ли это делать вообще. Возможно, рва с крокодилами и автоматических огнеметов и без того будет достаточно, а данные потерять не хочется.
Т.е. у всех окружающих такая же жизненая ситуация и модель угроз как у вас?
Ну тогда все человнечество должно прислушаться к вашему мнению.
вы опять разговариваете с воображаемыми друзьями.
Я, в отличие от вас, отвечал на вопрос инициатора треда, "модель угроз" он сформулировал чётко. Ему - от злонамеренного "одмина" - не поможет. Еще и навредит, засветив, какие именно он выбирает пароли. Еще и не только ему, а и в соседнюю vps через известные методы атаки может утечь.В других случаях - возможно, поможет. А возможно найдутся решения попроще и поэффективнее.
У меня друзей нет. А в треде переобулись, а вы и не заметили.
А что там с форками легендарного TrueCRYPT? Они еще живые или все подохли?В википедии например: https://ru.wikipedia.org/wiki/TrueCrypt
Нашел в ссылках вот такого продолжателя: https://truecrypt.ch/
Но там в блогах 1.5 года ничего не писали, видимо проект сдох.
Еще нашел вот такое: https://www.veracrypt.fr/en/Home.html
Но там какой-то левый сайт, сделанный на коленке... Но вроде прога развивается. Не знаю. Какие еще форки есть, или это лучшее из живого?
Кстати, есть вообще смысл этого добра в Linux, когда есть GPG?
как бы разные сценарии использования
Некромант?
Смотри - ZuluCrypt
# device-mapper table хранит всю информацию, включая ключ шифрования
dmsetup table DEVICE > file# Использование сохраненной table
cat file | dmsetup create DEVICE# раньше, в целях безопасности, можно было удалить устройство сразу после монтирования
dmsetup remove DEVICEНо, с некоторых пор - это не так: в случае взлома, кражи учётных данных и т.п., злоумышленник спокойно сольёт табличку и всё...
Кто-то скажет, что если есть root доступ - можно скопировать расшифрованные файлы из примонтированного LUKS. Это не всегда возможно - обём/скорость/... А вот нагрянувшие маски-шоу вполне себе поимеют инфу с изъятого диска, когда табличка уже у них в руках.
>[оверквотинг удален]
> # Использование сохраненной table
> cat file | dmsetup create DEVICE
> # раньше, в целях безопасности, можно было удалить устройство сразу после монтирования
> dmsetup remove DEVICE
> Но, с некоторых пор - это не так: в случае взлома, кражи
> учётных данных и т.п., злоумышленник спокойно сольёт табличку и всё...
> Кто-то скажет, что если есть root доступ - можно скопировать расшифрованные файлы
> из примонтированного LUKS. Это не всегда возможно - обём/скорость/... А вот
> нагрянувшие маски-шоу вполне себе поимеют инфу с изъятого диска, когда табличка
> уже у них в руках.Шифрование используется только против спецслужб и полиционеров?
Выключение питания нынче вообще не в тренде?
>>нагрянувшие маски-шоуВсё - поздно пить Боржоми :(
Ты в шоколаде пока интересанты тебя не видят. Напрочь.
>Выключение питания нынче вообще не в тренде?Тебя попросят включить обратно и ввести пароль.
Возможно даже _горячо_ попросят :)))
ЗЫЖ у трукрипта были скрытые контейнеры ... но кому надо про них тоже знает, что ты только коллекию пи*ек шифруешь - могут и не поверить :)
Когда вы уже устанете страшилки одни и теже рассказывать?
Вот сколько шифрование существует, столько х..ню эту пишете..
После включения питалова, может вдруг оказаться что пароль
нЕкчему и нЕкуда будет вводить!
> После включения питалова, может вдруг оказаться что пароль нЕкчему и нЕкуда будет вводить!в смысле, сработает система самоподрыва или впрыска иприта в помещение?
(не советую использовать зарин и другие более современные дешевые заменители - эффект не тот...собственно, он прямо противоположный желаемому)В остальных случаях ты можешь сильно расстроиться от того, что паяльник-то. в отличие от пароля, будет и куда, и кому ввести.
Вот, например, несколько бородатых любителей телеграмма в питере - уже во всем сознались. Был ли у них при этом на самом деле телеграм, или товарищ майор его с собой на флэшке принес и именно ради него все и затевалось - дело темное. Партия сказала - надо - значит, будут любить и петь об этом песни в любом случае.