next »

[unixlust]

Vreau sa criptez intreg continutul harddiskurilor (am doua), dar habar n-am care sunt riscurile pierderilor de date, care va fi scaderea de performanta si care sunt cele mai bune solutii. Mentionez ca am doar partitii ext3 si o partitie swap, procul meu fiind un Celeron 1000 Mhz, am 256 SDRAM, iar harddisk-uri am unul de 20 GB Seagate Barracuda 7200 RPM, si altul 40 GB tot Seagate Barracuda 7200 RPM. Voi ce mi-ati recomanda ?

[~Empathy~]

Nu ai zis ce OS vrei sa rulezi. Daca vrei ca OS-ul sa fie pe o partitie criptata sau nu (ai zis ca vrei sa criptezi tot dar nu vad de ce). Daca folosesti doar *nix (cum ai zis ca ai doar ext3) daca vrei neaparat linux (trist) sau daca orice *nix e bun.

[gheorghe]

Fac pariu ca ai filme porno tari de tot

[unixlust]

Pai acum am Linux, dar in viitorul apropiat intentionez sa-mi pun OpenBSD sau poate FreeBSD (acu n-am OpenBSD decat in VMware ), sau io stiu.. In principiu am nevoie sa citesc partitiile alea din Linux si *BSD, nu cred ca o sa-si faca loc alte *nix-uri la mine pe hdd prea curand, Windows n-am deloc. Daca ma gandesc mai bine, OS-ul nu cred ca vreau neaparat sa fie pe o partitie criptata, tinand cont ca acolo n-am nimic important (doar /etc/shadow, si mai stiu eu ce fisiere cu parole (poate cleartext) nesemnificative), dar daca este posibil ca partitia aia sa fie criptata si ea fara pierderi foarte mari de performanta, as prefera sa fie.

[gheorghe]

Pai vezi tu care e smenu, implementarile de criptare de partitii nu prea sunt deloc compatibile intre sisteme de operare, deci... mai bine nu mai encriptezi deloc Parerea mea, mi se pare inutil.

Ah, si stii ce e si mai tare? Ca implementarile astea sunt susceptibile la schimbari (de exemplu la freebsd scrie in documentatie), deci e posibil sa fii nevoit sa faci backup la partitie si sa o restaurezi in noul format

Dar daca as avea planuri de la submarine nucleare, eu as face un filesystem intr-un fisier, l-as encripta si l-as monta cand as avea nevoie de el, mi se pare cel mai corect.

[unixlust]

Hmm.. am incercat TrueCrypt si merge fain, dar nu e *BSD-compatible din cate vad    Vis-a-vis de schimbarile de care zice gheorghe, sper sa nu am parte de asa ceva. Chiar nu exista solutii cross-platform ?

[~Empathy~]

Dar daca as avea planuri de la submarine nucleare, eu as face un filesystem intr-un fisier, l-as encripta si l-as monta cand as avea nevoie de el, mi se pare cel mai corect.

Asta e o tampenie, eu o sa fac hooking la syscalurile driverului si mi se rupe dupa aia de encriptia ta. De aia o solutie kernel-space e necesara, mai mult chiar, trebuie sa fie integrat in filesystem insasi, nu merge la un fs deja existent.

[gheorghe]

Erm... poti sa faci tu ce carlige vrei, odata montat filesystemul, encriptia este fix 0 oriunde ar fi filesystemul. Iar cand nu e montat, e un blob de date care trebuie decriptat, n-ai ce carlige sa bagi in el.

[pghoratiu]

~Empathy~ daca atacatorul are acces full la compul tau atunci nu prea ai ce sa-i faci, chiar daca ai criptare pe partitie/FS.
Un loopback file ar trebui sa fie mai mult decat suficient pentru nevoi personale si mult mai practic de lucrat cu el.

[unixlust]

~Empathy~ daca atacatorul are acces full la compul tau atunci nu prea ai ce sa-i faci, chiar daca ai criptare pe partitie/FS.
Un loopback file ar trebui sa fie mai mult decat suficient pentru nevoi personale si mult mai practic de lucrat cu el.

pghoratiu, imi explici si mie, te rog, de ce nu mai ai ce sa-i faci daca atacatorul are acces fizic la calculator ? Pai nu tocmai de chestia asta te protejeaza encriptia, de persoanele malitioase care iti fura PC-ul / laptopul pentru a-ti fura apoi datele importante de pe hdd  ?

[gheorghe]

Cred ca pghoratiu s-a exprimat gresit. Daca atacatorul are acces fizic sau remote la calculatorul tau si partitia encriptata e montata si are un user cu suficiente permisiuni pentru a vedea filesystemul montat, e degeaba.

Acestea fiind spuse, nu cred ca vreunul dintre noi are date destul de importante ca sa merite encriptate Daca cineva mi-ar fura laptopul (pe care nici nu-l am) as plange dupa laptop mai mult decat dupa filmele porno... mult mai mult.

[pghoratiu]

~Empathy~ daca atacatorul are acces full la compul tau atunci nu prea ai ce sa-i faci, chiar daca ai criptare pe partitie/FS.
Un loopback file ar trebui sa fie mai mult decat suficient pentru nevoi personale si mult mai practic de lucrat cu el.

pghoratiu, imi explici si mie, te rog, de ce nu mai ai ce sa-i faci daca atacatorul are acces fizic la calculator ? Pai nu tocmai de chestia asta te protejeaza encriptia, de persoanele malitioase care iti fura PC-ul / laptopul pentru a-ti fura apoi datele importante de pe hdd  ?

Primul pas este instalarea de hook-uri (rootkits), sau keylogere hard/soft. Dupa aceea desigur trebuie sa vii tu ca si user nestuitor sa folosesti parola pentru a accesa fisierele iar parola e descoperita.
In momentul de fata nu prea mai poti ataca algoritmul de criptare a datelor, cel mai usor e sa te ocupi de uneltele/implementarile folosite in procesul de securizare al datelor.