-
LUKS (шифрование в Linux)
Современные дистрибутивы Linux предлагают при установке зашифровать диск вместе со swap-файлом с помощью LUKS + LVM. Теоретически надежность такой защиты ограничивается устойчивостью пароля к бруту, поскольку алгоритмы шифрования достаточно надежные. Пароль пользователя не является ключем шифрования, ключ шифрования хранится в заголовке вместе с алгоритмом шифрования и криптографической солью. Исходный код ПО доступен и распространяется свободно.
Алгоритм можно представить в таком виде:
1) Пользователь вводить пароль, к нему добавляется соль, происходит хэширование.
2) Если хэш совпал с тем, который хранится в заголовке, значит запускается расшифровка диска.
Почему нельзя использовать открытый код и изменить алгоритм, чтобы пропустить проверку хэша и расшифровать данные с помощью ключа, на доступ к которому пользователь вводит пароль?
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Разобрался как это работает и понял, что спрашивал бред Пользователь задает пароль на расшифровку ключа. Без ключа нет доступа к данным. Шифрование лежит ниже уровня файловой системы. Если шифруется система полностью, swap находится на LVM разделе. Угрозы у такой системы всего две - слабый пользовательский пароль и доступность данных (в том числе главного ключа) во время работы машины. Если злоумышленник владеет программированием и ему доступен /boot раздел на какое-то время, возможно записать вводимый пароль программно. Пароль также можно подсмотреть с помощью скрытого видеонаблюдения. Открытая реализация AES-256 (используется по умолчанию) достаточно надежна и взломать её не получится. Я не много доработал сиситему и внутри Linux развернул виртуалку с Win 7. Через общие папки удобно работать с документами. В Win 7 работает сканер и принтер. Еще один важный момент, криптованная машина чувствительна к сбоям HDD, а это чревато полной потерей всех данных. Я использую rsync для регулярного копирования всей информации на два криптованных (тем же luks) внешних носителя.
-