Шифрование

способы шифрования информации

Список разделов

Описание: Решаем технические проблемы

Сообщение #1 PorNoSloNiK » 02.06.2013, 21:49

Ща виртуалку собрал.

Основная система стоит на полностью шифрованном томе .

Linux в Lunux - как матрёшка, между ними - Tor+polipo
Пашет прекрасно, но пока не отладил.

С общими папками не разобрался ещё.

Хисп (или кто нить кто знает), ты дело имел с встроенным шифрованием файловой системы в Ubuntu ?
достаточно ли оно надёжно?

Или под ним лучше ещё слой шифрования использовать ?
F65.4
PorNoSloNiK M
Автор темы
Сообщения: 1753
Зарегистрирован: 26.01.2013

Сообщение #2 Xisp » 02.06.2013, 22:01

Я не имел, у меня ХР с закрученными гайками.
Не думай, что белочки могут сделать для тебя, думай, что ты можешь сделать для них- Я.
Те, кто готов поступиться свободой во имя безопасности, не заслуживают ни свободы, ни безопасности- Бенджамин Франклин.
Xisp M
Сообщения: 11331
Зарегистрирован: 20.01.2013

Сообщение #3 PorNoSloNiK » 02.06.2013, 22:09

Xisp писал(а) 02.06.2013, 22:01:Я не имел, у меня ХР с закрученными гайками.

XP - хороша, как система ориентированная на пользователя.

Но из нескольких источников (внушающих доверие) я слышал, что как ХР не закручивай гайки, а она сильно дырява (именно для специалистов Майкрософт и их уровня) - то есть граммотный спец обойдёт ваши файрволы, защиты по встроенным в систему лазейкам.

ПО с открытым исходным кодом само по себе уже более надёжно.
Хотя проколы бывают у всех.

Я за Linux, можете меня ругать, но не отступлю :)
F65.4
PorNoSloNiK M
Автор темы
Сообщения: 1753
Зарегистрирован: 26.01.2013

Сообщение #4 Xisp » 03.06.2013, 00:40

PorNoSloNiK писал(а) 02.06.2013, 22:09:(именно для специалистов Майкрософт и их уровня)

Для специалистов такого уровня любая система дырявая.

PorNoSloNiK писал(а) 02.06.2013, 22:09:ПО с открытым исходным кодом само по себе уже более надёжно.

Дырки для взлома искать проще :)

PorNoSloNiK писал(а) 02.06.2013, 22:09:Я за Linux, можете меня ругать, но не отступлю :)

Я не ругаю, ни капли, очень даже за, просто в ХР всё привычно и удобно до безобразия, нигде больше так, как сейчас у меня, не настроить.
Не думай, что белочки могут сделать для тебя, думай, что ты можешь сделать для них- Я.
Те, кто готов поступиться свободой во имя безопасности, не заслуживают ни свободы, ни безопасности- Бенджамин Франклин.
Xisp M
Сообщения: 11331
Зарегистрирован: 20.01.2013

Сообщение #5 Hotaru » 03.06.2013, 01:05

Xisp писал(а) 03.06.2013, 00:40:Для специалистов такого уровня любая система дырявая.
Ну всё-таки не совсем. Хотя если там работают бывшие или будущие(потенциальные) работники спецслужб, то да.
Лоли - цветы жизни
"Это солнечный яд. Золотые лучи. А они говорят: "Надо срочно лечить""
Hotaru
Вечно злой бука
Сообщения: 12402
Зарегистрирован: 04.04.2013

Сообщение #6 au100 » 03.06.2013, 07:53

В ubuntu, да вообще в люнихе есть еще одна возможность шифрования выбранных папок. Попробую рассказать, как создать зашифрованную папку в убунту. точно также она создается в других *nix. Технология одна. В принципе можно зхашифровать весь домашний каталог, можно использовать VLM с шифрованием. но для чайников это немного сложно. Есть один простой способ зашифровать каталог и все (включая каталоги), находящееся внутри, используя технологию EncFS. Причем, к зашифрованной папке не будет доступа даже для root, если он не знает пароль, а только конкретный пользователь может ее прочесть, то есть вы.

Установка EncFS
sudo apt-get install encfs
Созадние каталога, где будет храниться зашифрованная информация, а также каталога, для точки монтирования этой зашифрованной информации. Вот из этой папки монтирования вы и будуте читать расшифрованную инфу. Если вы будете туда писать, то она автоматом зашифруется.
mkdir -p secret mntpoint
зашифруем папку "secret" и укажем, что "mntpoint" - точка монтирования
encfs ~/secret ~/mntpoint
При выборе концигурации(это только первый раз), лучше использовать "pre-configured paranoia mode", для этого нажать "p", а затем Enter.
Потом надо ввести пароль и все. При повторном вас попросят только пароль.
Отключение зашифрованной директории
fusermount -u ~/mntpoint
Подключение зашифрованной директории
encfs ~/secret ~/mntpoint
Но во второй раз у вас не потребуется назначение кофигурации. Вас запросят только пароль. Так что не забывайте его.
au100
Сообщения: 354
Зарегистрирован: 20.01.2013

Сообщение #7 Palych » 03.06.2013, 09:58

PorNoSloNiK писал(а) 02.06.2013, 21:49:Linux в Lunux - как матрёшка, между ними - Tor+polipo
PorNoSloNiK писал(а) 02.06.2013, 21:49:встроенным шифрованием файловой системы в Ubuntu
au100 писал(а) 03.06.2013, 07:53:Есть один простой способ зашифровать каталог и все (включая каталоги), находящееся внутри, используя технологию EncFS.
Представляю себе как все это будет тормозить :blink:
Шифруем образ виртуального жесткого диска с виртуальным линуксом, а в нем еще и шифруем какой нибудь каталог :O Тут ни какая аппаратная виртуализация не поможет :O Тупо в производительность физических жестких дисков будет все будет упираться :cray:
Общество, в котором нет цветовой дифференциации штанов, лишено цели (c) Би
Palych M
Сообщения: 555
Зарегистрирован: 12.02.2013

Сообщение #8 Xisp » 03.06.2013, 15:51

Palych писал(а) 03.06.2013, 09:58:Тупо в производительность физических жестких дисков будет все будет упираться

С чего бы? Все шифры блочные, размер не сильно возрастает. Сколько считывалось бы блоков при нешифрованных данных, столько будет и в шифрованных.
Ну и SSD в помощь, его точно хватит.
Не думай, что белочки могут сделать для тебя, думай, что ты можешь сделать для них- Я.
Те, кто готов поступиться свободой во имя безопасности, не заслуживают ни свободы, ни безопасности- Бенджамин Франклин.
Xisp M
Сообщения: 11331
Зарегистрирован: 20.01.2013

Сообщение #9 au100 » 03.06.2013, 17:23

Представляю себе как все это будет тормозить
с чего тормозить? даже не заметишь.
au100
Сообщения: 354
Зарегистрирован: 20.01.2013

Сообщение #10 Palych » 03.06.2013, 17:27

Xisp писал(а) 03.06.2013, 15:51:С чего бы? Все шифры блочные, размер не сильно возрастает. Сколько считывалось бы блоков при нешифрованных данных, столько будет и в шифрованных.
Ну и SSD в помощь, его точно хватит.
ХЗ... просто мне кажется, что операции шифрования-дешифрирование будет все же идти быстрее в основной ОС, чем в системе, в которой эмитируется работа жесткого диска и процессора с памятью... ну а если сам образ диска зашифрован, то тем более задача оказывается по определению более затратной...

au100 писал(а) 03.06.2013, 17:23:с чего тормозить? даже не заметишь.
Надо пробовать и тестить.
У меня схода не получилось сравнить производительность. Тем более если тупое сравнение производительности реального и виртуального жесткого диска дает уж сильно неадекватные результаты...
Последний раз редактировалось Palych 03.06.2013, 17:32, всего редактировалось 1 раз.
Общество, в котором нет цветовой дифференциации штанов, лишено цели (c) Би
Palych M
Сообщения: 555
Зарегистрирован: 12.02.2013

Сообщение #11 Xisp » 03.06.2013, 17:43

Palych писал(а) 03.06.2013, 17:27:просто мне кажется, что операции шифрования-дешифрирование будет все же идти быстрее в основной ОС, чем в системе, в которой эмитируется работа жесткого диска и процессора с памятью...

Эмуляция то аппаратная. Сейчас проверил, по крайней мере в вмваре с виртуальной ХР х32 на хостовой ХРх64 есть поддержка ускорения AES, в итоге на двух выделенных виртуалке ядрах AES шифруется/расшифровывается со скоростью в 1,5 ГБ/с (на хостовой ОС со всеми 4 ядрами скорость = 3 ГБ/с).
Да да, именно гигабайт, и именно в секунду. По моему, более чем достаточно.
Но это если процессор поддерживает ускорение AES.
Не думай, что белочки могут сделать для тебя, думай, что ты можешь сделать для них- Я.
Те, кто готов поступиться свободой во имя безопасности, не заслуживают ни свободы, ни безопасности- Бенджамин Франклин.
Xisp M
Сообщения: 11331
Зарегистрирован: 20.01.2013

Сообщение #12 Palych » 03.06.2013, 17:52

Xisp писал(а) 03.06.2013, 17:43:Да да, именно гигабайт, и именно в секунду. По моему, более чем достаточно.
Но это если процессор поддерживает ускорение AES.
Прости, но не существует таких жестких дисков, которые могут записывать и читать с такой скорость. (3 ГБайт/с- это рейд массив как минимум из 8 сата3 дисков)
Так, что все упрется в производительность именно дисковой системы, есть у тебя аппаратная поддержка AES или нет (у меня лично нет).
Xisp, чем тестил, средствами трукрипт? А ты создай шифрованный диск в одной и другой системе и именно их тести, что бы увидеть реальную производительность.
Последний раз редактировалось Palych 03.06.2013, 17:59, всего редактировалось 2 раз(а).
Общество, в котором нет цветовой дифференциации штанов, лишено цели (c) Би
Palych M
Сообщения: 555
Зарегистрирован: 12.02.2013

Сообщение #13 Xisp » 03.06.2013, 17:56

Palych писал(а) 03.06.2013, 17:52:Прости, но не существует таких жестких дисков, которые могут записывать и читать с такой скорость.

Именно.

Palych писал(а) 03.06.2013, 17:52:Так, что все упрется в производительность именно дисковой системы,

Опять же именно. И опять же повторюсь, что объём считываемых с диска данных не возрастёт при вложении шифровании в виртуалке на шифрованном хосте. Соответственно скорость дисковой подсистемы не изменится, возрастёт только нагрузка на ЦП.

Palych писал(а) 03.06.2013, 17:52:(у меня лично нет).

Повод брать новый ПК, чтобы 15 раз подряд вложить шифрованный контейнер трукрипта друг в друга и не терять в скорости :lol:

Добавлено спустя 7 минут 41 секунду:
Palych писал(а) 03.06.2013, 17:52:Xisp, чем тестил, средствами трукрипт?

Да, не заморачивясь.

Palych писал(а) 03.06.2013, 17:52:А ты создай шифрованный диск в одной и другой системе и именно их тести, что бы увидеть реальную производительность.

Утилит для тестирования дисков тонет и лень ставить.
Не думай, что белочки могут сделать для тебя, думай, что ты можешь сделать для них- Я.
Те, кто готов поступиться свободой во имя безопасности, не заслуживают ни свободы, ни безопасности- Бенджамин Франклин.
Xisp M
Сообщения: 11331
Зарегистрирован: 20.01.2013

Сообщение #14 Palych » 03.06.2013, 18:16

Xisp писал(а) 03.06.2013, 17:56:Повод брать новый ПК, чтобы 15 раз подряд вложить шифрованный контейнер трукрипта друг в друга и не терять в скорости :lol:
И не только для этого.
Xisp писал(а) 03.06.2013, 17:56:Соответственно скорость дисковой подсистемы не изменится, возрастёт только нагрузка на ЦП.
Это надо тестить. Пока это лишь твои голословные утверждения.
Общество, в котором нет цветовой дифференциации штанов, лишено цели (c) Би
Palych M
Сообщения: 555
Зарегистрирован: 12.02.2013

Сообщение #15 PorNoSloNiK » 03.06.2013, 18:47

Palych писал(а) 03.06.2013, 17:27:ХЗ... просто мне кажется, что операции шифрования-дешифрирование будет все же идти быстрее в основной ОС, чем в системе, в которой эмитируется работа жесткого диска и процессора с памятью... ну а если сам образ диска зашифрован, то тем более задача оказывается по определению более затратной...

А никто и не собирался шифровать виртуальную систему :)
Все манипуляции как раз в основной системе происходят. А виртуальная в итоге получается защищена.
F65.4
PorNoSloNiK M
Автор темы
Сообщения: 1753
Зарегистрирован: 26.01.2013

Сообщение #16 Palych » 04.06.2013, 03:47

PorNoSloNiK писал(а) 03.06.2013, 18:47:Все манипуляции как раз в основной системе происходят. А виртуальная в итоге получается защищена.
Ну тогда эта задача менее ресурсоемкая, наверно. Я вот таким макаром торбраузер запускаю из зашифрованного тома и мощностей хватает. Хотя в твоем случае это ОСь... PorNoSloNiK, когда реализуешь это, отпишись о результатах, интересно как работать будет.
Общество, в котором нет цветовой дифференциации штанов, лишено цели (c) Би
Palych M
Сообщения: 555
Зарегистрирован: 12.02.2013

Сообщение #17 Xisp » 04.06.2013, 16:31

Palych писал(а) 04.06.2013, 03:47:Ну тогда эта задача менее ресурсоемкая, наверно.

Не наверное, а точно. У меня виртуалка со средствами веб разработки стоит на шифрованном разделе. Всё нормально пашет.
Не думай, что белочки могут сделать для тебя, думай, что ты можешь сделать для них- Я.
Те, кто готов поступиться свободой во имя безопасности, не заслуживают ни свободы, ни безопасности- Бенджамин Франклин.
Xisp M
Сообщения: 11331
Зарегистрирован: 20.01.2013

Сообщение #18 PorNoSloNiK » 07.06.2013, 22:50

Значит кому интересно, почитают:)
Руководство для "чайников", более продвинутые пользователи конечно могут делать что-то по своему.

Вобщем такая вот рабочая схема у меня получилась, может ещё не совсем совершенна, но будем постепенно её совершенствовать.

Основа - Жёсткий диск, на котором стоит Kubuntu 12.10 - ставится из коробки (то есть от сюда: http://kubuntu.ru/download)

1) Скачиваете образ, запиливаете DVD и устанавливаете.
На моём стареньком атлоне двухядерном установка занимает 15-20 минут.

2) В процессе разбивки диска - указываем "автоматически с шифрованием LVM по умолчанию" (задаём пароль для монтирования файловой системы).

3) В итоге получается два раздела на диске - 1 - boot (загрузочный маленький раздел, необходимый для загрузки Kubuntu и других систем, если они у вас есть на остальных жёстких дисках) и 2 - полностью шифрованный раздел, в котором и будет установлена ваша операционная система (в данном случае Kubuntu 12.10).

4) Всё остальное делаем по умолчанию. В итоге имеем систему на полностью шифрованном разделе.

5) Вы Загрузили свою систему и если у вас интернет через роутер ( не надо никаких PPPoE или VPN) настраивать - вам повезло. Если для связи с внешним миром необходимо поднять соединение, то поднимаем (в настройке сетевого соединения в меню настройки).

6) Далее нужно обновить систему и приложения до актуальных на данный момент версий, сделать это можно например через "Muon", либо в терминале набрать
sudo apt-get update
sudo apt-get upgrade
придётся ввести пароль для обновления пакетов для получений привелегий суперпользователя, который вы задали в процессе установки системы (не путайте с паролем для монтирования шифрованного раздела).

7) Если ваша видеокарта NVidia (как у меня) то вам нужно установить в системе проприетарные драйвера, сделать это можно из меню "Система-Additional drivers"

8) Далее качаем Tor-Brouser (версия портабл для линукса) http://www.torproject.us/download/download.html.en

9) Распаковываем архив с ТОР-Браузером в домашнюю папку.

10) Делаем символьную ссылку на рабочем столе или в меню (как вам удобнее) чтобы было проще запускать тор-браузер

11) Устанавливаем через "Muon" (или терминал) пакет polipo - это прокси-сервер, необходимый для взаимодействия виртуальной машины с TOR.
sudo apt-get install polipo (вводим пароль)

12) Меняем в файле конфигурации polipo - "/etc/polipo/config" по умолчанию такие строки (это делается с правами суперпользователя):

proxyAddress = "192.168.56.1"
proxyPort = 4545
allowedClients = 192.168.56.0/24
allowedPorts = 1-65535
socksParentProxy = "localhost:9150"
socksProxyType = socks5

Сохраняем изменения в файле config. Обязательно нужно убрать polipo из автозапуска при старте системы.

13) Устанавливаем Virtualbox (виртуальную машину) через "Muon".

14) В виртуалбоксе создаём виртуальную машину с виндовс-7 (как установить windows-7 вы наверняка знаете, установка на виртуальную машину ничем не отличается от установки на реальный компьютер).

15) Загружаем виртуальную машину с windows7 и устанавливаем дополнения к ней (меню "устройства" - установить дополнения гостевой ОС)

16) Устанавливаем на Windows7 необходимые программы и браузеры.

17) В свойствах виртуальной машины настраиваем сетевой интерфейс (выбираем тип) "виртуальный адаптер хоста- vboxnet0"

18) В свойствах Виртуалбокса в настройке сети - виртуальные сети хоста vboxnet0 - оставляем всё по умолчанию ip;192.168.56.1 DHCP сервер 192.168.56.100 и адреса с 192.168.56.101 по 192.168.56.254

19) Во всех браузерах Windows прописываем прокси сервер 192.168.56.1 порт 4545 (такой же как в конфиге polipo).

20) Запускаем Tor и в его настройках (в графической оболочке добавляем строку и ставим галочку на пункте "Запускать прокси при запуске TOR" - "/usr/bin/polipo" сохраняем настройки.

21) всё перезагружаем, запускаем виртуальную машину с виндовс, запускаем Tor (polipo должен запустится автоматом вместе с Tor). Открываем браузер в Windows7 на виртуальной машине и проверяем анонимность соединения открыв страницу : http://check.torproject.org/

Если прошли проверку, то вы настроили систему правильно.


В итоге имеем систему Kubuntu в шифрованной файловой системе в которой на виртуальной машине работает Windows-7 все соединения с ввнешним миром в которой идут только через TOR и исключена утечка вашего реального ip-адреса во вне, плюс в основной системе все данные защищены шифрованием. Windows при таком раскладе работат довольно шустро и при сёрфинге практически незаметна разница с работой винды на реальной машине.

Прошу сильно не ругаться на меня, инструкции писать не умею, но написал как мог, в общих чертах.
Может кому то это поможет или даст направление в деле повышения своей безопасности.
F65.4
PorNoSloNiK M
Автор темы
Сообщения: 1753
Зарегистрирован: 26.01.2013

Сообщение #19 Xisp » 07.06.2013, 23:19

PorNoSloNiK писал(а) 07.06.2013, 22:50:Руководство для "чайников",

Надо оформить и на портал разместить, полезнее будет.

PorNoSloNiK писал(а) 07.06.2013, 22:50:В виртуалбоксе создаём виртуальную машину с виндовс-7

А почему не ХР?
Не думай, что белочки могут сделать для тебя, думай, что ты можешь сделать для них- Я.
Те, кто готов поступиться свободой во имя безопасности, не заслуживают ни свободы, ни безопасности- Бенджамин Франклин.
Xisp M
Сообщения: 11331
Зарегистрирован: 20.01.2013

Сообщение #20 PorNoSloNiK » 07.06.2013, 23:25

Xisp писал(а) 07.06.2013, 23:19:А почему не ХР?

Ну потому что диска с хорошим дистрибутивом XP под рукой не оказалось. :)

Ну прежде чем на портал размещать, может кто из знающих что добавит или подкорректирует, мною ведь опущены многие подробности - это так - в общих чертах, так сказать :)
F65.4
PorNoSloNiK M
Автор темы
Сообщения: 1753
Зарегистрирован: 26.01.2013


Вернуться в Тех.помощь

Кто сейчас на форуме (по активности за 5 минут)

Сейчас этот раздел просматривают: 1 гость