Шифрование данных (ОС + целые разделы)

В топике речь не идёт о создании контейнеров, эта тема совершенно не интересна и давно пережёвана. При работе на любой ОС даже при использовании криптованых контейнеров остаётся куча следов - это браузер(ы), ftp клиенты и т.д. Практика показала, что контролировать в отдельности эти процессы не реально.
По теме: При использовании современных ОС и файловых систем (к примеру Windows 7, NTFS) всё проблематичнее стало создавать скрытую ОС. Т.е. когда была возможность использовать FAT 32 всё было практически идеально с теоретической точки зрения. Например DriveCrypt Plus Pack мог создавать в одном разделе и фейковую и скрытую ОСи. Но теперь, в связи со спецификой невозможности (или нецелесообразности) исползования на новом оборудовании старых ОС, а применимо к ним и тех же файловых систем, нет возможности использовать старые способы шифрования с предзагрузочной аутентификацией и фейковой системой. Хоть TrueCrypt и придумал вариант с разбиением диска на два почти равных по обьёму раздела, но на мой взляд - это уже перебор по замудрённости и пожеранию дискового пространства! В данном случае замудрённость в том, что "типа без палева" при загрузке фейковой ОСи валяется неформатированый раздел эдак на пол жёсткого диска.. Говорить тут об отсутсвии второй систему просто глуповато и может помочь только человеку попавшему в руки очень формальных агрессоров.
Если отбросить не на долго фейк систему, как на мой взгляд более менее интересным вариантом №1 на сей день является DiskCryptor с загрузчиком на отдельном носителе. В его случае на диске уже реально даже и не спрашивается пароль, и появится не фейковая запись (как, например, TrueCrypt), что диск не бутаем и загрузочным не является, т.е. говорить о наличии ОС уже как бы не уместно.
Из минусов: - утеря загрузчика; - наличие самого физического загрузчика как факт..;
№2 тот же TrueCrypt 7, опять же без фейка, на весь диск, но как я понял у него есть проблемы с гибернацией на Win7. И второй минус - провозглашение себя в загрузчике. В принципе чего скрывать, если его можно и так обнаружить, но самостоятельная перерисовка окна ввода пароля подобно DriveCrypt Plus Pack хотябы изначально может помешать подготовиться к анализу диска.


Есть ли у кого свои наработки криптования разделов, возможно с комбинацией различных ОС и файловых систем, которые могут сбить с толку не посвещённого спеца? Желательно конечно в этих комбинациях наличие Windows, так часть лично моей работы очень тесно связана с работой на продуктах Adobe.

http://www.computerra.ru/computer/384096/

Кто-нибудь держит или пробовал ставить нешифрованую Linux и шифрованый windows?

В линуксе например, можно поведение системы заскриптовать в RC-скриптах. Ввел правильный пароль - монтируется один раздел, неправильный - другой. Плюс нативная поддержка шифрованных разделов LUKS в ядре.

Я со скриптами особо не парился, но люксом пользуюсь.

Венду не знаю. Кроме виртуалок ХП на криптованном диске ее больше в глаза не видел года три.

Счас поглядел на федоре, /etc/init.d/functions, в районе 687 строки функция init_crypto() на шелл скрипте. Она спрашивает пароль шифрованных разделов при загрузке и монтирует их. Модифицируй на свое усмотрение и юзай. Возможности ограничены фантазией.

Цитата:

при использовании криптованых контейнеров остаётся куча следов - это браузер(ы), ftp клиенты и т.д.

Портабл версии проблему снимают

Keen писал:

Портабл версии проблему снимают

Не всегда! По дефолту, например, многие портабл версии програм всё хранят в директории пользователя. Это конечно эе всё настраивается, но у портабл проблемы с обновлениями и плагинами.
+ Хотелось бы узнать, кто-то работал с портабл почтой?

Vyacheslav писал:

Не всегда! По дефолту, например, многие портабл версии програм всё хранят в директории пользователя. Это конечно эе всё настраивается, но у портабл проблемы с обновлениями и плагинами. + Хотелось бы узнать, кто-то работал с портабл почтой?

Портабл проги ныне всё хранят в директории установки.Сам юзаю фаерфокс с флешки и никаких проблем с плагинами и обновлениями нет.
Что касаемо почты - до Mozilla Thunderbird 6.0 недавно обновил.Всё как часы работает.И тоже с флешки .Никаких следов в системе не остаётся.

Keen писал:

Портабл проги ныне всё хранят в директории установки.Сам юзаю фаерфокс с флешки и никаких проблем с плагинами и обновлениями нет. Что касаемо почты - до Mozilla Thunderbird 6.0 недавно обновил.Всё как часы работает.И тоже с флешки .Никаких следов в системе не остаётся.

+1 за эти две проги, обе апдейтятся без проблем все в их каталогах на носители. Юзаю доволен.

тоже пользую portable soft: firefox, the bat и прочие мелкие работаю нормально

а вот с продуктами Adobe (photoshop, dreamweaver) глюки, пришлось отказаться от таких portable версий (не глючных найти не удалось)
разве что adobe flash3 без глюков у меня с флэшки работает

А зачем вобще так заморачиваться? Как не закриптуй систему - спецы ее увидят. А обычный юзер не отличит запрос пароля биоса от запроса пароля трукрипта.
Юзай тогда виртуалку с образом на внешнем винте или тот же внешний винт в комплекте с лайв СД.

Проблема виртуалок в том, что они тормозят.Да и как то не очень, сидеть в такой матрешке.

Можно еще посоветовать дедик с рабочей осью и подключаться к ней удаленно и хранить данные там. На трукрипте разумеется.

Цитата:

Можно еще посоветовать дедик с рабочей осью и подключаться к ней удаленно и хранить данные там. На трукрипте разумеется.

С продуктами adobe в терминале много он наделает, ага

Цитата:

№2 тот же TrueCrypt 7, опять же без фейка, на весь диск, но как я понял у него есть проблемы с гибернацией на Win7

sleep юзай Засыпает-просыпаеца точно нормально, нах та гибернация надо ...

Vyacheslav писал:

При использовании современных ОС и файловых систем (к примеру Windows 7, NTFS) всё проблематичнее стало создавать скрытую ОС. Т.е. когда была возможность использовать FAT 32 всё было практически идеально с теоретической точки зрения. Например DriveCrypt Plus Pack мог создавать в одном разделе и фейковую и скрытую ОСи. Но теперь, в связи со спецификой невозможности (или нецелесообразности) исползования на новом оборудовании старых ОС, а применимо к ним и тех же файловых систем, нет возможности использовать старые способы шифрования с предзагрузочной аутентификацией и фейковой системой.

Причем здесь файловая система?

Vyacheslav писал:

В данном случае замудрённость в том, что "типа без палева" при загрузке фейковой ОСи валяется неформатированый раздел эдак на пол жёсткого диска.. Говорить тут об отсутсвии второй систему просто глуповато и может помочь только человеку попавшему в руки очень формальных агрессоров.

Там не будет "неформатированый раздел эдак на пол жёсткого диска".
Проблема в другом, вся plausible deniability накроется медным тазом, если кто-то заметит, что фейковой системой полгода не пользовались. А полноценно пользоваться ей не получится, т.к. нужно следить, чтобы основная система не затерлась данными фейковой (с другой стороны, это как бы фича).

Vyacheslav писал:

Если отбросить не на долго фейк систему, как на мой взгляд более менее интересным вариантом №1 на сей день является DiskCryptor с загрузчиком на отдельном носителе. В его случае на диске уже реально даже и не спрашивается пароль, и появится не фейковая запись (как, например, TrueCrypt), что диск не бутаем и загрузочным не является, т.е. говорить о наличии ОС уже как бы не уместно.

А то, что весь диск забит данных с высокой энтропией никто конечно же не заметит?
Но не спорю, внешний бутлоадер - штука нелишняя, хоть это и полумера (security through obscurity).

Vyacheslav писал:

тот же TrueCrypt 7, опять же без фейка, на весь диск, но как я понял у него есть проблемы с гибернацией на Win7.

Что за проблемы? Можно ссылку?

Vyacheslav писал:

Например DriveCrypt Plus Pack мог создавать в одном разделе и фейковую и скрытую ОСи.

Кстати, не вздумай крякнутым триалом пользоваться.

Vyacheslav писал:

Хоть TrueCrypt и придумал вариант с разбиением диска на два почти равных по обьёму раздела, но на мой взляд - это уже перебор по замудрённости и пожеранию дискового пространства! В данном случае замудрённость в том, что "типа без палева" при загрузке фейковой ОСи валяется неформатированый раздел эдак на пол жёсткого диска.. Говорить тут об отсутсвии второй систему просто глуповато и может помочь только человеку попавшему в руки очень формальных агрессоров. №2 тот же TrueCrypt 7, опять же без фейка, на весь диск, но как я понял у него есть проблемы с гибернацией на Win7. И второй минус - провозглашение себя в загрузчике. В принципе чего скрывать, если его можно и так обнаружить, но самостоятельная перерисовка окна ввода пароля подобно DriveCrypt Plus Pack хотябы изначально может помешать подготовиться к анализу диска.

Зачем что то изобретать?
За последнее время вычислительная способность кластеров растёт, но взлом контейнеров/разделов ТруКрипт брутфорсом всё равно невозможен при использовании абсурдного сложного пароля не короче 24 символов.
Ниразу ещё менты не вскрывали трукрипт прямой атакой!

54m писал:

Ниразу ещё менты не вскрывали трукрипт прямой атакой!

Есть метод, которым очень хорошо взламывается TrueCrypt пароль любой сложности.

Порно (какое бы оно не было - хоть с детьми, хоть с трупаками, хоть с попугаями) не является угрозой нац. безопасности.
Поэтому сотрудники СК и СУ не будут особо стараться что то вскрыть и взломать.
Могут просто приобщить к материалам "данные нах-ся в зашифрованном виде", а суду уже решать использовать это для вынесения приговора или требовать полноценную экспертизу.

Обычно такие дела разваливаются на стадии следствия или сбора улик.

Jet D. писал:

Причем здесь файловая система?

Файловая система как раз в том, что я и написал! Ты процетировал, но не решился прочесть. Заново: "DriveCrypt Plus Pack мог создавать в одном разделе и фейковую и скрытую ОСи" - это для случая с FAT 32. В случае с NTFS он начинает мутить ту же схему, что и TrueCrypt с двумя разделами.

Jet D. писал:

Там не будет "неформатированый раздел эдак на пол жёсткого диска". Проблема в другом, вся plausible deniability накроется медным тазом, если кто-то заметит, что фейковой системой полгода не пользовались. А полноценно пользоваться ей не получится, т.к. нужно следить, чтобы основная система не затерлась данными фейковой (с другой стороны, это как бы фича).

Блин, ну прямо всё наоборот! Как раз это стало возможным в современных версиях. Наприимер в TrueCrypt и как я понял в DriveCrypt Plus Pack 4.х Возможно потому, что системы (как и фейк, так и скрытая) находятся на совершенно разных разделах. Конечно не исключено, что винда полезет на другой раздел, создавать корзину и ещё что-либо, но как раз в TrueCrypt инсталлере как минимум отключается создание подкачки на внешнем разделе.

Jet D. писал:

А то, что весь диск забит данных с высокой энтропией никто конечно же не заметит?

Ну а что в этом криминального? Не спорю, появятся подозрения. Но подозреваемый не значит виновный. Тогда уже диск лучше пустым держать!

Jet D. писал:

Кстати, не вздумай крякнутым триалом пользоваться.

Кряком не пользовался, хоть и не думаю, что там есть разница!
Хотя мнногие пользуют крякнутый годами и всё работает, другое дело, что он может оказаться сам по себе дырявым ;)

Зашифровать диск целиком можно 2мя способами в трукрипте.
Один способ - шифровать раздел, другой - всё устройство.
Второй способо наиболее интересен, т.к. выполнив инициализацию на другом компе уничтожается хедер и ни восстановить, ни взломать уже никогда не получится.

Трукрипт мне нравится для создания контейнеров + Его открытый код. Поэтому периодически юзаю.
Меня в нём всегда кумарило больше всего то, что нельзя было сменитьвид окна ввода пароля в случае, например, загрузки системы. Его способы аутентификациитолько больше привлекают внимание стороннего наблюдателя.

Какая разница какое там окно ?
Главное, что в трукрипте каскадные алгоритмы есть и возможность использования токенов.
Без токена ниодна спецслужба не расшифрует!

Vyacheslav: в схеме с двумя разделами нет ничего плохого.
При необходимости под давлением выдается пароль к внешнему разделу, а его наличие обосновывается находящимся в его начале хоумпроном

Vyacheslav писал:

Блин, ну прямо всё наоборот! Как раз это стало возможным в современных версиях. Наприимер в TrueCrypt и как я понял в DriveCrypt Plus Pack 4.х Возможно потому, что системы (как и фейк, так и скрытая) находятся на совершенно разных разделах. Конечно не исключено, что винда полезет на другой раздел, создавать корзину и ещё что-либо, но как раз в TrueCrypt инсталлере как минимум отключается создание подкачки на внешнем разделе.

Да, тут ты прав.

Vyacheslav писал:

Ну а что в этом криминального? Не спорю, появятся подозрения. Но подозреваемый не значит виновный. Тогда уже диск лучше пустым держать!

если модель угрозы - это исключительно законные способы доступа к криптодиску, то нахрен вообще эти заморочки с фейковой системой. Plausible deniability - это для других случаев. Уголовное наказание за отказ выдачи пароля только в UK есть.

Vyacheslav писал:

Кряком не пользовался, хоть и не думаю, что там есть разница! Хотя мнногие пользуют крякнутый годами и всё работает, другое дело, что он может оказаться сам по себе дырявым ;)

Главное, чтобы для этих "многих "не стало неожиданностью, что 24-битное шифрование щелкается за 5 минут.

Под linux есть варианты с шифрованием всей системы паролем в от 25 символов и помещения загрузчика и раздела boot на флэшку, а если нужен windows то использовать его только под виртуалкой, сейчас производительность систем позволяет

Вряд ли у тебя весь софт купленный, а в ломанном софте куча закладок, да и в лицензионном они тоже могут быть

Любой шифрованный раздел будет виден как подозрительное пространство на жёстком диске

Заебался я!
Почти все начинают петь про какое-то давление и паяльники. Что больше не от кого криптовать данные??? У вас что нет конкурентов или доброжелателей?
По поводу

54m писал:

Какая разница какое там окно icon_biggrin.gif ? Главное, что в трукрипте каскадные алгоритмы есть и возможность использования токенов. Без токена ниодна спецслужба не расшифрует!

Окошко с надписью crypt вызывает подозрение и любопытство, я только это имел ввиду. *Ввод пароля в биосе не говорит о том, что биос закриптован.
По поводу каскадов, не спорю, прикольно, по пиздец, AES хватает с ключём на 128бит (не правило, можно больше)!

Обращение ко всем "криптопаяльникам" и тем, кто обязательно упоминает спецслужбы в подобных топиках!
Все думают о криптографии как какой-то наёбке, скрытности или криминале. Приводят в пример спецслужбы.. Никто не задумывается о приватности личной информации для законного контента. Вы так и мысли свои выплёскиваете не право и на лево, если они не связаны с порно или законом?!! А следовало бы уже ввести за правило защиту личной информации.
Ответ конечно же простой, "наш" человек считает себя всегда умнее других и поэтому начинает заваниватся при виде необьяснимого. Не понимает алгоритмов шифрования - значит гавно всё это!

Vyacheslav писал:

Заебался я! Почти все начинают петь про какое-то давление и паяльники. Что больше не от кого криптовать данные??? У вас что нет конкурентов или доброжелателей? По поводу Окошко с надписью crypt вызывает подозрение и любопытство, я только это имел ввиду. *Ввод пароля в биосе не говорит о том, что биос закриптован. По поводу каскадов, не спорю, прикольно, по пиздец, AES хватает с ключём на 128бит (не правило, можно больше)! Обращение ко всем "криптопаяльникам" и тем, кто обязательно упоминает спецслужбы в подобных топиках! Все думают о криптографии как какой-то наёбке, скрытности или криминале. Приводят в пример спецслужбы.. Никто не задумывается о приватности личной информации для законного контента. Вы так и мысли свои выплёскиваете не право и на лево, если они не связаны с порно или законом?!! А следовало бы уже ввести за правило защиту личной информации. Ответ конечно же простой, "наш" человек считает себя всегда умнее других и поэтому начинает заваниватся при виде необьяснимого. Не понимает алгоритмов шифрования - значит гавно всё это!

Ну а в чём тогда проблема?
Ставишь любой из никсов и чистый виндовс для игр, выносишь /boot/ на флэшку и ставить приоритет загрузки с usb, если флэшка не вставлена то грузится винда, если вставлена то шифрованная система