» »

Nov članek: Vzpostavitev v celoti šifriranega sistema na Ubuntu Feisty

Nov članek: Vzpostavitev v celoti šifriranega sistema na Ubuntu Feisty

Slo-Tech - V prejšnjem članku o šifriranju nosilcev podatkov v okolju Linux in Windows smo si ogledali kako kako šifrirati nosilce podatkov - razdelke trdih diskov in USB ključev virtualne razdelke in vsebino CD/DVD enot.

Z uporabo opisanih postopkov podatke na šifriranih razdelkih sicer šifriramo, problem pa se pojavi, ker ostanejo kopije nešifriranih podatkov v medpomnilniku (swap, cache, v raznih začasnih datotekah (tmp) oziroma ostanejo sledovi uporabe datotek v raznih datotekah beleženja aktivnosti. Šifriranje zgolj nekaterih datotek ali zgolj nekaterih razdelkov zato včasih ni dovolj, saj je do občutljivih podatkov (ali vsaj do dela njih) mogoče priti po drugi poti.

Rešitev proti temu je šifriranje celotnega sistema. Izraz pravzaprav ni povsem natančen, saj ne šifriramo čisto vsega (npr. RAM pomnilnika), pač pa "samo" podatke na trdem disku. Ker moramo sistem vseeno nekako zagnati, mora ostati vsaj delček sistema - zagonski razdelek- nešifriran, šifrirani pa so korenski, domači in ostali razdelki ter izmenjalni prostor (tim. swap).

V tokratnem članku si bomo ogledati kako postaviti v celoti šifriran sistem pod Ubuntu Linuxom. Veselo branje!

Članek je seveda objavljen zgolj v informativne namene, saj vendar na svojih diskih nimate kaj skrivati...

46 komentarjev

kriko1 ::

Pohvale avtorju! Zelo lepo spisano.

lukanium ::

Pohvale tudi od mene! Res si se potrudil. Jedrnato, nazorno, razumljivo, predvsem pa pozdravljam uporabo velikega števila zaslonskih posnetkov! Še več takih člankov! :)
When a person can no longer laugh at himself,
it is time for others to laugh at him. [Thomas Szasz]

Quikee ::

iz članka:

..., ki ima podporo za šifrirane diske od različice Echt dalje...

Debian ETCH in ne echt

sudo dd if=/dev/hda1 bs=16M gzip –9 > zagonski_razdelek.img
...
cat /media/USBbackup/MBR.img dd of=/dev/hda

Pri vseh ukazih, kot sta ta manjka navpična črta (pipe).

Pravilno je torej:
sudo dd if=/dev/hda1 bs=16M | gzip –9 > zagonski_razdelek.img
...
cat /media/USBbackup/MBR.img | dd of=/dev/hda

Drugače dober članek. Čestitke.

Brane2 ::

Lepo. Ne štekam pa, kako je Box 3 praktično enako hiter kot Box2, čeprav uporablja 2x daljši ključ... :\
On the journey of life, I chose the psycho path.

Zgodovina sprememb…

  • spremenil: Brane2 ()

Brane2 ::

Pa še nekaj. Testiranje hitrosti na neobremenjen sistem ni ravno objektivno.

Pri kriptoparticijah mra CPU temeljit premetati vsak preneseni byte, ki bi šel drugače mimo njega skozi DMA kanale.

HItost takega diska je hudo odvisna od splošne obremenjenosti CPUja. Verjetno bi se tak disk na kakem obremenjenem strežniku z veliko procesi precej bolj vlekel.

Vprašanje je koliko...
On the journey of life, I chose the psycho path.

jype ::

Brane2> Lepo. Ne štekam pa, kako je Box 3 praktično enako hiter kot Box2, čeprav uporablja 2x daljši ključ...

MMX :)

No, v resnici zelo verjetno ni bistvene razlike predvsem zaradi tega, ker je vsak sodoben CPU bistveno hitrejši od še tako sodobnih I/O poti.

WhiteAngel ::

Avtor se je res potrudil. Čestitke!

Karlos ::

Pri hitrejšem iz s pomnilnikom RAM bolj založenim računalniku (Pentium 4, 3 GHz, 1 Mb RAM)


Pomoje mišljeno 1 Gb RAM
Sai Baba: "Dam vam to, kar hočete, da boste hoteli to, kar vam želim dati."

Zgodovina sprememb…

  • spremenil: Karlos ()

poweroff ::

Ja, zadeva je bila v originalu spisana na enem internem Wikiju in pri prenosu na Slo-Tech so se očitno nekatere stvari malce zameštrale (predvsem znak |).

1 Mb je seveda mišljeno 1 Gb.

Testiranje hitrosti je pa zelo provizorično. V bistvu samo nastavek, za resne meritve bi si bilo treba vzeti več časa. Mogoče še za en članek... 8-)

Sicer sva pa avtorja dva - daedalus mi je precej pomagal pri odpravi težav z initrd-jem.
sudo poweroff

Brane2 ::

Pa fajn bi blo za eno od mašin imet vsaj DC.

Čisto toliko da se vidi kako je to, če lahko en/de/kripcija pade na nekatere core, medtem ko ostali meljejo kaj drugega.
On the journey of life, I chose the psycho path.

Loki ::

koliko pa stanejo kaksne primerljive hardverske resitve? (pa da ni ravno high end) vsaj glede na to, da taka resitev zre cpu cikle kot za salo, zna biti to kiks.
I left my wallet in El Segundo

ješ ::

Na prenosniku uorabljam Debian Etch. Najprej nisem kriptiral nič, mesec nazaj sem imel na 1.1 Ghz pemtiumu-M kriptiran celotni disk, razen /usr, sedaj pa kriptiram vse, tudi /usr. Moram reči, da se pozna razlika v hitrosti, pa tudi na trajanju baterije.

Vprašanje je, ali je smiselno kriptirati tudi /usr. Ker ta del navadno največ zasede (ali pa je vsaj najpogosteje uporabljan), hkrati pa običajno na njem ni podatkov, ki bi jih bilo smiselno kriptirati (raezn morda /usr/local ...). Se pa ta dodatno kriptiran /usr precej pozna na hitrosti nalaganja programov na ~1.1 Ghz procesorju in 768 RAM.

Program "preload" in podobni mogoče lahko tudi spremenijo situacijo glede hitrosti diska in odzivnosti. Bi bilo še treba izmeriti.

Na 1.1 Ghz procesorju med kriptiranjem "vsega, razen /usr" in kriptiranjem ničesar praktično ne opazim razlike, razen v času za hibernacijo. Če kriptiram čisto vse, pa deluje občutno počasneje.
ješ

Ziga Dolhar ::

> 1 Mb je seveda mišljeno 1 Gb.

1 GB verjetno? ;-)
https://dolhar.si/

Brane2 ::

Še bolj verjetno 1 GiB ...
On the journey of life, I chose the psycho path.

Zgodovina sprememb…

  • spremenil: Brane2 ()

Daedalus ::

koliko pa stanejo kaksne primerljive hardverske resitve? (pa da ni ravno high end) vsaj glede na to, da taka resitev zre cpu cikle kot za salo, zna biti to kiks.

Ni tako hudo. Resda boš IMO fino "preplačal" performance, če nameravaš zganjat ne vem kako zahtevne računske operacije tipa video obdelave, grafika, ipd..., sam itak ni enkripcija temu namenjena. Je pa smiselna recimo za računala, kjer se nahajajo občutljivi podatki in se prenašajo naokoli (prenosniki).

Sicer pa ena p4 3GHz kišta z giga rama čisto lepo poganja vso pisarniško programje, skupaj z virtualnimi XP-ji v VirtualBoxu z istim naborom programja. Glede na to, da se danes za drobiž nabavi DC procesor + ustrezna količina RAM-a, pol kriptiranje v primeru, da hočeš meti podatke čimbolj zavarovane, ne predstavlja lih neke ovire. Sicer pa tud uvod v članek delno pojasni, kaj je ciljna publika.
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]

MrStein ::

- https://bugs.launchpad.net/ubuntu/+source/console-setup/+bug/68843
- https://launchpad.net/ubuntu/+bug/71594
- "Gre še za eno precej nepotrebno napako"

Ni malo preveč napak za ta "taboljši" sistem ? Posebej, ker so vsaj ta prve dve že tam leto dni stare.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

jype ::

MrStein> Ni malo preveč napak za ta "taboljši" sistem ? Posebej, ker so vsaj ta prve dve že tam leto dni stare.

Očitno te napake nikogar ne motijo dovolj, da bi se jih potrudil odpraviti. Še vedno bolje kot pri zaprtokodni alternativi, kjer napake sploh _ne moreš_ odpraviti.

Brane2 ::

Zanimivo bi bilo videt, kako stvar dela s filesistemom ki ima patch za komprimiranje podatkov in patch za enkripcijo ter verifikacijo ( s kakim hashom ali kaj podobnega).

To bi prišlo verjetno zelo prav pri laptopu, kjer bi lahko enkriptiral samo zadeve, ki naj bi bile tajnost, vse ostalo pa bodisi pustil prosto ali s hashem varoval pred spremembami.

To bi bila verjetno idealna kombinacija za prenosnik.
On the journey of life, I chose the psycho path.

poweroff ::

Ni malo preveč napak za ta "taboljši" sistem ?
Nikoli nismo trdili, da je najboljši. Pravimo samo, da je boljši od Windowsev. :D
sudo poweroff

JanezekNovak ::

Najlepša hvala za članek!
http://www.euroairsoft.com/

poweroff ::

Dobil sem eno vprašanje ali bi bilo kaj takega mogoče izvesti za Windowse. V biastvu za Windowse obstajajo neke komercialne rešitve, vendar so rpecej drage, niti mi ni jasno točno kako delujejo.

Morda kdo ve kako poteka Windows boot proces in kje bi se dalo vriniti vanj? Darkolord?
sudo poweroff

MrStein ::

A vklop enkripcije na vseh mapah na C: ne bi delal ?

Note to myself : Probat v kakem VM-u.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Looooooka ::

pri zaprtokodni resitvi je problem samo ce je zastonj.
ce je placljiva potem mas 99,99% moznosti da obstaja support, ki to potem celo odpravi.
ce ne so pa itak klosarji =)
dober clanek btw

Mavrik ::

Matthai: Enkripcija na Visi z BitLockerjem je neprimerno lažja. Vse kar rabiš je malo aktivno particijo, kamor se namesti boot loader, na drugo particijo pa namestiš Visto. Zatem v Control Panelu samo najdeš BitLocker postavko, ki ti lepo v ozadju skriptira celotno particijo na kateri je operacijski sistem in ti na USB ključ ali kako podobno napravo naloži 15-mestni ključ (lahko si ga tudi zapišeš seveda).

Veliko lažje ter bolj seamless kot to mešetarjenje z Ubuntujem.
The truth is rarely pure and never simple.

Brane2 ::

V Ubuntuju je to mešetarjenje, ker tega doslej skoraj nihče ni uporabljal.

Cela stvar je zasnovana na ukazu losetup, ki ti preko loopa lahko pokaže neko napravo ali celo datoteko kot neko drugo napravo, ki jo vidiš skpozi nek "transform", v tem primeru kriptografski.

Dodati temu front-end s knofom ali dvema in menijem je tamau problem.
On the journey of life, I chose the psycho path.

Brane2 ::

Pri ext2/3/4 in Reiser4 se da čarati z vstavki in tako ti lahko zakriptiraš samo določene fajle in ti ni treba zakritptati cele particije recimo.
On the journey of life, I chose the psycho path.

Mavrik ::

Torej, to kar pozna NTFS že tam od... Win2000?
The truth is rarely pure and never simple.

Brane2 ::

NIsem vedel,d a NTFSu lahko dodaš lastne vstavke že od Win2000...
On the journey of life, I chose the psycho path.

Brane2 ::

Sem ravnokar odprl svoje WInse 2K in za firbec probal najti kripto.

Kje naj bi to bilo ?

V lastnostih posamezne mape ali datoteke ni videt ničesar temu podobnega.

Ali pa mogoče misliš reč da rabim poseben dodatek ( verjetno kak dll) za winse in če je temu tako, kako veš, da je stvar implementirana znotraj NTFS datotečnega sistema ?

Pa ko nainštaliraš to zadevo, lahko tudi tam izbiraš algoritem za en/de/kripcijo in se sam odločaš za kompromeis hitrost/varnost ?
On the journey of life, I chose the psycho path.

Brane2 ::

HM, Wikipedia pravi, da NTFSv3.0 naj bi imel kripto posameznih map in datotek.

On the minus side, izbira algoritma je ozka in bolj boga. Za WIn2k je na voljo le DESx, ki je slab.

AES je na voljo šele od novejših XPjev...

BI blo pa zanimivo probat kako se te zadeve obnašajo...
On the journey of life, I chose the psycho path.

Mavrik ::

Zadevi se reče EFS in se je prvič pojavo v Windows 2000. V WinXP preprosto daš "Advanced" pri atributih ter odkljukaš "Encrypt contents to secure data". Je pa res, da ima v Win2k dve resnivi luknji in lahko uporabiš samo DESX za algoritem. V WinXP ter vseh ostalih pa uporablja po defaultu AES, na izbiro pa je še 3DES ter DESX.
The truth is rarely pure and never simple.

Mavrik ::

Kolikor sem jaz preizkušal pod XPji je zadeva popolnoma transparentna in ni povzročala nobenih težav. Razen seveda če zgubiš certifikat.
The truth is rarely pure and never simple.

Brane2 ::

Ja, poleg tega je kup pripomb o varnosti zadeve, ki so jo kar nekajkrat shekali in to na precej glupe načine...
On the journey of life, I chose the psycho path.

MrStein ::

Kolko na wikipediji piše je problematičen predvsem Windows 2000, ali ?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Luka Percic ::

luka74 ::

Najprej pohvala za zelo dober clanek.

Problem z nadgradnjami kernela in potrebo po spreminjanju spalsh v nosplash v /boot/grub/menu.lst bi se moralo dati resiti tako da se v tem fajlu popravi naslednjo vrstico:

# defoptions=quiet splash

Ne vidim razloga zakaj to ne bi delovalo, razen ce je kaksen bug.

poweroff ::

Pri zaprtokodnih rešitvah je glavni problem, ker zadeve niso transparentne - ne vemo, če ni vgrajenih kakšnih "backdoorov" ali če ne vsebuje resne pomankljivosti

Kot so dokazali pri Debianu, bi tudi Ubuntu lahko zadevo naredi tako, da bi se enkripcijo vklopilo s klikom kljukico. Menjava gesla bi tudi potekala s par kliki... Zakaj tega niso še naredili je pa drugo vprašanje. Po moje je to njihova politična odločitev. Namreč - veliko ljudi jim teži, naj to naredijo, vendar se po mojem bojijo poplave vprašanj na support v primeru da gre kaj narobe. Verjetno so se pač fokusirali na druga področja. Nočejo si odpirat nove fronte. Je pa res, za Ubuntu teži v to smer. Pred leti se je kriptiran sistem ob hibernaciji totalno usul. Sedaj pa je treba samo popraviti splash, da bo znal sprejeti geslo ter napisati orodje za spremembo gesla...

luka74: hvala! Bom preiskusil.
sudo poweroff

PARTyZAN ::

Matthai: Enkripcija na Visi z BitLockerjem je neprimerno lažja. Vse kar rabiš je malo aktivno particijo, kamor se namesti boot loader, na drugo particijo pa namestiš Visto. Zatem v Control Panelu samo najdeš BitLocker postavko, ki ti lepo v ozadju skriptira celotno particijo na kateri je operacijski sistem in ti na USB ključ ali kako podobno napravo naloži 15-mestni ključ (lahko si ga tudi zapišeš seveda).


Mimogrede, BitLocker ne zna kriptirati samo določene mape/particije. Totalno neuporabno, če potrebuješ samo eno manjšo particijo, kjer imaš "občutljive" stvari.

Na drugi strani pa... TrueCrypt FTW ;).

Luka Percic ::

Se opravičujem da sem se blamiral z "novico" ki jo je nekdo višje omenil.:8)

Loki ::

za take zadeve imas pa itak NTFS enkripcijo, popolnoma transparentno (ce pa te ne znas uporabljat, torej en acc za vse uporabnike, si pa sam kriv)
I left my wallet in El Segundo

poweroff ::

BitLockerja sicer še nisem videl, načeloma pa bi glede na informacije, ki jih imam rekel, da je gotovo Microsoftov korak v pravo smer. Poleg tega omogoča uporabo certifikatov, kar je super za poslovno okolje, pa tudi sistem obnove gesla je precej domišljen.

Tukaj bi Linux moral narediti integracijo z LDAP, kar je po mojem mnenju precej enostavno za naredit - v bistvu bi bil potreben samo ustrezen vmesnik.

Dobro je tudi, da MS s tem postavlja nek pomemben standard varnosti. Zadevo bodo sedaj testirali v enterprise okolju, v par letih pa bo postala sprejemljiva tudi za navadne uporabnike. To pomeni, da bo v par letih to šifriranje postalo "standardni paket" varnosti.

Ima pa Microsoftova rešitev eno veliko pomankljivost. In sicer: ni transparentna. Ni odprtokodna, to je pa za varnostni produkt slabo. Je tudi nekoliko premalo fleksibilna, ovira pa je tudi visoka cena.

Po drugi strani Linux rešitev ni dovolj uporabniško prijazna in je premalo integrirana v poslovno okolje. Prva stvar se lahko spremeni zelo hitro, druga pa se bo spreminjala nekoliko dlje časa. Po moji oceni.
sudo poweroff

Brane2 ::

Poleg tega pa bo teba prepričat "glavne igralce" da vdelajo crypto engine v svoje northbridge čipe oziroma sedaj ko prihaja Nehalem kar v CPU sam in ti cryptoenginei ne bi smeli biti črne škatle.

ALgoritem bi moral biti znan. Oziroma kar registerksi modeli cryptoCPUjev- domnevam,d a bi zadeva morala biti vsaj v neki mrei programabilna.

Premetavanje podatkov v softveru ni več zadosti dobro.

Saj nekaj se govori o tem in če se ne motim, nekaj driverjev je že v Linux kernelu (TPM ? ).... :\
On the journey of life, I chose the psycho path.

luka74 ::

Matthai: Ubuntu poslusa kometarje uporabnikov, tako da bo upam ze Gutsy imel podporo za crypto setup - zal se je ravno danes ugotovilo da zal se ne bo v Beta verziji (ceprav so vsi potrebni moduli ze v gutsyu), ker zaradi Ubuntu uporabe UUID za mount FSjev, potrebuje resitev se nekaj dodatnih sprememb (ki na Debianu niso potrebne).

BTW, danes je bil razresen tudi problem z slovensko tipkovnico v instalaciji. Zahvale gredo kolegu iz Hrvaske, ki je prisel zadevi do dna. Beta se bo dalo ze instalirati z slovensko tipkovnico.

Zgodovina sprememb…

  • spremenil: luka74 ()

MrStein ::

luka74:
tako da bo upam ze Gutsy imel podporo za crypto setup

Freeze je že mimo in imajo kup drugih bugov za popravit, tak da ne bi bil optimističen.

Po drugi strani ne bi bil presenečen, če bodo pustili "nezanimive" buge in šli implementirat "kul novi fičr". ;)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Matko ::

@Mathhai
Si slučajno kaj preučeval diske s strojno podporo za šifriranje?
Npr.: www.seagate.com

V oči mi takoj pade pomanjkljivost, da je to uporabno le za prenosnike, ki imajo le enega uporabnika.

edit - uredil povezavo.

Zgodovina sprememb…

  • spremenilo: gzibret ()

poweroff ::

Splošni zadržek je, da zadeva ni open source. Če bi pa imel možnost nalagati poljuben firmware, bi bila to gotovo najboljša rešitev iz stališča performanca.
sudo poweroff


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Izšel Ubuntu 7.10 (strani: 1 2 )

Oddelek: Novice / Operacijski sistemi
839520 (9519) kriko1
»

So mobilni telefoni nevarni za zdravje? (strani: 1 2 )

Oddelek: Novice / --Nerazporejeno--
7010549 (8234) Luka Percic
»

Varovanje podatkov na prenosnem disku

Oddelek: Pomoč in nasveti
192243 (1956) SasoS
»

Mladenič ovaden zaradi razširjanja otroške pornografije preko eMule (strani: 1 2 )

Oddelek: Novice / Zasebnost
6213663 (10345) Asriel
»

Nov članek: Šifriranje nosilcev podatkov v okolju Linux in Windows

Oddelek: Novice / Nova vsebina
224043 (3020) Kostko

Več podobnih tem