OpenBSD - teljes vinyó titkosítása?

OpenBSD-all

Remélem nem feleslegesen írok, és legalább születik 1 db. értelmes válasz. [legalább thuglife v. valaki! :\ ]

A világ legbiztonságosabbnak mondott oprendszere, és az alap telepítője nem támogatja a vinyó teljes titkosítását [/home+full rendszer stb.] [fixme].

Viszont 2011-ben még Linux alatt se 1 perc megoldani a teljes titkosítást: http://xercestech.com/full-system-encryption-for-linux.geek

De....:

Lehetőségek a hdd titkosítására OBSD alatt:
1) titkosított image létrehozása [vnconfigal, Blowfish], pl.: “/home”-ot + érzékeny filéket bele [aztán az érzékeny filék mappáinak eredeti helyére linket rakni utalva a /home-belire] - rc.local-ba be lehet állítani, h. boot közben mountolja fel jelszókérés után az image-t

2) http://16s.us/OpenBSD/softraid.txt - “there is a small 128MB clear-text partition on the disk. This is where / is mounted and where the kernel and other basic software resides.” [azaz ami nem titkosított, az a: /bin /dev /etc /mnt /root /sbin /stand ] - többi rész titkosítva [XTS-AES]

3) ? van még lehetőség/mód? [fizetős termékek kivételével]

fixme kéne + további témához illő dolgok érdekelnének [pl.: létezik még más? a cél a teljes vinyó titkosítása, biztosítva ezzel a sérthetetlenséget+bizalmasságot, stb.]
elsősorban szimmetrikus kulcsú titkosítást használó megoldást keresek!

+ a nem titkosított részeket az ember sha512sum-al ellenőrizni szokta, h. módosultak-e két bekapcs közt. v. futás közben [ha módosult, akkor miért?] -> /dev/*-ban levő dolgokat eléggé poénos lehetne checksum-olni nem? van ami mindig változik, és nem upgrade, v. trójai/rootkit telepítése miatt

( raron | 2011. 05. 17., k – 20:33 )

Én úgy emlékszem, van olyan eszköz, amit a winyó és az alaplap SATA vezérlője közé lehet bedugni, és egy pendrive-ról olvassa be induláskor a titkosító kulcsot.

2010 februárjában úgy látszik még nem lehetett:

http://www.daemonforums.org/showpost.php?p=30394&postcount=2

tekintve az obsd feature add-olási idejét, szerintem még 2011-ben sincs megoldva

de inkább legyen auditált, óvatos kód, mint h. "jajdejó új feature" -> viszont hoz magával 5000 sec. bugot

ha egyszer ez az os van kikiáltva a legbiztonságosabbnak, akkor ne is törekedjen nagyon másra

/naiv vélemény off/

--
https://www.youtube.com/watch?v=K_lg7w8gAXQ&feature=player_detailpage#t…

https://secure.wikimedia.org/wikipedia/en/wiki/Confidentiality
"ensuring that information is accessible only to those authorized to have access"

https://www.schneier.com/blog/archives/2009/10/evil_maid_attac.html
"Step 1: Attacker gains access to your shut-down computer and boots it from a separate volume. The attacker writes a hacked bootloader onto your system, then shuts it down.

Step 2: You boot your computer using the attacker's hacked bootloader, entering your encryption key. Once the disk is unlocked, the hacked bootloader does its mischief. It might install malware to capture the key and send it over the Internet somewhere, or store it in some location on the disk to be retrieved later, or whatever."

--
https://www.youtube.com/watch?v=K_lg7w8gAXQ&feature=player_detailpage#t…

szerintem pedig ne nagyon próbálja informatikusnak hívni magát egy ember, h. ha úgy vonszolja magával a laptopját, h. az baromira nincs titkosítva, viccen kívül. nem egy tökéletes világban élünk, h. ha ellopnak/elveszt vmit bárki, akkor azt visszakapja :D ilyet feltételezni :D ebből sok minden kiderül:
- ha valaki elröhögi magát, a teljes hdd titkosítás hiányán, nem mindegy a két oldal, h. miért teszi azt:
- > azért, mert nem érti, h. miért kell [szegény:P]
- > azért, mert nem érti, h. miért nem használja mindenki

a két külön véglet, tippelj, h. melyiknek kellene jellemzőnek lennie egy előre gondolkodó, bajokat megelőző informatikusra.. :) [nem pedig utólag rinyál, h. "bezzeg"..]

hint: :) (smiley)

Egyként jó ideig nekem is volt bitlockeres notebookom, nem kell meggyőznöd.

Egy egyszerű tolvaj nem az adatokért lop notebookot, hanem a vasért, úgyhogy bőven jó, ha csak az érzékeny adatok vannak megfelelően titkosítva.
Ha valaki olyan adatokkal dolgozik, ami miatt megnő a veszélye, hogy célzottan az adatok miatt utaznak rá, kb. kötelező a teljes hdd titkosítás. Extrém esetben ez egyébként nem sokat ér, mert még mindíg egyszerűbb egy sötét kapualjban megvárni az illetőt, és "elkérni" a hozzáférési adatokat, mint rengeteg időt eltölteni a cucc feltörésével (ha egyáltalán lehetséges emberi időn belül).

Továbbra sem értem az egész hdd titkosítást.
Egyszer ellopja a tolvaj a gépet, módosítja a boot loadert majd visszaadja a gépet. Ebből hirtelen két verzió jut eszembe:
-Lementette az egész HDD-t majd miután én bejelentkeztem, a jelszavamat elküldi neki mailba.
-Miután bejelentkeztem, a jelszavamat lementi valahova, és újra ellopja a gépet. :)

az evil maid [korábban linkelt] azért kapta a nevét, mert van, aki nagyon nem figyel a fizikai biztonságra, így hiába használ full disc titkosítást, a bejövő "takarító" 5-10 perc alatt módosítja a nem titkosított részt, ami manapság még sajnos a /boot, persze vannak már módszerek a /boot titkosítására is, a topicot így indítottam [xercestech link]

továbbá, ha nem lenne titkosítva a shadow file, akkor reflexből lehetne bruteforceolni, sudo binárisát módosítani, sha512sum binárisát módosítani, bla-bla

( Hunger | 2011. 05. 19., cs – 21:30 )

+ a nem titkosított részeket az ember sha512sum-al ellenőrizni szokta, h. módosultak-e két bekapcs közt.

hehe, ha ez ilyen egyszerű lenne

pgpdesktop nincs Linux/BSD alá, csak Mac/Windows, esetleg még az lenne jó

https://secure.wikimedia.org/wikipedia/en/wiki/Trusted_Platform_Module#…

a bitlocker-hez fél lövésem sincs :O full disc-et lehet encryptálni? csak azon csodálkozom, h. egyáltalán létezik-e a szó szoros értelmében vett titkosítás.. [minden bit a hdd-t crypted] -> ha létezik ilyen, akkor mégis mi a jó fene juttat el odáig, h. kérje valami a pl.: jelszót a feldoldáshoz? biztos megoldották már, csak az én pofámba nem jött még ilyen link/howto

--
https://www.youtube.com/watch?v=K_lg7w8gAXQ&feature=player_detailpage#t…

linux alá is a fent említett linkben [ http://xercestech.com/full-system-encryption-for-linux.geek ] a cikk írója aszondja:

"In the future it should be possible for Ubuntu to integrate all of this, such that the install CD could have a check box to encrypt everything and install a custom copy of the core image to the drive. In that case, the only thing left unencrypted would be the first 512 bytes of the drive, and perhaps a 20-40kb bootloader."

de még akkor is kimarad az a 20-40 KB + 512 Byte :P

--
https://www.youtube.com/watch?v=K_lg7w8gAXQ&feature=player_detailpage#t…

minden bit a hdd-t crypted

nyilván nem, hisz akkor nem tud bebootolni a kernel és a bitlocker driver se... :)

a trükk az, hogy a bitlocker driver menet közben hasheket képez több menetben a memóriaterületekről (BIOS, Option ROM kód, MBR kód, partíciós tábla, boot szektor, kernel memóriaterületéről és a bitlocker saját magáról, stb.) és ezeket a hasheket adja meg a TPM chipnek. A TPM chip pedig csak akkor adja ki magából a titkosításhoz használt kulcsot, ha ezek a hashek megegyeznek az eredetileg megadott értékekkel. Ergo manipuláció (majdnem teljesesen) kizárva.

OK, most vagy én nem értem az iróniát, vagy nem vágom, hogy mi a csavar a dologban, de akkor hogyan veszed észre, ha - akár böngészés közben - valami kártevő került a gépedre, vagy valaki épp a nyitott portjaidra kíváncsi?
Nem tudom elképzelni, hogy egy default Win7 install lenne az összes biztonsági intézkedésed.