titkosított fájlrendszer

Linux-security

titkosított fájlrendszer

  • 2974 megtekintés

( zither | 2005. 06. 15., sze – 09:23 )

[quote:8e08d6140b="Bali"]
hat ha feltetlen 2.4 kernellel akarsz dolgozni, akkor barmelyik filesystem encryption howtoban megtalalod hogy csinalj loopbackes fs titkositast, 2.6 kernel eseten meg ugyebar mar dm-cryptet erdemes hasznalni, amirol szinten van sok leiras. google
amugy ha valoban csak floppy meretu dolgokkal dolgozol, akkor nem kell fs titkositas, eleg ha csak a file-t titkositod pl gpg-vel

Azért akarom az egész floppyt titkosítani, mert egy OpenSSL igazoló hatóság kritikus anyagai vannak a floppy (mester kulcs, számlálók, kiadott kulcsok nyilvántartása, konfiguráció másolata). Ez sok kicsi fájlt jelent, azonban szeretném védeni az ellen, hogy, ha vénetlenül más kezébe kerül ne tudjon vele kapásból felhasználni a rajta lévő anyagokat.

( zither | 2005. 06. 15., sze – 09:24 )

Köszönöm mindenkinek a válaszokat és a megbízhatósági elemzéseket. Azt hiszem nekem végül a loop-AES, azon bellül is az aespipe modul lessz, amire nekem van szükségem.
Köszönet a segítségért...

( drastik | 2005. 06. 15., sze – 09:44 )

[quote:d538f63c7e="zither"]Azt szertném elérni, hogy egy floppyn lévő ext3 fájlrendszert titkosítani tudjak. Az elképzelés az lenne, hogy egy loopoback megoldáson keresztül egy 2048 bites RSA kulcssal titkosítanák. Az RSA kulcs tárolható a számítógépen, amelyen a flopyt olvasnám (írnám). Igazából a konkrét cél az, hogy a floppy RAV tartalmának olvasásával ne lehessen hozzájutni annak tartalmához.
A kérdésem az lenne, hogy ez a módszer mennyire megbízható?
A másik ami érdekelne, hogy 2.4.xx -es karnalen való megvalósításról kinek milyen tapasztalata van, merre lenne érdemes elindulnom.
Előre is köszönet...

lesz nagy load ha soka az adatmozgatas

( zither | 2005. 06. 15., sze – 11:17 )

[quote:e9c1746811="drastik"]

lesz nagy load ha soka az adatmozgatas

Szerencsére ezt a részét megúszom :), hiszen csak az OpenSSL kulcsok generálásakor van némi adatmozgás.

Bár ettől függetlenül elég nehezen tudok elképzelni nagy adatmozgást egy 1,44 -es Floppyn :D

( zither | 2005. 06. 14., k – 15:59 )

Azt szertném elérni, hogy egy floppyn lévő ext3 fájlrendszert titkosítani tudjak. Az elképzelés az lenne, hogy egy loopoback megoldáson keresztül egy 2048 bites RSA kulcssal titkosítanák. Az RSA kulcs tárolható a számítógépen, amelyen a flopyt olvasnám (írnám). Igazából a konkrét cél az, hogy a floppy RAV tartalmának olvasásával ne lehessen hozzájutni annak tartalmához.
A kérdésem az lenne, hogy ez a módszer mennyire megbízható?
A másik ami érdekelne, hogy 2.4.xx -es karnalen való megvalósításról kinek milyen tapasztalata van, merre lenne érdemes elindulnom.
Előre is köszönet...

( gyorffy | 2005. 06. 14., k – 16:22 )

[quote:3a89abecb4="zither"]Azt szertném elérni, hogy egy floppyn lévő ext3 fájlrendszert titkosítani tudjak. Az elképzelés az lenne, hogy egy loopoback megoldáson keresztül egy 2048 bites RSA kulcssal titkosítanák. Az RSA kulcs tárolható a számítógépen, amelyen a flopyt olvasnám (írnám). Igazából a konkrét cél az, hogy a floppy RAV tartalmának olvasásával ne lehessen hozzájutni annak tartalmához.
A kérdésem az lenne, hogy ez a módszer mennyire megbízható?
A másik ami érdekelne, hogy 2.4.xx -es karnalen való megvalósításról kinek milyen tapasztalata van, merre lenne érdemes elindulnom.
Előre is köszönet...

www.jetico.com

BestCrypt a program neve.
Nagyon tudom ajánlani.

( zeus | 2005. 06. 14., k – 16:53 )

http://loop-aes.sourceforge.net/ (multikey modban). viszont a manualban azt irjak, hogy naplozo filerendszerekkel nem ajanlott.

( bitumen | 2005. 06. 14., k – 16:56 )

[quote:5f289d07a0="zeus"]http://loop-aes.sourceforge.net/ (multikey modban). viszont a manualban azt irjak, hogy naplozo filerendszerekkel nem ajanlott.

Milyen okból nem ajánlott?
Nekem már évek óta simán müxik az aes256+ext3 páros.

( wauf | 2005. 06. 14., k – 17:04 )

Irtam errol a topicrol egy kiseloadas-jegyzetet (igen, ubuntuwiki forditas :)
itt: http://people.inf.elte.hu/wow/linux/efs.html

( zeus | 2005. 06. 14., k – 17:35 )

[quote:4eb06496c5="bitumen"][quote:4eb06496c5="zeus"]http://loop-aes.sourceforge.net/ (multikey modban). viszont a manualban azt irjak, hogy naplozo filerendszerekkel nem ajanlott.

Milyen okból nem ajánlott?
Nekem már évek óta simán müxik az aes256+ext3 páros.

bocs, igazad van. elneztem. ez csak file backed loop device-re vonatkozik. egybkent:

2.2. Use of journaling file systems on loop device
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Don't use a journaling file system on top of file backed loop device. Device
backed loop device can be used with journaling file systems as device backed
loops guarantee that writes reach disk platters in order required by
journaling file system (write caching must be disabled on the disk drive, of
course). With file backed loop devices, correct write ordering may extend
only to page cache (which resides in RAM) of underlying file system. VM can
write such pages to disk in any order it wishes, and thus break write order
expectation of journaling file system.

( snq- | 2005. 06. 14., k – 17:42 )

hatha erdekel vkit egy hevenyeszett osszehasonlitas:

BestCrypt

Win32 verzio: igen
Linux 2.4/2.6 verzio: igen
Open source: nem (a linuxos verzio igen)
Ingyenes: nem
"Traveller mod": nem
"Hidden part" lehetoseg kontenerben: igen
Raw particio mountolas win alatt: nem
Mountolas win alatt konyvtarstrukturaba (nem meghajtokent): nem
Jelszovaltas teljes kontener ujramatyizas nelkul: igen
"Arulkodo" kontener fejlec: igen

TrueCrypt

Win32 verzio: igen
Linux 2.4/2.6 verzio: nem (februar ota dolgoznak rajta, hamarosan)
Open source: igen
Ingyenes: igen
"Traveller mod": igen
"Hidden part" lehetoseg kontenerben: igen
Raw particio mountolas win alatt: igen
Mountolas win alatt konyvtarstrukturaba (nem meghajtokent): nem (hamarosan igen)
Jelszovaltas teljes kontener ujramatyizas nelkul: igen
"Arulkodo" kontener fejlec: nem

( gyorffy | 2005. 06. 14., k – 17:50 )

[quote:a250c28a26="snq-"]hatha erdekel vkit egy hevenyeszett osszehasonlitas:

BestCrypt

Win32 verzio: igen
Linux 2.4/2.6 verzio: igen
Open source: nem (a linuxos verzio igen)
Ingyenes: nem
"Traveller mod": nem
"Hidden part" lehetoseg kontenerben: igen
Raw particio mountolas win alatt: nem
Mountolas win alatt konyvtarstrukturaba (nem meghajtokent): nem
Jelszovaltas teljes kontener ujramatyizas nelkul: igen
"Arulkodo" kontener fejlec: igen

TrueCrypt

Win32 verzio: igen
Linux 2.4/2.6 verzio: nem (februar ota dolgoznak rajta, hamarosan)
Open source: igen
Ingyenes: igen
"Traveller mod": igen
"Hidden part" lehetoseg kontenerben: igen
Raw particio mountolas win alatt: igen
Mountolas win alatt konyvtarstrukturaba (nem meghajtokent): nem (hamarosan igen)
Jelszovaltas teljes kontener ujramatyizas nelkul: igen
"Arulkodo" kontener fejlec: nem

Hogy érted azt hogy nem ingyenes?

( snq- | 2005. 06. 14., k – 17:54 )

[quote:5304abad95="gyorffy"]Hogy érted azt hogy nem ingyenes?

http://www.jetico.com/linux/license.txt

"you are granted an evaluation period of not more than 30 days, after which time you must pay for the SOFTWARE according to the terms and prices discussed in the SOFTWARE's documentation, or you must remove the SOFTWARE from your system"

a linuxos verzio 50 euro/dollar bcwipe nelkul

( Bali v | 2005. 06. 14., k – 18:12 )

[quote:38c9bb5e81="zither"]Azt szertném elérni, hogy egy floppyn lévő ext3 fájlrendszert titkosítani tudjak. Az elképzelés az lenne, hogy egy loopoback megoldáson keresztül egy 2048 bites RSA kulcssal titkosítanák. Az RSA kulcs tárolható a számítógépen, amelyen a flopyt olvasnám (írnám). Igazából a konkrét cél az, hogy a floppy RAV tartalmának olvasásával ne lehessen hozzájutni annak tartalmához.
A kérdésem az lenne, hogy ez a módszer mennyire megbízható?
A másik ami érdekelne, hogy 2.4.xx -es karnalen való megvalósításról kinek milyen tapasztalata van, merre lenne érdemes elindulnom.
Előre is köszönet...

hat ha feltetlen 2.4 kernellel akarsz dolgozni, akkor barmelyik filesystem encryption howtoban megtalalod hogy csinalj loopbackes fs titkositast, 2.6 kernel eseten meg ugyebar mar dm-cryptet erdemes hasznalni, amirol szinten van sok leiras. google
amugy ha valoban csak floppy meretu dolgokkal dolgozol, akkor nem kell fs titkositas, eleg ha csak a file-t titkositod pl gpg-vel

( zeus | 2005. 06. 14., k – 18:30 )

ugyan nem sokat konyitok a titkositashoz, de ezen az oldalon nem favorizaljak a dm-cryptet:
http://jdoedoe.tripod.com/#2.3

( gyorffy | 2005. 06. 14., k – 18:31 )

[quote:e617958a7a="snq-"][quote:e617958a7a="gyorffy"]Hogy érted azt hogy nem ingyenes?

http://www.jetico.com/linux/license.txt

"you are granted an evaluation period of not more than 30 days, after which time you must pay for the SOFTWARE according to the terms and prices discussed in the SOFTWARE's documentation, or you must remove the SOFTWARE from your system"

a linuxos verzio 50 euro/dollar bcwipe nelkul

Most hogy jobba utána néztem igazad van.
Én régebbi verziót használtam és az még ingyenes volt.
Szóval ennek is lőttek.

( Bali v | 2005. 06. 14., k – 18:57 )

[quote:3942b266f5="zeus"]ugyan nem sokat konyitok a titkositashoz, de ezen az oldalon nem favorizaljak a dm-cryptet:
http://jdoedoe.tripod.com/#2.3

vannak "gyengesegei", de jobb mint cryptoloop, gyorsabb, biztonsagosabb. loop-aes-el osszevetve pedig azt mondanam hogy igaz hogy, biztonsagosabb !alapesetben!, (watermarking, IV...etc.), de dm-cryptre vannak ezekre aprobelmakra megoldasok, tehat meglatasom szerint egy kis torodessel lehet olyan biztonsagos, nem beszelve arrol dm-crypt a standard, az van kernelben alapbol es szentem rohamos fejlodes alatt all pont ezert. ugyancsak ezert megvannak hozza a toolok minden disztroban, amikkel !nagyon! konnyeden kezelheto. dm-crypte a jovo imho.

node mindeki sajat szaja ize szerint csinalja, en dm-cryptet hasznalok. :)
egy biztonsag kritikus rendszerben lehet, hogy valoban loop-aes lenne a kezenfekvo, noha - mondom - dm-cryptre problemaira vannak workaroundok. (patchek formajaban pl)