nske Δημοσ. 14 Μαΐου 2009 Share Δημοσ. 14 Μαΐου 2009 Ναι, η κρυπτογράφηση δημιουργεί μια νέα δομή πάνω στην οποία θα πρέπει να διαμορφωθεί ένα νέο filesystem. Οι δομές που υπάρχουν πάνω στο block device (είτε είναι ολόκληρος σκληρός δίσκος είτε partition είτε οτιδήποτε) πάνω στο οποίο θα δημιουργηθεί η νέα δομή θα χαθούν, οπότε τα αρχεία που βρίσκονται στο παλιό filesystem θα πρέπει να τα κάνεις backup κάπου και να τα μεταφέρεις μετά στο νέο filesystem. Δηλαδή αν οι δομές που χρησιμοποιείς τώρα είναι: Δίσκος/Partition -> OldFilesystem , αν θέλεις να κρυπτογραφήσεις ολόκληρο το δίσκο ή το partition, θα πρέπει να γίνουν από την αρχή. Δίσκος/Partition -> Encryption Device -> NewFilesystem Όμως μπορείς να χρησιμοποιήσεις ένα απλό αρχείο του τωρινού σου filesystem ως container, αντί για έναν δίσκο ή ένα partition. Δηλαδή: Δίσκος/Partition -> Filesystem1 -> Αρχείο -> Loopback Device -> Encryption Device -> Filesystem2 Όπου Filesystem1 το τωρινό σου filesystem και Filesystem2 το νέο filesystem που θα δημιουργήσεις, οτιδήποτε γράψεις στο οποίο θα βρίσκεται κρυπτογραφημένο σε ένα αρχείο του τωρινού σου filesystem. (Το Loopback Device είναι ένα ειδικό device με το οποίο μπορείς να αντιπροσωπεύσεις ένα αρχείο ως block device). Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
NoD Δημοσ. 15 Μαΐου 2009 Μέλος Share Δημοσ. 15 Μαΐου 2009 Still looking...Πάντως και η λύση με το USB stick δεν είναι άσχημη! Καθόλου άσχημη δεν είναι αλλά δεν κάνει στην περιπτωσή μου. Ευχαριστώ όλους όσους ασχολούνται. Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
apoikos Δημοσ. 19 Μαΐου 2009 Share Δημοσ. 19 Μαΐου 2009 Γενικά το όλο νόημα του disk encryption είναι ακριβώς το ότι χρειάζεται ένα password για να δουλέψει. Προκειμένου να μπορείς να κάνεις mount αυτόματα, θα πρέπει το κλειδί να είναι διαθέσιμο στο boot. Πέρα της προφανούς λύσης αποθήκευσης του κλειδιού κάπου στο σύστημα, εγώ βλέπω τρεις λύσεις: Αν και εφόσον η πλατφόρμα σου έχει TPM (trusted platform module), μπορείς ενδεχομένως να χρησιμοποιήσεις το TPM για να κάνεις αυτή τη δουλειά. Η επόμενη είναι αυτή που πρότεινε ο nske, δηλαδή να κάνεις lock το δίσκο πάνω σε συγκεκριμένο μηχάνημα, δημιουργώντας ένα κλειδί από δεδομένα του hardware (π.χ. έκδοση μητρικής, mac address ethernet card, κλπ). Αυτή η λύση προφανώς δε σε γλιτώνει από το να σου πάρουν όλο το μηχάνημα, αλλά δεν επιτρέπει στο δίσκο να τρέξει σε άλλο μηχάνημα, εφόσον η επιλογή παραμέτρων είναι σωστή. Εννοείται ότι θα πρέπει να χρησιμοποιήσεις μια μέθοδο κρυπτογράφησης που να επιτρέπει αλλαγή του κλειδιού (π.χ. LUKS), ώστε να μπορείς να αλλάξεις τμήματα του hardware χωρίς να χάσεις το δίσκο. Η τρίτη λύση είναι να παίρνει το κλειδί μέσω δικτύου κατά τη διάρκεια του boot ή και μόλις αυτό ολοκληρωθεί, από κάποιον άλλον υπολογιστή, με κατάλληλες προστασίες και ελέγχους πρόσβασης. Κατ' αυτόν τον τρόπο, ακόμα και τον υπολογιστή ολόκληρο να πάρει κάποιος, δε θα μπορεί να τον χρησιμοποιήσει εκτός του δικτύου που έχει το κλειδί. Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
NoD Δημοσ. 19 Μαΐου 2009 Μέλος Share Δημοσ. 19 Μαΐου 2009 apoikos, η τρίτη λύση φαίνεται να είναι στα μέτρα μου... Μπορείς σε παρακαλώ να μου δώσεις παραπάνω info ? Σ'ευχαριστώ πολύ για το χρόνο σου. Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
apoikos Δημοσ. 20 Μαΐου 2009 Share Δημοσ. 20 Μαΐου 2009 Κάτι απλό, σε στυλ: > wget -O - https://some-host-in-the-lan/key | cryptsetup -d - create crypted /path/to/real/block/device θα σου κάνει τη δουλειά. Από 'κει και έπειτα, είναι στο χέρι σου να ασφαλίσεις το κανάλι με το οποίο θα παίρνεις το κλειδί (π.χ. χρησιμοποιώντας SSL client certificates ή ακόμα και κρυπτογραφώντας το με GPG). Περισσότερες πληροφορίες δε θα σου δώσω, για 2 λόγους: Δεν έχω χρόνο Αυτό που θες να κάνεις είναι αρκετά προχωρημένο και δημιουργεί τον κίνδυνο να χάσεις εσύ ο ίδιος την πρόσβαση στα δεδομένα σου, οπότε είναι καλό να κάτσεις και να διαβάσεις μόνος σου και να καταλάβεις ακριβώς τι γίνεται και πως δουλεύει το disk encryption Αυτά ;-) Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
NoD Δημοσ. 20 Μαΐου 2009 Μέλος Share Δημοσ. 20 Μαΐου 2009 Όταν έλεγα πληροφορίες εννοούσα τσελεμεντέδες για διάβασμα. Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
firewalker Δημοσ. 21 Μαΐου 2009 Share Δημοσ. 21 Μαΐου 2009 apoiko, αν η κρυπτογράφηση είναι system wide θα πρέπει όλα αυτά να γίνουν στο initramfs έτσι δεν είναι; Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
apoikos Δημοσ. 21 Μαΐου 2009 Share Δημοσ. 21 Μαΐου 2009 apoiko, αν η κρυπτογράφηση είναι system wide θα πρέπει όλα αυτά να γίνουν στο initramfs έτσι δεν είναι; Ναι, αλλά με το early userspace (klibc κλπ) δε θα έπρεπε να είναι πρόβλημα. Υπάρχει και η λύση του netboot, να δίνεις δηλαδή όλον τον πυρήνα και το initramfs μέσω DHCP και το κλειδί να βρίσκεται ήδη μέσα στο initramfs. Αν θυμάμαι καλά, ο πυρήνας σβήνει τελείως τα περιεχόμενα του initramfs από τη μνήμη μετά το boot, οπότε πρέπει να είναι σχετικά ασφαλής τρόπος. Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
Προτεινόμενες αναρτήσεις
Αρχειοθετημένο
Αυτό το θέμα έχει αρχειοθετηθεί και είναι κλειστό για περαιτέρω απαντήσεις.