eCryptfs -- где указать опции алгоритма шифрования? Или чем лучше шифровать данные?

vasek	# 3 года, 1 месяц назад (отредактировано 3 года, 1 месяц назад)
Темы: 48 Сообщения: 11320 Участник с: 17 февраля 2013	nafanja но сейчас присматриваюсь к CryFS не читал, будем изучать и пробовать ... EDIT 1 - установил, попробовал - довольно просто и удобно, один мастер пароль, вот только не уточнял завязан ли он на вход в систему. Из минусов (хотя это и не совсем минусы) - сохраняет некоторые файлы на диске, можно узнать, что используется cryfs .. и грузит систему при расшифровке (2-3 секунды, интересно посмотреть на большом объеме информации. В AUR имеется в помощь и GUI (sirikali) - но это уже и лишнее. Ошибки не исчезают с опытом - они просто умнеют

# 3 года, 1 месяц назад (отредактировано 3 года, 1 месяц назад)

Сообщения: 11320

Участник с: 17 февраля 2013

nafanja
но сейчас присматриваюсь к CryFS

не читал, будем изучать и пробовать ...

EDIT 1 - установил, попробовал - довольно просто и удобно, один мастер пароль, вот только не уточнял завязан ли он на вход в систему.
Из минусов (хотя это и не совсем минусы) - сохраняет некоторые файлы на диске, можно узнать, что используется cryfs .. и грузит систему при расшифровке (2-3 секунды, интересно посмотреть на большом объеме информации.
В AUR имеется в помощь и GUI (sirikali) - но это уже и лишнее.

Ошибки не исчезают с опытом - они просто умнеют

nafanja	# 3 года, 1 месяц назад (отредактировано 3 года, 1 месяц назад)
Темы: 94 Сообщения: 9252 Участник с: 02 июня 2012 заблокирован	vasek один мастер пароль, вот только не уточнял завязан ли он на вход в систему. не завязан Псевдографический инсталлятор Arch Linux ver. 3.8.2 Благодарности принимаются на ЯД 410012815723874

nafanja	# 3 года, 1 месяц назад (отредактировано 3 года, 1 месяц назад)
Темы: 94 Сообщения: 9252 Участник с: 02 июня 2012 заблокирован	vasek Из минусов (хотя это и не совсем минусы) - сохраняет некоторые файлы на диске, можно узнать, что используется cryfs .. и грузит систему при расшифровке (2-3 секунды, интересно посмотреть на большом объеме информации. все такое ПО практически одинаково грузит систему и использует сигнатуры. Псевдографический инсталлятор Arch Linux ver. 3.8.2 Благодарности принимаются на ЯД 410012815723874

nafanja

# 3 года, 1 месяц назад (отредактировано 3 года, 1 месяц назад)

Темы: 94

Сообщения: 9252

Участник с: 02 июня 2012

заблокирован

vasek
Из минусов (хотя это и не совсем минусы) - сохраняет некоторые файлы на диске, можно узнать, что используется cryfs .. и грузит систему при расшифровке (2-3 секунды, интересно посмотреть на большом объеме информации.

все такое ПО практически одинаково грузит систему и использует сигнатуры.

Псевдографический инсталлятор Arch Linux ver. 3.8.2
Благодарности принимаются на ЯД 410012815723874

vasek	# 3 года, 1 месяц назад (отредактировано 3 года, 1 месяц назад)
Темы: 48 Сообщения: 11320 Участник с: 17 февраля 2013	nafanja все такое ПО практически одинаково грузит систему. Только в данном случае обратил внимание на кратковременный скачок температуры cpu - Warning (у меня Warning в интервале 65-75 гр.С - желтый цвет). Но согласен, в принципе это мелочь. На всякий случай кидаю ссылку на ихний сайт - там есть и простенький Tutorial и How it works EDIT 1 - кстати, на том же сайте есть раздел Compare, где идет сравнение отдельных способов шифрования, приведены отдельные их недостатки и в конце приводится, что CryFS решает все эти проблемы, но из-за повышенной безопасности работает немного медленнее. Ошибки не исчезают с опытом - они просто умнеют

vasek

# 3 года, 1 месяц назад (отредактировано 3 года, 1 месяц назад)

Темы: 48

Сообщения: 11320

Участник с: 17 февраля 2013

nafanja
все такое ПО практически одинаково грузит систему.

Только в данном случае обратил внимание на кратковременный скачок температуры cpu - Warning (у меня Warning в интервале 65-75 гр.С - желтый цвет).
Но согласен, в принципе это мелочь. На всякий случай кидаю ссылку на ихний сайт - там есть и простенький Tutorial и How it works

EDIT 1 - кстати, на том же сайте есть раздел Compare, где идет сравнение отдельных способов шифрования, приведены отдельные их недостатки и в конце приводится, что CryFS решает все эти проблемы, но из-за повышенной безопасности работает немного медленнее.

Ошибки не исчезают с опытом - они просто умнеют

safocl	# 3 года, 1 месяц назад
Темы: 121 Сообщения: 1570 Участник с: 08 октября 2015	nafanja CryFS чот на вики в разделе дискового шифрования о нем нет ничего вроде, по крайней мере в таблицах

safocl	# 3 года, 1 месяц назад
Темы: 121 Сообщения: 1570 Участник с: 08 октября 2015	nafanja vasek - при создании зашифрованной папки дополнительно создается и подлежит хранению определенная информация, при потере которой данные не расшифровать, то есть они будут потеряны. да, создается файл ключ и это правильно!!! я бы сказал ентот файл-ключ можно даже через облако синхронить, он жеж зашифрован.

safocl

# 3 года, 1 месяц назад

Темы: 121

Сообщения: 1570

Участник с: 08 октября 2015

nafanja
vasek
- при создании зашифрованной папки дополнительно создается и подлежит хранению определенная информация, при потере которой данные не расшифровать, то есть они будут потеряны.
да, создается файл ключ и это правильно!!!

я бы сказал ентот файл-ключ можно даже через облако синхронить, он жеж зашифрован.

safocl	# 3 года, 1 месяц назад
Темы: 121 Сообщения: 1570 Участник с: 08 октября 2015	vasek На всякий случай кидаю ссылку на ихний сайт а вот енто уже кулл, тож присмотрюсь мож буду им пользоваться... вот как бывает, искал ответы на одну прогу, нашел в итоге другую, возможно более подходящую)))

nafanja	# 3 года, 1 месяц назад
Темы: 94 Сообщения: 9252 Участник с: 02 июня 2012 заблокирован	safocl я бы сказал ентот файл-ключ можно даже через облако синхронить, он жеж зашифрован. я этот файл храню отдельно от данных. попробовал рандомно удалить блоки в CryFS, удивительно, но ФС продолжает функционировать, хотя некоторые данные потеряны, НО НЕ ВСЕ. Псевдографический инсталлятор Arch Linux ver. 3.8.2 Благодарности принимаются на ЯД 410012815723874

nafanja

# 3 года, 1 месяц назад

Темы: 94

Сообщения: 9252

Участник с: 02 июня 2012

заблокирован

safocl
я бы сказал ентот файл-ключ можно даже через облако синхронить, он жеж зашифрован.

я этот файл храню отдельно от данных.

попробовал рандомно удалить блоки в CryFS, удивительно, но ФС продолжает функционировать, хотя некоторые данные потеряны, НО НЕ ВСЕ.

Псевдографический инсталлятор Arch Linux ver. 3.8.2
Благодарности принимаются на ЯД 410012815723874

safocl	# 3 года, 1 месяц назад
Темы: 121 Сообщения: 1570 Участник с: 08 октября 2015	nafanja я этот файл храню отдельно от данных. так можно хранить так, будто енто совсем и не ключ... -- непример стеганография... nafanja попробовал рандомно удалить блоки в CryFS, удивительно, но ФС продолжает функционировать, хотя некоторые данные потеряны, НО НЕ ВСЕ. еще я заметил гибкость в настройке путем указания размера блока файловой криптосистемы, под большие файлы ставишь 4метра и довольно быстро работать начинает. При мелком блоке (пробовал 4КБ) большие файлы долго шифруются и удаляются.

safocl

# 3 года, 1 месяц назад

Темы: 121

Сообщения: 1570

Участник с: 08 октября 2015

nafanja
я этот файл храню отдельно от данных.

так можно хранить так, будто енто совсем и не ключ... -- непример стеганография...

nafanja
попробовал рандомно удалить блоки в CryFS, удивительно, но ФС продолжает функционировать, хотя некоторые данные потеряны, НО НЕ ВСЕ.

еще я заметил гибкость в настройке путем указания размера блока файловой криптосистемы, под большие файлы ставишь 4метра и довольно быстро работать начинает. При мелком блоке (пробовал 4КБ) большие файлы долго шифруются и удаляются.

vasek	# 3 года, 1 месяц назад
Темы: 48 Сообщения: 11320 Участник с: 17 февраля 2013	Еще нюансы, после тестирования 1. В ~/.local/share/cryfs/ хранится история. Если, например, удалите basedir и mountdir, а потом создатите по новой, то получите сообщение после ввода пароля `The filesystem id in the config file is different to the last time we loaded a filesystem from this basedir. This can be genuine if you replaced the filesystem with a different one. If you didn't do that, it is possible that an attacker did. Do you want to continue loading the file system? Your choice [y/n]:` Имхо, лучше перед созданием заново почисть эту директорию. 2. В части изменения/удаления/добавления в basedir nafanja попробовал рандомно удалить блоки в CryFS, удивительно, но ФС продолжает функционировать, хотя некоторые данные потеряны, НО НЕ ВСЕ. По дефолту стоит режим шифрования gsm, точнее aes-256-gcm. Что это означает(не перевожу) This means it doesn't only protect confidentiality, i.e. against adversaries reading your files, but also integrity, i.e. against adversaries modifying your files without you noticing it. The same restriction mentioned for confidentiality also applies for integrity though. It only ensures that the file contents you're reading were at some point written by you. Attackers can change directory structure, add or delete files or folders, re-add files deleted earlier by you, replace files with earlier versions of themselves or replace their content with the content of other files, or earlier versions of those other files, and you wouldn't necessarily notice any of that. The alternatives mentioned above do also protect against these kinds of attacks. То есть если есть желание выполнять проверку целостности, то при 1-ой установке, при выборе метода шифровании и размера блока, когда будет задан вопрос `Use default settings? Your choice [y/n]: n` если ответите «NO», то в конце будет задан вопрос Most integrity checks are enabled by default. However, by default CryFS does not treat missing blocks as integrity violations. That is, if CryFS finds a block missing, it will assume that this is due to a synchronization delay and not because an attacker deleted the block. If you are in a single-client setting, you can let it treat missing blocks as integrity violations, which will ensure that you notice if an attacker deletes one of your files. However, in this case, you will not be able to use the file system with other devices anymore. Do you want to treat missing blocks as integrity violations? Your choice [y/n]: Если ответите YES, то в случае изменения даже 1 байта в данных basedir (без примонтирования) получите сообщение (я экспериментировал и удалил 1 байт) Error 24: There was an integrity violation detected. Preventing any further access to the file system. This can either happen if an attacker changed your files or rolled back the file system to a previous state, but it can also happen if you rolled back the file system yourself, for example restored a backup. If you want to reset the integrity data (i.e. accept changes made by a potential attacker), please delete the following file before re-mounting it: /home/vasek/.local/share/cryfs/filesystems/188A063FAE02B83452A816E6B01A00EA/integritydata НО не сможете полноценно смонтировать mountdir - придется скопировать нормальные файлы в другое место, а испорченный удалить - испорченный файл узнается легко - не читается из консоли (даже hexdump), в MC у имени файла стоит вопрос, в pcmanfm не указан размер файла. Так что каждый решает сам, конечно, проще по дефолту. Ошибки не исчезают с опытом - они просто умнеют

vasek

# 3 года, 1 месяц назад

Темы: 48

Сообщения: 11320

Участник с: 17 февраля 2013

Еще нюансы, после тестирования
1. В ~/.local/share/cryfs/ хранится история. Если, например, удалите basedir и mountdir, а потом создатите по новой, то получите сообщение после ввода пароля

The filesystem id in the config file is different to the last time we loaded a filesystem from this basedir. This can be genuine if you replaced the filesystem with a different one. If you didn't do that, it is possible that an attacker did. Do you want to continue loading the file system?
Your choice [y/n]:

Имхо, лучше перед созданием заново почисть эту директорию.

2. В части изменения/удаления/добавления в basedir

nafanja
попробовал рандомно удалить блоки в CryFS, удивительно, но ФС продолжает функционировать, хотя некоторые данные потеряны, НО НЕ ВСЕ.

По дефолту стоит режим шифрования gsm, точнее aes-256-gcm. Что это означает(не перевожу)

This means it doesn't only protect confidentiality, i.e. against adversaries reading your files, but also integrity, i.e. against adversaries modifying your files without you noticing it. The same restriction mentioned for confidentiality also applies for integrity though. It only ensures that the file contents you're reading were at some point written by you. Attackers can change directory structure, add or delete files or folders, re-add files deleted earlier by you, replace files with earlier versions of themselves or replace their content with the content of other files, or earlier versions of those other files, and you wouldn't necessarily notice any of that. The alternatives mentioned above do also protect against these kinds of attacks.

То есть если есть желание выполнять проверку целостности, то при 1-ой установке, при выборе метода шифровании и размера блока, когда будет задан вопрос

Use default settings?
Your choice [y/n]: n

если ответите «NO», то в конце будет задан вопрос

Most integrity checks are enabled by default. However, by default CryFS does not treat missing blocks as integrity violations.
That is, if CryFS finds a block missing, it will assume that this is due to a synchronization delay and not because an attacker deleted the block.
If you are in a single-client setting, you can let it treat missing blocks as integrity violations, which will ensure that you notice if an attacker deletes one of your files.
However, in this case, you will not be able to use the file system with other devices anymore.
Do you want to treat missing blocks as integrity violations?
Your choice [y/n]:

Если ответите YES, то в случае изменения даже 1 байта в данных basedir (без примонтирования) получите сообщение (я экспериментировал и удалил 1 байт)

Error 24: There was an integrity violation detected. Preventing any further access to the file system. This can either happen if an attacker changed your files or rolled back the file system to a previous state, but it can also happen if you rolled back the file system yourself, for example restored a backup. If you want to reset the integrity data (i.e. accept changes made by a potential attacker), please delete the following file before re-mounting it: /home/vasek/.local/share/cryfs/filesystems/188A063FAE02B83452A816E6B01A00EA/integritydata

НО не сможете полноценно смонтировать mountdir - придется скопировать нормальные файлы в другое место, а испорченный удалить - испорченный файл узнается легко - не читается из консоли (даже hexdump), в MC у имени файла стоит вопрос, в pcmanfm не указан размер файла.
Так что каждый решает сам, конечно, проще по дефолту.

Ошибки не исчезают с опытом - они просто умнеют