forum.opennet.ru - "Выпуск Cryptsetup 2.7 с поддержкой аппаратного дискового шифрования OPAL" (46)

"Выпуск Cryptsetup 2.7 с поддержкой аппаратного дискового шифрования OPAL"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Выпуск Cryptsetup 2.7 с поддержкой аппаратного дискового шифрования OPAL"	+/–
Сообщение от opennews (??), 25-Янв-24, 00:06
Опубликован набор утилит Cryptsetup 2.7, предназначенных для настройки шифрования дисковых разделов в Linux при помощи модуля dm-crypt. Поддерживается работа с разделами dm-crypt, LUKS, LUKS2, BITLK, loop-AES и TrueCrypt/VeraCrypt. В состав также входят утилиты veritysetup и integritysetup для настройки средств контроля целостности данных на основе модулей dm-verity и dm-integrity... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=60493
Ответить \| Правка \| Cообщить модератору

Оглавление

Скрыто модератором, Аноним (1), 00:06 , 25-Янв-24, (1) –2

Скрыто модератором, Аноним (1), 00:06 , 25-Янв-24, (2) +1
Скрыто модератором, onanim (?), 09:06 , 25-Янв-24, (30)

У меня диск Samsung T7 с опалом, вся фишка в том что его можно подключить в любо, Аноним (3), 00:34 , 25-Янв-24, (3) +1

с любой виндой, ведь так Ну так вот это - надолго и не потому что проклятый-гей, нах. (?), 07:32 , 25-Янв-24, (28) –5
И надежность всего этого - Если тебе реально не надо щифрование, то этим всем, Аноним (-), 09:31 , 25-Янв-24, (32) –1
Открытие отпечатком это какой то слабоумный бред по сути ты уже не нужен для, Pahanivo (ok), 13:50 , 25-Янв-24, (38) +3

и ведь не соврешь что ой, забыл , нах. (?), 14:09 , 25-Янв-24, (41)

- Это не мое Я курьер Не , Аноним (44), 14:30 , 25-Янв-24, (44)

- пальцы давай предыдущему курьеру семь лет впаяли А с незнаюпароль может и , нах. (?), 15:54 , 25-Янв-24, (51) +1

Вообще то, пальцы есть и на ногах Руки проверили, а про ноги забыли , Аноним (58), 01:28 , 26-Янв-24, (58)

я вообще х-ем отпираю эти сенсоры, но вот с шифрованной флэшкой не рискнул бы М, нах. (?), 14:49 , 26-Янв-24, (64)
Не забыли, на ногах мы тебе их тоже переломаем, если пароль прямщас не вспомнишь, товарищ майор (?), 15:01 , 26-Янв-24, (65)

Двойное шифрование приводит к неприятным и совершенно нежелательным сайдэффектам, Аноним (4), 02:07 , 25-Янв-24, (4) +2

Двойное шифрование с разными независимыми ключами и разными шифронаборами С чег, laindono (ok), 04:50 , 25-Янв-24, (25) +1

Не в криптостойкости дело хотя исключать не стоит , Аноним (4), 14:10 , 25-Янв-24, (42)

А как на счёт тройного сжатия и шифрования , Аноним (27), 07:32 , 25-Янв-24, (27)
Выходит, что пользоваться ssh через WiFI невозможно проблематично , Аноним (36), 13:09 , 25-Янв-24, (36) +1

Почему, невозможно Просто с шифрованным трафиком могут быть проблемы с MTU и пр, Аноним (4), 14:08 , 25-Янв-24, (40) –1

аппаратное шифрование всегда заканчивается одинаково, и начинается всегда с рекл, 12yoexpert (ok), 02:33 , 25-Янв-24, (5) +5
А для старых железок, без хардварных ускорялок, есть что Из наиболее вменяемого, Аноним (-), 03:20 , 25-Янв-24, (7) –1

а для старых есть старый добрый aes256 CBC который вполне эффективен и защищает , нах. (?), 07:34 , 25-Янв-24, (29) +6

Поражаюсь наплыву кремлеботов визжащих что честному гражданину нечего скрывать , cheburnator9000 (ok), 03:58 , 25-Янв-24, (19) +1

Можешь продолжать Ничего не поменялось, Аноним (39), 13:56 , 25-Янв-24, (39)
Я наверное открою для вас Америку, но в линуксах как хром, так и огнелис использ, Аноним (43), 14:14 , 25-Янв-24, (43) +2

Firefox для ПК шифрует пароли локально в директории пользовательского профиля в , Аноним (-), 14:43 , 25-Янв-24, (46)
Никогда в жизни не видел чтобы Firefox в линуксе, спрашивал пароль через какой-н, cheburnator9000 (ok), 15:22 , 25-Янв-24, (47) –2

потому что твоя убунточка всё делает за тебя она лучше знает, что тебе нужно, в, 12yoexpert (ok), 21:03 , 26-Янв-24, (67) –1

Польза включения OPAL не в двойном шифровании программная спецификация LUKS без, Аноним (-), 09:50 , 25-Янв-24, (33) –1

а тебе и не нужен весь диск - тебе достаточно luks header, который эти орлы забо, нах. (?), 13:25 , 25-Янв-24, (37) +1

Заголовок LUKS находится на диске, зашифрованном OPAL Он не видим , Аноним (-), 14:38 , 25-Янв-24, (45) –1

если бы он был невидим - он был бы люксу нахрен и не нужен Весь смысл этого заг, нах. (?), 15:57 , 25-Янв-24, (52) +2

казалось бы всё таки не видим - иначе чего там за прозрачность, но из примеров я, Роман (??), 16:57 , 27-Янв-24, (68)

ну вот единственный представимый мной хороший вариант - что заголовок на самом д, нах. (?), 17:33 , 27-Янв-24, (69)

Заголовок лежит в той части диска, которая OPAL не зашифрована Хотя бы потому, , Аноним (71), 14:32 , 29-Янв-24, (71)

По Вере вашей да будет вам а если у меня, простите, RAID-контроллер - што дела, InuYasha (??), 15:25 , 25-Янв-24, (48)

Покупать железо для софта, а не наоборот , Онтоним (?), 00:07 , 29-Янв-24, (70) +1

А как они решили вопрос с выходом из сна , penetrator (?), 15:50 , 25-Янв-24, (50)
cryptsetup для аппаратного шифрования, абсурд какой, оно либо аппаратное и ключ , fidoman (ok), 17:32 , 25-Янв-24, (54)

оба хуже в правильном аппаратном шифровании никакой ключ никуда не запихивается, нах. (?), 18:21 , 25-Янв-24, (55) +2

У OPAL один недостаток, перегрузка ПК не блокирует диск , Аноним (56), 21:09 , 25-Янв-24, (56)

зато отключение питания блокирует со всеми последующими приколами, penetrator (?), 21:14 , 25-Янв-24, (57)

конденсатор забыли поставить , Аноним (58), 01:31 , 26-Янв-24, (59) –1
у меня для тебя плохие новости - отключение питания любого современного диска бе, пох. (?), 09:03 , 26-Янв-24, (61) –1

Так я что-то не понял, диск аппаратно зашифрован, каким волшебный образом crypts, Аноньимъ (ok), 18:54 , 26-Янв-24, (66)

Очевидно, что OPAL позволяет шифровать отдельные куски диска с данными, а не тол, Аноним (71), 14:34 , 29-Янв-24, (72)

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 25-Янв-24, 00:06 –2 +/–

>veritysetup
наверно все-таки verifysetup

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2, #30

2. Сообщение от Аноним (1), 25-Янв-24, 00:06 +1 +/–

а нет, все правильно. хмм

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

3. Сообщение от Аноним (3), 25-Янв-24, 00:34 +1 +/–

У меня диск Samsung T7 с опалом, вся фишка в том что его можно подключить в любой комп и отпечатком пальца открыть без сторонних утилит.
А если уж шифровать поверх и LUKSом то можно будет пользоваться только у себя, ну или где такое ядро есть.
И да, это не спасает от сценария где тебя могут заставить открыть накопитель, и не для сверх секретных файлов, а скорее от
случаев вроде "забыл флешку в поезде".

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #28, #32, #38

4. Сообщение от Аноним (4), 25-Янв-24, 02:07 +2 +/–

Двойное шифрование приводит к неприятным и совершенно нежелательным сайдэффектам.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #25, #27, #36

5. Сообщение от 12yoexpert (ok), 25-Янв-24, 02:33 +5 +/–

аппаратное шифрование всегда заканчивается одинаково, и начинается всегда с рекламы usb-стиков за 50$ на ютуб-каналах со смешариками (там вся ЦА сидит)

Ответить | Правка | Наверх | Cообщить модератору

7. Сообщение от Аноним (-), 25-Янв-24, 03:20 –1 +/–

А для старых железок, без хардварных ускорялок, есть что? Из наиболее вменяемого удалось нарыть cryptsetup benchmark -c xchacha20,aes-adiantum-plain64:sha512 --key-size 256 , но "не уверен"..

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #29

19. Сообщение от cheburnator9000 (ok), 25-Янв-24, 03:58 +1 +/–

Поражаюсь наплыву кремлеботов визжащих что "честному гражданину нечего скрывать". Любому гражданину есть что скрывать и в первую очередь от других граждан. Ноутбук могут своровать, как и компьютер из квартиры. Из устройства можно вытащить пароли из браузеров, цифровой ключ, ваши личные документы, рабочие документы за утрату которых вас в лучшем случае уволят, в худшем случае посадят (если ваш работодатель гос.структура).
Я наверное сейчас открою тайну мирового масштаба, но ни один браузер по дефолту из коробки не шифрует данные https://github.com/moonD4rk/HackBrowserData/ кроме Safari и MSEdge оба требуют ввода пароля аккаунта.
Лет так 10 назад я спокойно копировал профиль Firefox из windows в linux и имел доступ к всей историей и паролям браузера, иными словами профиль firefox тогда был вполне портабелен (хотя еще даже тогда меня заверяли что это не возможно).

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #39, #43

25. Сообщение от laindono (ok), 25-Янв-24, 04:50 +1 +/–

Двойное шифрование с разными независимыми ключами и разными шифронаборами? С чего бы.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #42

27. Сообщение от Аноним (27), 25-Янв-24, 07:32 +/–

А как на счёт тройного сжатия и шифрования?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

28. Сообщение от нах. (?), 25-Янв-24, 07:32 –5 +/–

> У меня диск Samsung T7 с опалом, вся фишка в том что его можно подключить в любой комп
с любой виндой, ведь так?
Ну так вот это - надолго (и не потому что проклятый-гейтц-дотянулся, разумеется, а потому что д-лы)
> и отпечатком пальца открыть без сторонних утилит.
просто они встроены в венду. Когда-нибудь, в далеком-далеком будущем, дистры тоже поапгрейдятся на новую версию глюкса и openssl (т.е. ждать придется очень долго, потому что опять про совместимость неееа-не-слышали)
> случаев вроде "забыл флешку в поезде".
ее проводница уже в мусорку отправила, следом за котом. Кстати, она видела в камеру твой пароль.
Скорее уж "ловкие мальчики сп-ли ноутбук".  Но учти, на его корпусе ПОЛНО твоих пальчиков, и снять их - в общем-то не так и сложно, если мальчики умеют в интернет.
P.S. отдельный вопрос - точно-точно ли OPAL предполагает хранить ключ прям на том же устройстве в извлекаемом виде (а раз там luks header, то очевидно что извлекаемый). Что-то мне эта реализация не кажется здравой.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

29. Сообщение от нах. (?), 25-Янв-24, 07:34 +6 +/–

а для старых есть старый добрый aes256/CBC который вполне эффективен и защищает от любого _реалистичного_ сценария.
И не надо выдумывать новых глупостей.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

30. Сообщение от onanim (?), 25-Янв-24, 09:06 +/–

> dm-verity

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

32. Сообщение от Аноним (-), 25-Янв-24, 09:31 –1 +/–

> У меня диск Samsung T7 с опалом, вся фишка в том что его можно подключить
> в любой комп и отпечатком пальца открыть без сторонних утилит.
И надежность всего этого...
- Если тебе реально не надо щифрование, то этим всем можно и не страдать.
- Если надо - ты, таки, нарвешься ибо удобство и безопасность живут по разную сторону улицы.
> случаев вроде "забыл флешку в поезде".
Булшит бинго. Флешки с OPAL не особо частая штука. И если "разблокируется отпечатком пальца" то там эффективный размер ключа ни о чем.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

33. Сообщение от Аноним (-), 25-Янв-24, 09:50 –1 +/–

Польза включения OPAL не в двойном шифровании (программная спецификация LUKS безопасна даже для правительственного уровня), а в невозможности копирования такого зашифрованного диска и распределённого перебора паролей. Таким образом, проприетарный OPAL защищает диск от копирования, а открытый LUKS его доверенно шифрует. В идеале — производитель диска предоставляет возможность настраивать количество неверно введённых подряд паролей, после которого информация на диске уничтожается.
Для старых железок (и для любых других) выбирать вручную режимы шифрования LUKS не нужно. В отличие от других средств шифрования, LUKS сам варьирует эти параметры в зависимости от мощности компьютера, на котором создаётся зашифрованный диск (при этом эти параметры не изменятся после создания, даже если диск установить в другой компьютер). На слабом компьютере используются менее сложные алгоритмы, на более мощном – сложнее.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #37

36. Сообщение от Аноним (36), 25-Янв-24, 13:09 +1 +/–

Выходит, что пользоваться ssh через WiFI невозможно/проблематично? ;)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #40

37. Сообщение от нах. (?), 25-Янв-24, 13:25 +1 +/–

а тебе и не нужен весь диск - тебе достаточно luks header, который эти орлы заботливо и положили рядом.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #45

38. Сообщение от Pahanivo (ok), 25-Янв-24, 13:50 +3 +/–

Открытие отпечатком это какой то слабоумный бред ... по сути ты уже не нужен для вскрытия, нужен лишь твой палец. А жив ты при этом или нет ...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #41

39. Сообщение от Аноним (39), 25-Янв-24, 13:56 +/–

> иными словами профиль firefox тогда был вполне портабелен
Можешь продолжать. Ничего не поменялось

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

40. Сообщение от Аноним (4), 25-Янв-24, 14:08 –1 +/–

Почему, невозможно? Просто с шифрованным трафиком могут быть проблемы с MTU и прочее подобное, qos отвалится, например, или решишь, что уже надёжно зашифровано 1 раз, и начнёшь пользоваться со слабым/отключённым шифрованием, а потом окажется, что твой "шифрованный" трафик при этом могли читать все, информация из него извлекалась в автоматизированном режиме.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

41. Сообщение от нах. (?), 25-Янв-24, 14:09 +/–

и ведь не соврешь что "ой, забыл!"

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38 Ответы: #44

42. Сообщение от Аноним (4), 25-Янв-24, 14:10 +/–

Не в криптостойкости дело (хотя исключать не стоит).

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

43. Сообщение от Аноним (43), 25-Янв-24, 14:14 +2 +/–

> Я наверное сейчас открою тайну мирового масштаба, но ни один браузер по дефолту из коробки не шифрует данные
Я наверное открою для вас Америку, но в линуксах как хром, так и огнелис используют kwallet и gnome-keyring для шифрования и хранения печенек и паролей.
В винде эти же данные хранятся в виде, зашифрованном с использованием DPAPI.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #46, #47

44. Сообщение от Аноним (44), 25-Янв-24, 14:30 +/–

- Это не мое! Я курьер!!!
Не?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #51

45. Сообщение от Аноним (-), 25-Янв-24, 14:38 –1 +/–

Заголовок LUKS находится на диске, зашифрованном OPAL. Он не видим.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #52, #71

46. Сообщение от Аноним (-), 25-Янв-24, 14:43 +/–

Firefox для ПК шифрует пароли локально в директории пользовательского профиля в файле logins.json, если ты задал основной пароль в настройках.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43

47. Сообщение от cheburnator9000 (ok), 25-Янв-24, 15:22 –2 +/–

>> Я наверное сейчас открою тайну мирового масштаба, но ни один браузер по дефолту из коробки не шифрует данные
> Я наверное открою для вас Америку, но в линуксах как хром, так
> и огнелис используют kwallet и gnome-keyring для шифрования и хранения печенек
> и паролей.
> В винде эти же данные хранятся в виде, зашифрованном с использованием DPAPI.
Никогда в жизни не видел чтобы Firefox в линуксе, спрашивал пароль через какой-нибудь keyring. Chrome да. Но это дело можно отключить и оно будет прекрасно работать без шифрования.
Firefox под вендой никогда не шифровал logins.json файл чем-то серьезным (все дешефруется утилитой которую я показал выше). Eсли опять же нет мастер пароля, не несите чушь.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #67

48. Сообщение от InuYasha (??), 25-Янв-24, 15:25 +/–

"По Вере вашей да будет вам!"
> накопителях SATA и NVMe с интерфейсом OPAL2 TCG, в которых устройство аппаратного шифрования встроено непосредственно в контроллер
а если у меня, простите, RAID-контроллер - што делать?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #70

50. Сообщение от penetrator (?), 25-Янв-24, 15:50 +/–

А как они решили вопрос с выходом из сна?

Ответить | Правка | Наверх | Cообщить модератору

51. Сообщение от нах. (?), 25-Янв-24, 15:54 +1 +/–

> - Это не мое! Я курьер!!!
> Не?
"- пальцы давай!"
"предыдущему курьеру семь лет впаяли!"
А с незнаюпароль может и покатит...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #58

52. Сообщение от нах. (?), 25-Янв-24, 15:57 +2 +/–

> Заголовок LUKS находится на диске, зашифрованном OPAL. Он не видим.
если бы он был невидим - он был бы люксу нахрен и не нужен. Весь смысл этого заголовка - хранить данные, нужные люксу для расшифровки раздела (когда он софтовошифрованный) и попутно вообще опознавания этого диска как своего.
А если диск уже расшифрован - то заголовок совершенно тебе и без надобности. Так что если в новости не отсебятина промтом-переводили, то все очень и очень плохо.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45 Ответы: #68

54. Сообщение от fidoman (ok), 25-Янв-24, 17:32 +/–

cryptsetup для аппаратного шифрования, абсурд какой, оно либо аппаратное и ключ запихивается каким-нибудь ioctl, либо оно нифига не аппаратное, а например там просто на шине какой-нибудь ускоритель aes.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #55

55. Сообщение от нах. (?), 25-Янв-24, 18:21 +2 +/–

"оба хуже"
в правильном аппаратном шифровании никакой ключ никуда не запихивается и вообще не покидает устройства. Пароль для расшифровки ключа (а не сам ключ) - тот да (и устройство не должно позволять слишком много неправильных попыток), но тогда зачем бы им все эти танцы с заголовком luks?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54

56. Сообщение от Аноним (56), 25-Янв-24, 21:09 +/–

У OPAL один недостаток, перегрузка ПК не блокирует диск.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #57

57. Сообщение от penetrator (?), 25-Янв-24, 21:14 +/–

зато отключение питания блокирует со всеми последующими приколами

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56 Ответы: #59, #61

58. Сообщение от Аноним (58), 26-Янв-24, 01:28 +/–

Вообще то, пальцы есть и на ногах (!)
Руки проверили, а про ноги забыли )))

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51 Ответы: #64, #65

59. Сообщение от Аноним (58), 26-Янв-24, 01:31 –1 +/–

конденсатор забыли поставить?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57

61. Сообщение от пох. (?), 26-Янв-24, 09:03 –1 +/–

у меня для тебя плохие новости - отключение питания любого современного диска без всякого шифрования может сделать из него кирпич.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57

64. Сообщение от нах. (?), 26-Янв-24, 14:49 +/–

я вообще х-ем отпираю эти сенсоры, но вот с шифрованной флэшкой не рискнул бы. Могут ведь и отрезать, и к делу подшить.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58

65. Сообщение от товарищ майор (?), 26-Янв-24, 15:01 +/–

Не забыли, на ногах мы тебе их тоже переломаем, если пароль прямщас не вспомнишь.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58

66. Сообщение от Аноньимъ (ok), 26-Янв-24, 18:54 +/–

> Для использования OPAL в LUKS2
> метаданные сохраняются в заголовке LUKS2
Так я что-то не понял, диск аппаратно зашифрован, каким волшебный образом cryptsetup прочитает заголовок который на аппаратно зашифрованном диске?
А plain режим поддерживается без этих ваших LUKS ?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #72

67. Сообщение от 12yoexpert (ok), 26-Янв-24, 21:03 –1 +/–

> Никогда в жизни не видел чтобы Firefox в линуксе, спрашивал пароль через какой-нибудь keyring.
потому что твоя убунточка всё делает за тебя. она лучше знает, что тебе нужно, всё - как ты привык

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47

68. Сообщение от Роман (??), 27-Янв-24, 16:57 +/–

казалось бы всё таки не видим - иначе чего там за прозрачность, но из примеров я так понял что можно совмещать
Examples:
  * Formatting the drive
  Use --hw-opal with luksFormat (or --hw-opal-only for hardware only
  encryption):
  # cryptsetup luksFormat --hw-opal <device>
  Enter passphrase for <device>: ***
  Enter OPAL Admin password: ***
  * Check configuration with luksDump.
  Note "hw-opal-crypt" segment that uses both dm-crypt and OPAL
  encryption - keyslot stores 768 bits key (512 sw + 256 bits OPAL key).

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52 Ответы: #69

69. Сообщение от нах. (?), 27-Янв-24, 17:33 +/–

ну вот единственный представимый мной хороший вариант - что заголовок на самом деле все же шифруется opal, и нужен для шифрования еще и поверх него в случае не-opal-only варианта.
Но я бы на месте счастливых пользователей - перепроверил три раза.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68

70. Сообщение от Онтоним (?), 29-Янв-24, 00:07 +1 +/–

Покупать железо для софта, а не наоборот.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48

71. Сообщение от Аноним (71), 29-Янв-24, 14:32 +/–

Заголовок лежит в той части диска, которая OPAL не зашифрована. Хотя бы потому, что без заголовка LUKS не сможет расшифровать кусок, диска, зашифрованный через OPAL.
И, да, OPAL-ом обычно шифруется не весь диск от нуля и до победы, а какая-то отдельная часть, где лежат данные.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

72. Сообщение от Аноним (71), 29-Янв-24, 14:34 +/–

Очевидно, что OPAL позволяет шифровать отдельные куски диска с данными, а не только диск целиком.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. Сообщение от Аноним (1), 25-Янв-24, 00:06	–2 +/–
>veritysetup наверно все-таки verifysetup
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #2, #30

2. Сообщение от Аноним (1), 25-Янв-24, 00:06	+1 +/–
а нет, все правильно. хмм
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1

3. Сообщение от Аноним (3), 25-Янв-24, 00:34	+1 +/–
У меня диск Samsung T7 с опалом, вся фишка в том что его можно подключить в любой комп и отпечатком пальца открыть без сторонних утилит. А если уж шифровать поверх и LUKSом то можно будет пользоваться только у себя, ну или где такое ядро есть. И да, это не спасает от сценария где тебя могут заставить открыть накопитель, и не для сверх секретных файлов, а скорее от случаев вроде "забыл флешку в поезде".
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #28, #32, #38

4. Сообщение от Аноним (4), 25-Янв-24, 02:07	+2 +/–
Двойное шифрование приводит к неприятным и совершенно нежелательным сайдэффектам.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #25, #27, #36

5. Сообщение от 12yoexpert (ok), 25-Янв-24, 02:33	+5 +/–
аппаратное шифрование всегда заканчивается одинаково, и начинается всегда с рекламы usb-стиков за 50$ на ютуб-каналах со смешариками (там вся ЦА сидит)
Ответить \| Правка \| Наверх \| Cообщить модератору

7. Сообщение от Аноним (-), 25-Янв-24, 03:20	–1 +/–
А для старых железок, без хардварных ускорялок, есть что? Из наиболее вменяемого удалось нарыть cryptsetup benchmark -c xchacha20,aes-adiantum-plain64:sha512 --key-size 256 , но "не уверен"..
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #29

19. Сообщение от cheburnator9000 (ok), 25-Янв-24, 03:58	+1 +/–
Поражаюсь наплыву кремлеботов визжащих что "честному гражданину нечего скрывать". Любому гражданину есть что скрывать и в первую очередь от других граждан. Ноутбук могут своровать, как и компьютер из квартиры. Из устройства можно вытащить пароли из браузеров, цифровой ключ, ваши личные документы, рабочие документы за утрату которых вас в лучшем случае уволят, в худшем случае посадят (если ваш работодатель гос.структура). Я наверное сейчас открою тайну мирового масштаба, но ни один браузер по дефолту из коробки не шифрует данные https://github.com/moonD4rk/HackBrowserData/ кроме Safari и MSEdge оба требуют ввода пароля аккаунта. Лет так 10 назад я спокойно копировал профиль Firefox из windows в linux и имел доступ к всей историей и паролям браузера, иными словами профиль firefox тогда был вполне портабелен (хотя еще даже тогда меня заверяли что это не возможно).
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #39, #43

25. Сообщение от laindono (ok), 25-Янв-24, 04:50	+1 +/–
Двойное шифрование с разными независимыми ключами и разными шифронаборами? С чего бы.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #4 Ответы: #42

27. Сообщение от Аноним (27), 25-Янв-24, 07:32	+/–
А как на счёт тройного сжатия и шифрования?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #4

28. Сообщение от нах. (?), 25-Янв-24, 07:32	–5 +/–
> У меня диск Samsung T7 с опалом, вся фишка в том что его можно подключить в любой комп с любой виндой, ведь так? Ну так вот это - надолго (и не потому что проклятый-гейтц-дотянулся, разумеется, а потому что д-лы) > и отпечатком пальца открыть без сторонних утилит. просто они встроены в венду. Когда-нибудь, в далеком-далеком будущем, дистры тоже поапгрейдятся на новую версию глюкса и openssl (т.е. ждать придется очень долго, потому что опять про совместимость неееа-не-слышали) > случаев вроде "забыл флешку в поезде". ее проводница уже в мусорку отправила, следом за котом. Кстати, она видела в камеру твой пароль. Скорее уж "ловкие мальчики сп-ли ноутбук". Но учти, на его корпусе ПОЛНО твоих пальчиков, и снять их - в общем-то не так и сложно, если мальчики умеют в интернет. P.S. отдельный вопрос - точно-точно ли OPAL предполагает хранить ключ прям на том же устройстве в извлекаемом виде (а раз там luks header, то очевидно что извлекаемый). Что-то мне эта реализация не кажется здравой.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #3

29. Сообщение от нах. (?), 25-Янв-24, 07:34	+6 +/–
а для старых есть старый добрый aes256/CBC который вполне эффективен и защищает от любого _реалистичного_ сценария. И не надо выдумывать новых глупостей.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #7

30. Сообщение от onanim (?), 25-Янв-24, 09:06	+/–
> dm-verity
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1

32. Сообщение от Аноним (-), 25-Янв-24, 09:31	–1 +/–
> У меня диск Samsung T7 с опалом, вся фишка в том что его можно подключить > в любой комп и отпечатком пальца открыть без сторонних утилит. И надежность всего этого... - Если тебе реально не надо щифрование, то этим всем можно и не страдать. - Если надо - ты, таки, нарвешься ибо удобство и безопасность живут по разную сторону улицы. > случаев вроде "забыл флешку в поезде". Булшит бинго. Флешки с OPAL не особо частая штука. И если "разблокируется отпечатком пальца" то там эффективный размер ключа ни о чем.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #3

33. Сообщение от Аноним (-), 25-Янв-24, 09:50	–1 +/–
Польза включения OPAL не в двойном шифровании (программная спецификация LUKS безопасна даже для правительственного уровня), а в невозможности копирования такого зашифрованного диска и распределённого перебора паролей. Таким образом, проприетарный OPAL защищает диск от копирования, а открытый LUKS его доверенно шифрует. В идеале — производитель диска предоставляет возможность настраивать количество неверно введённых подряд паролей, после которого информация на диске уничтожается. Для старых железок (и для любых других) выбирать вручную режимы шифрования LUKS не нужно. В отличие от других средств шифрования, LUKS сам варьирует эти параметры в зависимости от мощности компьютера, на котором создаётся зашифрованный диск (при этом эти параметры не изменятся после создания, даже если диск установить в другой компьютер). На слабом компьютере используются менее сложные алгоритмы, на более мощном – сложнее.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #37

36. Сообщение от Аноним (36), 25-Янв-24, 13:09	+1 +/–
Выходит, что пользоваться ssh через WiFI невозможно/проблематично? ;)
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #4 Ответы: #40

37. Сообщение от нах. (?), 25-Янв-24, 13:25	+1 +/–
а тебе и не нужен весь диск - тебе достаточно luks header, который эти орлы заботливо и положили рядом.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #33 Ответы: #45

38. Сообщение от Pahanivo (ok), 25-Янв-24, 13:50	+3 +/–
Открытие отпечатком это какой то слабоумный бред ... по сути ты уже не нужен для вскрытия, нужен лишь твой палец. А жив ты при этом или нет ...
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #3 Ответы: #41

39. Сообщение от Аноним (39), 25-Янв-24, 13:56	+/–
> иными словами профиль firefox тогда был вполне портабелен Можешь продолжать. Ничего не поменялось
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #19

40. Сообщение от Аноним (4), 25-Янв-24, 14:08	–1 +/–
Почему, невозможно? Просто с шифрованным трафиком могут быть проблемы с MTU и прочее подобное, qos отвалится, например, или решишь, что уже надёжно зашифровано 1 раз, и начнёшь пользоваться со слабым/отключённым шифрованием, а потом окажется, что твой "шифрованный" трафик при этом могли читать все, информация из него извлекалась в автоматизированном режиме.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #36

41. Сообщение от нах. (?), 25-Янв-24, 14:09	+/–
и ведь не соврешь что "ой, забыл!"
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #38 Ответы: #44

42. Сообщение от Аноним (4), 25-Янв-24, 14:10	+/–
Не в криптостойкости дело (хотя исключать не стоит).
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #25

43. Сообщение от Аноним (43), 25-Янв-24, 14:14	+2 +/–
> Я наверное сейчас открою тайну мирового масштаба, но ни один браузер по дефолту из коробки не шифрует данные Я наверное открою для вас Америку, но в линуксах как хром, так и огнелис используют kwallet и gnome-keyring для шифрования и хранения печенек и паролей. В винде эти же данные хранятся в виде, зашифрованном с использованием DPAPI.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #19 Ответы: #46, #47

44. Сообщение от Аноним (44), 25-Янв-24, 14:30	+/–
- Это не мое! Я курьер!!! Не?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #41 Ответы: #51

45. Сообщение от Аноним (-), 25-Янв-24, 14:38	–1 +/–
Заголовок LUKS находится на диске, зашифрованном OPAL. Он не видим.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #37 Ответы: #52, #71

46. Сообщение от Аноним (-), 25-Янв-24, 14:43	+/–
Firefox для ПК шифрует пароли локально в директории пользовательского профиля в файле logins.json, если ты задал основной пароль в настройках.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #43

47. Сообщение от cheburnator9000 (ok), 25-Янв-24, 15:22	–2 +/–
>> Я наверное сейчас открою тайну мирового масштаба, но ни один браузер по дефолту из коробки не шифрует данные > Я наверное открою для вас Америку, но в линуксах как хром, так > и огнелис используют kwallet и gnome-keyring для шифрования и хранения печенек > и паролей. > В винде эти же данные хранятся в виде, зашифрованном с использованием DPAPI. Никогда в жизни не видел чтобы Firefox в линуксе, спрашивал пароль через какой-нибудь keyring. Chrome да. Но это дело можно отключить и оно будет прекрасно работать без шифрования. Firefox под вендой никогда не шифровал logins.json файл чем-то серьезным (все дешефруется утилитой которую я показал выше). Eсли опять же нет мастер пароля, не несите чушь.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #43 Ответы: #67

48. Сообщение от InuYasha (??), 25-Янв-24, 15:25	+/–
"По Вере вашей да будет вам!" > накопителях SATA и NVMe с интерфейсом OPAL2 TCG, в которых устройство аппаратного шифрования встроено непосредственно в контроллер а если у меня, простите, RAID-контроллер - што делать?
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #70

50. Сообщение от penetrator (?), 25-Янв-24, 15:50	+/–
А как они решили вопрос с выходом из сна?
Ответить \| Правка \| Наверх \| Cообщить модератору

51. Сообщение от нах. (?), 25-Янв-24, 15:54	+1 +/–
> - Это не мое! Я курьер!!! > Не? "- пальцы давай!" "предыдущему курьеру семь лет впаяли!" А с незнаюпароль может и покатит...
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #44 Ответы: #58

52. Сообщение от нах. (?), 25-Янв-24, 15:57	+2 +/–
> Заголовок LUKS находится на диске, зашифрованном OPAL. Он не видим. если бы он был невидим - он был бы люксу нахрен и не нужен. Весь смысл этого заголовка - хранить данные, нужные люксу для расшифровки раздела (когда он софтовошифрованный) и попутно вообще опознавания этого диска как своего. А если диск уже расшифрован - то заголовок совершенно тебе и без надобности. Так что если в новости не отсебятина промтом-переводили, то все очень и очень плохо.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #45 Ответы: #68