Vlákno názorů k článku Poskytnutí údajů o telekomunikačním provozu a domovní prohlídka od anonym - Jak psal tady už kolega, TrueCrypt toho většinu...
-
anonymníJak psal tady už kolega, TrueCrypt toho většinu umí. Tj. umí připojit partition, která se tváří jako nenaformátovaná (prázdná). A odlišit od prázdné to není možné. Případně umí připojit i partition nebo soubor, který má jedno heslo pro odhalení "oficiální" části, pro skrytou část je druhé heslo. To mazání při nesprávném zadání hesla vidím jako dost nebezpečné pro uživatele, přece jen není moc dobré o data přijít.
Trochu problém je s tím systémovým diskem. Zatím jsem nenašel systém jak opravdu spolehlivě zašifrovat i systémový disk. Takže řešení vidím 2:
1) Používat normální nešifrovaný systémový disk s utilitami na mazání dočasných souborů, prázdného místa.
2) U opravdu kritických aplikací se dá bootovat z live CD (Win nebo Linux) a pak připojovat šifrovanou partition, stopy jsou už z principu vyloučeny. -
Tak to už je hodně velká paranoia hodná NASA nebo KGB :) To by i náš NBÚ asi koukal. Ale asi by to nebylo moc použitelné.
Řekl bych, že přeceňujete znalce, které používá policie. Troufl bych si odhadnout, že zip s heslem by je zastavil :)
Jinak šifrovaná CD/DVD samozřejmě zvládá i TrueCrypt, i šifrovat USB volume. Pokud vím, umožňuje kombinovat zabezpečení heslem a např USB kličenkou nebo disketou, kam uloží keyfile. Stačí takovou klíčenku zničit či nenávratně smazat, a disk je nepřístupný i se správným heslem.
Osobně se domnívám, že jakmile bude disk šifrovaný nebo chráněný heslem, myslím funkčním, nikoliv tím co nabízí např. Win, tak to policejní znalec vzdá, pokud vubec pozná, že jde o šifrování. Disk, který se tváří jako neformátovaný, zejména pokud to nebude boot partition, mu asi podezřelý nebude. Navíc je placený za práci, a těžko by mu někdo zaplatit x hodin navíc bádání, jestli na tom "prázdném" disku náhodou není něco schovaného.
Navíc náklady a čas vynaložený a rozkodování např. 100GB souboru/partition s AES256 nebo Swordfish (což je v TrueCrypt standard) by neměly smysl. Když to stačí NSA, tak myslím že to bude stačit i ostatním.
In June 2003, after the NSA (US National Security Agency) has conducted a review and analysis of AES, the U.S. CNSS (Committee on National Security Systems) announced in [2] that the design and strength of AES-256 (and AES-192) are sufficient to protect classified information up to the Top Secret level. -
anonymníNo, rekl bych, ze pokud ti nekdo bude prohlizet comp, tak ho nebude moc zajimat, jakej mas boot manager. Rekl bych, ze spis vezmou tvuj disk, strci si ho do svyho zarizeni a zacnou analyzovat. Je otazka, jak kvalitne (jestli hledanim retezcu jako "microsoft" apod) nebo jestli opravdu zacnou analyzovat cely diskovy oblasti a budou se snazit najit funkcni SW. Prave "vyhodu" tohohle postupu bych videl v tom, ze pak si muzou udelat jenom kopii disku a vratit ti celej komp do tydne nejpozdeji. Prinejhorsim si muzou nechat disky a vratit ostatni HW.
-
Michal (neregistrovaný)Když je řeč o té správné implementaci, představoval bych si to jako amatér nějak tak:
- Při bootu požádá zaváděč systému o heslo.
- Pokud dostane falešné heslo, nabootuje "nastrčený" systém ze zašifrovaného oddílu. Falešný systém by mohla být nějaká malá instalace linuxu, vybavená free programy, několika soubory simulujícími "práci", pár kancelářskými hrami a automatickým nastavováním posledního data přihlášení na "před dvaceti minutami". :-)
- Pokud zaváděč systému dostane správné heslo, načte zašifrované bootovací instrukce a po zadání dalšího hesla podle nich nabootuje "pravý" systém z jiného zašifrovaného oddílu. Tento systém pak následně namountuje případné další zašifrované disky.
- Mohly by tam být i další pojistky, jako například "pokud je třikrát za sebou zadán nějaký konkrétní kód, šifrované oddíly se přemaží". Případne by mohl "pravý" systém přenastavit MAC adresu síťovky, aby se to celé zvenku jevilo jako úplně jiný počítač než ten "oficiální".
- Při zapojení disku do jiného počítače se disk jeví prázdný, resp. není možné odlišit zašifrované oddíly od prázdného místa.
Mám to správně? A lze to takhle vůbec provést, aniž by si to člověk musel celé naprogramovat sám? :-)
A lze vypalovat i šifrovaná CD/DVD, pro jejichž prohlížení bude nutné heslo? -
anonymníJe asi potřeba počítat s tím, že ta domovní prohlídka může opravdu hrozit a když už se vám v bytě pohrabou, tak se vždycky něco najde. Jako jediné řešení vidím pořízení si dalšího většího disku a jeho zašifrování (třeba PGP nebo TrueCryptem). Pokud je to správně implementováno, mají cizí smůlu.
ČLÁNKY DO MAILU