Zabezpečení NB kartou SD

[petrzovy]

Zdravím
Chci se zeptat, jestli je nějaký program(nejlépe s grafickým rozhraním), který by uměl zašifrovat obsah HDD, vytvořit skrytý oddíl a přístup k tomuto NB by se odemkl automaticky po vložení SD karty s heslem(či souborem).

Představuju si to asi takto. Vložím kartu se souborem(či heslem) do slotu u NB a zapnu přístroj. Program by okamžitě načetl ze SD a otevřel přístup k datům na HDD. Pokud bych nevložil, tak by NB nenaběhl do prostředí a data na HDD by zůstala zašifrována. Ta data by měla být asi skutečně zašifrována, kdyby náhodou někdo získal přístup k tomuto NB a vyndal by HDD z útrob stroje, který by vložil k sobě.

Děkuji

[beer]

1) Určitě nastav heslo pro přístup v biosu pro spuštění NB. Na tom vyhoří 99 % lidí.
2) Při instalaci systému si můžeš vybrat, zdali chceš šifrovat /home.
3) Co se týká zavaděče, je ho možno nainstalovat na kartu a ještě chránit heslem (bios musí podporovat bootování z karty).
4) Nainstaluj mimikry (maskovací systém), ten se spustí automaticky, pokud nebude vložena karta. Tedy spustí se, pokud bude zadáno správné heslo v biosu, případně pokud by bylo heslo v biosu deaktivováno. Pokud by to byl maskovací systém na bází linuxu, tak v /etc/fstab zakážeš přístup k ubuntím oddílům. Samozřejmě nesmí být v grubu maskovacího systému informace, že je tam ještě jiný OS  . Nejlepší volbou s nejmenšími nároky bude nějaká minimalistická linuxová distribuce typu SLAX, nebo nějaký JeOS ze stránek susestudio.org. Špatnou volbou nebudou ani widle, protože nepracují s linuxovými disky a zničí linuxový zavaděč na disku 

[compaq]

já používám truecrypt

[RRRadek Neužil]

Pokud ti jde o šifrování komplet celého disku tak nainstaluj Ubuntu z Alternate a můžeš zvolit LVM šifrovaně.

Nezapomeň že ať už začneš šifrovat jakýmkoliv způsobem tak pokud jsi před tím už disk používal tak se k datům bez problémů dostaneš a nepomůže ti ani několik formátování. Disk musíš defakto několikrát zasebou přemazat náhodnýmy daty třeba programem DD... ale to je na dlouhé povídání....

[otaj]

Pokud ti jde o šifrování komplet celého disku tak nainstaluj Ubuntu z Alternate a můžeš zvolit LVM šifrovaně.

Nezapomeň že ať už začneš šifrovat jakýmkoliv způsobem tak pokud jsi před tím už disk používal tak se k datům bez problémů dostaneš a nepomůže ti ani několik formátování. Disk musíš defakto několikrát zasebou přemazat náhodnýmy daty třeba programem DD... ale to je na dlouhé povídání....

RRadek, opravdu? Mohl bys o tom poskytnout vic informaci? Rikam si, ze zasifruju disk (vzdyt to znate, to ze jsi paranoidni neznamena, ze po Tobe nejdou, navic v horizontu par mesicu poletim pres Atlantik a se situaci okolo SOPA, ACTA a podobnejch svinstev se to hodi vzdycky) , ale v zivote jsem o tomhle neslysel.. Docela by me to zajimalo, verim ze i ostatni..

[compaq]

Vygooglete si heslo "paranoia"!

[RRRadek Neužil]

Paranoia! Kdy kde? Oni už tu byli? 

Já měl za to že toto vlákno defakto je o Paranoi.

To> otai.
Pokud máš nějaký malý testovací disk tak si to jednoduše otestuj sám.
Něco zapiš na disk třeba fotky své kočky a poté disk několikrát přeformátuj a poté postupuj podle tohoto návodu.
http://wiki.ubuntu.cz/TestDisk#Z.2BAOE-chrana_vymazan.2BAP0-ch_dat_-_PhotoRec

Chtěl jsem jen zdůraznit že pokud člověk jednou už uložil data na disk nešifrovaně a následně je vymazal nebo přeformátoval tak na to nemůže spoléhat.

100% jistotu budeš mít pouze když si koupíš nový disk a ten začneš hned od začátku šifrovat.

[beer]

pokud jste paranoidní, je potřeba zajít k psychiatrovi. Šifrovaný disk vás udělá v USA podezřelého. Pokud šifrovat, tak jedině nenápadně, proto jsou mimikry potřeba.
Jestli si špión, tak citlivé dokumenty musíš zapsat na disk steganograficky.

[beer]

Ten backdoor již byl z truecryptu odstraněn?

[RRRadek Neužil]

Ten backdoor již byl z truecryptu odstraněn?

Na co reaguješ?

[compaq]

Šifrovaný disk vás udělá v USA podezřelého.

Vůbec by mi nevadilo, kdyby mě brali v USA za podezřelého. A co jako? Ať mi políbí...

[otaj]

No, testovací disk nemám, takže dělat to nebudu, ale díky za informaci.. I když přemýšlím, že bych se tu udělal podezřelým a zašifroval si disk TrueCryptem a doufal, že pánové, kteří by se k tomu případně chtěli dostat neznají testdisk..

[jmp]

pri zasifrovani disku testdisk nepomuze, protoze bere data tak jak je posila elektronika disku (a ta posle to co tam je, tedy zasifrovane cosi)
pri odhalovani toho co tam bylo pred zasifrovanim se tusim musi pouzit pomekud sofistikovanejsi hw a sw (se znalosti zpusobu zapisu lze z magnetickych rezidui obnovit to, co tam bylo zapsano drive i pokud je to jiz prepsano necim jinym...)

[compaq]

lze z magnetickych rezidui obnovit to, co tam bylo zapsano drive i pokud je to jiz prepsano necim jinym...)

To imigrační úřad dělat nebude, je to náročné na zdroje, To tě rači nepustěj bez udání důvodů, nebo rovnou zašijou. Podle mě by i český policajti vyšťourali někde v zákonu, že jim šifrováním bráníš ve vyšetřování a skrýváš důkazy a bylo by to... :-)

[jmp]

to byla jen takova mala technicka poznamka, ze pri zasifovani disku (komplet prepisu) pres puvodni zaznam neni testdisk to, ceho je treba se obavat...

ostatni zalezitosti nedovedu posoudit (tedy chovani celniku, imigracnich uredniku a podobne...)

[petrzovy]

Jen tak teoreticky. Pokud TrueCryptem vytvořím skrytý oddíl, a do něj vložím nezašifrované data, tak policie, která by získala přístup k tomuto HDD by mohla vyměnit elektroniku HDD a přečíst data jako nuly a jedničky. Nevím jestli by třeba šlo rozpoznat, že tato sekvence je mp3 či avi.soubor a tím i přečíst o jakou skladbu či film se jedná. Ale zřejmě by, pokud by měli zájem, mohli tyto formáty zkusit od pasu.
Ty data na tom HDD prostě jsou. Původní elektronika je nezobrazí. Ale nějaká policejně upravená-universální by mohla. A určitě to tak i mají. Proto je nezbytné data i zašifrovat silným klíčem.
Může mi někdo mou dedukci výměny elektroniky potvrdit či vyvrátit?

[compaq]

Jen tak teoreticky. Pokud TrueCryptem vytvořím skrytý oddíl, a do něj vložím nezašifrované data, tak policie, která by získala přístup k tomuto HDD by mohla vyměnit elektroniku HDD a přečíst data jako nuly a jedničky. Nevím jestli by třeba šlo rozpoznat, že tato sekvence je mp3 či avi.soubor a tím i přečíst o jakou skladbu či film se jedná. Ale zřejmě by, pokud by měli zájem, mohli tyto formáty zkusit od pasu.
Ty data na tom HDD prostě jsou. Původní elektronika je nezobrazí. Ale nějaká policejně upravená-universální by mohla. A určitě to tak i mají. Proto je nezbytné data i zašifrovat silným klíčem.
Může mi někdo mou dedukci výměny elektroniky potvrdit či vyvrátit?

Data jsou šifrována šifrou nezávisle na tom, zda jsou v souboru, nebo v oddílu.

[RRRadek Neužil]

Jen tak teoreticky. Pokud TrueCryptem vytvořím skrytý oddíl, a do něj vložím nezašifrované data, tak policie, která by získala přístup k tomuto HDD by mohla vyměnit elektroniku HDD a přečíst data jako nuly a jedničky. Nevím jestli by třeba šlo rozpoznat, že tato sekvence je mp3 či avi.soubor a tím i přečíst o jakou skladbu či film se jedná. Ale zřejmě by, pokud by měli zájem, mohli tyto formáty zkusit od pasu.
Ty data na tom HDD prostě jsou. Původní elektronika je nezobrazí. Ale nějaká policejně upravená-universální by mohla. A určitě to tak i mají. Proto je nezbytné data i zašifrovat silným klíčem.
Může mi někdo mou dedukci výměny elektroniky potvrdit či vyvrátit?

Pleteš si softwarové a hardwárové šifrování. TrueCrypt je softwarový.

[petrzovy]

jasně.rozumím.nevědělem, že TC šifruje tak jako tak...
děkuji

[petrzovy]

Ještě k tomu TC.
Jak vytvořit ve verzi 7.1 skrytý oddíl ve skrytém oddílu? A nebo 2 skryté oddíly v jednom kontejneru? Zřejmě to bude brzy aktuální téma Když jsem založil toto vlákno, ACTA ještě nebyla akutní problém. Takže by se taková informace určitě mohla hodit někomu, kdo má v NB videjko z diskoteky, kde natočil kamaráda jak pije pivo na ex a v pozadí hraje chráněná hudba....

Ono totiž lze předpokládat, že když už má někdo nainstalovaný TC, tak může mít i skryté oddíly. Celník může být neoblomný a třeba nemusí věřit, že tam nemám ještě skrytý oddíl. Tak bych mu případně ukázal skrytý s nějakou návnadou a jiný skrytý téhož kontejneru by zůstal utajen.....

Jinak k tomu přenosu chráněných dat přes hranice. Kdo ví, jestli by celníci prolízali třeba smazané soubory. Na ext3/4 sice obnovit nejdou, ale ntfs umožnuje obnovit i po vysypání koše.
Další možností je nějakým TotalComanderem přejmenovat soubory i s příponami na nějaké jiné a zamaskovat to ještě smazáním+vysypáním koše. Pak se deeraserem obnoví data a TotCom přejmenuje z5.
A nebylo by asi ani na škodu změnit systémový čas před mazáním. At to vypadá, že to bylo smazáno před 4mi léty třeba.Když už by lezli do pc hlouběji.

Jinak si myslím, že většina lidí má hudbu do těch 32GB, takže až budou karty 32G za pár korun, tak chci vidět celníky, jak takovou mSD hledají )

[..::malys::..]

Ještě k tomu TC.
Jak vytvořit ve verzi 7.1 skrytý oddíl ve skrytém oddílu? A nebo 2 skryté oddíly v jednom kontejneru? Zřejmě to bude brzy aktuální téma Když jsem založil toto vlákno, ACTA ještě nebyla akutní problém. Takže by se taková informace určitě mohla hodit někomu, kdo má v NB videjko z diskoteky, kde natočil kamaráda jak pije pivo na ex a v pozadí hraje chráněná hudba....

Ono totiž lze předpokládat, že když už má někdo nainstalovaný TC, tak může mít i skryté oddíly. Celník může být neoblomný a třeba nemusí věřit, že tam nemám ještě skrytý oddíl. Tak bych mu případně ukázal skrytý s nějakou návnadou a jiný skrytý téhož kontejneru by zůstal utajen.....

Jinak k tomu přenosu chráněných dat přes hranice. Kdo ví, jestli by celníci prolízali třeba smazané soubory. Na ext3/4 sice obnovit nejdou, ale ntfs umožnuje obnovit i po vysypání koše.
Další možností je nějakým TotalComanderem přejmenovat soubory i s příponami na nějaké jiné a zamaskovat to ještě smazáním+vysypáním koše. Pak se deeraserem obnoví data a TotCom přejmenuje z5.
A nebylo by asi ani na škodu změnit systémový čas před mazáním. At to vypadá, že to bylo smazáno před 4mi léty třeba.Když už by lezli do pc hlouběji.

Jinak si myslím, že většina lidí má hudbu do těch 32GB, takže až budou karty 32G za pár korun, tak chci vidět celníky, jak takovou mSD hledají )

nerad ti kazim  tu "paranoiu"  sifrovani ani hesla biosu  ci cokoliv na SW  zakladu ti nepomuze vzdy se daji data zpetne vyvolat      reseni je jedine neco co by dokazalo odpalit ten disk tak aby se snim uz nedalo pracovat ani kdyby ho rozebrali     a nebo mit disk uplne na jinem miste  s tema datama   treba po siti   proste kdyz se na tebe zamerej tak nemas sanci  coz ale pochybuju , ze by je zajimala nejaka mala paranoidni  ryba

jinak urcite lepsi  reseni je schovat si data na tu SD kartu   a nosit ji treba v druhem podpatku bot

[RRRadek Neužil]

Já bych věděl kam si tu kartu můžeš ještě schovat. Ale bude to možná trochu bolet.

Šifrování je jediná správná volba. Na fyzické zničení disku nebudeš mít čas.

[jAster_BA]

Já bych věděl kam si tu kartu můžeš ještě schovat. Ale bude to možná trochu bolet.

Šifrování je jediná správná volba. Na fyzické zničení disku nebudeš mít čas.

Tak ale mať také väčšie kladivko po ruke nie je nikdy na škodu .

[beer]

Šifrování je správná volba, ale jak jsem již psal, je lepší šifrovat tak, aby nebylo zřejmé, že je něco šifrováno...
To znamená ideální by bylo LVM, 2 systémy, jeden jako návnada, ten druhý by nebyl za normálních okolností vidět,nebyl by v GRUBU, který by byl nainstalovaný na pevném disku.

Z LVM se blbě dolují data,navíc pokud v LVM budete používat šifrování a třeba EXT4 (avšak s vypnutým žurnálem), je to relativně bezpečné. Po nastartování, aby naběhl třeba SLAX nebo nějaké minimalistické distro, kde by nebylo co kontrolovat, nebyly by tam multimédia ani nesvobodné kodeky či ovladače, ale pokud by se vložila karta, nabootovalo by po zadání hesla grubu třeba do ubuntu a tam by byl přístupný zbytek oddílů, včetně multimédií, nesvobodných ovladačů a kodeků...

[petrzovy]

To Beer
Podle mě, celník na hranici, stejně tak hlídka na ulici, bude mít s sebou nějakou "Živou Klíčenku". Na ní potřebné programy....
Různé dualbooty jsou jistě polic.expertům známy. Pokud načtou z jejich klíčenky, tak vidí všechno co je na HDD. Tedy i ty šifrované soubory. Proto má smysl ten skrytý oddíl v tom kontejneru. Ale taky lze očekávat, že i o tom policie ví(nebo někdo kdo chce ukrást nějaké tajné a důležité data). Proto je dobré mít těch skrytých více, když bych musel odhali skrytý.
Ví tedy někdo, jak se to v progamu TrueCrypt dělá? Ve verzi 7.1 připomínám. Kdesi jsem se dočetl, že to jde. Ale u této verze mi to nějak ne a ne jít...
Děkuji