Hyviä ohjeita koko levyn salaukseen ja salauksenhallintaan ?

Anonyymi-ap

Kiinnostava aihe: koko kiintolevyn salaus ja Linux.

Mistä ohjeita ?

Tarkoitus siis olisi, että systeemin saisi toimimaan näin_

1. Kun PC:n virta kytketään päälle, niin jo tässä vaiheessa koneeseen on liitetty buuttaava USB -muistitikku.

2. Koneen BIOS -asetuksista on säädetty niin, että USB -muistitikku on käynnistysjärjestyksessä ensisijainen.

3. Muistitikulta luetaan linuxin kernel sekä initrd sekä salasanalla suojattu salausavain (tiedostosta).

4. Koneen pitäisi kysyä salasanaa (tästä salasanasta lasketaan sopivalla algoritmilla tiiviste, jolla avataan salakirjoitettu salausavain (joka luettiin muistitikulta).

Jos syötetty salausavain on oikea, niin kone avaa tuon salasanalla suojatun salausavaimen ja sitten käyttää tätä salausavainta kiintolevyn sektorien lukemiseen / kirjoittamiseen. Kiintolevyn kaikki datasektorit ovat siis salattuja.

Kysymys:
Entä kiintolevyn osiointiin liittyvät sektorit ? Ovatko ne myös salattuja vai pidetäänkö ne salaamattomana? Näitähän on ainakin pääkäynnistyssektori (MBR) sekä (jos halutaan yli 4 osiota) osiokohtaiset linkkisektorit ja myös osiokohtaiset käynnistyssektorit (VBR) ?

Mistä löytyisi ohje tämän toteuttamiseen?

Ja mistä pitää ottaa varmuuskopio, ettei käy niin, ettei käyttäjä enää itsekään pääse levyn sisältöön käsiksi kun se on salattu ?

Voiko käynnistystä lukuunottamatta systeemi olla muuten ns. normaali, eli initrd siis sisältäisi jonkin lisämodulin, jonka ansiosta kernel osaa hoitaa kaiken kiintolevyn lukemisen/kirjoittamisen salattuna, mutta jos asiaa katsotaan "salaus avattuna" -näkökulmasta, niin muuten kyseessä on aivan normaali linux -asennus ?

5

379

Äänestä

    Vastaukset

    Anonyymi (Kirjaudu / Rekisteröidy)
    5000
    • Anonyymi

      Ubuntun asennuksessa voi valita kokolevyn salauksen, sama useassa muussakin jakelussa.

      • Anonyymi

        Niin voi... mutta onko se turvallista ?

        Oma vaatimukseni on se, että pitäisi olla mahdollista:

        1. umount <salattu osio>

        2. dd bs=4096 if=<salattu osio> of=/mnt/ulkoinenlevy001/varmuuskopio_2023_04_26a.bin

        Ja, jos myöhemmin ilmenee mikä tahansa syy ylikirjoittaa salattu osio sen 26.4.203 otetulla varmuuskopiolla, niin tuossa vaiheessa:

        3. umount <salattu osio>

        4. dd bs=4096 of=<salattu osio> if=/mnt/ulkoinenlevy001/varmuuskopio_2023_04_26a.bin

        5. Kun osion ylikirjoittaminen on valmis, niin:

        6. mount <salattu osio>

        Ja tässä vaiheessa homman pitäisi olla se, että salattu osio on toimiva, käyttökelpoinen ja täsmälleen sen hetken tilanteeen mukainen, kun varmuuskopio otettiin.

        Ja kaikki nämä komennot olisi siis tarkoitus antaa siten, että PC on buutattu vaikkapa knoppixilla.

        Miksikö?

        No, koska koneen normaalisti käytössä oleva linux -käyttöjärjestelmä sijaitsee muuten kokonaan tuolla salatulla osiolla, ainoana poikkeuksena:

        1. kernel

        2. initrd

        sekä mahdollisesti salausajuri ja salausavain salakirjoitettuna sekä jokin lisämoduli, joka kysyy käyttäjältä salasanan ja sen saatuaan avaa salauksen ja buuttaus jatkuu sitten normaalisti.

        Ja nuo kernel, initrd, sekä salausajuri ja salausavain salakirjoitettuna sekä tuo salasanankysmis -lisämoduli pitäisi kaikki olla USB -muistitikulla, jolta kone buutataan.

        Kiintolevylle ei siis ole tarkoitus jäädä mitään osiota, joka olisi salaamaton.

        Mutta: onko nuo salaussysteemit tehty siinä mielessä oikein, etteivät ne ominpäin mene muuttamaan salausavainta ?

        Koska jos salaussysteemin menisi ominpäin (ilman käyttäjän nimenomaista komentoa) muuttamaan salausavaimen, tällöin syntyisi tilanne, jossa varmuuskopion ottaminen ja myöhempi osion ylikirjoittaminen aiemmin varmuuskopioidun tilanteen mukaiseksi johtaisi tilanteeseen, jossa koneen omistaja ei itsekään pääse tietoihinsa käsiksi !

        Entä, jos on useampi osio?

        Miten tuo "Ubuntun asennuksessa voi valita kokolevyn salauksen" toimii tuossa tilanteessa ?

        Voiko Ubuntuun muuten vaihtaa työpöydän vaikkapa LXDE:hen (Knoppixista tuttu) ?

        Ei jaksaisi pelleillä GNOMEn kanssa.

      • Anonyymi
        Anonyymi kirjoitti:

        Niin voi... mutta onko se turvallista ?

        Oma vaatimukseni on se, että pitäisi olla mahdollista:

        1. umount <salattu osio>

        2. dd bs=4096 if=<salattu osio> of=/mnt/ulkoinenlevy001/varmuuskopio_2023_04_26a.bin

        Ja, jos myöhemmin ilmenee mikä tahansa syy ylikirjoittaa salattu osio sen 26.4.203 otetulla varmuuskopiolla, niin tuossa vaiheessa:

        3. umount <salattu osio>

        4. dd bs=4096 of=<salattu osio> if=/mnt/ulkoinenlevy001/varmuuskopio_2023_04_26a.bin

        5. Kun osion ylikirjoittaminen on valmis, niin:

        6. mount <salattu osio>

        Ja tässä vaiheessa homman pitäisi olla se, että salattu osio on toimiva, käyttökelpoinen ja täsmälleen sen hetken tilanteeen mukainen, kun varmuuskopio otettiin.

        Ja kaikki nämä komennot olisi siis tarkoitus antaa siten, että PC on buutattu vaikkapa knoppixilla.

        Miksikö?

        No, koska koneen normaalisti käytössä oleva linux -käyttöjärjestelmä sijaitsee muuten kokonaan tuolla salatulla osiolla, ainoana poikkeuksena:

        1. kernel

        2. initrd

        sekä mahdollisesti salausajuri ja salausavain salakirjoitettuna sekä jokin lisämoduli, joka kysyy käyttäjältä salasanan ja sen saatuaan avaa salauksen ja buuttaus jatkuu sitten normaalisti.

        Ja nuo kernel, initrd, sekä salausajuri ja salausavain salakirjoitettuna sekä tuo salasanankysmis -lisämoduli pitäisi kaikki olla USB -muistitikulla, jolta kone buutataan.

        Kiintolevylle ei siis ole tarkoitus jäädä mitään osiota, joka olisi salaamaton.

        Mutta: onko nuo salaussysteemit tehty siinä mielessä oikein, etteivät ne ominpäin mene muuttamaan salausavainta ?

        Koska jos salaussysteemin menisi ominpäin (ilman käyttäjän nimenomaista komentoa) muuttamaan salausavaimen, tällöin syntyisi tilanne, jossa varmuuskopion ottaminen ja myöhempi osion ylikirjoittaminen aiemmin varmuuskopioidun tilanteen mukaiseksi johtaisi tilanteeseen, jossa koneen omistaja ei itsekään pääse tietoihinsa käsiksi !

        Entä, jos on useampi osio?

        Miten tuo "Ubuntun asennuksessa voi valita kokolevyn salauksen" toimii tuossa tilanteessa ?

        Voiko Ubuntuun muuten vaihtaa työpöydän vaikkapa LXDE:hen (Knoppixista tuttu) ?

        Ei jaksaisi pelleillä GNOMEn kanssa.

        Huolestuttaa vaan:

        Katsokaapa tätä listaa Knoppixin paketeista:

        https://distrowatch.com/table.php?distribution=knoppix

        Pakettia veracrypt ei mainita tuolla lainkaan !

        Eikö Knoppix tue veracryptin käyttöä?

        Vai onko ongelma distrowatchin kelvottomassa dokumentoinnissa eikä Knoppixissa itsessään ?

        Jos kerran myös normaalikäyttöjärjestelmä asennetaan salatulle osiolle (kerneliä ja initrd:tä lukuunottamatta), niin silloin on ilmeisesti niin, ettei normaalikäyttöjärjestelmällä voi varmuuskopioida tai ainakaan palauttaa kiintolevyosiota varmuuskopiolta salatun osion osalta!

        Siksi olisi tarkoitus hoitaa tuo varmuuskopiointi ja mahdolline myöhempi varmuuskopiolta palauttaminen nimenomaan buuttaamalla kone Knoppixilla tuollaisten asioiden hoitamista varten.

    • Anonyymi

      Asennuksessa on mahdollista valita automaattinen toiminto. jossa ohjelma tekee automaattisesti salaamattoman /boot osion ja LUKS salatun LVM osion. Salauksen läpi näkyy selväkielinen osio /dev/mapper hakemistossa. Tämä on LVM:n fyysinen taltio ja halutut osiot tehdään sitten LVM:n loogisina osioina (ainakin / ja swap, ehkä myös /home).

      On aivan mahdollista että /boot osio on tikulla ja koko levy on salattua. En tiedä onko asennusohjelmassa mahdollista tehdä tuo automaattisesti vai pitääkö se tehdä asennusohjelman aikana käsikäyttöisesti mikä tekee hommasta monimutkaisempaa.

      LUKS osion kaikki salaustiedot on LUKS osiolla. Myös salausvaimet. Salaus on monimutkainen juttu ja täynnä sudenkuoppia, joten on syytä pitäytyä ainakin aluksi viisaampien tekeleissä.

      Salatun levyn voi avata millä tahansa live-Linuxilla koska kaikki tarvittava on salatulla levyllä. Samoin varmuuskopiointi ja palautus on helppoa kun vaikkapa USB levy on LUKS salattu. Kun antaa käyttöjärjestelmän muistaa salasanan salauksn purku ja osion liittäminen toimii automaattisesti.

      On suositeltavaa kirjoittaa ensin täyteen bittimössöä ja puolijohdelevyilla estää trim komennon käyttö. Muuten levy vuotaa tietoa kun voidaan päätellä mitä osat levystä on tyhjiä.

    Ketjusta on poistettu 0 sääntöjenvastaista viestiä.

    Takaisin ylös

    Luetuimmat keskustelut

    1. Miksi et irrota otettasi

      Suhteeni?
      Ikävä
      69
      2663

    2. Koko ajan olet

      Senkin suhteen kiusannut. Halut on ihan mielettömät olleet jo pitkään
      Ikävä
      63
      2614

    3. Muutama syy

      Sille miksi IRL kohtaaminen on hänelle vaikeaa
      Ikävä
      68
      1772

    4. Onko kaivatullasi

      Hyvä vai huono huumorintaju?
      Ikävä
      24
      1597

    5. Estitkö sä minut

      Oikeasti. Haluatko, että jätän sun ajattelemisen? :3
      Ikävä
      20
      1530

    6. Tykkään susta

      Elämäni loppuun asti. Olet niin suuresti siihen vaikuttanut. Tykkäsit tai et siitä
      Ikävä
      9
      1460

    7. Onko kaikki hyvin, iso huoli sinusta

      Miten jakselet? Onko sattunut jotain ikävää. Naiselta
      Ikävä
      15
      1372

    8. Millainen meno

      Viikonloppuna? Mulla hirvee vitutus päällänsä. Onko muilla sama tunne??
      Ikävä
      38
      1223

    9. Onko meillä

      Molemmilla nyt hyvät fiilikset😢ei ainakaan mulla mutta eteenpäin on mentävä😏ikävä on, kait se helpottaa ajan myötä. Ko
      Ikävä
      8
      1187

    10. Tiedätkö tykkääkö

      Kaivatustasi siinä mielessä joku muukin kuin sinä itse
      Ikävä
      25
      1106
    Aihe
    TietosuojaselosteKäyttöehdotEvästeasetuksetSäännöt