【暗号】Encrypted File System【家宅捜索】

1login:Penguin2007/10/20(土) 06:59:58ID:RqH6701j
EFS等暗号化ファイルシステムについてのスレです。
また、ファイル抹消ツールなどもOK。
重要ファイルは日本と中の悪い外国サーバーにおいて、
VPN+NFSマウントで使用というのも可。

63login:Penguin2011/02/06(日) 10:43:14ID:4DYPIhpv
UbuntuでUSBメモリを暗号化して使用したいのですが、おすすめはありますか。

64login:Penguin2011/02/06(日) 12:53:10ID:flbfNELc
truecryptならwindowsでも読める

luks なら多分最初から入ってるかも

cryptsetup --cipher aes-cbc-essiv:sha256 --key-size 256 luksFormat /dev/sdb
cryptsetup luksOpen /dev/sdb usb_crypt
mkfs /dev/mapper/usb_crypt

mount /dev/mapper/usb_crypt /mnt
umount /mnt
cryptsetup luksClose usb_crypt

cryptsetup luksOpen /dev/sdb usb_crypt
mount /dev/mapper/usb_crypt /mnt
umount /mnt
cryptsetup luksClose usb_crypt

65login:Penguin2011/02/06(日) 13:28:45ID:4DYPIhpv
truecypt 良さそうですね。

linuxとwindowsの両方から使えると理想的です。

ありがとございました。

66login:Penguin2011/02/06(日) 22:00:48ID:K0jWSsUA
USB メモリに非暗号化領域も作っておいて,tc の実行ファイルもいれとくとtc 入ってないマシンでも使えて便利
後,領域のfs はfat にしとかないとWin で読めないので注意

67login:Penguin2011/02/06(日) 22:12:32ID:flbfNELc
ntfsでも読めた気がす

68login:Penguin2011/02/07(月) 00:45:31ID:K8nxDy/F
ntfs だとlinux 側での書き込みが不安だった覚えがあるんだけど最近は問題ないのかな?

69login:Penguin2011/12/25(日) 17:48:35.43ID:VM96XWij
良スレ保守

70login:Penguin2012/03/24(土) 16:29:19.38ID:kLHKfkjx
パスフレーズ忘れた
起動しっぱなしだから大丈夫だけど停電したら詰むわ

今のうちにインストールしなおす準備しないと

71login:Penguin2012/03/24(土) 16:52:20.10ID:NfqtuqZi
ちゃんと付箋に書いてディスプレイに貼っとかないと。

72login:Penguin2012/03/24(土) 19:02:49.56ID:0tqtB0kl
>>70
LUKSならもう一つパスフレーズ持たせればダメか?

73login:Penguin2012/03/25(日) 02:49:40.59ID:OdQrzmM7
パスフレーズ追加とかの処理には、パスフレーズが必要なんだよ。

74login:Penguin2012/04/27(金) 04:09:44.59ID:HV6sl5Kx
昔のEPROMは石英の窓がついていて、紫外線を当てるとデータが消せた。
だから今のフラッシュもたぶん、X線を多量にあてて被爆させれば
データが消えると思う。10シーベルトぐらいでどうだろうか?

75login:Penguin2012/05/03(木) 14:12:33.65ID:EBaWvjgV
a

76login:Penguin2012/05/15(火) 18:19:23.47ID:E4s8sW0A
LUKS は確か7,8個いけるので,一つ覚えられないような長いのにして非常用に保存してる
鍵にしたほうがいいんだろうけど…

77login:Penguin2012/07/04(水) 22:33:16.20ID:ZUZMqb9r
test

78login:Penguin2013/03/12(火) 17:31:33.83ID:gXaKHUV/
このスレまだ生きてる?暗号化ファイルシステムのこと聞きたいんだけど、
HDD全体を暗号化したとして、そのマシンにつながっているときは自動マウントできて、
HDDを他のマシンにつないだらパスフレーズを要求する、ってなことは可能なの?

79login:Penguin2013/03/12(火) 19:46:55.87ID:wUJpxwj7
>>78
別途のストレージ(USBメモリでも内蔵ハードディスクでも)がある、という前提なら、
そこに鍵を入れることができるから、そういう仕組みを作ることはできる。

もちろん「そのマシンに繋がっているときは」ではなくて、
「そのストレージがあれば」になるけどな。

80login:Penguin2013/03/12(火) 19:55:56.07ID:ny7uAroQ
可能

ここの2.12のtpm-luksとか
ttp://code.google.com/p/cryptsetup/wiki/FrequentlyAskedQuestions
TPMを使ったeCryptfsとか
ttp://publib.boulder.ibm.com/infocenter/lnxinfo/v3r0m0/topic/liaai/ecrypts/liaaiecryptfs.htm

ようはHDD以外にパスフレーズを持たせる仕組みがハード的に必要
ttp://www.grounation.org/index.php?post/2008/07/04/8-how-to-use-a-tpm-with-linux

LUKSならパスフレーズを複数持てるから、別マシンにつないだときはそちらを使うようにすると望みの動作かな
特別なハードの無い一般的なPCだと、USBメモリに書いて/dev/disk/by-idとかで指定するとか?
そのメモリも持っていかれたら、どうしようもないが

81login:Penguin2013/03/13(水) 08:52:35.57ID:M4EriMwd
>>79
>>80
ありがとう。TPMね。
パス登録したときのCPUのIDとかを記憶してて、違うIDならパス要求
みたいなのを期待したんだけど難しそうだね。

82login:Penguin2013/10/30(水) 02:36:36.60ID:dllNHier
>>81
今見てるかわからんけど、luksのキーファイルを指定するところにスクリプトが書けるので、
上手にハードの違いを鍵の要素にしておけばいけるのでは

83login:Penguin2013/11/02(土) 03:54:08.81ID:+qbEmlLa
それだったらfstabはmount.xxx呼び出してるだけだから自分でmount.xxxスクリプト書けばいい話では

84login:Penguin2014/02/19(水) 17:15:35.86ID:RwVtLOkI
保守

85login:Penguin2014/03/17(月) 16:33:27.62ID:lvWrz0zb
ディスク全体を暗号化したいのだけどLinuxだとdm-cryptでも/boot領域は非暗号化領域になっちゃう?
これだと/bootにキーロガーとか仕込まれたら終わりだよね
回避方法ないのかな

86login:Penguin2014/03/18(火) 07:45:43.79ID:O1fPjud7
>>85
そういう前提だと、BIOS(EFI)にも暗号化が必要だし、
プロセッサのマイクロコードにも暗号化が必要になるのでは。

87login:Penguin2014/03/18(火) 14:17:31.98ID:5sFkX3ZT
>>86
確かに
BIOSについてはとりあえずパスワードかけてる
Thinkpadなんでメーカーでも解除できないはず

ただDiskについてはTruecryptのWin版は全暗号化できるらしいのでLinuxでも/bootも含め全て暗号化出来ないものだろうかと…

88login:Penguin2014/03/18(火) 14:53:50.05ID:prDBO1bP
Truecryptでもブートローダー改ざんは防げてない

89login:Penguin2014/03/19(水) 01:53:50.93ID:97hI63og
>>88
そこでEFIのセキュアブートで守れるようになるのかな?
でもLinuxだと大抵offにしないとダメよね
MSの証明書を使うのも嫌だし
証明書入れられるのが普通になるといいのだけど…

90○☆温泉☆○ ◆2iML/LSl36 2014/04/12(土) 13:46:39.68ID:fL4susbN
dm_crypt(cryptsetup)について質問です。
あれって間違いなく同一のパスワードであっても、入力する条件、つまり
・intaractive Zshでinteractive input
・インストーラで入力
・interactive Zshでprintのpipe + -d -
・Zsh ScriptでPrintのpipe + -d -
・RubyのKernel.print + -d -
のそれぞれが条件が変わるとNo key availableと言われてしまうのですね。
ごくごく単純なキーなら起きないようではあるのですけれど。今は[a-zA-z0-9]{16}なパスフレーズです。
これ、どうなっているのでしょう?特に、Zshの全く同じ文で、interactiveかscriptかで通るかどうかが変わってしまうのが理解できません。

さらに、全く同じ方法でさえ、受け付けてくれず、再起動すると受け入れてくれたりします。
値はスクリプトでprint $ppのようにしてプリントデバッグしているので、パスフレーズが違うということはありえないのですけれど...

91login:Penguin2015/02/06(金) 08:58:12.32ID:k4RpXeov
Linuxってどのディス鳥でもBitlockerみたいにドライブ全部の暗号化って無理なんだな
パーティション単位かホームディレクトリの2択だったとは知らんかった
有料製品が下位バージョンを機能制限するのはわかるけどLinuxで機能制限の意味って何なんだ

92○☆温泉☆○ ◆2iML/LSl36 2015/02/06(金) 09:31:04.61ID:vhRPGiNb
>>91
どういう構成でどういう単位で行うか次第だと思いますが、できますよ?
BitLockerもディスク全域を暗号化しているわけではありませんし。
(システムドライブでなければできるのかもしれませんが、
 ブートドライブをオフセットもなしに暗号化したら
 BIOSもUEFIもブータブルデバイスとして認識できません)

93login:Penguin2015/02/08(日) 17:14:36.86ID:5Q5ta/LO
>>91
ドライブ全体は無理だな
どうしたって/bootだけは平文である必要がある
grubに手を入れたらできるかもわからんけど

逆に/boot以外は全部まるごと暗号化できるぞ
初心者向けとか軽量ディストリだとインストーラが暗号化に対応してないのがあるけど少なくともubuntuとかdebianはできる

94○☆温泉☆○ ◆2iML/LSl36 2015/02/08(日) 18:08:25.98ID:oXJG04vl
>>93
システムドライブは無理ですが、それ以外ならドライブまるごとできますよ、というかしてますよ。

cryptsetup --hash=sha512 --cipher=twofish-xts-plain --offset=0 --key-file=/home/foo/keyfile --key-size=512 open --type=plain /dev/sdb enc

逆にBitLockerがシステムドライブまるごといけるかというと、
システムパーティションを暗号化しているだけで、
そもそもBIOSがブートフラグを認識できない状態ではブートできないので、
ブートデバイスを「まるごと」暗号化することは
ファームウェアレベルで提供されない限り不可能です。

95login:Penguin2015/08/20(木) 18:52:11.32ID:jJnte6ZE
LUKSをGUIで設定できるツールはありますか

96login:Penguin2016/12/23(金) 12:22:54.73ID:z9j3pdXN
LinuxディストリビューションにEnterキーを押し続けるだけで悪用可能な深刻な脆弱性

だってさ

Cryptsetupはオワコン

97login:Penguin2016/12/23(金) 17:05:03.99ID:Bs1PVzfn
各種初期化処理の途中の状態でシェル取れるだけだし、そんなに深刻でもない気がするんだよね、それ。
暗号化された部分にはアクセスできないから、削除とかの破壊活動ができるって程度。

攻撃者が物理的にマシンをいじれる状況なら、物理的な破壊活動ができるんだよ。
キーボードにロガー仕込むとか、もっと悪質な攻撃だってできるかもしれない。

98login:Penguin2016/12/30(金) 17:48:21.67ID:wpQIDEZ3
関係なかったんだな
勘違いで変な書き込みしてたけど正確な事実を知れたから書いてよかった

99login:Penguin2017/01/08(日) 03:25:15.92ID:65sujQ4Z
UbuntuでTruecrypt使うと書き込み禁止にチェック入れててもコンテナの中身書き換えれるな

100login:Penguin2017/01/11(水) 21:09:40.50ID:1vAKbs/Q
>>99
それ古い世代だろ7.1aはちゃんとロック効くよ
UbuntuでなくてLinux mintだけど

101login:Penguin2017/02/10(金) 13:47:33.74ID:9P/LMG6U
>>96-97
この板で初めて有用な書き込みを見た

102login:Penguin2017/02/24(金) 16:09:03.75ID:IDkStBnJ
ただの翻訳だろ
どこが有用なんだよ
どこまでレベル低いんだよ

103login:Penguin2017/02/25(土) 08:27:17.87ID:VDreP4fn
この機能はUSBインストールの時も使えたら偉大だった

104login:Penguin2017/03/05(日) 11:12:38.46ID:W92/QP1N
>>103
つかえるよ

105login:Penguin2017/04/05(水) 09:52:01.07ID:O+dqZJyw
ext4にファイルベースの暗号化機能入ってたんだね
知らなかった

106login:Penguin2017/04/05(水) 11:50:54.95ID:rD0/2X5r
eCryptfsより速いなら使いたい

107login:Penguin2017/09/25(月) 12:08:25.41ID:zq5F9DtD
仮想マシンの仮想ディスクを暗号化したのではだめなん?

108login:Penguin2017/12/29(金) 13:45:11.59ID:S/CsVkMC
誰でも簡単にパソコン1台で稼げる方法など
参考までに、
⇒ 『宮本のゴウリエセレレ』 というブログで見ることができるらしいです。

グーグル検索⇒『宮本のゴウリエセレレ』

OQ7OS3MXNB

109login:Penguin2018/04/11(水) 15:20:50.52ID:tpwD4HOs
OQ7OS3MXNB

110login:Penguin2018/05/22(火) 11:06:01.08ID:Czl6p0FW
僕の知り合いの知り合いができた副業情報ドットコム
関心がある人だけ見てください。
グーグルで検索するといいかも『ネットで稼ぐ方法 モニアレフヌノ』

BBX4V

111login:Penguin2018/08/08(水) 09:12:11.47ID:tyC3gFls
https://ja.wikipedia.org/wiki/VeraCrypt

> 妥当な否認権
> VeraCryptは妥当な否認権と呼ばれる構想をサポートしている[16]。
> これはひとつの「隠されたボリューム」をもう一つのボリュームの中に作成できるものである[17]。
> さらに、Windowsバージョンでは、 存在が否定できる暗号化された
> 隠しオペレーティングシステムを作成し実行することができる[18]。

つまりどういうことだってばよ?



妥当な否認権とは何か? どういう構想なのか?
ボリュームの中に隠されたボリュームを作成できるっていうのはわかる。
そうすることで何がどうなるのか?

「存在が否定できる」はどういうことなのか?
隠しオペレーティングシステムのOSとはなんのOSなのか?
どうやって作成して実行するのか?

112login:Penguin2018/08/08(水) 09:14:31.28ID:tyC3gFls
なんだ。専用スレあったぞ。移動すっぞ

【VeraCrypt】暗号化仮想ドライブ作成ソフト Part23
https://egg.5ch.net/test/read.cgi/software/1516761294/

113login:Penguin2018/11/11(日) 17:40:53.58ID:Bd07N8s0

新着レスの表示
レスを投稿する