【暗号】Encrypted File System【家宅捜索】
EFS等暗号化ファイルシステムについてのスレです。 また、ファイル抹消ツールなどもOK。 重要ファイルは日本と中の悪い外国サーバーにおいて、 VPN+NFSマウントで使用というのも可。 「木を隠すには森」ってのは、暗号化の有無が重要性を暗示しないように仕向ける話。 何でもない社員の PC も全部標準で暗号化して、「顧客情報漏洩対策済み」とか掲げとくとかね。 単純に、どのマシンを解析すればいいかわからなければ、それだけ重要な部分を解読される可能性を減らせるし。 でも、通常の FS に偽装した暗号化 FS ってのは面白いかも。 普通に mount できて、一部のディレクトリは普通に使えて。 で、専用のコマンドにパスフレーズ渡して mount すると全部見える、って感じで。 暗号化してあれば、高速消去機能は不要でしょ。 解読さえされなければいい。 偽装して暗号化部分自体を隠せるなら、なおさら消去を高速にやる意味はないと思う。 それこそ、普通に mount して一定時間作業してると暗号化部分が消えてく、みたいに仕組んでもいいし。 >>33 なるほどね。例えば全社全グループ全部標準で暗号化するわけだ。 まあ、実際は復号パスフレーズの管理とかいろいろ大変そうだけど、 公開鍵とか組み合わせればできないことないかな。 そうそうはそのまんまだよ。 でも >暗号化してあれば、高速消去機能は不要でしょ。 >解読さえされなければいい。 ありゃっ、途中で書き込んじゃったな。 うむ、偽装のイメージはそんな感じを漏れもイメージしてた。 でも >暗号化してあれば、高速消去機能は不要でしょ。 >解読さえされなければいい。 これ、暗号化と消去はちょっと違うよ。 例えば、君自身や君の他にパスフレーズ知っている人を買収するとか 洗脳するとか、別の方法で脅すとか、拉致して自白剤を打つとか 消去ならどうしようもないが、暗号化ならコードブレイクの 方法はいくらでもある。人間自体が一番のセキュリティホールだし。 パスフレーズとかの管理は、重要でないマシンなら、いい加減でもいいと思う。 全部暗号化されてて重要な物の見分けがつかないって状態でさえあればいい。 ソーシャルハック対策だと、データ自体は消去できなくても、パスフレーズとか鍵を無効化できれば済みそうかな。 暗号化 FS だと、メタデータさえ抹消しちゃえば、ほとんど復旧不能にできるだろうし。 偽装のついでに、複数のパスフレーズ受け付ける暗号化 FS とかどうかな。 入力したパスフレーズによって見えるファイルが違う、っていう。 重要なデータのダミーが出てくるパスフレーズとか用意して、脅迫されたらそっち教えるの。 常にものすごくフラグメントさせておいて管理情報だけぶっ壊す。 スイッチ一つでサーボ信号もろとも消える程の磁力を発生させる >>38 特定パーティションのデータを壊すだけならば、とりあえずは dd if=/dev/urandom of=ターゲットパーティション (以下略)を応用すればほぼ出来る。 断片的にデータが残るリスクや消すのに時間がかかる事、それ以前に媒体自体に消したはずのデータが残ってるリスクがあるけど、ジャーナリングするのが普通になった今でも効果があると思うけど? パーティション単位で暗号化かけるメリットって他のユーザやリモートから容易に中身を読まれないあたりやバックアップ取るときに暗号化と併用すると簡単には解読されないあたりにあるから、暗号化ボリュームに読み書きする時のオーバヘッドを考えないといけなくなる上に 暗号化された中身を飛ばしたときのリカバーがややこしくなるから、CryptFS って安易に使えないような気がするんだけど。 パソコンと電子レンジを組み合わせて速攻削除でOKじゃね? IHクッキングヒーターでハードディスクをサンドイッチでもOKかも dm-cryptで暗号化したパーティションをSambaで共有って出来ないの? CGD使ってる人いる? 速度とか使ってる感じを聞きたい プリンストン大学,電源を切ったPCからHDD暗号鍵の取り出しに成功 ttp://itpro.nikkeibp.co.jp/article/NEWS/20080222/294465/ えー なんて無茶苦茶な… もしもの時は電源切る前にmemtest走らせとけばいいのか truecryptのhidden volumeってlinuxじゃ使えないん? 作ろうとするとError: The selected feature is currently not supported on your platform.って言われるんだけど クロスプラットフォームなのにどうなのよ? カーネルが2.6.24だからかも ちょっくら試してみるわ 最新版は問題抱えてるから、公式一通り見たほうがいいよ。http://www.truecrypt.org/future.php > Ability to create hidden volumes on Mac OS X and Linux なるほどtruecrypt4では使えたのね 対応するまで待ってみるか >>19 , >>35 いまさらレスして意味あるのか知らんが、 luks とかだと、データの暗号化に利用しているキーはランダムデータで、 パスフレーズで暗号化されてディスク上に保持されている。 そのキーをランダムデータでガシガシ上書きすれば (無限の演算資源を持つ)神様しか読めなくなる。 消すべきはキーとメタデータをあわせて 2kbyte くらい。 buffer cache とかの、ディスクに磁気情報が反映されるまでの 遅延を発生させる要素をどう回避するかという問題はあるけれど、 それでも数分でほぼ確実に読めない状態になるのではないかとおもう。 まぁ、あとは暗号化の実装が腐ってて、解読可能でした、 とかだとどうしようもないんだけどね。 あと、もしかするとこの方法でディスク消去してしまうと神様でも読めなくて、 資源があれば OK なのは公開鍵暗号系を利用している場合だけかもしれない。 違うPCでマウントされたらファイル消す機能とか欲しいな 今のところ暗号化パーティションでもつかってなきゃCD-Linuxで読めちゃうもんな >>53 HDDのファームでやらんと無理だろうな、それは。 似たような効果を得たいなら、鍵をTPMで管理とかそういう手法になるのかな。 reiserFSのブロックの余りにファイル突っ込む機能をうまく使えばtruecryptなんか目じゃないステガノグラフィが実現できそう だれかつくらねーかな LinuxってTruecryptとかBitlockerみたいなソフトって利用できる? truecryptは動く。bitlockerはしらん。 最近のUbuntu のインストーラ最後の辺りでホームを暗号化するか聞いてくるね。 はいを選ぶとログイン時に透過的に暗号化のボリュームをマウントしてくれるみたい。 持ち出しNotePC とか向けにはいいかもしれない。 他のディストリでも真似できないかな。 なんでもディスのパケ任せにしないで自分で実装すりゃいいじゃん そうね。 先ずは仮想環境にでもUbuntu 入れて試してみることにします。 >>20 >>30 >>53 あたりのって、↓のこと?東芝の社員ここ見とったん? 東芝、機器から取り外すとHDD内のデータを消去--新技術を開発 - CNET Japan http://japan.cnet.com/news/service/story/0,3800104747,20418221,00.htm?tag=nl 試してみたいけど明らかに企業向け商品ぽいしバルク品としてアキバで買えるようなもんじゃなさそうな・・・ >>61 Seagate Momentus FDE で同じようなことができそうな感じが 何気に対応Disk だったので試してみようと思ってる UbuntuでUSBメモリを暗号化して使用したいのですが、おすすめはありますか。 truecryptならwindowsでも読める luks なら多分最初から入ってるかも cryptsetup --cipher aes-cbc-essiv:sha256 --key-size 256 luksFormat /dev/sdb cryptsetup luksOpen /dev/sdb usb_crypt mkfs /dev/mapper/usb_crypt mount /dev/mapper/usb_crypt /mnt umount /mnt cryptsetup luksClose usb_crypt cryptsetup luksOpen /dev/sdb usb_crypt mount /dev/mapper/usb_crypt /mnt umount /mnt cryptsetup luksClose usb_crypt truecypt 良さそうですね。 linuxとwindowsの両方から使えると理想的です。 ありがとございました。 USB メモリに非暗号化領域も作っておいて,tc の実行ファイルもいれとくとtc 入ってないマシンでも使えて便利 後,領域のfs はfat にしとかないとWin で読めないので注意 ntfs だとlinux 側での書き込みが不安だった覚えがあるんだけど最近は問題ないのかな? パスフレーズ忘れた 起動しっぱなしだから大丈夫だけど停電したら詰むわ 今のうちにインストールしなおす準備しないと ちゃんと付箋に書いてディスプレイに貼っとかないと。 >>70 LUKSならもう一つパスフレーズ持たせればダメか? パスフレーズ追加とかの処理には、パスフレーズが必要なんだよ。 昔のEPROMは石英の窓がついていて、紫外線を当てるとデータが消せた。 だから今のフラッシュもたぶん、X線を多量にあてて被爆させれば データが消えると思う。10シーベルトぐらいでどうだろうか? LUKS は確か7,8個いけるので,一つ覚えられないような長いのにして非常用に保存してる 鍵にしたほうがいいんだろうけど… このスレまだ生きてる?暗号化ファイルシステムのこと聞きたいんだけど、 HDD全体を暗号化したとして、そのマシンにつながっているときは自動マウントできて、 HDDを他のマシンにつないだらパスフレーズを要求する、ってなことは可能なの? >>78 別途のストレージ(USBメモリでも内蔵ハードディスクでも)がある、という前提なら、 そこに鍵を入れることができるから、そういう仕組みを作ることはできる。 もちろん「そのマシンに繋がっているときは」ではなくて、 「そのストレージがあれば」になるけどな。 可能 ここの2.12のtpm-luksとか ttp://code.google.com/p/cryptsetup/wiki/FrequentlyAskedQuestions TPMを使ったeCryptfsとか ttp://publib.boulder.ibm.com/infocenter/lnxinfo/v3r0m0/topic/liaai/ecrypts/liaaiecryptfs.htm ようはHDD以外にパスフレーズを持たせる仕組みがハード的に必要 ttp://www.grounation.org/index.php?post/2008/07/04/8-how-to-use-a-tpm-with-linux LUKSならパスフレーズを複数持てるから、別マシンにつないだときはそちらを使うようにすると望みの動作かな 特別なハードの無い一般的なPCだと、USBメモリに書いて/dev/disk/by-idとかで指定するとか? そのメモリも持っていかれたら、どうしようもないが >>79 >>80 ありがとう。TPMね。 パス登録したときのCPUのIDとかを記憶してて、違うIDならパス要求 みたいなのを期待したんだけど難しそうだね。 >>81 今見てるかわからんけど、luksのキーファイルを指定するところにスクリプトが書けるので、 上手にハードの違いを鍵の要素にしておけばいけるのでは それだったらfstabはmount.xxx呼び出してるだけだから自分でmount.xxxスクリプト書けばいい話では ディスク全体を暗号化したいのだけどLinuxだとdm-cryptでも/boot領域は非暗号化領域になっちゃう? これだと/bootにキーロガーとか仕込まれたら終わりだよね 回避方法ないのかな >>85 そういう前提だと、BIOS(EFI)にも暗号化が必要だし、 プロセッサのマイクロコードにも暗号化が必要になるのでは。 >>86 確かに BIOSについてはとりあえずパスワードかけてる Thinkpadなんでメーカーでも解除できないはず ただDiskについてはTruecryptのWin版は全暗号化できるらしいのでLinuxでも/bootも含め全て暗号化出来ないものだろうかと… Truecryptでもブートローダー改ざんは防げてない >>88 そこでEFIのセキュアブートで守れるようになるのかな? でもLinuxだと大抵offにしないとダメよね MSの証明書を使うのも嫌だし 証明書入れられるのが普通になるといいのだけど… dm_crypt(cryptsetup)について質問です。 あれって間違いなく同一のパスワードであっても、入力する条件、つまり ・intaractive Zshでinteractive input ・インストーラで入力 ・interactive Zshでprintのpipe + -d - ・Zsh ScriptでPrintのpipe + -d - ・RubyのKernel.print + -d - のそれぞれが条件が変わるとNo key availableと言われてしまうのですね。 ごくごく単純なキーなら起きないようではあるのですけれど。今は[a-zA-z0-9]{16}なパスフレーズです。 これ、どうなっているのでしょう?特に、Zshの全く同じ文で、interactiveかscriptかで通るかどうかが変わってしまうのが理解できません。 さらに、全く同じ方法でさえ、受け付けてくれず、再起動すると受け入れてくれたりします。 値はスクリプトでprint $ppのようにしてプリントデバッグしているので、パスフレーズが違うということはありえないのですけれど... Linuxってどのディス鳥でもBitlockerみたいにドライブ全部の暗号化って無理なんだな パーティション単位かホームディレクトリの2択だったとは知らんかった 有料製品が下位バージョンを機能制限するのはわかるけどLinuxで機能制限の意味って何なんだ >>91 どういう構成でどういう単位で行うか次第だと思いますが、できますよ? BitLockerもディスク全域を暗号化しているわけではありませんし。 (システムドライブでなければできるのかもしれませんが、 ブートドライブをオフセットもなしに暗号化したら BIOSもUEFIもブータブルデバイスとして認識できません) >>91 ドライブ全体は無理だな どうしたって/bootだけは平文である必要がある grubに手を入れたらできるかもわからんけど 逆に/boot以外は全部まるごと暗号化できるぞ 初心者向けとか軽量ディストリだとインストーラが暗号化に対応してないのがあるけど少なくともubuntuとかdebianはできる >>93 システムドライブは無理ですが、それ以外ならドライブまるごとできますよ、というかしてますよ。 cryptsetup --hash=sha512 --cipher=twofish-xts-plain --offset=0 --key-file=/home/foo/keyfile --key-size=512 open --type=plain /dev/sdb enc 逆にBitLockerがシステムドライブまるごといけるかというと、 システムパーティションを暗号化しているだけで、 そもそもBIOSがブートフラグを認識できない状態ではブートできないので、 ブートデバイスを「まるごと」暗号化することは ファームウェアレベルで提供されない限り不可能です。 LinuxディストリビューションにEnterキーを押し続けるだけで悪用可能な深刻な脆弱性 だってさ Cryptsetupはオワコン 各種初期化処理の途中の状態でシェル取れるだけだし、そんなに深刻でもない気がするんだよね、それ。 暗号化された部分にはアクセスできないから、削除とかの破壊活動ができるって程度。 攻撃者が物理的にマシンをいじれる状況なら、物理的な破壊活動ができるんだよ。 キーボードにロガー仕込むとか、もっと悪質な攻撃だってできるかもしれない。 関係なかったんだな 勘違いで変な書き込みしてたけど正確な事実を知れたから書いてよかった UbuntuでTruecrypt使うと書き込み禁止にチェック入れててもコンテナの中身書き換えれるな >>99 それ古い世代だろ7.1aはちゃんとロック効くよ UbuntuでなくてLinux mintだけど >>96-97 この板で初めて有用な書き込みを見た ただの翻訳だろ どこが有用なんだよ どこまでレベル低いんだよ この機能はUSBインストールの時も使えたら偉大だった ext4にファイルベースの暗号化機能入ってたんだね 知らなかった 仮想マシンの仮想ディスクを暗号化したのではだめなん? 誰でも簡単にパソコン1台で稼げる方法など 参考までに、 ⇒ 『宮本のゴウリエセレレ』 というブログで見ることができるらしいです。 グーグル検索⇒『宮本のゴウリエセレレ』 OQ7OS3MXNB 僕の知り合いの知り合いができた副業情報ドットコム 関心がある人だけ見てください。 グーグルで検索するといいかも『ネットで稼ぐ方法 モニアレフヌノ』 BBX4V https://ja.wikipedia.org/wiki/VeraCrypt > 妥当な否認権 > VeraCryptは妥当な否認権と呼ばれる構想をサポートしている[16]。 > これはひとつの「隠されたボリューム」をもう一つのボリュームの中に作成できるものである[17]。 > さらに、Windowsバージョンでは、 存在が否定できる暗号化された > 隠しオペレーティングシステムを作成し実行することができる[18]。 つまりどういうことだってばよ? 妥当な否認権とは何か? どういう構想なのか? ボリュームの中に隠されたボリュームを作成できるっていうのはわかる。 そうすることで何がどうなるのか? 「存在が否定できる」はどういうことなのか? 隠しオペレーティングシステムのOSとはなんのOSなのか? どうやって作成して実行するのか? read.cgi ver 07.5.5 2024/06/08 Walang Kapalit ★ | Donguri System Team 5ちゃんねる