Шифрование личных данных

[akela]

смену чего теперь дальше ждать?

ответ - напрашивается :)

(подумаешь, номер студенческого не туда послали. А могли бы и утюгом)

[Waterbyte]

подумаешь, номер студенческого не туда послали.

ты не понял юмора: номер студенческого-то сменят, а вот как быть с именем, датой рождения, адресами и телефонами?

[akela]

подумаешь, номер студенческого не туда послали.

ты не понял юмора: номер студенческого-то сменят, а вот как быть с именем, датой рождения, адресами и телефонами?

аа, понял.
Вот если бы ты был селебрити, твоё имя и дату рождения можно было бы найти прямо в википедии любому желающему. И ничё, живут как-то.

[Gadi]

подумаешь, номер студенческого не туда послали.

ты не понял юмора: номер студенческого-то сменят, а вот как быть с именем, датой рождения, адресами и телефонами?

подождем чуток - может и в Каморке выложат

[Old_Tuzik]

TrueCrypt

По поводу утюга и паяльника (что там должно храниться на диске у домашнего пользователя что бы думать об этом )

*******************
Plausible Deniability

In case an adversary forces you to reveal your password, TrueCrypt provides and supports two kinds of plausible deniability:

Hidden volumes (see the section Hidden Volume) and hidden operating systems (see the section Hidden Operating System).

Until decrypted, a TrueCrypt partition/device appears to consist of nothing more than random data (it does not contain any kind of "signature"). Therefore, it should be impossible to prove that a partition or a device is a TrueCrypt volume or that it has been encrypted (provided that the security requirements and precautions listed in the chapter Security Requirements and Precautions are followed). A possible plausible explanation for the existence of a partition/device containing solely random data is that you have wiped (securely erased) the content of the partition/device using one of the tools that erase data by overwriting it with random data (in fact, TrueCrypt can be used to securely erase a partition/device too, by creating an empty encrypted partition/device-hosted volume within it). However, you need to prevent data leaks (see the section Data Leaks) and also note that, for system encryption, the first drive track contains the (unencrypted) TrueCrypt Boot Loader, which can be easily identified as such (for more information, see the chapter System Encryption). When using system encryption, plausible deniability can be achieved by creating a hidden operating system (see the section Hidden Operating System).

Although file-hosted TrueCrypt volumes (containers) do not contain any kind of "signature" either (until decrypted, they appear to consist solely of random data), they cannot provide this kind of plausible deniability, because there is practically no plausible explanation for the existence of a file containing solely random data. However, plausible deniability can still be achieved with a file-hosted TrueCrypt volume (container) by creating a hidden volume within it (see above).


Notes

When formatting a hard disk partition as a TrueCrypt volume (or encrypting a partition in place), the partition table (including the partition type) is never modified (no TrueCrypt "signature" or "ID" is written to the partition table).

There are methods to find files or devices containing random data (such as TrueCrypt volumes). Note, however, that this should not affect plausible deniability in any way. The adversary still should not be able to prove that the partition/device is a TrueCrypt volume or that the file, partition, or device, contains a hidden TrueCrypt volume (provided that you follow the security requirements and precautions listed in the chapter Security Requirements and Precautions and in the subsection Security Requirements and Precautions Pertaining to Hidden Volumes).

*******************

[akela]

кому как, конечно. Но я стараюсь воздержаться от фанатизма.

Защита нужна только на случай обыкновенной кражи или потери, а не нападения разбойников или спецслужб. И защита такая, которая не приведёт к существенному усложнению использования системы.

[Old_Tuzik]

кому как, конечно. Но я стараюсь воздержаться от фанатизма.

Защита нужна только на случай обыкновенной кражи или потери, а не нападения разбойников или спецслужб. И защита такая, которая не приведёт к существенному усложнению использования системы.

Дополнительные шаги появятся по любому. Например ввод пароля при загрузке. Какое длинны и сложности будет этот пароль? Copy/Paste тут не выйдет, система не загружена. Но раз это все на случай кражи то можно прилепить пароль на видном месте на работе если кражи не работе не ожидаются. Но как быть со сложным паролем если работать из разных мест? And so on so. Все перестает имееть смысл как только все эти security procedures начинают мешать настолько что пользователь начинает ими принебрегать, игнорировать и упрощать. Пример - сложная система криптования и простой 1 символьный пароль, в частности "1".

Какие данные необходимо защитить? Сама OS ничего не стоит. Может быть подумать в сторону файла контейнера, монтируемого как диск или даже нескольких? Создать композитный ключ - достойный пароль и набор файлов. Файлы поместить в разных местах (важно для для десктопа, например на второй диск если имеется) и флешке. Получается 2 факторная аутенфикация а то и 3 факторная. Лаптоп украден, флэшки нет, пароль не знаешь? Ну что тут поделать?

Пароль на сам диск должен быть разумно большим и неразумно сложным (to prevent dictionary attack). Его запоминать не стоит, лучше использовать Roboform, KeePass(open source) с меннее сложным паролем в отдельной базе и опять ключ должен быть композитным (как минимум + файл) и использовать copy/paste (эти программы понимают copy/paste посвоему). Чем сложнее цепочка тем больше шанс что она не будет восстановленна злоумышленником - тем больше шанс что один день пользователь сам потеряет контроль над ней и в итоге потеряет все свои данные и скажет сам себе - "оно мне надо было"? То есть нужен разумный компромис что бы не получился оверкил.

Плюс файла контейнера - легкость копирования на любой носитель без угрозы потери данных, они всегда в контейнере.

[akela]

Дополнительные шаги появятся по любому. Например ввод пароля при загрузке. ...

нет, без дополнительных шагов работает.

Как я написал выше, при установке Убунты и создании юзера, выбирается опция "encrypt home directory".
Обычный логин-пароль по совместительству является и пасс-фразой к файловой системе, зашифрованной с помощью ecryptfs. С точки зрения юзера всё прозрачно, это и привлекло.

TrueCrypt собираюсь использовать для бэкапов на внешнем диске, т.е. раз в месяц ввести пароль не проблема.

[akela]

Ну чо, время идёт, а тема всё актуальна.
Недавно купленный лаптоп с Windows 10, будет большую часть времени в этом Вин-10 и работать (требуется для аппликаций которые в линуксе никак).

Обнаружил, что "домашняя" версия винды, хоть она и десятая, а по-прежнему не имеет встроенной поддержки file/folder encryption, a.k.a. EFS.
Д-лы, б-ь.

Как вышел из положения (мож пригодится кому).
1) Установил VeraCrypt (в прошлом известный как TrueCrypt).
2) Создал в нём шифрованный раздел E:\ с файл-контейнером.
3) Сконфигурировал VeraCrypt так, чтобы этот шифрованный раздел автоматически монтировался при загрузке Винды. Да, после логина требуется ввод ещё одного пароля, а шо делать.
4) В настройках винды, указал этот новый диск E:\ как место куда надо сохранять пикчи-документы-фотки и прочее.
5) В настройках браузеров, указал диск E:\ как место куда надо сохранять даунлоадсы.
6) Юзеры проинструктированы что ваще всё надо ложить на диск Е:

[levak]

Защита нужна только на случай обыкновенной кражи

Мож я не совсем вьезжаю, но уж если украли хард драйв, но проще паренной репы вытащить его, включить его как slave в другой комп и всю дату спиздошить..
Также есть простая программа: Take Ownership of a File\ Folder\Hard Drive,и фсе прекрасно открывается сразу..
http://www.idomik.ru/articles/640-full-control.html
Обычный юзер никаких дополнительных приблуд не ставит и не шифруется..
А тот кто это делает, не теряет лэптоп...

[akela]

Защита нужна только на случай обыкновенной кражи

Мож я не совсем вьезжаю, но уж если украли хард драйв, но проще паренной репы вытащить его, включить его как slave в другой комп и всю дату спиздошить..
Также есть простая программа: Take Ownership of a File\ Folder\Hard Drive,и фсе прекрасно открывается сразу..
http://www.idomik.ru/articles/640-full-control.html
Обычный юзер никаких дополнительных приблуд не ставит и не шифруется..
А тот кто это делает, не теряет лэптоп... :mrgreen2:

да, вы не совсем въезжаете. Речь про шифрование данных.
Да, проще пареной репы включить хард драйв в другой комп - и что? И увидеть большой файл (или целый раздел жёсткого диска) на 200 или 500 гиг наполненный нечитаемым шумом, или мусором. Чтобы попытаться из этого шума что-то извлечь, понадобится уже совсем другая квалификация и тех. средства.

Лаптоп он такая штука, легко крадётся. Здесь на каморке как минимум пару раз жаловались на кражи из дома.

[levak]

понадобится уже совсем другая квалификация и тех. средства.

Шифруй не шифруй, кто захочет вытащит..
Восстановление зашифрованных файлов и папок
http://windows.microsoft.com/ru-ru/wind ... =windows-7

Advanced EFS Data Recovery
Восстановление доступа к файлам, зашифрованным средствами EFS..
http://www.elcomsoft.ru/aefsdr.html

[akela]

неа, не любой "кто захочет". А только довольно немногие, я бы сказал.

Ваша же ссылка, Левак, на Майкрософтовский сайт, вы сами-то её читали? Там предполагается что вы помните пароль который использовался для шифрования, и предлагается его ввести.

[levak]

Самые популярные пароли..
http://habrahabr.ru/post/215457/

Самым популярным паролем в Сети оказался "1234"
Согласно исследованиям специалистов Инженерной школы Джеймса Кларка при Университете Мэрилэнда, хакерские атаки в Глобальной сети осуществляются каждые 39 секунд, и самым часто употребляемым для взлома паролем является "1234". Звания самого популярного логина, используемого хакерами при попытках взлома, удостоился "root", сообщается на сайте TG Daily.

Примечательно, что логин "root" и пароль "1234" остаются самой распространенной комбинацией для большинства пользователей, не считая тех, кто вообще не знает, как сменить пароль. Другие распространенные "догадки" хакеров включают пароли наподобие "12345", "1", "123" и так далее, а также "password" (слово "пароль", наверное, кажется вполне логичным решением, когда программа просит ввести пароль), "passwd" и "test". Самыми популярными логинами являются "admin", "administrator", "user", "oracle", "mysql" и "info". В целях безопасности пользователям настоятельно рекомендуется не пользоваться ни одним из подобных логинов и паролей.
"Для большинства атак используются скрипты, которые обыскивают тысячи машин на предмет уявзимостей. Компьютеры, которые были задействованы в нашем опыте, подвергались атакам, в среднем, 2244 раза в день", - заявил профессор Мишель Кукье, под руководством которого осуществлялось исследование.
Кроме самых распространенных паролей и логинов исследователи также назвали основные причины, которые побуждают хакеров к противозаконным действиям: это стремление получить доступ к личной информации пользователей, наподобие номеров банковских счетов или кредитных карт. лентару

списки самых популярных в России паролей:

12345 (4388)

123456 (2517)

11111 (1219)

55555 (1172)

77777 (589)

qwerty (459)

111111 (439)

00000 (325)

666666 (324)

123456789 (302)

123321 (298)

1234567 (285)

123123 (284)

gfhjkm (283) (привет)

7777777 (269)

qwert (258)

22222 (225)

555555 (214)

123 (210)

33333 (188)

99999 (185)

000000 (171)

654321 (169)

777777 (163)

88888 (156)

66666 (152)

1234567890 (145)

112233 (139)

ghbdtn (138)

[akela]

а, побалаболить, ну так бы и сказали :)