Encrypted FS

[Petr Pisar]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

garabik-news-2005-05 na kassiopeia.juls.savba.sk wrote:
> Petr Pisar <petr.pisar na atlas.cz> wrote:
>> vaclav na vobornik.eu wrote:
>>> potreboval bych zabezpecit data na root filesystemu tak, aby ani nabootovani 
>>> z jineho media (live CD) se nedala cist. ALE aby se pri "normalnim" bootu ze 
>>> spravneho kernelu *automaticky* primountoval a byl funkcni.
>>>
>>> 1. load kernelu z necryptovane mini partition
>>> 2. mount a decrypt root FS klicem zakompilovanym uz v kernelu
>>>
>> Taky doma zamykate a klic schovavate pod rohozku?
> 
> nemusi to byt az tak nezmyselne...
> modelova situacia:
> citlive audiovizualne data, pocitac na nedostupnom mieste, obcas tam vypadne elektrina => treba 
>      aby nabootoval automaticky a mal zasifrovany fs
> kluc sa drzi na diskete, usb kluci alebo v osobitnej miniparticii
> 
> pride policia chraniaca autorsky zakon s prikazom na zabavenie servera - admin bude mat akurat
> cas na spustenie prikazu co premaze disketu/usb/particiu, a tym padom
> bude dokaz nepouzitelny :-)
> 
Spis bych videl jako pravdepodobnejsi moznost, ze admin bude ten
posledni, co se o zakroku muzu zakona dozvi.

Ne ted opravdu: Standardne se to dela tak, ze klic je zasifrovany a po
kazdem rebootu admin musi zadat passphrase nebo je klic uplne nekde
jinde. No a admin prece tu passphrase vysetrvateli nerekne, protoze
nebude svedcit proti sobe.

Navic neni nutne hledat data na disku, staci odposlechnout sitovy
provoz. Takovy 600MB streamy maji charakteristicky tvar v grafu sitoveho
toku a pochybuji, ze data tekouci ven jsou take sifrovana.

- -- Petr
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2.2 (GNU/Linux)

iD8DBQFEeyWsuR4f4nEwzHIRAgk1AKCBRwR7NyY6I75IJM+GhsDxkdPHCgCfdCRR
KTbgo4LfpazyPdIRt15EAF8=
=SJnu
-----END PGP SIGNATURE-----