Nowe posty

Autor Wątek: Szyfrowanie całego dysku Truecryptem, tablica partycji na USB  (Przeczytany 4818 razy)

Offline Łukasz_

  • Users
  • Nowy na forum
  • *
  • Wiadomości: 3
    • Zobacz profil
Cześć wszystkim.
Rzadko zdarza mi się zaglądać na forum żeby zadać pytanie, bo większość problemów jest dawno opisanych i do znalezienia, ale tego mi się nie udało ;/
A myślę, że ktoś będzie miał pomysł jak to zrobić...
W czym rzecz?
Otóż wymyśliłem sobie, bez większego powodu, że chcę mieć pełne szyfrowanie dysku, z boot loaderem na USB, tak, żeby bez pendrajwa komputer się nie uruchamiał (bo nie ma bootloadera). Partycje są zaszyfrowane, więc nawet jak ktoś wyjmie dysk to i tak g. na nim widać.
To akurat było proste do zrobienia - Na dysku są założone kontenery truecrypt, w biosie jest ustawione na sztywno uruchamianie z USB, na USB jest rEFInd, który ładuje jajko z opcjami "cryptdevice=UUID=xxxxxxxxxxx cryptkey=/dev/sda1:vfat:/klucz root=/dev/mapper/xxxxxxxxx"
Oczywiście plik "klucz" jest na USB w postaci megabajtowego pliku losowych danych, czyli żeby odszyfrować dysk, ktoś musiałby mieć również dostęp do pendrajwa, a wymusić hasła też nie ma jak, bo nie znam go nawet ja. Nikt zdrowy na umyśle nie pamięta 1mb losowych danych.
Wszystko działa bez zarzutu.
Jednak, po uruchomieniu innego linuksa z USB na dysku widać poszczególne kontenery truecrypt'owe - czyli root, home i inne.
Teoretycznie ułatwia to potencjalnemu włamywaczowi robotę, bo widać rozmiar kontenetów i to, że w ogóle tam są.
I teraz dochodzimy do sedna sprawy - chciałbym, żeby informacje o kontenerach też były na USB ale nie znalazłem opisu w której części dysku TC trzyma te informacje i jak to przenieść na USB. Chciałbym, żeby na całej powierzchni dysku była widoczna totalna sieczka.
Nie jestem miliarderem, nie zakładam, że CIA będzie chciało wykraść moje dane żeby ocalić świat, chciałbym to zrobić z czystej ciekawości.
Nie jestem pewny, czy da się jakoś w prosty sposób zrobić, bo urządzenia są skanowane przy uruchomieniu z poszukiwaniu partycji/kontenetów. Jak na razie nie znalazłem rozwiązania.
Będę wdzięczny za jakieś sugestie.
Pozdro!
Ja mam swoje zdanie a jak się komuś nie podoba,
to mogę je zmienić...
gg: 7107

Offline Paweł Kraszewski

  • Administrator
  • Guru
  • *****
  • Wiadomości: 3047
  • Lenistwo jest matką potrzeby = babcią wynalazku
    • Zobacz profil
Odp: Szyfrowanie całego dysku Truecryptem, tablica partycji na USB
« Odpowiedź #1 dnia: 2020-06-21, 22:21:52 »
Ja to robiłem z LVM w LUKS2 na cały dysk i /boot na karcie SD (to był laptop). Jedyne co można było zobaczyć na wymontowanym dysku twardym to fakt, że tam jest jeden kontener LUKS i żadnych innych danych. Nie pamiętam, czy kontener nie był nawet zrobiony na surowym dysku, bez partycji.

Jak upierasz się przy TrueCrypcie (mam nadzieję tylko, że to przejęzyczenie i tak naprawdę to jest VeraCrypt), to możesz zrobić tak samo: jeden kontener VC na cały dysk i w środku LVM z docelowymi partycjami.
« Ostatnia zmiana: 2020-06-21, 22:23:41 wysłana przez Paweł Kraszewski »
Paweł Kraszewski
~Arch/Void/Gentoo/FreeBSD/OpenBSD/Specjalizowane customy

Offline Łukasz_

  • Users
  • Nowy na forum
  • *
  • Wiadomości: 3
    • Zobacz profil
Odp: Szyfrowanie całego dysku Truecryptem, tablica partycji na USB
« Odpowiedź #2 dnia: 2020-06-25, 11:14:40 »
Hejka,
Dzięki bardzo za odpowiedź.
Tak właśnie myślałem, że najprostszym sensownym rozwiązaniem jest jeden kontener na całym dysku, bez tablicy partycji.
Jeśli chodzi o TC, to nie przejęzyczenie, użyłem TC bo jak jak pisałem, nie mam nic ważnego. Chciałem po prostu przetestować taką możliwość, ale oczywiście masz rację, do profesjonalnych zastosowań najlepszy będzie LUKS2.
Dzięki bardzo ;)
Ja mam swoje zdanie a jak się komuś nie podoba,
to mogę je zmienić...
gg: 7107

Offline Paweł Kraszewski

  • Administrator
  • Guru
  • *****
  • Wiadomości: 3047
  • Lenistwo jest matką potrzeby = babcią wynalazku
    • Zobacz profil
Odp: Szyfrowanie całego dysku Truecryptem, tablica partycji na USB
« Odpowiedź #3 dnia: 2020-06-25, 14:34:50 »
VeraCrypt to TC z naprawionymi błędami (niektórymi dość istotnymi). Używania dzisiaj TC nie ma technicznego uzasadnienia innego niż to, że nie masz internetu, a miałeś instalkę TC na dysku.
Paweł Kraszewski
~Arch/Void/Gentoo/FreeBSD/OpenBSD/Specjalizowane customy