В наше время только ленивый не защищает свои личные данные и не печется о своей приватности. Но мало кто использует для этого полнодисковое шифрование, из-за чего вся защита легко снимается при наличии физического доступа к компьютеру. Сегодня мы разберемся, как можно зашифровать весь жесткий диск, включая загрузчик, оставив себе возможность быстрого уничтожения данных без физического доступа к ним.

Также мы с тобой рассмотрим, как защитить и анонимизировать сетевой трафик. Про Tor слышали практически все, многие даже использовали его как прокси для отдельных приложений; мы же посмотрим, как эффективно пользоваться им для полной анонимизации целой операционной системы.

 

Требования к системе

Начнем мы наш рассказ с шифрования. Для начала давай сформулируем основные требования к системе, то есть что бы хотелось получить на выходе. Будем считать, что хорошая криптосистема должна шифровать абсолютно всё содержимое жесткого диска так, чтобы его содержимое нельзя было отличить от случайных данных. Загрузчик системы должен состоять из двух частей и находиться на флешке или другом сьёмном носителе. Первая, незащищенная часть, по паролю расшифровывает вторую, в которой находится ядро системы и ключи от жесткого диска. Система должна допускать быструю смену ключей и паролей без потери данных, а работа с разделами должна быть такой же, как и обычно.

 

Алгоритм работы

С требованиями определились. Теперь давай подумаем о том, как будем этого добиваться. Итак, наша схема будет работать следующим образом:

  • при включении компьютера мы вставляем в него флешку,
  • она запускает загрузчик,
  • мы вводим пароль,
  • после загрузки ОС флешка вынимается,
  • дальше работа с компьютером идёт как обычно.

В то время как обычные средства шифрования защищают только домашний раздел или оставляют загрузчик на жестком диске — наша схема делает выключенный компьютер практически неуязвимым к снятию информации и протрояниванию компонентов системы, а для уничтожения всех данных на нём достаточно просто уничтожить флешку. Когда компьютер включен, ключи от диска находятся в оперативной памяти, поэтому для надёжной защиты от cold-boot атак необходимо использовать пароль на BIOS/UEFI и входить в режим гибернации, если нет возможности контролировать доступ к компьютеру.

 

Подготовка диска

Ну а теперь перейдем непосредственно к действиям.

Для осуществления задуманного нам понадобятся:

Продолжение доступно только подписчикам

Вариант 1. Оформи подписку на «Хакер», чтобы читать все материалы на сайте

Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов. Подробнее о подписке

Вариант 2. Купи один материал

Заинтересовала информация, но нет возможности оплатить подписку? Тогда этот вариант для тебя! Обрати внимание: этот способ покупки доступен только для материалов, опубликованных более двух месяцев назад.


8 комментариев

  1. audis

    03.09.2015 at 10:53

    А чтото подобное можно сделать с Виндовсами?

  2. iiiopot

    04.09.2015 at 03:02

    «https://xakep.ru/2015/09/02/os-level-encryption/goo.gl/ZeJQN7» — 404

  3. Ярослав Шмелев

    06.09.2015 at 14:07

  4. iiiopot

    09.09.2015 at 04:07

    Затем кладём в initrd ключ и заголовок тома:

    cp /root/key /mnt/rootfs/initrd/etc/key
    cp /root/header.luks /mnt/rootfs/initrd/header.luks

    Наверно все же так:

    cp /root/key /mnt/rootfs/tmp/newinitrd/etc/key
    cp /root/header.luks /mnt/rootfs/tmp/newinitrd/etc/header.luks

  5. Avotidjony

    20.08.2016 at 16:03

    Был бы признателен за мануал по переносу заголовка luks на съемный носитель для уже установленной системы

  6. Avotidjony

    29.08.2016 at 15:20

    #
    # DO NOT EDIT THIS FILE
    #
    # It is automatically generated by /usr/sbin/grub-mkconfig using templates
    # from /etc/grub.d and settings from /etc/default/grub
    #

    Править grub.cfg оказалось не самой лучшей затеей

  7. soko1

    20.06.2017 at 16:59

    >Проверяем ova-файл, устанавливаем и обновляем Whonix по инструкции на сайте;

    в ссылке ошибка, исправьте с https://xakep.ru/2015/09/02/os-level-encryption/goo.gl/ZeJQN7 на https://goo.gl/ZeJQN7

Оставить мнение

Check Also

Брутфорс в английской глубинке. Как криптостойкие шифры вскрывали до компьютеров

Ты наверняка слышал про тест Тьюринга и, возможно, машину Тьюринга. Однако помимо абстракт…