В наше время только ленивый не защищает свои личные данные и не печется о своей приватности. Но мало кто использует для этого полнодисковое шифрование, из-за чего вся защита легко снимается при наличии физического доступа к компьютеру. Сегодня мы разберемся, как можно зашифровать весь жесткий диск, включая загрузчик, оставив себе возможность быстрого уничтожения данных без физического доступа к ним.

Также мы с тобой рассмотрим, как защитить и анонимизировать сетевой трафик. Про Tor слышали практически все, многие даже использовали его как прокси для отдельных приложений; мы же посмотрим, как эффективно пользоваться им для полной анонимизации целой операционной системы.

 

Требования к системе

Начнем мы наш рассказ с шифрования. Для начала давай сформулируем основные требования к системе, то есть что бы хотелось получить на выходе. Будем считать, что хорошая криптосистема должна шифровать абсолютно всё содержимое жесткого диска так, чтобы его содержимое нельзя было отличить от случайных данных. Загрузчик системы должен состоять из двух частей и находиться на флешке или другом сьёмном носителе. Первая, незащищенная часть, по паролю расшифровывает вторую, в которой находится ядро системы и ключи от жесткого диска. Система должна допускать быструю смену ключей и паролей без потери данных, а работа с разделами должна быть такой же, как и обычно.

 

Алгоритм работы

С требованиями определились. Теперь давай подумаем о том, как будем этого добиваться. Итак, наша схема будет работать следующим образом:

  • при включении компьютера мы вставляем в него флешку,
  • она запускает загрузчик,
  • мы вводим пароль,
  • после загрузки ОС флешка вынимается,
  • дальше работа с компьютером идёт как обычно.

В то время как обычные средства шифрования защищают только домашний раздел или оставляют загрузчик на жестком диске — наша схема делает выключенный компьютер практически неуязвимым к снятию информации и протрояниванию компонентов системы, а для уничтожения всех данных на нём достаточно просто уничтожить флешку. Когда компьютер включен, ключи от диска находятся в оперативной памяти, поэтому для надёжной защиты от cold-boot атак необходимо использовать пароль на BIOS/UEFI и входить в режим гибернации, если нет возможности контролировать доступ к компьютеру.

 

Подготовка диска

Ну а теперь перейдем непосредственно к действиям.

Для осуществления задуманного нам понадобятся:

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», увеличит личную накопительную скидку и позволит накапливать профессиональный рейтинг Xakep Score! Подробнее

Вариант 2. Открой один материал

Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.


8 комментариев

  1. Аватар

    audis

    03.09.2015 at 10:53

    А чтото подобное можно сделать с Виндовсами?

  2. Аватар

    iiiopot

    04.09.2015 at 03:02

    «https://xakep.ru/2015/09/02/os-level-encryption/goo.gl/ZeJQN7» — 404

  3. Аватар

    Ярослав Шмелев

    06.09.2015 at 14:07

  4. Аватар

    iiiopot

    09.09.2015 at 04:07

    Затем кладём в initrd ключ и заголовок тома:

    cp /root/key /mnt/rootfs/initrd/etc/key
    cp /root/header.luks /mnt/rootfs/initrd/header.luks

    Наверно все же так:

    cp /root/key /mnt/rootfs/tmp/newinitrd/etc/key
    cp /root/header.luks /mnt/rootfs/tmp/newinitrd/etc/header.luks

  5. Аватар

    Avotidjony

    20.08.2016 at 16:03

    Был бы признателен за мануал по переносу заголовка luks на съемный носитель для уже установленной системы

  6. Аватар

    Avotidjony

    29.08.2016 at 15:20

    #
    # DO NOT EDIT THIS FILE
    #
    # It is automatically generated by /usr/sbin/grub-mkconfig using templates
    # from /etc/grub.d and settings from /etc/default/grub
    #

    Править grub.cfg оказалось не самой лучшей затеей

  7. Аватар

    soko1

    20.06.2017 at 16:59

    >Проверяем ova-файл, устанавливаем и обновляем Whonix по инструкции на сайте;

    в ссылке ошибка, исправьте с https://xakep.ru/2015/09/02/os-level-encryption/goo.gl/ZeJQN7 на https://goo.gl/ZeJQN7

Оставить мнение

Check Also

Справочник анонима. Теория и практика шифрования почты

Есть такая занятная штука — тайна переписки. Правда, широко известно о ней лишь в очень уз…