Камуфляж для пингвина. Настраиваем полнодисковое шифрование и анонимизацию уровня ОС

В наше время только ленивый не защищает свои личные данные и не печется о своей приватности. Но мало кто использует для этого полнодисковое шифрование, из-за чего вся защита легко снимается при наличии физического доступа к компьютеру. Сегодня мы разберемся, как можно зашифровать весь жесткий диск, включая загрузчик, оставив себе возможность быстрого уничтожения данных без физического доступа к ним.

Также мы с тобой рассмотрим, как защитить и анонимизировать сетевой трафик. Про Tor слышали практически все, многие даже использовали его как прокси для отдельных приложений; мы же посмотрим, как эффективно пользоваться им для полной анонимизации целой операционной системы.

Требования к системе

Начнем мы наш рассказ с шифрования. Для начала давай сформулируем основные требования к системе, то есть что бы хотелось получить на выходе. Будем считать, что хорошая криптосистема должна шифровать абсолютно всё содержимое жесткого диска так, чтобы его содержимое нельзя было отличить от случайных данных. Загрузчик системы должен состоять из двух частей и находиться на флешке или другом сьёмном носителе. Первая, незащищенная часть, по паролю расшифровывает вторую, в которой находится ядро системы и ключи от жесткого диска. Система должна допускать быструю смену ключей и паролей без потери данных, а работа с разделами должна быть такой же, как и обычно.

Алгоритм работы

С требованиями определились. Теперь давай подумаем о том, как будем этого добиваться. Итак, наша схема будет работать следующим образом:

  • при включении компьютера мы вставляем в него флешку,
  • она запускает загрузчик,
  • мы вводим пароль,
  • после загрузки ОС флешка вынимается,
  • дальше работа с компьютером идёт как обычно.

В то время как обычные средства шифрования защищают только домашний раздел или оставляют загрузчик на жестком диске — наша схема делает выключенный компьютер практически неуязвимым к снятию информации и протрояниванию компонентов системы, а для уничтожения всех данных на нём достаточно просто уничтожить флешку. Когда компьютер включен, ключи от диска находятся в оперативной памяти, поэтому для надёжной защиты от cold-boot атак необходимо использовать пароль на BIOS/UEFI и входить в режим гибернации, если нет возможности контролировать доступ к компьютеру.

Подготовка диска

Ну а теперь перейдем непосредственно к действиям.

Для осуществления задуманного нам понадобятся:

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», увеличит личную накопительную скидку и позволит накапливать профессиональный рейтинг Xakep Score! Подробнее

Вариант 2. Открой один материал

Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.


Комментарии (8)

  • #
    # DO NOT EDIT THIS FILE
    #
    # It is automatically generated by /usr/sbin/grub-mkconfig using templates
    # from /etc/grub.d and settings from /etc/default/grub
    #

    Править grub.cfg оказалось не самой лучшей затеей

  • Был бы признателен за мануал по переносу заголовка luks на съемный носитель для уже установленной системы

  • Затем кладём в initrd ключ и заголовок тома:

    cp /root/key /mnt/rootfs/initrd/etc/key
    cp /root/header.luks /mnt/rootfs/initrd/header.luks

    Наверно все же так:

    cp /root/key /mnt/rootfs/tmp/newinitrd/etc/key
    cp /root/header.luks /mnt/rootfs/tmp/newinitrd/etc/header.luks

  • "https://xakep.ru/2015/09/02/os-level-encryption/goo.gl/ZeJQN7" - 404

  • А чтото подобное можно сделать с Виндовсами?

    • загрузиться с liveCD linux и в bash dd if=/dev/zero of=/dev/sda bs=4M