Безопасное хранение секретов

[Maklaut]

Аналогично!

mount.bat
@.\TrueCrypt\TrueCrypt.exe /q /w /ls data

umount.bat
@.\TrueCrypt\TrueCrypt.exe /q /f /ds

или

mount.sh

#!/bin/sh

OPTIONS=""

truecrypt $OPTIONS --mount --keyfiles="" --protect-hidden=no --fs-options="dmask=077,fmask=177,nosuid,errors=remount-ro" \
data /media/sec-flash

[xintrea]

А umount.sh?

[Maklaut]

А просто umount /media/sec-flash без всяких хитростей, я его даже в отдельный скрипт не стал оформлять.

[maki]

Я пользую KeePass. Думал, что это вполне самодостаточное решение. Можете в двух словах рассказать, зачем нужен TrueCrypt?

[ice9]

TrueCrypt зашифровывает часть диска или диск. Например, для того, чтобы положить на эту зашифрованную часть тот же KeePass :)

[maki]

так а KeePass разве не шифрует свою базу? Если у меня её утянут — каковы шансы, что откроют (ну если не перебором, конечно)?

[ice9]

Не могу ничего вам рассказать о базе KeePass'а, понятно, что пароли там хранятся не в явном виде. В любом случае, TC — лишний барьер на пути к базе.
Хочу подчеркнуть, что база KeePass — это только пример того, что может быть на зашифрованном диске. Если вся ваша приватная информация ограничивается KeePass'ом, вам, возможно, и не требуется дополнительное шифрование.

[odionysus]

он шифрует базу blowfish

[GooRoo]

Он шифрует базу AES и Twofish.

[kozyabozya]

я пользуюсь просто KeePass. версии 1.13, он многоплатформенный (пользую Windows XP + WM)

версия 2.0 поддерживает синхронизацию, но несовместима с PDA

[krak]

Почему? Есть и версия поддерживающая 2.x
http://keepasssd.sourceforge.net/

[kozyabozya]

спасибо, на момент когда я начал пользоваться, ее еще не было

[abacaba]

Тема кроссплатформенности не раскрыта:)

[Andrey_Rogovsky]

www.manageserver.ru/2009/10/30/шифрование-файловых-систем-luks-и-cryptofs/ — подойдет?

[abacaba]

не понял, Luks может расшифровать то, что было зашифровано автором на Windows?

[hoxnox]

Зашифровано может быть под одной операционной системой, а расшифровано под другой.

[abacaba]

Это я понимаю. Алгоритмы шифрования и архивирования не зависят от платформы. Но примеры в статье — только для Windows. Тот же Eraser на сайте по ссылке скомпилирован под Windows (есть там еще и проект Visual Studio с исходниками, но согласитесь, тема кроссплатформенности не раскрыта).

[hoxnox]

Я лишь упомянул о tar+wipe под *nix. Согласен, можно было изложить подробнее.

[Killy]

Linux compatibility (Cryptoloop «losetup», dm-crypt and LUKS supported)
FreeOTFE
(Прога выглядит едва ли не страшнее, чем 7zip, однако достаточно удачная по функционалу.)

Ну и, раз уж решил написать, заодно упомяну SDelete от Марка Руссиновича в качестве стиралки, хотя она то уж ни разу не кроссплатформенная. Но по ссылке любопытно прочитать про принцип работы и сложности.

[hoxnox]

>sdelete
Тоже сначала ей пользовался. Не было проблем с различием файлов и папок. Но, мне кажется, eraser получше затирает.

[moooV]

Использую tar и openssl, потому что:

1) Кошерно
2) Unix-way
3) Можно использовать ЛЮБОЙ метод шифрования существующих популярных.

Все просто:

Запаковка (AES256-CBC, мего параноики могут использовать serpent):
tar cj папка | openssl enc -e -aes-256-cbc -k пароль > готовый_архив.tbe

Распаковка:
cat шифрованный_архив.tbe | openssl enc -d -aes-256-cbc -k пароль | tar xvj -C куда_распаковать

[ZAZmaster]

Плюс вам!

[hoxnox]

> Кошерно

Действительно, Шамир бы похвалил. =) Спасибо.

[CTpaHHoe]

отличное решение.

[d3z]

На что только люди не идут, лишь бы Password Safe не ставить.

[hoxnox]

«Секреты» — это не только пароли! Любые файлы, доступ к которым должен быть ограничен.

[zerkms]

как «просто» восстановить удалённые с помощью eraserl файлы?

[hoxnox]

Используйте более надежные методы зачистки данных, если вас не устраивает Eraser

[vo0d]

а truecrypt или какой-нить pgp-диск юзать не проще?
кстати, бэкапы флешки делаете?

[Melonamin]

1Password anywhere — www.switchersblog.com/2009/09/1password-3-feature-spotlight-1passwordanywhere.html
Конечно ни разу не бесплатно, но зато функционально и очень удобно. По личному опыту — программа стоит своих денег.

[catbegemot]

lastpass.com — бесплатно

[AzeriFire]

В процессе расшифровки вас попросят ввести пароль на закрытый ключ.

А что если вы забудете пароль дешифровки?! Если вы такой забывчивый, то вполне возможно такое.

[hoxnox]

ПМожно заставить себя запомнить 1, но не 100-150

[AzeriFire]

Я в Гмейле создал ярлык ( Пассворд) и сохраняяю пассы в Гмейле. Что бы быстро найти открываю ярлык Пассворд.

[almarz]

Но Вы же запоминаете пароль Gmail.
P.S. Держать в почте картотеку паролей не лучшая идея.

[cod]

Использую KeePass. Очень удобно. Есть под все платформы.

[ruzzz]

Вместо флешки можно использовать сервис подобный www.getdropbox.com

[n1ght]

Ну не везде есть доступ в интернет.

[Mezomish]

Я понимаю, что это только пример, но выглядит довольно забавно:

Просто положу их в такое место, где их врятли будут искать.
…
Пусть закрытый ключ будет F:\ЗАКРЫТЫЙ.КЛЮЧ, а открытый — F:\ОТКРЫТЫЙ.КЛЮЧ.

:)

[hoxnox]

Это называется ирония.

[parovozik]

а я… а я… использую ручку и блокнот =)

[FB3]

Пароли храню в голове, их конечно не несколько сотен, но штук 5 разных точно есть, плюс логины на сайтах различаются.
Где не помню пароль — жму кнопку напоминания и получаю на почту.
Флэшку с собой не таскаю…

[hoxnox]

Большинство видит только хранение паролей. Зря я, наверное, этот пример вставил. =(
Вообще, если честно, изначально использовал этот метод для
1. Сокрытия некоторой информации на жестком от лиц, имеющих к нему доступ (или способных его получить административным воздействием). Шифровал и кидал файл в system32 с каким-нибудь не выдающимся именем…
2. Создания долго хранящихся архивов, чтобы инструменты для его восстановления лежали на дискете в надежном месте.

[zxm]

А чем не устраивает TrueCrypt? Бесплатный, кроссплатформенный, удобный.

[hoxnox]

Во-первых не знал о его существовании, а во-вторых настораживает, что для зашифрования/расшифрования ему требуется лишь пароль. А защита Кирхгофа предполагает стойкость пропорциональной стойкости ключа.

[hoxnox]

Еще вспомнил, что прежде чем зашифровывать в TrueCrypt нужно заранее выделить определенное дисковое пространство.
Вобщем, TrueCrypt штука хорошая, но я продолжу пользоваться своим велосипедом. Он роднее =)

[hoxnox]

1.  
2. #!/bin/sh
3. # Ubuntu - dec script for /usr/bin
4. # usage: dec <arch> <user> <secring> <pubring>
5. # Для использоавния нужны пакеты: p7zip-full, wipe, gnupg
6. # Автор hoxnox@gmail.com
7.  
8. # Получение ключей
9. called_path=${0%/*}
10. cp $3 /tmp/pubring.gpg
11. cp $4 /tmp/secring.gpg
12. # Расшифровка
13. result=`gpg --homedir=/tmp -r $2 --quiet -o$1.7z -d $1`
14. if $result; then
15.   # Распаковка
16.   worked_path=`readlink -f $1`
17.   7z x $1.7z -o${worked_path%/*} 1>/dev/null && rm -r $1 && wipe -rfs $1.7z
18.   echo "DECRYPTED SUCCESSFULL"
19. else
20.   echo "DECRYPTION FAILED"
21. fi
22. # Затираем ключи
23. wipe -sf /tmp/pubring.gpg
24. wipe -sf /tmp/secring.gpg
25.  

[hoxnox]

1.  
2. #!/bin/sh
3. # Ubuntu encryption script for /usr/bin
4. # usage: enc <folder> <user> <pubring>
5. # Автор hoxnox@gmail.com
6. # Зависимости: gnupg, p7zip, wipe
7.  
8. # Получение ключей
9. called_path=${0%/*}
10. cp $3 /tmp/pubring.gpg
11. # Упаковка и шифрование
12. 7z a $1.7z $1 1>/dev/null
13. result=`gpg --homedir=/tmp -r $2 -quiet -o$1.xnx -e $1.7z`
14. if $result; then
15.   echo "ENCRYPTED SUCCESSFULL"
16.   wipe -frs $1.7z && wipe -rfs $1
17. else
18.   echo "ENCRYPTED FAILED"
19. fi
20. # Затираем ключи
21. wipe -fs /tmp/pubring.gpg
22. wipe -fs /tmp/secring.gpg
23.