ОМСКАЯ ГРУППА ПОЛЬЗОВАТЕЛЕЙ LINUX » LUKS http://omsklug.com Свобода - это ответственность. Вот почему все её так боятся. Бернард Шоу Fri, 10 Nov 2017 17:30:02 +0000 en hourly 1 http://wordpress.org/?v=3.2.1 Crypto Install Fest 3 в Омске http://omsklug.com/2016/08/crypto-install-fest-3/ http://omsklug.com/2016/08/crypto-install-fest-3/#comments Wed, 10 Aug 2016 17:46:25 +0000 linuxmasterz http://omsklug.com/?p=2016 Когда и где?

2016-08-20T14:00+0600 OMST (двадцатого августа 2016 года в 14 часов дня по омскому времени) Омская группа пользователей Linux (#OmskLUG) проводит Crypto Install Fest (#CIF2016) в Омском ITLoft (г. Омск, ул. Учебная, 83, второй этаж, каб. 212).

Что будем делать и обсуждать в ходе мероприятия?

А будет несколько докладов и мастерклассов по защите вашей, никому не нужной, личной и иной информации:

  1. Личная кибербезопасность для самых маленьких (Станислав Емец)
  2. Безопасность в интернете
  3. Шифрование дома и на работе: LUKS, TrueCrypt (VeraCrypt и др.) (Алексей Тараканов)
  4. Проблемы хранения паролей (Антон Пацев)

После чего, с 16.00 часов будет трансляция с московского Crypto Install Fest (http://cif.pirate-party.ru/) с возможностью задать вопросы докладчикам.

Также будет криптовечеринка (#KSP, Key Signing Party). Что такое KSP? Вот: https://db.tt/86bW7biW

Для мастер-классов и других жестоких беспощадных экспериментов по созданию загрузочных и шифрованных разделов/флешек нужны от вас:

(a) ноутбук и/или (b) флешка.

Для участия в частной криптовечеринке для избранных:

(a) неплохо бы направить ваш публичный ключ PGP заранее на post@omsklug.com;
(b) не забыть документ, удостоверяющий личность;
(c) прийти самому лично.

Если желаете поучаствовать в качестве организаторов, то оставляйте комментарии на сайте http://www.omsklug.com , пишите на почту post@omsklug.com, забегайте в нашу jabber-конференцию: omsklug@conference.jabber.ru

Как безвозмедно и добровольно зарегистрироваться для участия?

Вот ссылка на форму регистрации:http://bit.ly/cif2016omsk

Если же проникнуть лично вам не удастся, то есть вариант посмотреть трансляцию мероприятия тут: http://www.omsklug.com/tv

]]>
http://omsklug.com/2016/08/crypto-install-fest-3/feed/ 1
LUKS Header Backup Helper http://omsklug.com/2015/09/luks-header-backup-helper/ http://omsklug.com/2015/09/luks-header-backup-helper/#comments Sun, 13 Sep 2015 18:02:20 +0000 Shroom http://omsklug.com/?p=1908 .local p {text-align: justify!important; text-justify: inter-word!important;} .local a {color: rgb(16, 8, 96)!important;} .local a:visited {color: Gray!important;} .local a:hover {text-decoration: underline; color: Blue!important;} .local code {font-family: Monospace,Courier!important;}
Связка ключей

В свете последнего жестокого дизастера, своей циничной простотой потрясшего весь OmskLUG, я начал задумываться, как можно предотвратить потерю данных, связанную с потенцальным багами в LUKS. Результатом раздумий стала пара скриптов и, как побочный эффект, эта небольшая статья. Если вас не интересует эпистолярный жанр, можете перейти сразу к разделу со ссылкой на репозиторий.

Потеря — это всегда боль…

Потеря данных — не исключение. И неважно на самом деле, были ли эти данные рабочими базами с боевых серверов или же мегатоннами порнухи семейными фотографиями и личной перепиской. Важно то, что данные, которые не были сознательно удалены хозяином, обязаны оставаться доступными. А иногда даже и те, которые были удалены…

Особенно это касается систем хранения данных с шифрованием разделов. Просто потому, что зашифрованные данные особенно уязвимы к ошибкам. Да, безусловно, некоторые алгоритмы позволяют восстановить поток после сбойного блока. Но этот блок в любом случае будет безвозвратно потерян. И особенно это страшно, если речь идёт об ошибках в области заголовков LUKS. Ведь если ошибка появилась в том месте, где размещены слоты для ключей, это в контексте восстановленя данных практически равносильно низкоуровневому форматированию. Да, это очень удобно, когда срочно необходимо избавиться от информации. А когда эта самая информация, зашифрованная криптостойким алгоритмом с 256-битным ключом, позарез нужна для работы крупного предприятия? Что же делать в таких случаях?

Выход есть!

Во-первых, без паники! Если вы используете любое ПО для резервного копирования данных, в худшем случае вы потеряете время на развёртывании копии системы. Не имеет значения, bacula ли это будет, backuppc или голый rsync. Главное, что важные данные, которые требуются ежедневно, будут сохранены в надёжном месте. Безусловно, на другой машине. Желательно в другом здании. Ещё лучше — в другой стране в надёжном дата-центре.

«Но как же,» — спросите вы, — «это связано с LUKS?» Собственно, напрямую. Поскольку cryptsetup умеет делать бэкапы LUKS-заголовков и, соответственно, восстанавливать их. И что самое важное, восстановление заголовка из бэкапа может спасти диск даже в том случае, когда заголовок был просто полностью забит мусором из /dev/random. Да-да! Я лично проверял. Всё работает. Кстати, в связи с этим возникает некая идея «уничтожения» данных с последующим их «волшебным восстановлением»… Ну там если «маски-шоу»… Или если подзаработать захотелось… Гм… Впрочем, ближе к делу. Итак, вот они — две волшебные команды, которые спасут ваши данные/время/деньги/задницупрочие причиндалы.

Сделать бэкап LUKS-заголовка:

cryptsetup luksHeaderBackup <LUKS_DEVICE> --header-backup-file <header_file_name>

Восстановить LUKS-заголовок из бэкапа:

cryptsetup luksHeaderRestore <LUKS_DEVICE> --header-backup-file <header_file_name>

Да, есть ещё одна дополнительная возможность, которая считается весьма опасной. И правильно, в сущности, считается. Потому что это не что иное, как создание мастер-ключа. Удобно, на самом деле: можно на одном мастер-ключе наклепать шифрованных разделов и не бояться забыть пароли. Да вообще пароли можно не знать: нагенерить их автоматически из /dev/random и поскидывать на флэшки, которые вставлять по мере надобности при загрузке. В случае чего мастер-ключ позволит расшифровать раздел, даже без знания обычных ключей. Однако, очевидно, что это палка о двух концах: посеял файлик с мастер-ключом, и все соответствующие разделы можно считать скомпрометированными. Ну либо мёртвыми. И неизвестно ещё, что хуже. Кстати, вот команда для сдампливания мастер-ключа:

cryptsetup luksDump --dump-master-key <LUKS_DEVICE>

Да, вот так просто можно подарить кому-то все свои заботливо зашифрованные данные.

Ну так, собственно, к чему это я всё? К тому, что следующим логичным шагом в деле защиты данных будет

Автоматизация

Собственно, отсюда и начинается та самая реклама, про которую был соответствующий тэг.

Итак… [барабанная дробь] Встречайте! Скрипты для автоматического создания бэкапа заголовков LUKS и мастер-ключа! А на…зачем, собственно, нужны какие-то там непонятные скрипты, если всё делается буквально в полторы-две команды? Отличный вопрос!

  • Во-первых, теперь даже не нужно набирать эти полторы команды, достаточно одной.
  • Во-вторых, для файлов заголовка и мастер-ключа подсчитываются контрольные суммы по нескольким алгоритмам.
  • В-третьих, всё это добро архивируется и шифруется.
  • В-четвёртых, к шифрованному архиву по мере возможностей добавляются тома для восстановления. Чтобы в случае, если флэшку с бэкапом пробьёт шальной протон с высокой энергией, и банк в 128 кБ окажется мёртвым, то была бы возможность откачать этот архиив. А то кому нужен супер-пупер защищённый, вусмерть зашифрованный, но при этом битый бэкап, который невозможно восстановить?

Подробно работу со скриптами описывать не буду, поскольку всё есть в Readme. Однако, на всякий случай отмечу, что кроме coreutils и cryptsetup, скриптам для работы понадобится ещё и xxd. А если хочется ещё и создать тома для восстановления архива, то нужно будет поставить par2. Больше никаких сложностей возникнуть не должно.

Так что, если кто хочет дополнительно обезопасить свои данные и себя, заходите в репу на гитхабе (по ссылке выше).


P.S.: Этот пост посвящается памяти всех данных, безвозвратно утерянных вследствие обстоятельств непреодолимой силы или просто пользовательского/админского раздолбайства (что по сути одно и то же).

]]>
http://omsklug.com/2015/09/luks-header-backup-helper/feed/ 0
Crypto Install Fest в Омске http://omsklug.com/2015/06/crypto-install-fest/ http://omsklug.com/2015/06/crypto-install-fest/#comments Fri, 26 Jun 2015 21:46:38 +0000 linuxmasterz http://omsklug.com/?p=1840 Когда и где?

2015-07-04T14:00+0600 OMST (четвёртого июля 2015 года в 14 часов дня по омскому времени) Омская группа пользователей Linux (#OmskLUG) проводит Crypto Install Fest (#CIF2015) в Омском ITLoft (г. Омск, ул. Учебная, 83, второй этаж, каб. 212).

Что будем делать и обсуждать в ходе мероприятия?

А будет несколько мастерклассов по защите вашей, никому не нужной, личной информации… После чего будет трансляция с московского Crypto Install Fest (http://cif.pirate-party.ru/) с возможностью задать вопросы докладчикам.

В ходе мероприятия, так и после него, будет криптовечеринка (#KSP, Key Signing Party). Что такое KSP? Вот: https://db.tt/86bW7biW

Для мастер-классов и других жестоких беспощадных экспериментов по созданию загрузочных и шифрованных разделов/флешек нужны от вас:

(a) ноутбук и/или (b) флешка.

Для участия в частной криптовечеринке для избранных:

(a) неплохо бы направить ваш публичный ключ PGP заранее на post@omsklug.com;
(b) не забыть документ, удостоверяющий личность;
(c) прийти самому лично.

Если желаете поучаствовать в качестве организаторов, то оставляйте комментарии на сайте http://www.omsklug.com , пишите на почту post@omsklug.com, забегайте в нашу jabber-конференцию: omsklug@conference.jabber.ru

Как безвозмедно и добровольно зарегистрироваться для участия?

Вот ссылка на форму регистрации:http://bit.ly/cif2015omsk

Вот ссылка на объявление: http://bit.ly/cif2015announce

Если же проникнуть лично вам не удастся, то есть вариант посмотреть трансляцию мероприятия тут: http://www.omsklug.com/tv

]]>
http://omsklug.com/2015/06/crypto-install-fest/feed/ 0