Witam,szukam wyjaśnienia pewnego problemu który mnie nurtuje.
Mam dysk zewnętrzny 500 GB który został zaszyfrowany programem TrueCrypt.Szyfrowanie algorytmen AES pustego dysku trwało kilka godzin.
Niedawno kupiłem drugi identyczny dysk i postanowiłem zaszyfrować go dostępnym w Ubuntu programem narzędzie do obsługi dysków.Dm-crypt algorytmem AES-tak mi się przynajmniej wydaje zrobił to w kilka minut.
Jak wytłumaczyć tak dużą czasową różnicę i czy rzeczywiście oba dyski są równie dobrze zabezpieczone.Te czasy powinny chyba być w miarę wyrównane.
Proszę obeznanych z tematem o wyjaśnienie tej zagadki.
Szyfrowanie dysku zewnętrznego
-
infort
- Serdeczny Borsuk
- Posty: 204
- Rejestracja: 19 paź 2010, 02:13
- Płeć: Mężczyzna
- Wersja Ubuntu: 14.04
- Środowisko graficzne: Unity
- Architektura: x86_64
- Kontakt:
Re: Szyfrowanie dysku zewnętrznego
Truecrypt szyfrując partycję lub cały dysk (na jedno wychodzi) wymazuje równocześnie każdy sektor dysku (klaster) i zastępuje go zaszyfrowaną zawartością niezależnie od tego czy coś tam było czy nie. Ilość przebiegów tego wymazywania mozna dodatkowo sobie ustawić, można też wyłaczyć tą funkcję - przynajmniej tak było, kiedy korzystałem jeszcze z truecrypta. To powoduje bardzo duże obciążenie operacjami na dysku, co w sytuacji interfejsu USB przekłada się na długi czas szyfrowania.
Dm-crypt/LUKS standardowo szyfruje tylko nagłówek dysku/partycji i jako, że nie obsługuje szyfrowania danych już istniejących, na tym jego działalność się kończy - jest tworzona nowa partycja z zerową zawartością. Szyfrując dm-crypt (narzędzie cryptsetup) można zaznaczyć kasowanie danych i wtedy cała partycja zostanie zamazana za pomocą odpowiedniego algorytmu ale wtedy też trwa to długi okres czasu.
I teraz sprawa bezpieczeństwa takiego rozwiązania. W przypadku nowego, pustego dysku, nie ma sensu szyfrowania każdego sektora. Jednak, gdy na dysku były wcześniej jakieś istotne dane, niewymazanie ich przed założeniem partycji szyfrowanej dm-crypt może spowodować, że będą one jeszcze przez jakiś czas (do nadpisania ich przez nowe, już zaszyfrowane dane) możliwe do odczytania za pomocą narzędzi bezpośredniego dostępu do dysku. Jeśli zależy nam na absolutnym bezpieczeństwie są zatem dwa rozwiązania: przed zaszyfrowaniem wymazujemy partycję za pomocą wipe albo dd (uwaga na oznaczenia dysków w tym ostatnim bo możemy sobie krzywdę zrobić w razie pomyłki), albo też po zaszyfrowaniu zapełniamy partycję danymi (najlepiej dużymi plikami) do końca i potem je kasujemy.
Dm-crypt/LUKS standardowo szyfruje tylko nagłówek dysku/partycji i jako, że nie obsługuje szyfrowania danych już istniejących, na tym jego działalność się kończy - jest tworzona nowa partycja z zerową zawartością. Szyfrując dm-crypt (narzędzie cryptsetup) można zaznaczyć kasowanie danych i wtedy cała partycja zostanie zamazana za pomocą odpowiedniego algorytmu ale wtedy też trwa to długi okres czasu.
I teraz sprawa bezpieczeństwa takiego rozwiązania. W przypadku nowego, pustego dysku, nie ma sensu szyfrowania każdego sektora. Jednak, gdy na dysku były wcześniej jakieś istotne dane, niewymazanie ich przed założeniem partycji szyfrowanej dm-crypt może spowodować, że będą one jeszcze przez jakiś czas (do nadpisania ich przez nowe, już zaszyfrowane dane) możliwe do odczytania za pomocą narzędzi bezpośredniego dostępu do dysku. Jeśli zależy nam na absolutnym bezpieczeństwie są zatem dwa rozwiązania: przed zaszyfrowaniem wymazujemy partycję za pomocą wipe albo dd (uwaga na oznaczenia dysków w tym ostatnim bo możemy sobie krzywdę zrobić w razie pomyłki), albo też po zaszyfrowaniu zapełniamy partycję danymi (najlepiej dużymi plikami) do końca i potem je kasujemy.
Toshiba C850 i3-3210M 4GB RAM, Intel HD4000, Ubuntu 14.04
Samsung N145 Lubuntu 14.04
www.bezpieczneubuntu.pl
Samsung N145 Lubuntu 14.04
www.bezpieczneubuntu.pl
Kto jest online
Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 7 gości