Реально ПОЛНОдисковое шифрование реализуемо?

Question

[Ivan_Google]

Приветствую хабровчане.
Возник следующий вопрос : есть жёсткий диск , на нем скажем 4 раздела С- системный D- под инфу и ещё пара служебных
Возможно ли зашифровать весь диск со всеми разделами(в этом случае ссд), так чтобы без расшифровки ничего не торчало(кроме загрузчика).
p.s. возможно есть связки когда шифруется всё и загрузка системы возможна только с флешки с загрузчиком.

Прошу поделиться статьями, наработками и связками по этой теме.

Comments

[Lynn «Кофеман»]

Из описания не очень понятно от кого и зачем защищаемся.

Но вот эта конструкция похожа на требуемую?

Answer 1

[rPman]

На windows да veracrypt, bitlocker, truecrypt

на linux с помощью loop-aes, truecrypt или dm-crypt-luks

Comments

[Ivan_Google]

Читайте вопрос внимательнее.
А если не разбираетесь в теме, то не пишите ответ.

[Сергей Горностаев]

Ivan_Google, а что не так с этим ответом?

[rPman]

Ему надо шифровать весь диск, наверное чтобы скрыть разделы, не уверен что такое возможно даже на linux, точнее там можно выкрутиться, изменив способ работы с разделами, но из коробки работать это не будет

При использовании виртуальных машин это возможно, но автору это скорее всего не подойдёт

[CityCat4]

livecd на флэшке, который расшифровывает диск после загрузки. Но я всегда в таких случаях спрашиваю - а какова модель нарушителя? Ведь если ты таскаешь с собой флэшку с загрузчиком - ты прям подставляешься под паяльник, если в нарушителях что-то типа государства

[Ivan_Google]

rPman, именно) , я тоже не могу представить какую связку софта использовать для решения этой задачи.

[Ivan_Google]

CityCat4, если в противниках спец службы, то использовать такое шифрование действительно себе дороже.
Но это скорее защита от ушлых конкурентов.
Хотя наверное это всё же излишне, если представить такое шифрование как защиту от модификации открытых разделов, то это означает физический доступ к пк, а в таком случае наверняка проще всунуть keylogger.

[Ivan_Google]

Но в любом случае вопрос по прежнему открыт, если кто знает как его решить, welcome.

[rPman]

Ivan_Google, если компьютер не позволяет залить в биос свой ключ шифрования (само собой включенный secure boot) то шифрование диска защищает только от одной атаки - кража диска

Если к оборудованию имеется физический доступ то злоумышленник устанавливает на машину кейлогер на клавиатуру и мышку (и скринридер или камеру для экранных клавиатур), и 99% конфигов с шифрованием диска становятся уязвимы, с некоторыми оговорками от этого можно защититься, если терминал с загрузчиком носить с собой (из вне контролируемый загрузчик и терминал для ввода пароля на порядки увеличивает стоимость атаки), так как на машину клиента можно установить свой терминал (грубо говоря отдельный компьютер, работающий прослойкой к оригиналу, этакий продвинутый кейлогер)

Самый 'надежный' вариант - носить компьютер всегда с собой, а стационарно размещать блок питания, монитор и сетевое дисковое хранилище, благодаря мощным смартфонам (с поддержкой подключения монитора по usb и переферии по bluetooth, правда нужно найти такое чтобы пин был не зашит намертво) это реализуемо за очень дешево.

[mayton2019]

rPman, если рассматривать криптографию в вакууме. Тоесть как отдельную науку, то в ней предполагается что участники секретной переписки, такие как Алиса, Боб, Кларк обладают защищенным устройством. Незащищен только канал. И имеется "человек посередине". То что вы описали с кейлоггером враз обесценивает криптографию. После этого можно вообще ничего не изучать и не рассматривать. Какой в этом смысл если вы всюду ставите кейлоггеры?

Вобщем в этом вопросе нам нужны какие-то исходные условия. Автор спросил про шифрование. Вы ему совершенно правильно порекомендовали bitlocker. Хорошая штука. Сертифицирована для банков. Но кейлоггер посто всю шахматную доску перевернул. Вобщем давайте как-то аккуратно. А то ведь так можно и дойти до незнаю чего... до "допроса категории Б" или как он там называется.

[rPman]

mayton2019, очевидно что человек спрашивает для себя и является обычным пользователем компьютера, если бы он был интегратором, устанавливающим систему безопасности банка, и задавал бы такие вопросы, это был бы пи..дец.

Вот и приходится отвечать с оглядкой на это.

Естественно, прежде чем создавать защиту, необходимо рассмотреть те сценарии атаки, от которых приходится защищаться, само по себе ширование данных это часть (причем очень маленькая) целого комплекса действий, которые необходимо сделать, чтобы это все работало как ожидается.

Люди по незнанию думают - 'вот зашифрую, и все, мои биткоины никто не сможет украсть', что само собой абсолютно не так.