Как лучше зашифровать диски с защитой от маски-шоу?

Question

[integrall]

Нужно зашифровать данные на дисках, чтобы в случае изъятия их нельзя было прочитать.
Я это вижу следующим образом:
1. Грузимся с vmlinux
2. Подтягиваем загрузочный раздел iscsi с предзагрузочной расшифровкой
3. Загрузочный раздел загружает систему

В таком случае при изъятии компа он не сможет загрузить систему, так как загрузочный модуль со встроенным ключём шифрования недоступен.
А при прямом доступе к дискам увидят зашифрорванный хлам.

В правильном направлении я движусь или кто-то имеет опыт менее велосипедной реализации?

Comments

[georgich]

Это вы так думаете, что их нельзя будет прочитать. Когда начнут давить, то пароль сами введёте.

[nirvimel]

John Smith: Про уничтожение носителей: Как сделать свой SJ Data Killer?

Answer 1

[CityCat4]

Терморектальный метод вскрывает любые пароли. Эта защита сработает только в случае, если лицо, знающее пароль, немедленно стреляет себе в голову. Во всех прочих случаях - самое уязвимое звено в этой схеме - человек.

Я уже много раз отвечал на подобный вопрос и всегда проблема одна и та же - строя защиту от "людей в сером", Вы предполагаете, что они будут соблюдать некие правила игры, и строите защиту, пытаясь переиграть их техническими способами. А "люди в сером" мыслят по-другому. "Я десять лет трупы по лесам откапываю и бомжей из подвала достаю - а вы мне тут с доменами..." (С) Некий опер У них стоит задача получить данные. И они ее решают привычными им способами - например, паяльником в #0пе.

Comments

[CityCat4]

John Smith: И не только голову :)

[integrall]

Мой коллега говорил, что изымали и после 2х месяцев возвращали

[HighMan]

CityCat4, золотые слова!
Самое слабое звено в системе защиты - сисадмин, который эту систему настраивал.
По некоторому опыту знаю, что наши дознаватели не парятся со взломом и перехватом траффика. Об этом лишь в прессе треплются. В реальности же работают по старинке. Опрос персонала с пристрастием. Дальше админа в разработку. Если этот дурачок сразу все не слил, то его пакуют на пару дней в прессхату. После этого он не то что все свои ключи отдаст, но и чужие принесет.

[CityCat4]

HighMan, многие из тех, кто тут обсуждает "тор через впн через тор через впн" никак в толк не возьмут одной простой вещи - "там" (за исключением отдела К) понятия не имеют об ИТ, но хорошо имеют понятие как сделать так, чтобы человек сам все рассказал :) Вот и мучаются с "отрицаемым шифрованием" и прочей фигней :)

Answer 2

[f9k56]

Лучше гвоздя в ЖД защиты при изъятии нет.