АртемЪ

но разве нельзя например сделать шифрованный IPsec самостоятельно?

Можно.

Почему гос. учреждения, промышленные предприятия не жалеют денег на подобное дорогостоящие оборудование?

Почему в банковских сейфах используются дорогие замки? Неужели нельзя поставить купленный в ближайшем хозмаге?

Есть задача организовать УЦ для некоммерческой корпоративной организации в России.

Отлично, но в чем проблема?

Подскажите, пожалуйста, какие есть open source решения или коммерческие

Чего решения? Сертификат и подпись сформировать? Так это делается встроенными системными утилитами в любой современной ОС.

но не с выпуском подписи в 500 рублей за ЭЦП.

??? Выпуск сертификата абсолютно бесплатен, я могу прям сейчас сгенерировать пару тысячь сертификатов, и это не обойдется мне ни копейки.

Скрипт себя никак не окупает и полностью бесплатный, денег на сервер нет

Нет денег на сервер? Это что так дорого? Или для вас сервер это некая стоечная железка от вендора за 5тыс долларов? В качестве сервера можно использовать старый роутер D-link купленный по случаю на барахолке за 200рублей.

Пользователи вряд-ли доверят шифрованию на стороне.

А пользователям какая печаль? Они вообще каким боком к этому? Они вам сообщили пароль - а уж что вы там с ним делаете они вообще не знают.

Надежно ли аппаратное шифрование в nvme ssd дисках?

Конечно надежно, там велосипеды не изобретают, и используют популярные, многократно проверенные алгоритмы шифрования.

Например Samsung 970 Evo Plus, есть ли там бэкдоры, не закрытые уязвимости?

Разумеется есть.

Точно знаю, что это криптованный раздел. Подскажите как его можно декриптовать?

Да элементарно!
1)Узнать по какому алгоритму он зашифрован.
2)Найти или написать программу реализующую этот алгоритм.
3)Сообщить программе ключ шифрования и готово.

как лучше обойти данное ограничение?

Никак, ибо оно на стороне сервера.

Может есть какие-нибудь готовые решения в виде, к примеру расширения для браузера?

Есть.
Ставите любой менеджер паролей имеющий расширения для браузера (KeePass, Roboform, etc), вбиваете пароли и все.
По одному клику на строчке в менеджере открывается нужная страница.

Как обезопасить бухгалтерию работающую с разными банковскими счетами и криптоплагинами?

Нормально настроить ОС. В принципе никаких левых программ для этого не требуется, только настройки брандмауэра, и политик.

Все что вы описали с точки зрения системного администратора явный бред. Бессмысленный и беспощадный.
По принципу не знаю для чего, но на всякий случай поставим- глядишь какой толк будет.

2.Антивирус - нормальный адекватный антивирус встроен в ОС. Если не устраивает, тогда уж стоит смотреть на лидеров рынка, а не на малоизвестный софт.
3. Вот чем эта почта безопасна?
4. Это просто нечто. Тор браузер отличная вещь, и при правильном использовании позволяет добиться довольно высокой степени анонимности. К безопасности он никакого отношения не имеет.
А анонимность обеспечивает только при правильном использовании и настройке ОС, а если вы будете через этот браузер подключатся к банкам, и заходить на свои рабочие аккаунты - какой в нем смысл?
7.Если вы говорите о безопасности, какой смысл тащить на компьютер всякий вредоносный софт вроде Reg Organaizer?
11.С таким же успехом можете купить пистолет и рандомно стрелять себе в колено. Это примерно так же отразится на безопасности как и регулярная замена mac. И да - к паранойе это не имеет отношения.
12. В голове. Если не умещаются - KeePass

Вам для чего?
И какой софт?

• Если вам продали решение на базе софта КРИПТО ПРО - спрашивайте инструкцию у тех кто вам продал решение на базе КРИПТО ПРО.
  
• Если вы сами делаете решение- спрашивайте инструкцию у продавца данного продукта, перед покупкой.
  

Какие книги стоит читать по криптографии с нуля до гуру?

Так не бывает.
Вот чтобы взяли книги, прочитали и стали гуру. В любой области.

Берете книги "с нуля" - криптография для чайников и кофейников, разные сказки про алису и боба больных паранойей.
Читаете, втягиваетесь в тему.
При прочтении видите отсылки к другим источникам, изучаете их.
Потом много практики.
Потом приходит понимание что еще нужно прочитать.
И после этого через некоторое время вполне может оказаться что вы стали гуру.

однако туда не прикрутить VPN перед TOR

VPN перед TOR гораздо эффективнее прикручивать на роутере.

Можно ли обнаружить следы файлов или инфо из этих ОС вне виртуалки. Если да , то как предотвратить.

Да.
Virtualbox это процесс в вашей системе, которому выделяется виртуальная память. А часть виртуальной памяти попадает в файл подкачки. Трудно предсказать что именно туда попадет, насколько ценным оно будет, но теоретически такая возможность есть.

В любом случае - как бы вы не шифровали, в подавляющем большинстве случаев проще, дешевле и выгоднее спросить нужную информацию у вас, а не выковыривать ее из системы.

Удалить все разделы и восстановить из бэкапа.

Цифровая подпись - криптографическая система, защищающая файл от изменения.
Т.е если файл подписан - можно с уверенностью говорить что файл не подменили.

Сертификат - удостоверение того кто подписывает.

И то и другое вы можете сгенерировать сами. Инструменты для этого есть в любой ОС.
Например в windows это makecert.exe
winitpro.ru/index.php/2015/12/28/kak-sozdat-samopo...

А если так?

Я открываю Wireshark, и там все tcp пакеты
в виде "абракадабры"(может они не зашифрованы и так должно быть?)

Смотря что вы понимаете под абракадаброй, для большинства пользователей любой tcp пакет будет являться абракадаброй

Если вы подключены к серверу по протоколу без шифрования - все передается открытым текстом.
Если вы подключены к серверу по шифрованному протоколу - трафик будет зашифрован.

Перехватить до шифрования можно, если оно происходит на вашем компьютере. А вот насколько это будет сложно зависит от того какое приложение шифрует, и от вашей квалификации.
Если это банальный SSL достаточно поставить локальный прокси в режиме MITM.

Если вопрос в том почему используют хэш в качестве адреса -ну наверное по тому же, почему используют хэш файла в качестве адреса файла в системах хранения.
Удобно.

Если вопрос в том почему используют хэш вместо публичного ключа - суть работы блокчейна в хэшировании, и нахождении данынх по хэшу. Т.е брутафорсу.
Хэш публичного ключа получателя транзакции известен - а публичный ключ нет.

Возможно одновременно зашифровать системный диск и VeraCrypt и BitLocker?

Технически проблем нет. Хотя зависит от реализации возможны проблемы с неправильным порядком загрузки драйверов шифрования.

Какие еще подобные способы проверенной защиты данных есть?

Ну ваш метод точно не является проверенной защитой данных, это больше похоже на велосипед с двойным рулем, и одним квадратным колесом.
Чем вам не нравится тот же VeraCrypt или BitLocker?

интересует вопрос защиты данных при физическом доступе, то есть поможет ли это как то?

Непонятно какие данные, как с ними будут работать и от кого защищать надо, поэтому ответить затруднительно.

Достаточно ли сильной будет такая схема хэширования с двойной солью?

Никакая вообще. С тем же успехом буковки местами можете поменять.

Если нужна безопасность - используйте стандартные схемы шифрования, а не изобретайте велосипед с треугольными колесами.

Нормальная схема такова - по https передается пароль.
На сервере к паролю добавляется соль, он подвергается хэшированию, и получившийся хэш сравнивают с тем что храниться в БД.

Для безопасности - без разницы.
Для удобства - смотрите как вам удобней.