forum.opennet.ru - "Выпуск Cryptsetup 2.7 с поддержкой аппаратного дискового шифрования OPAL" (46)

"Выпуск Cryptsetup 2.7 с поддержкой аппаратного дискового шифрования OPAL"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Выпуск Cryptsetup 2.7 с поддержкой аппаратного дискового шифрования OPAL"	+/–
Сообщение от opennews (??), 25-Янв-24, 00:06
Опубликован набор утилит Cryptsetup 2.7, предназначенных для настройки шифрования дисковых разделов в Linux при помощи модуля dm-crypt. Поддерживается работа с разделами dm-crypt, LUKS, LUKS2, BITLK, loop-AES и TrueCrypt/VeraCrypt. В состав также входят утилиты veritysetup и integritysetup для настройки средств контроля целостности данных на основе модулей dm-verity и dm-integrity... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=60493
Ответить \| Правка \| Cообщить модератору

Оглавление

Скрыто модератором, Аноним (1), 00:06 , 25-Янв-24, (1) –2

Скрыто модератором, Аноним (1), 00:06 , 25-Янв-24, (2) +1
Скрыто модератором, onanim (?), 09:06 , 25-Янв-24, (30)

У меня диск Samsung T7 с опалом, вся фишка в том что его можно подключить в любо, Аноним (3), 00:34 , 25-Янв-24, (3) +1

с любой виндой, ведь так Ну так вот это - надолго и не потому что проклятый-гей, нах. (?), 07:32 , 25-Янв-24, (28) –5
И надежность всего этого - Если тебе реально не надо щифрование, то этим всем, Аноним (-), 09:31 , 25-Янв-24, (32) –1
Открытие отпечатком это какой то слабоумный бред по сути ты уже не нужен для, Pahanivo (ok), 13:50 , 25-Янв-24, (38) +3

и ведь не соврешь что ой, забыл , нах. (?), 14:09 , 25-Янв-24, (41)

- Это не мое Я курьер Не , Аноним (44), 14:30 , 25-Янв-24, (44)

- пальцы давай предыдущему курьеру семь лет впаяли А с незнаюпароль может и , нах. (?), 15:54 , 25-Янв-24, (51) +1

Вообще то, пальцы есть и на ногах Руки проверили, а про ноги забыли , Аноним (58), 01:28 , 26-Янв-24, (58)

я вообще х-ем отпираю эти сенсоры, но вот с шифрованной флэшкой не рискнул бы М, нах. (?), 14:49 , 26-Янв-24, (64)
Не забыли, на ногах мы тебе их тоже переломаем, если пароль прямщас не вспомнишь, товарищ майор (?), 15:01 , 26-Янв-24, (65)

Двойное шифрование приводит к неприятным и совершенно нежелательным сайдэффектам, Аноним (4), 02:07 , 25-Янв-24, (4) +2

Двойное шифрование с разными независимыми ключами и разными шифронаборами С чег, laindono (ok), 04:50 , 25-Янв-24, (25) +1

Не в криптостойкости дело хотя исключать не стоит , Аноним (4), 14:10 , 25-Янв-24, (42)

А как на счёт тройного сжатия и шифрования , Аноним (27), 07:32 , 25-Янв-24, (27)
Выходит, что пользоваться ssh через WiFI невозможно проблематично , Аноним (36), 13:09 , 25-Янв-24, (36) +1

Почему, невозможно Просто с шифрованным трафиком могут быть проблемы с MTU и пр, Аноним (4), 14:08 , 25-Янв-24, (40) –1

аппаратное шифрование всегда заканчивается одинаково, и начинается всегда с рекл, 12yoexpert (ok), 02:33 , 25-Янв-24, (5) +5
А для старых железок, без хардварных ускорялок, есть что Из наиболее вменяемого, Аноним (-), 03:20 , 25-Янв-24, (7) –1

а для старых есть старый добрый aes256 CBC который вполне эффективен и защищает , нах. (?), 07:34 , 25-Янв-24, (29) +6

Поражаюсь наплыву кремлеботов визжащих что честному гражданину нечего скрывать , cheburnator9000 (ok), 03:58 , 25-Янв-24, (19) +1

Можешь продолжать Ничего не поменялось, Аноним (39), 13:56 , 25-Янв-24, (39)
Я наверное открою для вас Америку, но в линуксах как хром, так и огнелис использ, Аноним (43), 14:14 , 25-Янв-24, (43) +2

Firefox для ПК шифрует пароли локально в директории пользовательского профиля в , Аноним (-), 14:43 , 25-Янв-24, (46)
Никогда в жизни не видел чтобы Firefox в линуксе, спрашивал пароль через какой-н, cheburnator9000 (ok), 15:22 , 25-Янв-24, (47) –2

потому что твоя убунточка всё делает за тебя она лучше знает, что тебе нужно, в, 12yoexpert (ok), 21:03 , 26-Янв-24, (67) –1

Польза включения OPAL не в двойном шифровании программная спецификация LUKS без, Аноним (-), 09:50 , 25-Янв-24, (33) –1

а тебе и не нужен весь диск - тебе достаточно luks header, который эти орлы забо, нах. (?), 13:25 , 25-Янв-24, (37) +1

Заголовок LUKS находится на диске, зашифрованном OPAL Он не видим , Аноним (-), 14:38 , 25-Янв-24, (45) –1

если бы он был невидим - он был бы люксу нахрен и не нужен Весь смысл этого заг, нах. (?), 15:57 , 25-Янв-24, (52) +2

казалось бы всё таки не видим - иначе чего там за прозрачность, но из примеров я, Роман (??), 16:57 , 27-Янв-24, (68)

ну вот единственный представимый мной хороший вариант - что заголовок на самом д, нах. (?), 17:33 , 27-Янв-24, (69)

Заголовок лежит в той части диска, которая OPAL не зашифрована Хотя бы потому, , Аноним (71), 14:32 , 29-Янв-24, (71)

По Вере вашей да будет вам а если у меня, простите, RAID-контроллер - што дела, InuYasha (??), 15:25 , 25-Янв-24, (48)

Покупать железо для софта, а не наоборот , Онтоним (?), 00:07 , 29-Янв-24, (70) +1

А как они решили вопрос с выходом из сна , penetrator (?), 15:50 , 25-Янв-24, (50)
cryptsetup для аппаратного шифрования, абсурд какой, оно либо аппаратное и ключ , fidoman (ok), 17:32 , 25-Янв-24, (54)

оба хуже в правильном аппаратном шифровании никакой ключ никуда не запихивается, нах. (?), 18:21 , 25-Янв-24, (55) +2

У OPAL один недостаток, перегрузка ПК не блокирует диск , Аноним (56), 21:09 , 25-Янв-24, (56)

зато отключение питания блокирует со всеми последующими приколами, penetrator (?), 21:14 , 25-Янв-24, (57)

конденсатор забыли поставить , Аноним (58), 01:31 , 26-Янв-24, (59) –1
у меня для тебя плохие новости - отключение питания любого современного диска бе, пох. (?), 09:03 , 26-Янв-24, (61) –1

Так я что-то не понял, диск аппаратно зашифрован, каким волшебный образом crypts, Аноньимъ (ok), 18:54 , 26-Янв-24, (66)

Очевидно, что OPAL позволяет шифровать отдельные куски диска с данными, а не тол, Аноним (71), 14:34 , 29-Янв-24, (72)

Сообщения [Сортировка по времени | RSS]

1. Скрыто модератором –2 +/–

Сообщение от Аноним (1), 25-Янв-24, 00:06

>veritysetup
наверно все-таки verifysetup

Ответить | Правка | Наверх | Cообщить модератору

2. Скрыто модератором +1 +/–

Сообщение от Аноним (1), 25-Янв-24, 00:06

а нет, все правильно. хмм

Ответить | Правка | Наверх | Cообщить модератору

30. Скрыто модератором +/–

Сообщение от onanim (?), 25-Янв-24, 09:06

> dm-verity

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

3. "Выпуск Cryptsetup 2.7 с поддержкой аппаратного дискового шиф..." +1 +/–

Сообщение от Аноним (3), 25-Янв-24, 00:34

У меня диск Samsung T7 с опалом, вся фишка в том что его можно подключить в любой комп и отпечатком пальца открыть без сторонних утилит.
А если уж шифровать поверх и LUKSом то можно будет пользоваться только у себя, ну или где такое ядро есть.
И да, это не спасает от сценария где тебя могут заставить открыть накопитель, и не для сверх секретных файлов, а скорее от
случаев вроде "забыл флешку в поезде".

Ответить | Правка | Наверх | Cообщить модератору

28. "Выпуск Cryptsetup 2.7 с поддержкой аппаратного дискового шиф..." –5 +/–

Сообщение от нах. (?), 25-Янв-24, 07:32

> У меня диск Samsung T7 с опалом, вся фишка в том что его можно подключить в любой комп
с любой виндой, ведь так?
Ну так вот это - надолго (и не потому что проклятый-гейтц-дотянулся, разумеется, а потому что д-лы)
> и отпечатком пальца открыть без сторонних утилит.
просто они встроены в венду. Когда-нибудь, в далеком-далеком будущем, дистры тоже поапгрейдятся на новую версию глюкса и openssl (т.е. ждать придется очень долго, потому что опять про совместимость неееа-не-слышали)
> случаев вроде "забыл флешку в поезде".
ее проводница уже в мусорку отправила, следом за котом. Кстати, она видела в камеру твой пароль.
Скорее уж "ловкие мальчики сп-ли ноутбук".  Но учти, на его корпусе ПОЛНО твоих пальчиков, и снять их - в общем-то не так и сложно, если мальчики умеют в интернет.
P.S. отдельный вопрос - точно-точно ли OPAL предполагает хранить ключ прям на том же устройстве в извлекаемом виде (а раз там luks header, то очевидно что извлекаемый). Что-то мне эта реализация не кажется здравой.

Ответить | Правка | Наверх | Cообщить модератору

32. "Выпуск Cryptsetup 2.7 с поддержкой аппаратного дискового шиф..." –1 +/–

Сообщение от Аноним (-), 25-Янв-24, 09:31

> У меня диск Samsung T7 с опалом, вся фишка в том что его можно подключить
> в любой комп и отпечатком пальца открыть без сторонних утилит.
И надежность всего этого...
- Если тебе реально не надо щифрование, то этим всем можно и не страдать.
- Если надо - ты, таки, нарвешься ибо удобство и безопасность живут по разную сторону улицы.
> случаев вроде "забыл флешку в поезде".
Булшит бинго. Флешки с OPAL не особо частая штука. И если "разблокируется отпечатком пальца" то там эффективный размер ключа ни о чем.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

38. "Выпуск Cryptsetup 2.7 с поддержкой аппаратного дискового шиф..." +3 +/–

Сообщение от Pahanivo (ok), 25-Янв-24, 13:50

Открытие отпечатком это какой то слабоумный бред ... по сути ты уже не нужен для вскрытия, нужен лишь твой палец. А жив ты при этом или нет ...

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

41. "Выпуск Cryptsetup 2.7 с поддержкой аппаратного дискового шиф..." +/–

Сообщение от нах. (?), 25-Янв-24, 14:09

и ведь не соврешь что "ой, забыл!"

Ответить | Правка | Наверх | Cообщить модератору

44. "Выпуск Cryptsetup 2.7 с поддержкой аппаратного дискового шиф..." +/–

Сообщение от Аноним (44), 25-Янв-24, 14:30

- Это не мое! Я курьер!!!
Не?

Ответить | Правка | Наверх | Cообщить модератору

51. "Выпуск Cryptsetup 2.7 с поддержкой аппаратного дискового шиф..." +1 +/–

Сообщение от нах. (?), 25-Янв-24, 15:54

> - Это не мое! Я курьер!!!
> Не?
"- пальцы давай!"
"предыдущему курьеру семь лет впаяли!"
А с незнаюпароль может и покатит...

Ответить | Правка | Наверх | Cообщить модератору

58. "Выпуск Cryptsetup 2.7 с поддержкой аппаратного дискового шиф..." +/–

Сообщение от Аноним (58), 26-Янв-24, 01:28

Вообще то, пальцы есть и на ногах (!)
Руки проверили, а про ноги забыли )))

Ответить | Правка | Наверх | Cообщить модератору

64. "Выпуск Cryptsetup 2.7 с поддержкой аппаратного дискового шиф..." +/–

Сообщение от нах. (?), 26-Янв-24, 14:49

я вообще х-ем отпираю эти сенсоры, но вот с шифрованной флэшкой не рискнул бы. Могут ведь и отрезать, и к делу подшить.

Ответить | Правка | Наверх | Cообщить модератору

65. "Выпуск Cryptsetup 2.7 с поддержкой аппаратного дискового шиф..." +/–

Сообщение от товарищ майор (?), 26-Янв-24, 15:01

Не забыли, на ногах мы тебе их тоже переломаем, если пароль прямщас не вспомнишь.

Ответить | Правка | К родителю #58 | Наверх | Cообщить модератору

4. "Выпуск Cryptsetup 2.7 с поддержкой аппаратного дискового шиф..." +2 +/–

Сообщение от Аноним (4), 25-Янв-24, 02:07

Двойное шифрование приводит к неприятным и совершенно нежелательным сайдэффектам.

Ответить | Правка | Наверх | Cообщить модератору

25. "Выпуск Cryptsetup 2.7 с поддержкой аппаратного дискового шиф..." +1 +/–

Сообщение от laindono (ok), 25-Янв-24, 04:50

Двойное шифрование с разными независимыми ключами и разными шифронаборами? С чего бы.

Ответить | Правка | Наверх | Cообщить модератору

42. "Выпуск Cryptsetup 2.7 с поддержкой аппаратного дискового шиф..." +/–

Сообщение от Аноним (4), 25-Янв-24, 14:10

Не в криптостойкости дело (хотя исключать не стоит).

Ответить | Правка | Наверх | Cообщить модератору

27. "Выпуск Cryptsetup 2.7 с поддержкой аппаратного дискового шиф..." +/–

Сообщение от Аноним (27), 25-Янв-24, 07:32

А как на счёт тройного сжатия и шифрования?

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

36. "Выпуск Cryptsetup 2.7 с поддержкой аппаратного дискового шиф..." +1 +/–

Сообщение от Аноним (36), 25-Янв-24, 13:09

Выходит, что пользоваться ssh через WiFI невозможно/проблематично? ;)

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

40. "Выпуск Cryptsetup 2.7 с поддержкой аппаратного дискового шиф..." –1 +/–

Сообщение от Аноним (4), 25-Янв-24, 14:08

Почему, невозможно? Просто с шифрованным трафиком могут быть проблемы с MTU и прочее подобное, qos отвалится, например, или решишь, что уже надёжно зашифровано 1 раз, и начнёшь пользоваться со слабым/отключённым шифрованием, а потом окажется, что твой "шифрованный" трафик при этом могли читать все, информация из него извлекалась в автоматизированном режиме.

Ответить | Правка | Наверх | Cообщить модератору

5. "Выпуск Cryptsetup 2.7 с поддержкой аппаратного дискового шиф..." +5 +/–

Сообщение от 12yoexpert (ok), 25-Янв-24, 02:33

аппаратное шифрование всегда заканчивается одинаково, и начинается всегда с рекламы usb-стиков за 50$ на ютуб-каналах со смешариками (там вся ЦА сидит)

Ответить | Правка | Наверх | Cообщить модератору

7. "Выпуск Cryptsetup 2.7 с поддержкой аппаратного дискового шиф..." –1 +/–

Сообщение от Аноним (-), 25-Янв-24, 03:20

А для старых железок, без хардварных ускорялок, есть что? Из наиболее вменяемого удалось нарыть cryptsetup benchmark -c xchacha20,aes-adiantum-plain64:sha512 --key-size 256 , но "не уверен"..

Ответить | Правка | Наверх | Cообщить модератору

29. "Выпуск Cryptsetup 2.7 с поддержкой аппаратного дискового шиф..." +6 +/–

Сообщение от нах. (?), 25-Янв-24, 07:34

а для старых есть старый добрый aes256/CBC который вполне эффективен и защищает от любого _реалистичного_ сценария.
И не надо выдумывать новых глупостей.

Ответить | Правка | Наверх | Cообщить модератору

19. "Выпуск Cryptsetup 2.7 с поддержкой аппаратного дискового шиф..." +1 +/–

Сообщение от cheburnator9000 (ok), 25-Янв-24, 03:58

Поражаюсь наплыву кремлеботов визжащих что "честному гражданину нечего скрывать". Любому гражданину есть что скрывать и в первую очередь от других граждан. Ноутбук могут своровать, как и компьютер из квартиры. Из устройства можно вытащить пароли из браузеров, цифровой ключ, ваши личные документы, рабочие документы за утрату которых вас в лучшем случае уволят, в худшем случае посадят (если ваш работодатель гос.структура).
Я наверное сейчас открою тайну мирового масштаба, но ни один браузер по дефолту из коробки не шифрует данные https://github.com/moonD4rk/HackBrowserData/ кроме Safari и MSEdge оба требуют ввода пароля аккаунта.
Лет так 10 назад я спокойно копировал профиль Firefox из windows в linux и имел доступ к всей историей и паролям браузера, иными словами профиль firefox тогда был вполне портабелен (хотя еще даже тогда меня заверяли что это не возможно).

Ответить | Правка | Наверх | Cообщить модератору

39. "Выпуск Cryptsetup 2.7 с поддержкой аппаратного дискового шиф..." +/–

Сообщение от Аноним (39), 25-Янв-24, 13:56

> иными словами профиль firefox тогда был вполне портабелен
Можешь продолжать. Ничего не поменялось

Ответить | Правка | Наверх | Cообщить модератору

43. "Выпуск Cryptsetup 2.7 с поддержкой аппаратного дискового шиф..." +2 +/–

Сообщение от Аноним (43), 25-Янв-24, 14:14

> Я наверное сейчас открою тайну мирового масштаба, но ни один браузер по дефолту из коробки не шифрует данные
Я наверное открою для вас Америку, но в линуксах как хром, так и огнелис используют kwallet и gnome-keyring для шифрования и хранения печенек и паролей.
В винде эти же данные хранятся в виде, зашифрованном с использованием DPAPI.

Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

46. "Выпуск Cryptsetup 2.7 с поддержкой аппаратного дискового шиф..." +/–

Сообщение от Аноним (-), 25-Янв-24, 14:43

Firefox для ПК шифрует пароли локально в директории пользовательского профиля в файле logins.json, если ты задал основной пароль в настройках.

Ответить | Правка | Наверх | Cообщить модератору

47. "Выпуск Cryptsetup 2.7 с поддержкой аппаратного дискового шиф..." –2 +/–

Сообщение от cheburnator9000 (ok), 25-Янв-24, 15:22

>> Я наверное сейчас открою тайну мирового масштаба, но ни один браузер по дефолту из коробки не шифрует данные
> Я наверное открою для вас Америку, но в линуксах как хром, так
> и огнелис используют kwallet и gnome-keyring для шифрования и хранения печенек
> и паролей.
> В винде эти же данные хранятся в виде, зашифрованном с использованием DPAPI.
Никогда в жизни не видел чтобы Firefox в линуксе, спрашивал пароль через какой-нибудь keyring. Chrome да. Но это дело можно отключить и оно будет прекрасно работать без шифрования.
Firefox под вендой никогда не шифровал logins.json файл чем-то серьезным (все дешефруется утилитой которую я показал выше). Eсли опять же нет мастер пароля, не несите чушь.

Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору

67. "Выпуск Cryptsetup 2.7 с поддержкой аппаратного дискового шиф..." –1 +/–

Сообщение от 12yoexpert (ok), 26-Янв-24, 21:03

> Никогда в жизни не видел чтобы Firefox в линуксе, спрашивал пароль через какой-нибудь keyring.
потому что твоя убунточка всё делает за тебя. она лучше знает, что тебе нужно, всё - как ты привык

Ответить | Правка | Наверх | Cообщить модератору

33. "Доступен Cryptsetup 2.7 с поддержкой аппаратного дискового ш..." –1 +/–

Сообщение от Аноним (-), 25-Янв-24, 09:50

Польза включения OPAL не в двойном шифровании (программная спецификация LUKS безопасна даже для правительственного уровня), а в невозможности копирования такого зашифрованного диска и распределённого перебора паролей. Таким образом, проприетарный OPAL защищает диск от копирования, а открытый LUKS его доверенно шифрует. В идеале — производитель диска предоставляет возможность настраивать количество неверно введённых подряд паролей, после которого информация на диске уничтожается.
Для старых железок (и для любых других) выбирать вручную режимы шифрования LUKS не нужно. В отличие от других средств шифрования, LUKS сам варьирует эти параметры в зависимости от мощности компьютера, на котором создаётся зашифрованный диск (при этом эти параметры не изменятся после создания, даже если диск установить в другой компьютер). На слабом компьютере используются менее сложные алгоритмы, на более мощном – сложнее.

Ответить | Правка | Наверх | Cообщить модератору

37. "Доступен Cryptsetup 2.7 с поддержкой аппаратного дискового ш..." +1 +/–

Сообщение от нах. (?), 25-Янв-24, 13:25

а тебе и не нужен весь диск - тебе достаточно luks header, который эти орлы заботливо и положили рядом.

Ответить | Правка | Наверх | Cообщить модератору

45. "Доступен Cryptsetup 2.7 с поддержкой аппаратного дискового ш..." –1 +/–

Сообщение от Аноним (-), 25-Янв-24, 14:38

Заголовок LUKS находится на диске, зашифрованном OPAL. Он не видим.

Ответить | Правка | Наверх | Cообщить модератору

52. "Доступен Cryptsetup 2.7 с поддержкой аппаратного дискового ш..." +2 +/–

Сообщение от нах. (?), 25-Янв-24, 15:57

> Заголовок LUKS находится на диске, зашифрованном OPAL. Он не видим.
если бы он был невидим - он был бы люксу нахрен и не нужен. Весь смысл этого заголовка - хранить данные, нужные люксу для расшифровки раздела (когда он софтовошифрованный) и попутно вообще опознавания этого диска как своего.
А если диск уже расшифрован - то заголовок совершенно тебе и без надобности. Так что если в новости не отсебятина промтом-переводили, то все очень и очень плохо.

Ответить | Правка | Наверх | Cообщить модератору

68. "Доступен Cryptsetup 2.7 с поддержкой аппаратного дискового ш..." +/–

Сообщение от Роман (??), 27-Янв-24, 16:57

казалось бы всё таки не видим - иначе чего там за прозрачность, но из примеров я так понял что можно совмещать
Examples:
  * Formatting the drive
  Use --hw-opal with luksFormat (or --hw-opal-only for hardware only
  encryption):
  # cryptsetup luksFormat --hw-opal <device>
  Enter passphrase for <device>: ***
  Enter OPAL Admin password: ***
  * Check configuration with luksDump.
  Note "hw-opal-crypt" segment that uses both dm-crypt and OPAL
  encryption - keyslot stores 768 bits key (512 sw + 256 bits OPAL key).

Ответить | Правка | Наверх | Cообщить модератору

69. "Доступен Cryptsetup 2.7 с поддержкой аппаратного дискового ш..." +/–

Сообщение от нах. (?), 27-Янв-24, 17:33

ну вот единственный представимый мной хороший вариант - что заголовок на самом деле все же шифруется opal, и нужен для шифрования еще и поверх него в случае не-opal-only варианта.
Но я бы на месте счастливых пользователей - перепроверил три раза.

Ответить | Правка | Наверх | Cообщить модератору

71. "Доступен Cryptsetup 2.7 с поддержкой аппаратного дискового ш..." +/–

Сообщение от Аноним (71), 29-Янв-24, 14:32

Заголовок лежит в той части диска, которая OPAL не зашифрована. Хотя бы потому, что без заголовка LUKS не сможет расшифровать кусок, диска, зашифрованный через OPAL.
И, да, OPAL-ом обычно шифруется не весь диск от нуля и до победы, а какая-то отдельная часть, где лежат данные.

Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору

48. "Доступен Cryptsetup 2.7 с поддержкой аппаратного дискового ш..." +/–

Сообщение от InuYasha (??), 25-Янв-24, 15:25

"По Вере вашей да будет вам!"
> накопителях SATA и NVMe с интерфейсом OPAL2 TCG, в которых устройство аппаратного шифрования встроено непосредственно в контроллер
а если у меня, простите, RAID-контроллер - што делать?

Ответить | Правка | Наверх | Cообщить модератору

70. "Доступен Cryptsetup 2.7 с поддержкой аппаратного дискового ш..." +1 +/–

Сообщение от Онтоним (?), 29-Янв-24, 00:07

Покупать железо для софта, а не наоборот.

Ответить | Правка | Наверх | Cообщить модератору

50. "Доступен Cryptsetup 2.7 с поддержкой аппаратного дискового ш..." +/–

Сообщение от penetrator (?), 25-Янв-24, 15:50

А как они решили вопрос с выходом из сна?

Ответить | Правка | Наверх | Cообщить модератору

54. "Доступен Cryptsetup 2.7 с поддержкой аппаратного дискового ш..." +/–

Сообщение от fidoman (ok), 25-Янв-24, 17:32

cryptsetup для аппаратного шифрования, абсурд какой, оно либо аппаратное и ключ запихивается каким-нибудь ioctl, либо оно нифига не аппаратное, а например там просто на шине какой-нибудь ускоритель aes.

Ответить | Правка | Наверх | Cообщить модератору

55. "Доступен Cryptsetup 2.7 с поддержкой аппаратного дискового ш..." +2 +/–

Сообщение от нах. (?), 25-Янв-24, 18:21

"оба хуже"
в правильном аппаратном шифровании никакой ключ никуда не запихивается и вообще не покидает устройства. Пароль для расшифровки ключа (а не сам ключ) - тот да (и устройство не должно позволять слишком много неправильных попыток), но тогда зачем бы им все эти танцы с заголовком luks?

Ответить | Правка | Наверх | Cообщить модератору

56. "Доступен Cryptsetup 2.7 с поддержкой аппаратного дискового ш..." +/–

Сообщение от Аноним (56), 25-Янв-24, 21:09

У OPAL один недостаток, перегрузка ПК не блокирует диск.

Ответить | Правка | Наверх | Cообщить модератору

57. "Доступен Cryptsetup 2.7 с поддержкой аппаратного дискового ш..." +/–

Сообщение от penetrator (?), 25-Янв-24, 21:14

зато отключение питания блокирует со всеми последующими приколами

Ответить | Правка | Наверх | Cообщить модератору

59. "Доступен Cryptsetup 2.7 с поддержкой аппаратного дискового ш..." –1 +/–

Сообщение от Аноним (58), 26-Янв-24, 01:31

конденсатор забыли поставить?

Ответить | Правка | Наверх | Cообщить модератору

61. "Доступен Cryptsetup 2.7 с поддержкой аппаратного дискового ш..." –1 +/–

Сообщение от пох. (?), 26-Янв-24, 09:03

у меня для тебя плохие новости - отключение питания любого современного диска без всякого шифрования может сделать из него кирпич.

Ответить | Правка | К родителю #57 | Наверх | Cообщить модератору

66. "Доступен Cryptsetup 2.7 с поддержкой аппаратного дискового ш..." +/–

Сообщение от Аноньимъ (ok), 26-Янв-24, 18:54

> Для использования OPAL в LUKS2
> метаданные сохраняются в заголовке LUKS2
Так я что-то не понял, диск аппаратно зашифрован, каким волшебный образом cryptsetup прочитает заголовок который на аппаратно зашифрованном диске?
А plain режим поддерживается без этих ваших LUKS ?

Ответить | Правка | Наверх | Cообщить модератору

72. "Доступен Cryptsetup 2.7 с поддержкой аппаратного дискового ш..." +/–

Сообщение от Аноним (71), 29-Янв-24, 14:34

Очевидно, что OPAL позволяет шифровать отдельные куски диска с данными, а не только диск целиком.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. Скрыто модератором	–2 +/–
Сообщение от Аноним (1), 25-Янв-24, 00:06
>veritysetup наверно все-таки verifysetup
Ответить \| Правка \| Наверх \| Cообщить модератору


	2. Скрыто модератором	+1 +/–
	Сообщение от Аноним (1), 25-Янв-24, 00:06
	а нет, все правильно. хмм
	Ответить \| Правка \| Наверх \| Cообщить модератору


	30. Скрыто модератором	+/–
	Сообщение от onanim (?), 25-Янв-24, 09:06
	> dm-verity
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору

3. "Выпуск Cryptsetup 2.7 с поддержкой аппаратного дискового шиф..."	+1 +/–
Сообщение от Аноним (3), 25-Янв-24, 00:34
У меня диск Samsung T7 с опалом, вся фишка в том что его можно подключить в любой комп и отпечатком пальца открыть без сторонних утилит. А если уж шифровать поверх и LUKSом то можно будет пользоваться только у себя, ну или где такое ядро есть. И да, это не спасает от сценария где тебя могут заставить открыть накопитель, и не для сверх секретных файлов, а скорее от случаев вроде "забыл флешку в поезде".
Ответить \| Правка \| Наверх \| Cообщить модератору


	28. "Выпуск Cryptsetup 2.7 с поддержкой аппаратного дискового шиф..."	–5 +/–
	Сообщение от нах. (?), 25-Янв-24, 07:32
	> У меня диск Samsung T7 с опалом, вся фишка в том что его можно подключить в любой комп с любой виндой, ведь так? Ну так вот это - надолго (и не потому что проклятый-гейтц-дотянулся, разумеется, а потому что д-лы) > и отпечатком пальца открыть без сторонних утилит. просто они встроены в венду. Когда-нибудь, в далеком-далеком будущем, дистры тоже поапгрейдятся на новую версию глюкса и openssl (т.е. ждать придется очень долго, потому что опять про совместимость неееа-не-слышали) > случаев вроде "забыл флешку в поезде". ее проводница уже в мусорку отправила, следом за котом. Кстати, она видела в камеру твой пароль. Скорее уж "ловкие мальчики сп-ли ноутбук". Но учти, на его корпусе ПОЛНО твоих пальчиков, и снять их - в общем-то не так и сложно, если мальчики умеют в интернет. P.S. отдельный вопрос - точно-точно ли OPAL предполагает хранить ключ прям на том же устройстве в извлекаемом виде (а раз там luks header, то очевидно что извлекаемый). Что-то мне эта реализация не кажется здравой.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	32. "Выпуск Cryptsetup 2.7 с поддержкой аппаратного дискового шиф..."	–1 +/–
	Сообщение от Аноним (-), 25-Янв-24, 09:31
	> У меня диск Samsung T7 с опалом, вся фишка в том что его можно подключить > в любой комп и отпечатком пальца открыть без сторонних утилит. И надежность всего этого... - Если тебе реально не надо щифрование, то этим всем можно и не страдать. - Если надо - ты, таки, нарвешься ибо удобство и безопасность живут по разную сторону улицы. > случаев вроде "забыл флешку в поезде". Булшит бинго. Флешки с OPAL не особо частая штука. И если "разблокируется отпечатком пальца" то там эффективный размер ключа ни о чем.
	Ответить \| Правка \| К родителю #3 \| Наверх \| Cообщить модератору


	38. "Выпуск Cryptsetup 2.7 с поддержкой аппаратного дискового шиф..."	+3 +/–
	Сообщение от Pahanivo (ok), 25-Янв-24, 13:50
	Открытие отпечатком это какой то слабоумный бред ... по сути ты уже не нужен для вскрытия, нужен лишь твой палец. А жив ты при этом или нет ...
	Ответить \| Правка \| К родителю #3 \| Наверх \| Cообщить модератору


	41. "Выпуск Cryptsetup 2.7 с поддержкой аппаратного дискового шиф..."	+/–
	Сообщение от нах. (?), 25-Янв-24, 14:09
	и ведь не соврешь что "ой, забыл!"
	Ответить \| Правка \| Наверх \| Cообщить модератору


	44. "Выпуск Cryptsetup 2.7 с поддержкой аппаратного дискового шиф..."	+/–
	Сообщение от Аноним (44), 25-Янв-24, 14:30
	- Это не мое! Я курьер!!! Не?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	51. "Выпуск Cryptsetup 2.7 с поддержкой аппаратного дискового шиф..."	+1 +/–
	Сообщение от нах. (?), 25-Янв-24, 15:54
	> - Это не мое! Я курьер!!! > Не? "- пальцы давай!" "предыдущему курьеру семь лет впаяли!" А с незнаюпароль может и покатит...
	Ответить \| Правка \| Наверх \| Cообщить модератору


	58. "Выпуск Cryptsetup 2.7 с поддержкой аппаратного дискового шиф..."	+/–
	Сообщение от Аноним (58), 26-Янв-24, 01:28
	Вообще то, пальцы есть и на ногах (!) Руки проверили, а про ноги забыли )))
	Ответить \| Правка \| Наверх \| Cообщить модератору


	64. "Выпуск Cryptsetup 2.7 с поддержкой аппаратного дискового шиф..."	+/–
	Сообщение от нах. (?), 26-Янв-24, 14:49
	я вообще х-ем отпираю эти сенсоры, но вот с шифрованной флэшкой не рискнул бы. Могут ведь и отрезать, и к делу подшить.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	65. "Выпуск Cryptsetup 2.7 с поддержкой аппаратного дискового шиф..."	+/–
	Сообщение от товарищ майор (?), 26-Янв-24, 15:01
	Не забыли, на ногах мы тебе их тоже переломаем, если пароль прямщас не вспомнишь.
	Ответить \| Правка \| К родителю #58 \| Наверх \| Cообщить модератору

4. "Выпуск Cryptsetup 2.7 с поддержкой аппаратного дискового шиф..."	+2 +/–
Сообщение от Аноним (4), 25-Янв-24, 02:07
Двойное шифрование приводит к неприятным и совершенно нежелательным сайдэффектам.
Ответить \| Правка \| Наверх \| Cообщить модератору


	25. "Выпуск Cryptsetup 2.7 с поддержкой аппаратного дискового шиф..."	+1 +/–
	Сообщение от laindono (ok), 25-Янв-24, 04:50
	Двойное шифрование с разными независимыми ключами и разными шифронаборами? С чего бы.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	42. "Выпуск Cryptsetup 2.7 с поддержкой аппаратного дискового шиф..."	+/–
	Сообщение от Аноним (4), 25-Янв-24, 14:10
	Не в криптостойкости дело (хотя исключать не стоит).
	Ответить \| Правка \| Наверх \| Cообщить модератору


	27. "Выпуск Cryptsetup 2.7 с поддержкой аппаратного дискового шиф..."	+/–
	Сообщение от Аноним (27), 25-Янв-24, 07:32
	А как на счёт тройного сжатия и шифрования?
	Ответить \| Правка \| К родителю #4 \| Наверх \| Cообщить модератору


	36. "Выпуск Cryptsetup 2.7 с поддержкой аппаратного дискового шиф..."	+1 +/–
	Сообщение от Аноним (36), 25-Янв-24, 13:09
	Выходит, что пользоваться ssh через WiFI невозможно/проблематично? ;)
	Ответить \| Правка \| К родителю #4 \| Наверх \| Cообщить модератору


	40. "Выпуск Cryptsetup 2.7 с поддержкой аппаратного дискового шиф..."	–1 +/–
	Сообщение от Аноним (4), 25-Янв-24, 14:08
	Почему, невозможно? Просто с шифрованным трафиком могут быть проблемы с MTU и прочее подобное, qos отвалится, например, или решишь, что уже надёжно зашифровано 1 раз, и начнёшь пользоваться со слабым/отключённым шифрованием, а потом окажется, что твой "шифрованный" трафик при этом могли читать все, информация из него извлекалась в автоматизированном режиме.
	Ответить \| Правка \| Наверх \| Cообщить модератору

5. "Выпуск Cryptsetup 2.7 с поддержкой аппаратного дискового шиф..."	+5 +/–
Сообщение от 12yoexpert (ok), 25-Янв-24, 02:33
аппаратное шифрование всегда заканчивается одинаково, и начинается всегда с рекламы usb-стиков за 50$ на ютуб-каналах со смешариками (там вся ЦА сидит)
Ответить \| Правка \| Наверх \| Cообщить модератору

7. "Выпуск Cryptsetup 2.7 с поддержкой аппаратного дискового шиф..."	–1 +/–
Сообщение от Аноним (-), 25-Янв-24, 03:20
А для старых железок, без хардварных ускорялок, есть что? Из наиболее вменяемого удалось нарыть cryptsetup benchmark -c xchacha20,aes-adiantum-plain64:sha512 --key-size 256 , но "не уверен"..
Ответить \| Правка \| Наверх \| Cообщить модератору


	29. "Выпуск Cryptsetup 2.7 с поддержкой аппаратного дискового шиф..."	+6 +/–
	Сообщение от нах. (?), 25-Янв-24, 07:34
	а для старых есть старый добрый aes256/CBC который вполне эффективен и защищает от любого _реалистичного_ сценария. И не надо выдумывать новых глупостей.
	Ответить \| Правка \| Наверх \| Cообщить модератору

19. "Выпуск Cryptsetup 2.7 с поддержкой аппаратного дискового шиф..."	+1 +/–
Сообщение от cheburnator9000 (ok), 25-Янв-24, 03:58
Поражаюсь наплыву кремлеботов визжащих что "честному гражданину нечего скрывать". Любому гражданину есть что скрывать и в первую очередь от других граждан. Ноутбук могут своровать, как и компьютер из квартиры. Из устройства можно вытащить пароли из браузеров, цифровой ключ, ваши личные документы, рабочие документы за утрату которых вас в лучшем случае уволят, в худшем случае посадят (если ваш работодатель гос.структура). Я наверное сейчас открою тайну мирового масштаба, но ни один браузер по дефолту из коробки не шифрует данные https://github.com/moonD4rk/HackBrowserData/ кроме Safari и MSEdge оба требуют ввода пароля аккаунта. Лет так 10 назад я спокойно копировал профиль Firefox из windows в linux и имел доступ к всей историей и паролям браузера, иными словами профиль firefox тогда был вполне портабелен (хотя еще даже тогда меня заверяли что это не возможно).
Ответить \| Правка \| Наверх \| Cообщить модератору


	39. "Выпуск Cryptsetup 2.7 с поддержкой аппаратного дискового шиф..."	+/–
	Сообщение от Аноним (39), 25-Янв-24, 13:56
	> иными словами профиль firefox тогда был вполне портабелен Можешь продолжать. Ничего не поменялось
	Ответить \| Правка \| Наверх \| Cообщить модератору


	43. "Выпуск Cryptsetup 2.7 с поддержкой аппаратного дискового шиф..."	+2 +/–
	Сообщение от Аноним (43), 25-Янв-24, 14:14
	> Я наверное сейчас открою тайну мирового масштаба, но ни один браузер по дефолту из коробки не шифрует данные Я наверное открою для вас Америку, но в линуксах как хром, так и огнелис используют kwallet и gnome-keyring для шифрования и хранения печенек и паролей. В винде эти же данные хранятся в виде, зашифрованном с использованием DPAPI.
	Ответить \| Правка \| К родителю #19 \| Наверх \| Cообщить модератору


	46. "Выпуск Cryptsetup 2.7 с поддержкой аппаратного дискового шиф..."	+/–
	Сообщение от Аноним (-), 25-Янв-24, 14:43
	Firefox для ПК шифрует пароли локально в директории пользовательского профиля в файле logins.json, если ты задал основной пароль в настройках.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	47. "Выпуск Cryptsetup 2.7 с поддержкой аппаратного дискового шиф..."	–2 +/–
	Сообщение от cheburnator9000 (ok), 25-Янв-24, 15:22
	>> Я наверное сейчас открою тайну мирового масштаба, но ни один браузер по дефолту из коробки не шифрует данные > Я наверное открою для вас Америку, но в линуксах как хром, так > и огнелис используют kwallet и gnome-keyring для шифрования и хранения печенек > и паролей. > В винде эти же данные хранятся в виде, зашифрованном с использованием DPAPI. Никогда в жизни не видел чтобы Firefox в линуксе, спрашивал пароль через какой-нибудь keyring. Chrome да. Но это дело можно отключить и оно будет прекрасно работать без шифрования. Firefox под вендой никогда не шифровал logins.json файл чем-то серьезным (все дешефруется утилитой которую я показал выше). Eсли опять же нет мастер пароля, не несите чушь.
	Ответить \| Правка \| К родителю #43 \| Наверх \| Cообщить модератору


	67. "Выпуск Cryptsetup 2.7 с поддержкой аппаратного дискового шиф..."	–1 +/–
	Сообщение от 12yoexpert (ok), 26-Янв-24, 21:03
	> Никогда в жизни не видел чтобы Firefox в линуксе, спрашивал пароль через какой-нибудь keyring. потому что твоя убунточка всё делает за тебя. она лучше знает, что тебе нужно, всё - как ты привык
	Ответить \| Правка \| Наверх \| Cообщить модератору

33. "Доступен Cryptsetup 2.7 с поддержкой аппаратного дискового ш..."	–1 +/–
Сообщение от Аноним (-), 25-Янв-24, 09:50
Польза включения OPAL не в двойном шифровании (программная спецификация LUKS безопасна даже для правительственного уровня), а в невозможности копирования такого зашифрованного диска и распределённого перебора паролей. Таким образом, проприетарный OPAL защищает диск от копирования, а открытый LUKS его доверенно шифрует. В идеале — производитель диска предоставляет возможность настраивать количество неверно введённых подряд паролей, после которого информация на диске уничтожается. Для старых железок (и для любых других) выбирать вручную режимы шифрования LUKS не нужно. В отличие от других средств шифрования, LUKS сам варьирует эти параметры в зависимости от мощности компьютера, на котором создаётся зашифрованный диск (при этом эти параметры не изменятся после создания, даже если диск установить в другой компьютер). На слабом компьютере используются менее сложные алгоритмы, на более мощном – сложнее.
Ответить \| Правка \| Наверх \| Cообщить модератору


	37. "Доступен Cryptsetup 2.7 с поддержкой аппаратного дискового ш..."	+1 +/–
	Сообщение от нах. (?), 25-Янв-24, 13:25
	а тебе и не нужен весь диск - тебе достаточно luks header, который эти орлы заботливо и положили рядом.
	Ответить \| Правка \| Наверх \| Cообщить модератору