Полное шифрование диска во время или после установки

victorfedorovich · #1

Всем привет.
Есть необходимость в шифровании ВСЕГО ссд небольших размеров, на которой должен быть установлен линукс минт и еще парочка разделов с деликатными данными. Увы, сам официальный образ не дает этого сделать по умолчанию, в отличии от дебиан, например. Как я понял, штатными средствами возможно только зашифровать домашнюю папку, ну и вроде как еще свап, но это не точно. Да и собственные разделы создать не получится, а надо бы...
Вопрос. Как мне выполнить поставленную задачу, полностью зашифровав содержимое диска с установленной на него системой и при этом разметив его как мне нужно? Какие программные средства для этого есть? Боюсь кастомные установщики ставить, нужен официальный минт без сюрпризов. Если что, в ноутбуке есть другой ссд с виндой и личными данными, которые не нуждаются в анальном огорождении. Шифрование нужно, чтобы в том числе, скрыть содержимое диска от винды, и не только от нее. Основная система все же линукс минт (хфце).

#2

victorfedorovich писал(а): ↑
09 апр 2022, 17:08
Шифрование нужно, чтобы в том числе, скрыть содержимое диска от винды, и не только от нее. Основная система все же линукс минт (хфце).

Так и шифруй только данные

#3

victorfedorovich писал(а): ↑
09 апр 2022, 17:08
Шифрование нужно, чтобы в том числе, скрыть содержимое диска от винды

По этой строчке чую очередную попытку забивать шурупы молотком, или закручивать гвозди отверткой.

Объясните, что именно подразумевается под "скрыть от винды"? Винда, к вашему сведению, и так ни один линуксовый раздел прочесть не может, т.к. файловые системы используемые в линуксе не понимает. Видит их как "неизвестный раздел". А вот целиком зашифрованный диск она вполне способна принять за пустой, и в наглую нанести на него новую таблицу разделов, пустив все зашифрованное содержимое в цифровой рай.

#4

Установка системы с шифрованием всего диска

victorfedorovich · #5

slant писал(а): ↑
09 апр 2022, 21:03
А вот целиком зашифрованный диск она вполне способна принять за пустой,

Как, потенциально, этого варианта избежать?

#6

Отключать диск в Bios`е или физически.

Если раздел не опознан, значит его нужно предложить форматировать.
Для Microsoft альтернативных файловых систем не существует.

#7

demonlibra писал(а): ↑
10 апр 2022, 18:09
Отключать диск в Bios`е или физически.

В bios - бесполезно. Современные OS не использовали функции BIOS для доступа к железу еще со времен Win 2000 как минимум. Такой диск только для загрузки недоступен будет, а OS его увидит. В случае EFI - не все так однозначно, там много нюансов...

demonlibra писал(а): ↑
10 апр 2022, 18:09
Если раздел не опознан, значит его нужно предложить форматировать.
Для Microsoft альтернативных файловых систем не существует.

Раздел - пол беды, оно хотя бы спрашивает когда на него пытается сунуться.
А вот случае если зашифрован весь диск - система не увидит не только FS но и таблицу разделов. А такой диск M$ считает полностью чистым, после чего первым делом пишет туда новую пустую таблицу разделов затирая часть зашифрованных данных (в которых скорее всего окажется старая таблица разделов. Со всеми последствиями).

victorfedorovich писал(а): ↑
10 апр 2022, 17:47
Как, потенциально, этого варианта избежать?

Никак. Разве что физически провод из диска выдергивать.
Винда тупая, самомнение у нее до небес, а пользователя ни во грош не ставит.

Если решит что это новый диск - "приготовит" его для использования. Спросит подтверждения или нет - как повезет. XP спрашивала всегда. Win7 - уже бывало самовольничала (если точнее в любой момент могло вылезти окно "обнаружен новый диск, инициализировать?" и выбор по умолчанию - "да". Только ткни Enter в этот момент.) 10-ка... Ну, вы поняли...

Иногда говорит лишь по факту уже сделанного.

#8

slant писал(а): ↑
10 апр 2022, 22:16
А вот случае если зашифрован весь диск

У меня диск шифрован не полностью.
Создан один раздел FAT32 с флагом boot и точкой монтирования /boot/efi

Сотрудник · #9

У шифрования всего диска есть минусы: если с файловой системой зашифрованного диска случится сбой, загрузиться с флешки для проверки проблема (есть риск потерять все данные). Шифрование всего диска занимает много времени, а сколько времени понадобится для шифрования диска >6TB?
Я использую шифрование отделенных папок при помощи ecryptfs, а внутри зашифрованной папки виртуальные диски программы VeraCrypt. При необходимости файловую систему можно проверить с флешки и скопировать зашифрованную папку на другое устройство. Есть другие методы и программы, этот метод для меня самый удобный.

sasha300 · #10

Сотрудник писал(а): ↑
11 апр 2022, 09:33
Я использую шифрование отделенных папок при помощи ecryptfs, а внутри зашифрованной папки виртуальные диски программы VeraCrypt

Т.е. файлы гибернации и подкачки без шифрования?? Если да, то при анализе данных файлов можно вытащить ключи шифрования

#11

Не по теме

sasha300 писал(а): ↑
25 мар 2024, 09:46
при анализе данных файлов можно вытащить ключи шифрования

А еще любой пароль можно вытащить при использовании такого метода как "глубокий терморектальный криптоанализ"

sasha300 · #12

Не по теме

rogoznik писал(а): ↑
25 мар 2024, 10:00
А еще любой пароль можно вытащить при использовании такого метода как "глубокий терморектальный криптоанализ"

Это понятно.
Но сейчас речь о том, как сделать защиту по феншую и если файлы гибернации и подкачки без шифрования, то возникает мнимое ощущение, что инфа скрыта от посторонних глаз.
p.s.: основывюсь на этой статье: https://vk.com/@haccking1-kak-ukrepit-v ... racrypt-ne

Кто сейчас на конференции