Hur säkert är LUKS på VMDK?

Trädvy Permalänk
Medlem
Registrerad
Jun 2003

Hur säkert är LUKS på VMDK?

Hej!

Jag funderar lite på hur jag ska kryptera min USB-sticka nu när TrueCrypt gått i graven och funderar i banorna på att lagra min data i en virtuell maskin med en LUKS-krypterad VMDK-disk. En anledning till att jag funderar i dessa banor är att jag på så vis bland annat får tillgång till en portabel, krypterad git-server.

Frågan är hur säker datan är i en sådan setup? Finns det en smartare lösning?

Tack!

Trädvy Permalänk
Medlem
Registrerad
Maj 2014
Skrivet av Santrium:

Hej!

Jag funderar lite på hur jag ska kryptera min USB-sticka nu när TrueCrypt gått i graven och funderar i banorna på att lagra min data i en virtuell maskin med en LUKS-krypterad VMDK-disk. En anledning till att jag funderar i dessa banor är att jag på så vis bland annat får tillgång till en portabel, krypterad git-server.

Frågan är hur säker datan är i en sådan setup? Finns det en smartare lösning?

Tack!

Alltså det här med truecrypt kan vara vad som helst, troligtvis är datan lika säker i framtiden som den alltid varit med TC.
Vem ska du skydda dig mot? Regeringen med waterboardings/220v i nötterna eller snuten/nån annan inte lika elak organisation/myndighet?

waterboardings hjälper tyvärr ingen kryptering mot och resten duger det mesta mot.

Sen är det väl ganska oklart om man ens kan kryptera ssd/flash överhuvud taget.

ett gäng p4:or, nån gammal amd duo, c2duo, core2, gammelquad, i5 bärbar, 4770k, 4820k, rog, tuf, massa fläktlösa gpuer, ett gäng seasonic fläktlösa platinum/gold, ram i alla varianter och storlekar, noctuor som kylare, uteslutande nexusfläktar, ett gäng crapskärmar jag fått gratis, esi julia pci/pci-e, ni ak1, wd black så långt det går. jettegrym steerio med jettemycket bas och jettegrymma hörlurar. har även en eizo crt från framtiden

Trädvy Permalänk
Medlem
Registrerad
Jun 2003
Skrivet av Trivial1ty:

Alltså det här med truecrypt kan vara vad som helst, troligtvis är datan lika säker i framtiden som den alltid varit med TC.
Vem ska du skydda dig mot? Regeringen med waterboardings/220v i nötterna eller snuten/nån annan inte lika elak organisation/myndighet?

waterboardings hjälper tyvärr ingen kryptering mot och resten duger det mesta mot.

Säkerhetsprogramvara som inte underhålls är väl inte att betrakta som säkra? Spelar det någon roll vem det är jag ska "skydda mig mot"? Jag vill helt enkelt inte att någon annan ska få tillgång till min data och kod, oavsett vem det nu är som är intresserad av att kolla.

Citat:

Sen är det väl ganska oklart om man ens kan kryptera ssd/flash överhuvud taget.

Hur kommer detta sig? Har du någon källa? Vad är det som säger att en krypterad VMDK-skivavbild skulle vara mindre säker på en SSD/flashdisk än på en mekanisk hårddisk?

Trädvy Permalänk
Medlem
Registrerad
Maj 2014

Ja du får söka själv men jag är ganska säker på att inget förrutom magnetdiskar kan krypteras ordentligt av olika anledningar.

Vadå underhålls? Är det krypterat så är det. du skulle troligtvis kunna använda den allra första TC som kom ut och ha samma säkerhet mot angripare.
antingen knäcker man kryptot (inte så värst troligt)
eller knäcker man passwordet (troligare)
eller knäcker man personen som sitter på passwordet (rubber hose crypto analysis)

JAG iaf skulle inte kryptera flash eller ssd och på nåt sätt tro att det skulle vara krypterat och säkert. Men som sagt är inte helt säker här. Men det är ganska troligt att flash/ssd är mycket osäkrare än magnetdisk.

ett gäng p4:or, nån gammal amd duo, c2duo, core2, gammelquad, i5 bärbar, 4770k, 4820k, rog, tuf, massa fläktlösa gpuer, ett gäng seasonic fläktlösa platinum/gold, ram i alla varianter och storlekar, noctuor som kylare, uteslutande nexusfläktar, ett gäng crapskärmar jag fått gratis, esi julia pci/pci-e, ni ak1, wd black så långt det går. jettegrym steerio med jettemycket bas och jettegrymma hörlurar. har även en eizo crt från framtiden

Trädvy Permalänk
Medlem
Plats
Linköping
Registrerad
Mar 2008
Skrivet av Trivial1ty:

Ja du får söka själv men jag är ganska säker på att inget förrutom magnetdiskar kan krypteras ordentligt av olika anledningar.

Vilka anledningar?

I LUKS-dmcrypt kan man aktivera trim så att trim kommandon går genom krypteringen till den underliggande disken. I så fall kan en attacker se vilka block som har data och vilka som är lediga men inte vad för data som är lagrad. Den featuren är avstängd som default.

SSDs brukar använda overprovisioning vilket gör att man inte kan vara säker på att all data raderats om man skriver över hela disken. Det har egentligen inget med kryptering att göra men om man har en tidigare okrypterad SSD som man vill kryptera bör man köra en secure erase på den först. Samma problem finns med roterande diskar eftersom dom kan ha trasiga block som inte skrivs över ens med secure erase.

Känner du till andra anledningar?

Trädvy Permalänk
Medlem
Registrerad
Maj 2014

Nae det är säkert dom du raddat upp. Jag bara minns att när ssder dök upp på marknaden så var jag intresserad men eftersom jag sen runt 2004 har krypterat "fucking everything" så kollade jag naturligtvis upp om det gick att kryptera ssder, men av olika anlendingar som jag inte minns så gick inte det bra. det hade väl att göra med allt jävla skyfflande av data fram och tillbaka, wear leveling och sånt crap. Jag tror allt var relaterat till att saker flyttas om iaf, sådär generellt.

Så jag bara la det i bakhuvudet att: ssd=nono och har egentligen inte forskat vidare i det sen dess.

det kanske går nu??

Jag brukar köra wipe/shred i linux för att nollställa diskar.

I övrigt så skulle jag tro att vilken som helst kryptering duger bra, typ pgp, luks, tc, finns säkert ett par fler "independent" som är lika bra dom. Alltså inte ens fbi inbillar sig att dom kan få upp en krypterad disk, så dom installerar keyloggers/kameror/antenner som känner av monitorns em-spektrum/tangentbordets em-spektrum etc sk "black bag analysis" för dom vet mycket väl att det är bara att glömma att knäcka på konventionellt vis. Never gonna happen, inte ens om 13,7 miljarder år.

Att tc inte supportar mer har typ 0% viktighet imo. Och vilken support har tc gett innan då? Man har aldrig kunnat ringa dit eller maila för att få hjälp liksom. jag skulle inte känna mig ett dugg osäker med kanske en 4-5 år gammal variant av tc. Finns ingen som helst anledning.

ett gäng p4:or, nån gammal amd duo, c2duo, core2, gammelquad, i5 bärbar, 4770k, 4820k, rog, tuf, massa fläktlösa gpuer, ett gäng seasonic fläktlösa platinum/gold, ram i alla varianter och storlekar, noctuor som kylare, uteslutande nexusfläktar, ett gäng crapskärmar jag fått gratis, esi julia pci/pci-e, ni ak1, wd black så långt det går. jettegrym steerio med jettemycket bas och jettegrymma hörlurar. har även en eizo crt från framtiden

Trädvy Permalänk
Medlem
Registrerad
Maj 2014

Eller, det har iaf teoretiskt vart problem med det här förr i tiden. om jag minns rätt.

ett gäng p4:or, nån gammal amd duo, c2duo, core2, gammelquad, i5 bärbar, 4770k, 4820k, rog, tuf, massa fläktlösa gpuer, ett gäng seasonic fläktlösa platinum/gold, ram i alla varianter och storlekar, noctuor som kylare, uteslutande nexusfläktar, ett gäng crapskärmar jag fått gratis, esi julia pci/pci-e, ni ak1, wd black så långt det går. jettegrym steerio med jettemycket bas och jettegrymma hörlurar. har även en eizo crt från framtiden