Vlákno názorů k článku Šifrujeme data programem TrueCrypt od anonym - Jinak, nechcu zase rypat do linuxaru a roota,...
-
anonymníJinak, nechcu zase rypat do linuxaru a roota, ale pred dvuma mesicama tu byl prakticky stejny clanek:) http://www.root.cz/clanky/truecrypt-profesionalni-ochrana-dat-zdarma/
Asi uz neni o cem psat:o) -
Anče (neregistrovaný)prakticke pouziti?
mno me prijde prakticke mit v klavesnici malicky usb flash s klicem a _cokoliv_(*) at mi pomoci tohoto klice automaticky pripoji pri startu pc cely home disk.
pokud by pak flash nebyl k dispozici, home se nedesifruje, nepripoji. to je prakticke poziti.
nejaky fat, windows, ci nejake disk.mpeg soubory me nezajimaji.
kompatibilita s widlema byt muze, ale nedava mi smysl. na jednu stranu sifruji a na druhou do toho lezu z widli?!? to jde proti sobe, ne?
*) nejlepci cokoliv je neco co je primo v debianu :-) treba dm-crypt/LUKS. -
Shadow (neregistrovaný)
nejlepci cokoliv je neco co je primo v debianu :-) treba dm-crypt/LUKS
Souhlas. Docela se divím, jak moc je Truecrypt propagován mezi uživateli GNU/Linuxu, navzdory existenci nativního řešení. Pokud jde o dualbootery, pořád tu existuje řešení typu FreeOTFE, které umí otevřít LUKS kontejnery, takže přenositelnost by měla být OK i v případě dm-crypt/LUKS.
mno me prijde prakticke mit v klavesnici malicky usb flash s klicem a _cokoliv_(*) at mi pomoci tohoto klice automaticky pripoji pri startu pc cely home disk
Tohle řešení je sice na jednu stranu pohodlné, ale na druhou stranu mi nepřijde příliš bezpečné. Kdokoliv získá příslušný USB klíč, získá přístup k datům. Stačí ho zapomenout poblíž počítače.
Šifrovat jenom /home mi přijde také nepřijde jako úplně bezpečné. Minimálně by bylo dobré šifrovat ještě swap, třeba náhodně vygenerovaným heslem při každém startu. Bez šifrovaného kořenového oddílu je vhodné používat tmpfs nebo přesunout /tmp na šifrovaný oddíl. Nejlepší je ovšem šifrovat i kořenový oddíl. Zejména pak, pokud je chráněný stroj v prostředí, kde lze předpokládat možnost opakovaného přístupu útočníka k danému stroji. V tom případě bych ještě pro jistotu doporučoval vhodně vyřešit bezpečnost nešifrovaného oddílu se zavaděčem a obrazy jader.
-
Shadow (neregistrovaný)Tak v kavárně bych rozhodně nějaká mission-critical šifrovaná data nerozmotával, to je hodně veliký hazard. A co se práce týče, mám-li vlastní laptop, nemám problém. Pokud budu mít firemní stroj s kteroukoliv linuxovou distribucí, jsem v pohodě, protože dm-crypt/LUKS je nativní řešení pro GNU/Linux (na rozdíl od Truecryptu). Pokud budu mít Windows, máme tu FreeOTFE, které zajišťuje přenositelnost kontejnerů vytvořených pomocí dm-crypt/LUKS do prostředí Windows. Opět nemám problém.
Systémy pro diskové šifrování jako dm-crypt/LUKS nebo Truecrypt řeší především fyzickou bezpečnost dat na příslušném stroji. V tomto případě jde o přenositelnost maximálně těm, kteří používají dual boot. A i v tomto případě je možné použít dm-crypt/LUKS (viz výše). Data, která _přenáším_ z takto zabezpečeného systému někam jinam mohu šifrovat i jiným způsobem (což bývá leckde vhodnější), třeba pomocí SSH, GnuPG, apod.
A mimochodem, ani Truecrypt není příliš univerzální řešení, jak tvrdíte. Pokud bych měl v práci třeba MacOS nebo *BSD, mám smůlu.
Čili, já skutečně jako uživatel GNU/Linuxu nevidím příliš mnoho důvodů proč preferovat Truecrypt nad nativním dm-crypt/LUKS. Přenositelnost do Windows totiž díky FreeOTFE (a existenci jiných metod bezpečného přenosu) problém není. -
anonymníVy stale predpokladate, ze pracujete pouze na pocitacich pod svou spravou, kam si muzete nainstalovat i linux, kdyz se vam to bude hodit. Moje prace je zcela jineho druhu, pracuji na strojich, ktere spravuji zakaznici a ja na nich nemam zadna prava. I presto potrebuji pristup ke svym datum, z valne casti z prostedi Windows. Muj notebook do zakaznikovy LAN pripojit nesmim, tak co potom?
MacOS a *BSD me netrapi, jejich rozsirenost je zanedbatelna a vzdycky je pobliz nejaky stroj, na kterem se da pracovat :-) -
Shadow (neregistrovaný)
MacOS a *BSD me netrapi, jejich rozsirenost je zanedbatelna a vzdycky je pobliz nejaky stroj, na kterem se da pracovat
Hovořil jste o _univerzálním_ řešení. To ale Truecrypt zjevně není a na to jsem se snažil poukázat. Hovořím-li o univerzálnosti, pak předpokládám širší přenositelnost a nikoliv pouze přenositelnost mezi těmi platformami, které zrovna já používám.
Vy stale predpokladate, ze pracujete pouze na pocitacich pod svou spravou, kam si muzete nainstalovat i linux, kdyz se vam to bude hodit.
Pokud zacházím s citlivými daty, která mám potřebu šifrovat, tak skutečně předpokládám, že pracuji na počítačích pod svou správou. To se na mne nezlobte.
Pořád se mi ale zdá, že nějak neakceptujete, že FreeOTFE je aplikace pro _Windows_. Mám-li šifrovaný kontejner vytvotřený pomocí dm-crypt/LUKS, mohu jej otevřít pomocí FreeOTFE ve Windows. Stejně jako v případě Truecryptu. Čili já nevidím rozdíl mezi přenositelností Truecryptu a dm-crypt/LUKS. Ale to jsem už vysvětloval a ne jednou. Četl jste vůbec moje příspěvky?
-
anonymníMoment,
ja jsem mel problem spis s tim, ze se podivujete, proc nekdo na Linuxu pouziva Truecrypt, kdyz existuje nativni reseni. Jednak nevidim prilis rozdil mezi "nativnim" a "portovanym", krom toho se vsak snazim rict, ze vas pattern pouzivani se proste lisi od toho, jak podobne aplikace pouzivaji jini a tim padem jsou i jejich potreby jine.
Pokud sva data pouzivate pouze na strojich ve sve sprave, pak se tedy muze stat, ze toho moc neudelate. Zakaznik vam spravcovska prava neda a vas stroj si do site nepripoji. Co pak? Prasknete dvermi?
Nevim jak vy, ale ja si sifruju nejen data osobni, ale i pracovni. Ta prvni u zakaznika neoteviram, neni k tomu duvod. Ta druha samozrejme ano.
Spatne jsem se vyjadril, omlouvam se. Univerzalnost ma sve meze. Pracuji krom Win a Linuxu i na VMS, AIX a Solarisech. Univerzalni aplikace pro tyto platformy samozrejme neexistuje. -
Shadow (neregistrovaný)
Já se nepodivuji nad tím, proč _někdo_ na Linuxu používá Truecrypt. Spíše se podivuji nad tím, jak moc se hovoří o Truecryptu a jak málo o dm-crypt/LUKS mezi uživateli Linuxu, kde bych předpokládal preferenci nativního řešení. Truecrypt bývá vyzdvihován kvůli přenositelnosti (Linux/Windows), avšak ta by měla být díky existenci FreeOTFE na stejné úrovni i pro dm-crypt/LUKS.
krom toho se vsak snazim rict, ze vas pattern pouzivani se proste lisi od toho, jak podobne aplikace pouzivaji jini a tim padem jsou i jejich potreby jine
To samozřejmě chápu. Nicméně vzhledem k tomu, že jste zatím argumentoval výhradně přenositelností, která by měla být u obou řešení na srovnatelné úrovni, nevidím tedy žádný očividný důvod proč preferovat Truecrypt nad dm-crypt/LUKS. Obě řešení se mi i z hlediska vašich potřeb zdají srovnatelná.
ČLÁNKY DO MAILU