szyfrowany storage ("magazyn" filmów)

[Plesken 6]

Z racji tego iż większość z was ma filmy na dyskach to czy nie zastanowiliście się jak zabezpiczyć dyski np przed nalotem naszej dzielnej milicji, aby nie mogli odczytać co tam macie?
Ja już ukończyłem pracę nad systemem uruchamiającym się na usb i odpowiednio montującym dyski zaszyfrowane za pomocą podawania hasla bądź odpowiednich kluczy.
Jeżeli to by was zainteresowało to mogę uchylić rąbka "tajemnicy".
A tak a propo to jestem ciekaw waszych rozwiązań :-)

[denver666 0]

osobiście nie wierzę w naloty na osoby które nie sprzedają czegoś. sama policja ma pewnie masę piratów w swoich domowych filmotekach. tak więc moja odpowiedź jest tak, że się tego nie boję.

[Lord Rayden 1]

A porady na PW czy ogólnie ? Bo jeszcze tu jaki Borewicz się zalęgnie.....

Ale jestem chętny na takie recepty, zawsze warto posłuchać, może zastosować.

[Plesken 6]

[quote name='Lord Rayden' post='119353' date='19.09.2008, 13:57 ']A porady na PW czy ogólnie ? Bo jeszcze tu jaki Borewicz się zalęgnie.....

Ale jestem chętny na takie recepty, zawsze warto posłuchać, może zastosować.[/quote]

Chyba ogólnie :-). Byłem ciekaw czy poprostu ktoś już ruszył ten temat.
O Borewicza się nie obawiam, gdyż osobiście ja nie nawołuję do przestępstwa, a szyfrowanie póki co nie jest karalne.

Ok. To ja zacznę. Potrzebowałem takiego systemu który:

1. nie zajmowałby mi miejsca na dysk (chodzi o dodatkowy dysk z systemem)
2. aby działały usługi typu samba, ftp, www, ssh, dhcp, myihome, szyfrowanie dysków
3. abym mógł dodawać w sposób łatwy nowe usługi
4. aby zajmował możliwie jak najmniej miejsca (na nośniku)
5. aby w sposób łatwy i szybki można go było wyłączyć w sensie conajmniej odłączyć zaszyfrowane dyski
6, aby można było nośnik systemowy wyjąć i schować, czy wyrzucić przez okno/do kibla czy gdzie tam jeszcze.

Oczywiście co chodzi o nośnik to popadło na usb 1G (na 512M też można i nawet trochę wolnego miejsca zostaje).
Co chodzi o system to wiadomo że winshita na usb się raczej nie postawi, a jeżeli by się to komuś udało to wtedy powstały by problemy z oskryptowaniem tego badziewia.
Wobec powyższego oczywiście wykorzystałem nielubianego przez niektórych linuxa, ale wręcz super nadającego się na takie rzeczy. Zresztą sami zobaczcie że popcorn opiera się o linuxa.
Stworzyłem mini dystrybucje w oparciu o debiana lenny wykorzystując pakiet live-helper. Napisałem skrypt który przy starcie wywołuje mi skrypty dostępne z zewnątrz.
Napisałem skrypt montujący zaszyfrowane dyski, a jego działanie oparłem na parsowaniu zwykłego pliku tekstowego (jako konfiguracja).
Także w tym momencie dodanie nowego dysku do systemiku oprócz ustawienia kryptowania i haseł/kluczy dla tego dysku, sprowadza się to tylko do edycji pliku tekstowego.

[Meteo 0]

czyli to typowy storage, jaki tam procek i jaki transfer z niego ciągniesz ??
myślałem raczej już nad całym szyfrowanym htpc np. na xbmc, niż oddzielnie storage i jakis NMT
używasz cryptsetup ? czy coś kompatybilne z windowsem dodatkowo ??

[Plesken 6]

[quote name='Meteo' post='119422' date='19.09.2008, 19:26 ']czyli to typowy storage, jaki tam procek i jaki transfer z niego ciągniesz ??
myślałem raczej już nad całym szyfrowanym htpc np. na xbmc, niż oddzielnie storage i jakis NMT
używasz cryptsetup ? czy coś kompatybilne z windowsem dodatkowo ??[/quote]

2.8G pentium d, karty sieciowe i switch są na 1G i taki transfer osiągam (oczywiście zależy to od prędkości dysków). Co chodzi o popcorna to wiadomo że więcej niż 100Mbps nie pociągnę.
Wiesz ja mam oddzielny nmt stąd potrzebny mi był storage bo trochę dysków z filmami się nazbierało.
Tak, używam cryptsetup + luksFormat. Sam cryptsetup ma pod windowsa jakiś odpowiednik, ale nie pamiętam teraz nazwy.
W każdym bądź razie działa :-).

[stefek202 0]

Plesken, czy dobrze rozumiem że to po prostu niezależny system który trzeba uruchomic na kompie? Bo jeśli tak, to jaką to ma przewagę nad truecryptem który działa pod windowsem, którego jakby nie patrzeć potrafi więcej obsłużyć użytkowników? Ja mam winde, truecrypta + klienta ftp z ktorego wysyłam do popcorna filmy jak potrzebuję (można oczywiście inaczej je tam wysyłać).

[Plesken 6]

[quote name='stefek202' post='119915' date='23.09.2008, 11:22 ']Plesken, czy dobrze rozumiem że to po prostu niezależny system który trzeba uruchomic na kompie? Bo jeśli tak, to jaką to ma przewagę nad truecryptem który działa pod windowsem, którego jakby nie patrzeć potrafi więcej obsłużyć użytkowników? Ja mam winde, truecrypta + klienta ftp z ktorego wysyłam do popcorna filmy jak potrzebuję (można oczywiście inaczej je tam wysyłać).[/quote]

Tak to jest lekki malutki systemik odpalany z usb.
Jeżeli olać moje założenia podane wcześniej i legalność systemu, to można się pokusić o stwierdzenie że znaczącej przewagi nie ma.
Jeżeli wziąść pod uwagę moje założenia wówczas do przewag należy:

1. LEGALNOŚĆ systemu.
2. Możliwość odpalania z usb i stosunkowo mało miejsca zajmuje system ze wszystkimi potrzebnymi wytryskami, nawet nie związanymi z funkcjonalnością popcorna.
3. Możliwość klonowania systemu i łatwego dostosowywania konfiguracji (postawienie nowego storage'a nie trwa x godzin - instalacja windowsa itd, tylko kilka minut).
4. Nie zajmowanie niepotrzebnego miesca w kompie na dysk z systemem.
5. Możliwość szybkiego "zdownowania" i zamknięcia dysków w przypadku gdy puka milicja, oraz ukrycie/wyrzucenie systemu który umożliwia odszyfrowywanie dysków (wyciągamy usb).
5. Nie muszę kopiować filmów na popcorna (o czym kolega stefek wspomniał - szkoda na to czasu), mam sharing poprzez sambę, myihome, nfs (do wyboru do koloru).
6. Patrz punkt wyżej, zrobiony też jest "sharing" poprzez www.
7. FTP też działa :-)

Oczywiście ocena jest subiektywna.

[stefek202 0]

ehh to Ty chcesz mieć oryginalny system i lewe rzeczy na dysku:)
A tak na serio-ja akurat mam winde oryginalną, choć rzeczywiście to może być problem.
Co do pozostałych argumentów, można zastosować coś takiego jak BartPE-windows na pendrive lub cd-fajna sprawa. Choć rzeczywiście większe to niże dystrybucje linuxa.
Nie mówię że rozwiązanie z windows jest lepsze, po prostu pewnie dla sporej części osób łatwiejsze w obsłudze.
Co do kopiowania danych - ja kopiuję na popcorna dane bo sieć by mi nie wydoliła z 1080p:)
Jeżeli ktoś woli windowsa, proponuję sprawdzić zatem bartpe+dyski z możliwością hotpluga (to raczej kwestia płyty głównej) i np. wyciągnięty na zewnątrz kabel sata+truecrypt.
Dla tych co mają czas i umiejętności lub chociaż trochę chęci do poznania innego systemu niż winshita Twoje rozwiązanie będzie fajne.
Myślę że warto wypróbować obydwa i samemu zdecydować.

Jak ktoś ma inne pomysły jeszcze to niech się wpisuje - może coś fajnego wyjdzie. Edytowane 24 Września 2008 przez stefek202

[binary 741]

A co z rozwiązaniami "sprzętowymi"?
Jakieś 4 lata temu miałem taką płyteczka wtykaną pomiędzy kabel a gniazdo dysku. Od płytki odchodził kabelek do gniazdka, w które wkładało się kluczyk, niczym pendrive, tyle że na złączu firewire. Po wyjęciu kluczyka zawartość dysku była nieczytelna. Było to rozwiązanie raczej pod rynek SOHO, o krótkim, bo 40 bitowym kluczu, ale posiadało 3 niewątpliwie zalety - było tanie, całkowicie bezobsługowe i absolutnie kompatybilne z każdym systemem plików czy OS-em. Być może istnieją aktualnie rozwiązania bardziej zaawansowane, przeznaczone dla tego segmentu rynku, a więc tanie.
Rozwiązanie to ma oczywiście podstawową wadę - jeśli dysk wpadnie w niepowołane ręce wraz z kluczykiem, nie ma drugiej linii obrony jak w przypadku rozwiązań softwarowych tj hasła. Intruz ma wszystko jak na dłoni. Zaletą wyjątkową zaś jest możliwość zastosowanie tego nie tylko w komputerze ale również w innych urządzeniach np w odtwarzaczu NMT. Wg mnie wprost idealne w konstrukcjach opartych na B110, kiedy to chcemy ograniczyć dostęp do danych zawartych na jednym z dysków zawierających treści, które nie są przeznaczone dla naszych pociech.

[stefek202 0]

A rzeczywiście są, zapomniałem. Można kupić urządzonka szyfrujące 128 bitowym AESem ale niestety są one z tego co pamiętam dość drogie. Te o których mówisz to był 40bitowy DES-rzecz nie warta uwagi w tej chwili...

[binary 741]

[quote name='stefek202' post='120397' date='25.09.2008, 18:43 ']A rzeczywiście są, zapomniałem. Można kupić urządzonka szyfrujące 128 bitowym AESem ale niestety są one z tego co pamiętam dość drogie. Te o których mówisz to był 40bitowy DES-rzecz nie warta uwagi w tej chwili...[/quote]

No na psiarnie i dzieci dostatecznie dobre. Chyba nie spodziewasz się nalotu ABW. Koledzy chyba maja na myśli przypadkowe akcje.
Jak wspomniałem nie wiem co w tym temacie piszczy bo się tym nie interesuje (wbudowane TPM całkowicie spełnia moje oczekiwania).
Moj egzemplarz był dodany jako gratis do jakiejs wypasionej płyty głównej, więc nie mógł byc drogi. Aktualnej oferty , tym bardziej cen nie sprawdzałem. Założyłem, postęp technologiczny i że nie jest to nowosc wiec i teze, że urządzenia szyfrujące dłuższym kluczem i/lub lepszym algorytmem nie muszą byc drogie. Z drugiej strony "drogi" to pojęcie względne. Byc moze wydatek rzędu 100-200 USD na niektórych nie robi wrazenia bez wzgledu na to czy traktuja to jako zabezpieczenie czy gadżet. Nie namawiam do niczego. Myślałem, ze robimy burze muzgow i rzucamy idee.

[stefek202 0]

[quote name='binary' post='120427' date='25.09.2008, 21:54 ']Myślałem, ze robimy burze muzgow i rzucamy idee.[/quote]
Dokładnie, nie zamierzałem krytykować więc sorki jeśli to tak zabrzmiało:)

Za nic nie mogę znaleźć fajnego urządzonka do wpinania w taśmę które kiedyś znalazłem. Firma miała nawet część strony po polsku. Znalazłem inne które szyfrują algorytmem 3DES.
Inne pomysły który mogę podrzucić: seagate wypuścił dyski z opcją szyfrowania, można też kupić obudowy (2,5 cala i 3,5) które mają zaszyte kostki do szyfrowania online, można wtedy podłączyć sprzęt po usb. Edytowane 25 Września 2008 przez stefek202

[Plesken 6]

[quote name='stefek202' post='120440' date='25.09.2008, 22:21 ']Dokładnie, nie zamierzałem krytykować więc sorki jeśli to tak zabrzmiało:)

Za nic nie mogę znaleźć fajnego urządzonka do wpinania w taśmę które kiedyś znalazłem. Firma miała nawet część strony po polsku. Znalazłem inne które szyfrują algorytmem 3DES.
Inne pomysły który mogę podrzucić: seagate wypuścił dyski z opcją szyfrowania, można też kupić obudowy (2,5 cala i 3,5) które mają zaszyte kostki do szyfrowania online, można wtedy podłączyć sprzęt po usb.[/quote]

No to brzmi ciekawie, tylko że ciągle kości są w środku dysku i jak nie ma ustawień odnośnie szyfrowania typu hasło itd, to trochę skucha bo pod jedno kopyto szyfruje, a to nie trudno złamać mając specyfikę takiej kostki.

[stefek202 0]

Trochę marketingu:)
[url="http://www.securitystandard.pl/news/107737.html"]http://www.securitystandard.pl/news/107737.html[/url]

A tutaj troszkę inaczej o szyfrowaniu sprzętowym dysków (ciekawy naprawdę artykuł jeśli ktoś się interesuje):
[url="http://www.heise-online.pl/security/Zamkniete-ale-nie-zaszyfrowane--/features/3042"]http://www.heise-online.pl/security/Zamkni...-/features/3042[/url]
Akurat tutaj sprawa nie dotyczy tego dysku, ale innego, warto jednak zdawać sobie sprawę że niestety często sprzętowe rozwiązania są marnej jakości... Zresztą nie tylko sprzętowe:)
[quote]No to brzmi ciekawie, tylko że ciągle kości są w środku dysku i jak nie ma ustawień odnośnie szyfrowania typu hasło itd, to trochę skucha bo pod jedno kopyto szyfruje, a to nie trudno złamać mając specyfikę takiej kostki.[/quote]
Zatem jak wynika z pierwszego linku są hasła zmienne. Zresztą zdziwiłbym się gdyby seagate zrobił to ze stałym hasłem. Chociaż z drugiej strony kiedyś m$ zrobił podobnie w przypadku zdalnego pulpitu:) Edytowane 26 Września 2008 przez stefek202

[Marcin L. 0]

Wg mnie wygodny byłby serwerek linuxowy (luba NAS) z doinstalowany darmowym truecrypt'em. Hasło należałoby podać interaktywnie (najlepiej z wykorzystanie wskazanego pliku-klucza). Wtedy aby zablokować dostęp wystarczy położenie serwera (lub odłączenie prądu) - system wstaje bez zamontowanych wszystkich filesystemów. W truecrypt jest mechanizm hidden volume, czyli gdy jest się "zmuszonym" podać hasło - podaje się hasło do volumen'u z takim zestawem danych, który jest bezpieczny. Edytowane 22 Października 2008 przez Marcin L.