По-моему, если последовать всем советам, что есть тут про всяческие приколы, которые надо установить на флешку, то на ней места для документов не останется.
Конфиденциальные данные лучше хранить на виртуальной машине на NetBSD, образ жесткого диска которой расположен на стальной флешке, которую по ночам прячут в замаскированный под сливной бачок титановый сейф, находящийся в бомбоубежище, расположенном вдали от людных мест и закрытым на кодовый замок, снабженный проверкой отпечатков пальцев и сетчатки, распознавателем лиц и детектором голоса.
evilgravedigger, если при этом хост развёрнут на машине с физически открытым доступом и незашифрованным диском, то разбирающиеся люди смогут пропатчить гипервизор так, чтобы он создавал копию образа диска во время работы с этим образом. И все остальные меры безопасности будут бесполезны. Кстати, это же замечание справедливо и для основного совета — TrueCrypt тоже можно пропатчить с целью сохранения ключа куда-нибудь в открытом виде. Так что работать с действительно ценной информацией стоит только в собственноручно развёрнутой системе на целиком зашифрованном винте (внешняя по отношению к ОС безопасность) и с усиленным ядром + продуманными пользовательскими разграничениями доступа (внутренняя безопасность).
evilgravedigger, а сколько времени уйдёт на брутфорс 26-тизначного (это у меня от нефиг делать такой сделан, если бы что секретное было — было бы больше) пароля с цифрами, капсами, спецсимволами, пробелами?
TT, Да нет у меня никакой причастности к спецслужбам, я обычный линуксоид :) lvx, я не знаю, от GPU и их количества зависит. И от софта. Но все равно долго :)
подумал тут, TrueCrypt — это, конечно, хорошо, но сработает только на компьютере где либо уже установлена данная программа (а именно спец.драйвер для шифрованного диска), либо человек имеет администраторский доступ к компу.. а ежели вы придёте куда-то где человек сидит под пользователем — никаких данных вы с такой флешки уже не вытянете.. в таком случае было бы несколько более универсально использовать обычный архив с паролем и шифрованием имён файлов, в добавок к портабельной версии архиватора, благо такие тоже водятся
lvx, более простой вариант — запароленный самораспаковывающийся архив, благо и rar, и zip, и 7z (как наиболее популярные) — все поддерживают такую фичу. Сугубо ИМХО — я бы не доверял запароленному zip-файлу.
M_B, а если нужно довольно нередко изменять содержимое архива — это разве будет удобно? ведь для изменения архива потребуется всё равно архиватор, вроде.. в общем то я про zip и не говорил — 7z это быстро, модно, бесплатно :)
Прям у всех на флэшках коды запуска Тополь-М хранятся. Фотки в стиле "я с шашлыком и баллоном пива" никому не впёрлись, а для номеров телефонов любовниц(-ков) достаточно ВинРаровского архива с паролем.
Не важно вперлись они кому-то или нет. Важно, что лично я (условный "я") не хочу их открыто держать. Вот не хочу и всё. И не ваше это дело, почему я не хочу.
1 компьютеры
1 безопасность
1 параноики юнайтед
1 на всякий случай
По-моему, если последовать всем советам, что есть тут про всяческие приколы, которые надо установить на флешку, то на ней места для документов не останется.
(habrastorage.org/storage/habraeffect/68/79/687901ad67f0667bdfed80488f741fb4.jpg) Вот так это делается!
А если серьёзно, то параноики (habrahabr.ru/post/138289/) не дремлют.
kinall, первое как то уж совсем несерьёзно, а второе — денег стоит немалых.. предложенное же решение дёшево и сердито вполне
Конфиденциальные данные лучше хранить на виртуальной машине на NetBSD, образ жесткого диска которой расположен на стальной флешке, которую по ночам прячут в замаскированный под сливной бачок титановый сейф, находящийся в бомбоубежище, расположенном вдали от людных мест и закрытым на кодовый замок, снабженный проверкой отпечатков пальцев и сетчатки, распознавателем лиц и детектором голоса.
evilgravedigger, Вы забыли упомянуть автоматический огнемет около кодового замка, срабатывающий после третьей неправильной попытки…
M_B, Виноват, забыл :)
evilgravedigger, если при этом хост развёрнут на машине с физически открытым доступом и незашифрованным диском, то разбирающиеся люди смогут пропатчить гипервизор так, чтобы он создавал копию образа диска во время работы с этим образом. И все остальные меры безопасности будут бесполезны. Кстати, это же замечание справедливо и для основного совета — TrueCrypt тоже можно пропатчить с целью сохранения ключа куда-нибудь в открытом виде. Так что работать с действительно ценной информацией стоит только в собственноручно развёрнутой системе на целиком зашифрованном винте (внешняя по отношению к ОС безопасность) и с усиленным ядром + продуманными пользовательскими разграничениями доступа (внутренняя безопасность).
1 Смеялись всем ФСБ
а шо, в ФСБ нашли способ взлома TrueCrypt хранилищ? :) ну, кроме паяльника или утюга там..
lvx, а я бы не удивилась
Конечно же, у всех есть доступ к таким вещам. Ну-ну.
Не надо путать "бытовую" безопасность и профессиональную.
evilgravedigger, а сколько времени уйдёт на брутфорс 26-тизначного (это у меня от нефиг делать такой сделан, если бы что секретное было — было бы больше) пароля с цифрами, капсами, спецсимволами, пробелами?
Мне кажется, evilgravedigger совсееем немнооожечко понтуется своей (якобы?) причастностью к спецслужбам.
TT, Да нет у меня никакой причастности к спецслужбам, я обычный линуксоид :)
lvx, я не знаю, от GPU и их количества зависит. И от софта. Но все равно долго :)
Тем более.
А вы погуглите на досуге :-)
TT, не заметила никаких понтов, обычная популярная шутка
Мне она неизвестна.
TT, третье слово варьируется в зависимости от контекста
А вот в таком виде уже известнее :-)
подумал тут, TrueCrypt — это, конечно, хорошо, но сработает только на компьютере где либо уже установлена данная программа (а именно спец.драйвер для шифрованного диска), либо человек имеет администраторский доступ к компу..
а ежели вы придёте куда-то где человек сидит под пользователем — никаких данных вы с такой флешки уже не вытянете.. в таком случае было бы несколько более универсально использовать обычный архив с паролем и шифрованием имён файлов, в добавок к портабельной версии архиватора, благо такие тоже водятся
lvx, более простой вариант — запароленный самораспаковывающийся архив, благо и rar, и zip, и 7z (как наиболее популярные) — все поддерживают такую фичу.
Сугубо ИМХО — я бы не доверял запароленному zip-файлу.
M_B, а если нужно довольно нередко изменять содержимое архива — это разве будет удобно? ведь для изменения архива потребуется всё равно архиватор, вроде.. в общем то я про zip и не говорил — 7z это быстро, модно, бесплатно :)
Прям у всех на флэшках коды запуска Тополь-М хранятся. Фотки в стиле "я с шашлыком и баллоном пива" никому не впёрлись, а для номеров телефонов любовниц(-ков) достаточно ВинРаровского архива с паролем.
Не важно вперлись они кому-то или нет.
Важно, что лично я (условный "я") не хочу их открыто держать.
Вот не хочу и всё.
И не ваше это дело, почему я не хочу.