Vlákno názorů k článku
Šifrujeme data programem TrueCrypt

Já bych uvítal článek představující nativní řešení pro Linux, tedy dm-crypt/LUKS.

Na Vámi odkazovaný článek je v dnešním článku několik linků, takže jejich provázanost není jen teoretická. Především se ale nejedná o „prakticky stejný článek“, protože ten starší se zabývá rozborem bezpečnostních mechanismů, kdežto dnešní probírá praktické použití TrueCryptu.

Jaka byla bandwidth a jaky byt typ pouziteho hdd? Zajima mne rychlost pred (MB/s) a po (MB/s). Podle meho nazoru je to nejdulezitejsi fakt, ktery vetsinou hovori proti encryption. Uvedte take pouzity algoritmus, velikost Vaseho nativniho oddilu a pouzity fs.

prakticke pouziti?
mno me prijde prakticke mit v klavesnici malicky usb flash s klicem a _cokoliv_(*) at mi pomoci tohoto klice automaticky pripoji pri startu pc cely home disk.

pokud by pak flash nebyl k dispozici, home se nedesifruje, nepripoji. to je prakticke poziti.

nejaky fat, windows, ci nejake disk.mpeg soubory me nezajimaji.
kompatibilita s widlema byt muze, ale nedava mi smysl. na jednu stranu sifruji a na druhou do toho lezu z widli?!? to jde proti sobe, ne?

*) nejlepci cokoliv je neco co je primo v debianu :-) treba dm-crypt/LUKS.

nejlepci cokoliv je neco co je primo v debianu :-) treba dm-crypt/LUKS

Souhlas. Docela se divím, jak moc je Truecrypt propagován mezi uživateli GNU/Linuxu, navzdory existenci nativního řešení. Pokud jde o dualbootery, pořád tu existuje řešení typu FreeOTFE, které umí otevřít LUKS kontejnery, takže přenositelnost by měla být OK i v případě dm-crypt/LUKS.

mno me prijde prakticke mit v klavesnici malicky usb flash s klicem a _cokoliv_(*) at mi pomoci tohoto klice automaticky pripoji pri startu pc cely home disk

Tohle řešení je sice na jednu stranu pohodlné, ale na druhou stranu mi nepřijde příliš bezpečné. Kdokoliv získá příslušný USB klíč, získá přístup k datům. Stačí ho zapomenout poblíž počítače.

Šifrovat jenom /home mi přijde také nepřijde jako úplně bezpečné. Minimálně by bylo dobré šifrovat ještě swap, třeba náhodně vygenerovaným heslem při každém startu. Bez šifrovaného kořenového oddílu je vhodné používat tmpfs nebo přesunout /tmp na šifrovaný oddíl. Nejlepší je ovšem šifrovat i kořenový oddíl. Zejména pak, pokud je chráněný stroj v prostředí, kde lze předpokládat možnost opakovaného přístupu útočníka k danému stroji. V tom případě bych ještě pro jistotu doporučoval vhodně vyřešit bezpečnost nešifrovaného oddílu se zavaděčem a obrazy jader.

Tak v kavárně bych rozhodně nějaká mission-critical šifrovaná data nerozmotával, to je hodně veliký hazard. A co se práce týče, mám-li vlastní laptop, nemám problém. Pokud budu mít firemní stroj s kteroukoliv linuxovou distribucí, jsem v pohodě, protože dm-crypt/LUKS je nativní řešení pro GNU/Linux (na rozdíl od Truecryptu). Pokud budu mít Windows, máme tu FreeOTFE, které zajišťuje přenositelnost kontejnerů vytvořených pomocí dm-crypt/LUKS do prostředí Windows. Opět nemám problém.

Systémy pro diskové šifrování jako dm-crypt/LUKS nebo Truecrypt řeší především fyzickou bezpečnost dat na příslušném stroji. V tomto případě jde o přenositelnost maximálně těm, kteří používají dual boot. A i v tomto případě je možné použít dm-crypt/LUKS (viz výše). Data, která _přenáším_ z takto zabezpečeného systému někam jinam mohu šifrovat i jiným způsobem (což bývá leckde vhodnější), třeba pomocí SSH, GnuPG, apod.

A mimochodem, ani Truecrypt není příliš univerzální řešení, jak tvrdíte. Pokud bych měl v práci třeba MacOS nebo *BSD, mám smůlu.

Čili, já skutečně jako uživatel GNU/Linuxu nevidím příliš mnoho důvodů proč preferovat Truecrypt nad nativním dm-crypt/LUKS. Přenositelnost do Windows totiž díky FreeOTFE (a existenci jiných metod bezpečného přenosu) problém není.

MacOS a *BSD me netrapi, jejich rozsirenost je zanedbatelna a vzdycky je pobliz nejaky stroj, na kterem se da pracovat

Hovořil jste o _univerzálním_ řešení. To ale Truecrypt zjevně není a na to jsem se snažil poukázat. Hovořím-li o univerzálnosti, pak předpokládám širší přenositelnost a nikoliv pouze přenositelnost mezi těmi platformami, které zrovna já používám.

Vy stale predpokladate, ze pracujete pouze na pocitacich pod svou spravou, kam si muzete nainstalovat i linux, kdyz se vam to bude hodit.

Pokud zacházím s citlivými daty, která mám potřebu šifrovat, tak skutečně předpokládám, že pracuji na počítačích pod svou správou. To se na mne nezlobte.

Pořád se mi ale zdá, že nějak neakceptujete, že FreeOTFE je aplikace pro _Windows_. Mám-li šifrovaný kontejner vytvotřený pomocí dm-crypt/LUKS, mohu jej otevřít pomocí FreeOTFE ve Windows. Stejně jako v případě Truecryptu. Čili já nevidím rozdíl mezi přenositelností Truecryptu a dm-crypt/LUKS. Ale to jsem už vysvětloval a ne jednou. Četl jste vůbec moje příspěvky?

Já se nepodivuji nad tím, proč _někdo_ na Linuxu používá Truecrypt. Spíše se podivuji nad tím, jak moc se hovoří o Truecryptu a jak málo o dm-crypt/LUKS mezi uživateli Linuxu, kde bych předpokládal preferenci nativního řešení. Truecrypt bývá vyzdvihován kvůli přenositelnosti (Linux/Windows), avšak ta by měla být díky existenci FreeOTFE na stejné úrovni i pro dm-crypt/LUKS.

krom toho se vsak snazim rict, ze vas pattern pouzivani se proste lisi od toho, jak podobne aplikace pouzivaji jini a tim padem jsou i jejich potreby jine

To samozřejmě chápu. Nicméně vzhledem k tomu, že jste zatím argumentoval výhradně přenositelností, která by měla být u obou řešení na srovnatelné úrovni, nevidím tedy žádný očividný důvod proč preferovat Truecrypt nad dm-crypt/LUKS. Obě řešení se mi i z hlediska vašich potřeb zdají srovnatelná.