Šifrujete data?

Nezávazná diskuze o čemkoliv, co se nehodí jinam.

Šifrujete data?

Ano, šifruji celý disk
1
6%
Ano, šifruji pouze diskový oddíl nebo kontejner, který se jako oddíl chová
1
6%
Ano, šifruji jednotlivé soubory zvlášť
1
6%
Ano, kombinuji vícero možností
7
41%
Ne, data nešifruji
7
41%
 
Celkem hlasů: 17
Uživatelský avatar
Smazaný uživatel (gabajaza)

Šifrujete data?

Nový příspěvek od Smazaný uživatel (gabajaza) »

Jelikož jsem trochu paranoidní, co se soukromí týče, tak mám šifrovaný celý disk nástrojem LUKS (AES, XTS-plain64, sha256) a k tomu používám nástroj Veracrypt s nastavením: AES-Twofish, XTS, Whirpool.

Jsem názoru, že by měl šifrovat úplně každý, i přestože někteří tvrdí, že nemají co skrývat (což je snad nejhorší možný argument, jaký jsem slyšel). Šifrování bych přirovnal k fyzickému zabezpečení domu, kdy si ho lidé zamykají. Nebo by se to dalo přirovnat k závěsům v oknech. Na co tedy kašlat na soukromí a bezpečnost ve virtuálním světě, když má prakticky stejnou váhu jako v tom skutečném?

Šifrování celého disku je hezká věc, ale zabezpečuje pouze zcela vypnutý počítač. Různé zákeřné stažené aplikace mohou skenovat uložené soubory a někam o nich odesílat statická data atp. Nemusíte si toho ani všimnout.

Předem ale říkám, že se nepovažuju za odborníka. Je to pouze moje záliba a osobní přesvědčení.

Pro dosažení lepšího pocitu a ukojení paranoi dělám to, že před samotným otevřením šifrovaného kontejneru odpojím síťovou kartu pro bezdrátové připojení Wlan a pro jistotu ještě softwarově zablokuju všechna bezdrátová připojení. Dělám to v linuxovém terminálu dvěma jednoduchými příkazy v přesném pořadí:
sudo ifconfig wlp7s0 down
sudo rfkill block all


a pro odblokování (někdy stačí jen první příkaz):
sudo rfkill unblock all
sudo ifconfig wlp7s0 up


Tyto mé preference jsou pomalé, ale člověk si musí uvědomit, jestli je přednější pohodlnost nebo bezpečnost a soukromí. Abych to popsal, tak před nabootováním systému musím zadat heslo, které dešifruje uložený klíč v hlavičce a ten pak dešifruje data na disku. Po nabootování systému se musím přihlásit uživatelským heslem. Když chci odemknout kontejner, tak musím zadat další úplně jiné heslo čítající více jak 50 znaků, které si pamatuji nazpaměť a k tomu číslo PIM. Tohle ale není všechno. Operaci musím potvrdit heslem systémového administrátora. To je celé kouzlo. :) Vím, že někomu to přijde zbytečné to mít takhle komplikované, ale mně to vyloženě baví a líbí se mi to takhle.

No a pak tu jsou lidé, kteří posílají nešifrovaná! data společnostem jako Google nebo Microsoft do cloudu. Rozhodnutí je samozřejmě na každém. Každému vyhovuje něco jiného. Já se jen snažím přivést lidi k zamyšlění, že to jde i jinak. Pokud tedy někdo nešifruje, tak musí počítat s riziky, že třeba můžou uniknout jeho uložené přihlašovací údaje (třeba na Firefoxu jsou hesla sice v nečitelné formě, ale pokud vám někdo překopíruje celý Firefox profil v about:profiles, tak se může přihlašovat s vašimi údaji!) nebo pokud uniknou soukromé rodinné fotografie či nějaké to obchodní tajemství nebo jiné interní informace.

Nešifrujete jen pro sebe, ale i pro druhé. Jak byste se asi cítili, kdyby vám taková nemocnice řekla: „Sorry, někdo se nám dostal do počítače a vytáhnul z tama vaše lékařské záznamy. Data byla nešifrovaná.“
Uživatelský avatar
podivin
Administrátor
Líbí se mi: Dívky a ženy
ve věku od: 2
ve věku do: 40
Výkřik do tmy: Srdce plné lásky přetéká v slzách očima *** Když někoho miluješ, znamená pro tebe víc než ty sám a chceš pro něj jen to nejlepší, ikdyby to tobě mělo působit bolest *** Ikdyž jsou to "jen" děti, mají mou úctu a chovám se k nim slušně *** Moc, peníze ani sex nemůžou nahradit dětskou radost, smích a lásku. *** Čiň, co chceš, pokud nikomu neškodíš *** Každý čin se ti třikrát vrátí
Příspěvky: 1729
Dal: 2051 poděkování
Dostal: 861 poděkování

Re: Šifrujete data?

Nový příspěvek od podivin »

Ahoj Sertraline,

tak jsem taky paraniodní, ale zase to nepřeháním. Más to ale dobře promakané :) *good*

Nelegální činnost nepáchám, takže nepotřebuji ochranu odolnou proti vystopování od policie. Šifruju jenom proti zvědavcům. Stejně tak doma zamykám, aby kdejaký šťoura nemohl jen tak do mého bytu se mi přehrabovat ve věcech. Pokud ale někdo cíleně bude z mého bytu něco ukrást, tak bych musel mít opancéřované dveře i okna a zdi a ještě kolem bytu armádu ochranky a to už nepotřebuju, nic takového nemám.

Ale třeba viděl jsem obrázky, když se pro DNSSEC podepisovala kořenová zóna: z trezoru vyndali notebook určený jen na to podepisování. Žádná síť, data přinesli na USB, podepsali na notebooku (asi dva lidi museli zadat soukromá hesla), podepsaná data zase na USB a notebook šup zpátky do trezoru. To je bezpečnost. Jak říkám - nejbezpečnější server je vypnutý a odpojený od počítačové sítě - ale k čemu pak je? :D

Já mám šifrovaný oddíl s obrázky, který prostě jen nechci, aby se tam dostal někdo jen tak, že bude brouzdat na počítači (sice by se nikdo asi v mém Windowmakeru nevyznal, ale kdybych to náhodou nechal odemčené, tak člověk nikdy neví, jaký šťoura se kam dostane). Jinak ty fotky mám i na mobilu nešifrované, ale nemám je v cloudu (není to nic nelegálního, takže nepotřebuju ukrývat). Náhodou se k tomu asi nikdo nedostane, protože je to zahrabané ve androidí struktuře.

Jinak soukromá data mám na firemním počítači taky zašifrovaná, kdybych musel rychle vrátit komp, tak aby se mi v tom nikdo nemohl hrabat. A data ohledně pedo mám na tom šifrovaném disku ještě šifrované pomocí GPG. A tyhle pedo data mám i na telefonu a tam jsou také v GPG.

Disky šifruju také LUKSem. Hesla ale nemám tak šílená jako ty, systém bootuje normálně bez hesla. Ano, vím, kdyby na mě někdo zacílil, tak by mi mohl pozměnit bootování, tím by zjistil hesla na LUKS a GPG. Nebo nějaký HW keylogger by šel taky, ale takhle důležitý opravdu nejsem a opravdu nedělám nic nelegálního, takže policie ať si klidně hledá a vydírat bych se od nikoho asi nenechal.

Jinak zpočátku jsem měl větší strach mít něco s pedofílií, tak jsem měl i notebook bez disku a z USB bootoval TAILS. To by se dalo ještě vylepšit chozením do kavárny, abys nejel přes svojí linku, ale zase tam by mohly být kamery.

Na ČEPEK se přihlašuji jen přes TOR, což je zase jen ochrana proti sysadminům hostingu (nemyslím adminy ČEPEKu), aby se jen tak nebavili a nezjišťovali, kdo odkud na ČEPEK chodí. Ale jinak opět, na ČEPEKu nedělám nic nelegálního, takže pokud mě policie bude hledat, tak mne najít mohou (možná). Tu ochranu používám opravdu jen kvůli obyč lidem.

Co se týče hesel ve Firefoxu, ta mohou být šifrované Master heslem a to ti pak nepomůže, když si zkopíruješ celý profil, protože tam jsou ta hesla pak zašifrovaná. Ale lidi ty přihlašovací údaje do Firefoxu a Chrome neukládají, aby je chránili, ale aby to měli jednodušší. Takže proč se zatěžovat dalším heslem, že? Takže je tam mají opravdu uložené bez master hesla.

Ale ono je přece jednodušší zcizit identitu nebo se dostat k cizím datům - než se snažit někomu rozluštit heslo k emailu nebo k šifrovanému disku, tak je jednodušší udělat fake webmail stránku a oběti poslat email od admina, že je nutné se přihlásit na odkaz uvedený v emailu, jinak bude schránka smazána. A uživatel si jiné adresy vůbec nevšimne a klidně tam to heslo zadá. A nebo úplně nejjednodušší je předstírat kolegu/kamaráda a poslat email "Můžeš mi poslat tyhle data? Musím v nich něco do zítra najít a teď se na ně u sebe nedostanu" a uživatel pošle a vůbec nevadí, že security manager ve firmě ta data definoval jako citlivá a nesmí se dostat z firmy.

A že lidi panu Facebookovi a panu Googlovi o sobě řeknou i to, že právě byli na záchodě a mají zácpu, aby jim Google mohl naservírovat reklamu na projímadlo, o tom fakt mluvit nemusíme.

Měj se hezky.

Podivín.
Uživatelský avatar
Smazaný uživatel (gabajaza)

Re: Šifrujete data?

Nový příspěvek od Smazaný uživatel (gabajaza) »

Ach jo, ty mě asi nechápeš. Každá služba může být zneužita k nelegálním účelům, ale to neznamená, že to tak automaticky ve všech případech bývá. Někomu skutečně záleží na tom, aby o něm strýček Google nevěděl každé šustnutí. Nepochybuji o tom, že nemáš nic nelegálního. Každopádně bys nebyl rád, kdyby se třeba tvé okolí dozvědělo, že se ti líbí malé holčičky. Takže tvou argumentaci, že něděláš nic nelegálního, tak nepotřebuješ důkladné zabezpečení, příliš nechápu.

Pro mě je soukromí prioritou. Radši bych nechal veškerá data zničit než abych je někomu vydal. Soukromí není funkce, ale vymahatelné právo, za které budu bojovat.

Na sociální inženýrství a phising, které jsi popsal, naletí podle mě jen hloupý či naivní člověk. V dnešní době jsou tyto možnosti útoků dobře známé a dá se vůči nim dobře bránit.

Já se nechráním jen vůči obyčejným lidem, ale částečně i vůči NSA, která až příliš zasahuje do soukromí obyčejných lidí. Jestli jsi viděl dokument o Edwardu Josephu Snowdenovi, tak pochopíš, o co mi jde. Tenhle přístup masivního sledování lidí mi zkrátka nepřijde správný.
Uživatelský avatar
Smazaný uživatel (gabajaza)

Re: Šifrujete data?

Nový příspěvek od Smazaný uživatel (gabajaza) »

podivin píše: úterý 23. 6. 2020, 17:27:20 Co se týče hesel ve Firefoxu, ta mohou být šifrované Master heslem a to ti pak nepomůže, když si zkopíruješ celý profil, protože tam jsou ta hesla pak zašifrovaná. Ale lidi ty přihlašovací údaje do Firefoxu a Chrome neukládají, aby je chránili, ale aby to měli jednodušší. Takže proč se zatěžovat dalším heslem, že? Takže je tam mají opravdu uložené bez master hesla.
To mi je samozřejmě jasné, že to mají pro zjednodušení. Pak se ale nemají divit, když jim ta data někdo ukradne. Já osobně aplikace na správu hesel nepoužívám. Ukládám si do prohlížeče jen hesla na nepodstatné stránky. Ale i tak to mám na šifrovaném disku. A když chci někomu půjčit PC, tak mu jej půjčím stejně v režimu pro hosty, kde nemá přístup k mé domovské složce.
Uživatelský avatar
podivin
Administrátor
Líbí se mi: Dívky a ženy
ve věku od: 2
ve věku do: 40
Výkřik do tmy: Srdce plné lásky přetéká v slzách očima *** Když někoho miluješ, znamená pro tebe víc než ty sám a chceš pro něj jen to nejlepší, ikdyby to tobě mělo působit bolest *** Ikdyž jsou to "jen" děti, mají mou úctu a chovám se k nim slušně *** Moc, peníze ani sex nemůžou nahradit dětskou radost, smích a lásku. *** Čiň, co chceš, pokud nikomu neškodíš *** Každý čin se ti třikrát vrátí
Příspěvky: 1729
Dal: 2051 poděkování
Dostal: 861 poděkování

Re: Šifrujete data?

Nový příspěvek od podivin »

Já hesla taky neukládám v prohlížeči, protože kopíruju originální profil do dočasného a startuju Firefox s tím dočasným a po skončení firefoxu se dočasný profil smaže, takže kdybych ukládal hesla, tak by to musel pořád startovat v tom originálním profilu a tam nastavovat. A taky si chci ty hesla pamatovat :D

Jinak v mailovým klientu alpine mám hesla uložená, ale ta jsou šifrovaná klíčem z PKI certifikátu. A jinak hesla a další přístupy mám také v GPG. Už jsem si to musel začít psát, abych to všechno nezapomněl. A nechci na všechno dávat stejný heslo, takže psát si to je nutné.
Uživatelský avatar
Smazaný uživatel (gabajaza)

Re: Šifrujete data?

Nový příspěvek od Smazaný uživatel (gabajaza) »

A tím GPG šifruješ i soubory? Asi jsem to v předchozím příspěvku špatně pochopil. Dřív jsem jako experiment šifroval 200 MB soubor pomocí GPG a zabralo mi to skoro půl hodiny. Na soubory jedině AES. Neumím si představit, jak dlouho bych dešifroval soubory pomocí GPG, které mají tisíce MB. :D
Uživatelský avatar
Cykle02
Mediální analytik
Líbí se mi: Chlapci i dívky
ve věku od: 2
ve věku do: 12
Výkřik do tmy: Nevěřím těm co nevěří na Ježíška.
Příspěvky: 6109
Dal: 365 poděkování
Dostal: 2537 poděkování

Re: Šifrujete data?

Nový příspěvek od Cykle02 »

Po dalším článku o odsouzení člověka za držení jsem na [název webu odstraněn] napsal něco o šifrovaní pod linuxem. Tady jsem to hodlal dát až to přepracuju, protože už v té době se luks chovat jinak v Ubuntu 18.04 než 16.04, ale když už se to řeší, dám sem aspoň tu starou verzi.

Jestli napsat tenhle příspěvek jsem se dlouho rozmýšlel, protože jej samozřejmě půjde použít i na krytí trestné činnosti. Ovšem krom mého případu, který mě k tomuto tématu prvotně přivedl, se teď objevila zpráva o člověku, který je stíhán za pouhé držení, což považuju omezování lidských svobod a diskriminaci.

V šifrovacím programu cryptsetup je dostupný algoritmus Argon2 optimalizovaný pro ztížení lámání hashe na grafických kartách, která tím, že dokáže využít velké množsví paměti, znemožnuje paralelního chodu více výpočetních vláken a zároveň se výpočet brzdí, prože je pořeba přistupovat k velkému množství dat v paměti. Návod je asi spíš pro pokročilé linuxáky.

Běžné použití lukse na vytvoření šifrovaného odílu sdx1. Netřeba snad připomínat že data která tam jsou se tímto zničí:
sudo cryptsetup -c aes-xts-plain64 -s 512 -y luksFormat /dev/sdx1
Naformátuje tak oddíl sdx1 s šifrovacím algoritmem aes-xts-plain64, velikostí klíče 512 bitů. Program po nás pak bude chtít YES a 2x heslo.
Po vytvoření nového šifrovaného oddilu je potřeba v něm vytvořit souborový systém.
Šifrovaný oddíl odemkneme sudo cryptsetup luksOpen /dev/sdx1 encrypted
a naformátujeme sudo mkfs.ext4 /dev/mapper/encrypted. Pokud chceme, aby se formátovaní neprovádělo na pozadí, ale rovnou, tak sudo mkfs.ext4 -E lazy_itable_init=0 /dev/mapper/encrypted.
Uzavření: sudo cryptsetup luksClose encrypted

Když se podíváte na podrobnosti, jak je oblast sdx1 zašifrovaná:
sudo cryptsetup luksDump /dev/sdx1

Kód: Vybrat vše

LUKS header information for /dev/sdx1

Version:        1
Cipher name:    aes
Cipher mode:    xts-plain64
Hash spec:      sha256
Payload offset: 4096
MK bits:        512
MK digest:      fa 21 62 bb 10 34 d6 0a 4c 7a a7 ad c7 c9 53 59 2e 14 42 26
MK salt:        72 ee ea 90 b0 db 85 1a e1 19 00 5b 67 3d f7 36
                53 b1 00 1c 6d fa 01 1e 99 51 25 ac d7 3a b9 79
MK iterations:  105363
UUID:           207c414c-fbdd-4ea9-9b5c-862b9b75b4cb

Key Slot 0: ENABLED
        Iterations:             1685812
        Salt:                   7c 12 67 9d f6 5c 67 5a 42 9d 7b 29 a0 ae a5 29
                                32 ca ff 56 4d f7 cf 8e c5 c9 c5 66 0e 94 43 76
        Key material offset:    8
        AF stripes:             4000
Key Slot 1: DISABLED
Key Slot 2: DISABLED
Key Slot 3: DISABLED
Key Slot 4: DISABLED
Key Slot 5: DISABLED
Key Slot 6: DISABLED
Key Slot 7: DISABLED
Zjistíme že je na zahashování hlesla je použitý sha256, na starších systémech se použíje i jen děravý sha1.
Pro použití maximální ochrany hashe hesla můžeme použít derivaci klíče Argon2id.

Postup komplikuje, že aby bylo použito sha512, je potřeba v několika krocích přešifrovat klíč.
Zašifrovaný oddíl, třeba podle příkladu výše, konvertujeme na sha512:
sudo cryptsetup-reencrypt /dev/sdx1 --keep-key --hash sha512
Nebo již takový vytvoříme:
sudo cryptsetup luksFormat /dev/sdx1 --cipher aes-xts-plain64 --key-size 512 --hash sha512
Dále zvedmene verzi lukse:
sudo cryptsetup convert /dev/sdx1 --type luks2
A teprve pak můžeme dát Argon2id:
sudo cryptsetup-reencrypt /dev/sdx1 --keep-key --hash sha512 --pbkdf argon2id --pbkdf-memory 4194304 --pbkdf-parallel 4 --iter-time 1000
Kde --pbkdf-memory 4194304 znamená použít 4GB pamět pro dešifrování, --pbkdf-parallel 4 čtyři výpočetní vlákna a --iter-time 1000 pro čas dešifrování 1s. Pokud systém takovéto nároky nedokáže splnit (málo paměti nebo jader) použije se automaticky menší hodnota. Pro kontrolu použijeme sudo cryptsetup luksDump /dev/sdx1:

Kód: Vybrat vše

LUKS header information
Version:        2
Epoch:          3
Metadata area:  12288 bytes
UUID:           f72973f1-4faa-47ef-9e13-528a79407a17
Label:          (no label)
Subsystem:      (no subsystem)
Flags:          (no flags)

Data segments:
  0: crypt
        offset: 2097152 [bytes]
        length: (whole device)
        cipher: aes-xts-plain64
        sector: 512 [bytes]

Keyslots:
  0: luks2
        Key:        512 bits
        Priority:   normal
        Cipher:     aes-xts-plain64
        PBKDF:      argon2id
        Time cost:  4
        Memory:     4194304
        Threads:    4
        Salt:       9a a1 ab 1a f8 a1 d7 ad e2 7a 1e 7a 3b 1c 67 13
                    a1 47 4d 7f 20 d5 ce 4e 89 c0 1a 70 fc 45 43 00
        AF stripes: 4000
        Area offset:32768 [bytes]
        Area length:258048 [bytes]
        Digest ID:  0
Tokens:
Digests:
  0: pbkdf2
        Hash:       sha512
        Iterations: 133610
        Salt:       82 23 d6 43 ac e6 7a c2 fd 4c f4 bc 27 97 f5 17
                    68 2c 3f 55 6a 4f 35 ed a0 d3 39 e4 e3 d5 d2 3d
        Digest:     c0 c6 8d 66 bb aa 6e a3 53 62
                    b3 51 a8 66 4a f2 8d d8 80 f8
Když je vše v pořádku, uvidíme ve výpisu: Cipher: aes-xts-plain64, PBKDF: argon2id, Memory: 4194304, Threads: 4.

Pokud chceme takto mít zašifrovaný celý systém, což je ideální, provedeme standarní šifrovanou instalaci, ovšem ubuntu používá jen sha256. Povýšit šifrování tímto návodem lze i nainstalovaný šifrovaný systém, ovšem nejde to na spuštěném systému, tedy jedine přez live distribuci. I když se píše, že grub nepodporuje luks 2, mám vyskoušené, že s tím není problém od verze 18.04 ,i když je velký iter time.

Popíratelné šifrování
Úplně nejlepší je, aby ani nebylo zřejmé, že něco šifrované je. K tomu lze použí parametr --type plain :
sudo cryptsetup --type plain --cipher=aes-xts-plain64 --hash=sha512 --key-size=512 open /dev/sdx1 plain_crypt
Jelikož není nikde uložený žádný hash hesla, daný oddíl se rovnou otevře, a pokud je heslo špatné, budou na něm jen náhodná data. Samozřejmě - obdobně jako u minulého návodu - je po prvním otevření potřeba vytvořit souborový systém sudo mkfs.ext4 /dev/mapper/plain_cryp . Pro dokonalejší zamaskování můžeme data schovat. To jde, pokud oddíl naformátujeme na nežurnálový typ souborového systému, kde nehrozí jejich kolize, tedy FAT nebo extFAT. Parametrem -offset=číslo se posunou šifrovaná data o násobky 512B za ostatní. Pokud se samozřejmě na maskovací souborový systém budou kopirovat další data, naše šifrovaná zasáhnou. Ovšem to má i výhodu v možnosti nenápadného zničení v případě potřeby.

Pokud by někdo nechtěl pro úschovu použít celý diskový oddíl, ale soubor, je možnost k tomu použít loop.
Uděláme si soubo o požadovené velikosti uložiště, třeba 10MB:
fallocate -l 10M nenapadnysoubor
Připojíme do loopu sudo losetup /dev/loop0 nenapadnysoubor; pokud není loop0 volný, použijeme další číslo. Pak si můžemv tomto souboru udělat šifrovanou oblast sudo cryptsetup --type plain --cipher=aes-xts-plain64 --hash=sha512 --key-size=512 open /dev/loop0 plain_crypt a vytvořit souborový systém viz výše.
Pro zavření pak kromě sudo cryptsetup luksClose plain_crypt i sudo losetup -d /dev/loop0 .

Pár dalšíchu příkazů
Změna hesla: sudo cryptsetup luksChangeKey /dev/sdx1
Vytvoření souboru s náhodnýmy daty, pro maskování obsahu šiforvané oblasti: dd if=/dev/urandom of=random.bin bs=4k
Před změnami šifrování se může hodit záloha hlavičky lukse: sudo cryptsetup luksHeaderBackup /dev/sdx1 --header-backup-file lukshead.bin
A její obnova sudo cryptsetup luksHeaderRestore /dev/sdx1 --header-backup-file lukshead.bin
Záloha steré hlavičky je ale po té potřeba bezpečně zničit: sudo shred -u lukshead.bin

Jestli chce mít někdo námitky k používání šifrování, tak ať napíše přesnou definici toho co dětská pornografie je, a co už ne. Problém s tím mají i samotní sexuologové při svých výzkumech.


Přidám aspoň přímý příkaz na to vytvoření šifrované oddílu s pomocí Argon2id a 512b hashi: cryptsetup luksFormat /dev/sdx1 --type luks2 -c aes-xts-plain64 -s 512 --hash sha512 --pbkdf argon2id --pbkdf-memory 4194304 --pbkdf-parallel 4 --iter-time 1000
Naposledy upravil(a) Marco Freeman dne pondělí 7. 12. 2020, 23:30:37, celkem upraveno 1 x.
Důvod: název webu odstraněn
...a o jakých tématech se po dnešním Googlení začne na ČEPEKu mluvit?
Uživatelský avatar
podivin
Administrátor
Líbí se mi: Dívky a ženy
ve věku od: 2
ve věku do: 40
Výkřik do tmy: Srdce plné lásky přetéká v slzách očima *** Když někoho miluješ, znamená pro tebe víc než ty sám a chceš pro něj jen to nejlepší, ikdyby to tobě mělo působit bolest *** Ikdyž jsou to "jen" děti, mají mou úctu a chovám se k nim slušně *** Moc, peníze ani sex nemůžou nahradit dětskou radost, smích a lásku. *** Čiň, co chceš, pokud nikomu neškodíš *** Každý čin se ti třikrát vrátí
Příspěvky: 1729
Dal: 2051 poděkování
Dostal: 861 poděkování

Re: Šifrujete data?

Nový příspěvek od podivin »

Sertralin píše: úterý 23. 6. 2020, 20:20:51A tím GPG šifruješ i soubory? Asi jsem to v předchozím příspěvku špatně pochopil. Dřív jsem jako experiment šifroval 200 MB soubor pomocí GPG a zabralo mi to skoro půl hodiny. Na soubory jedině AES. Neumím si představit, jak dlouho bych dešifroval soubory pomocí GPG, které mají tisíce MB. :D
Tím GPG šifruju převážně jen textové soubory, které nechci, aby někdo mohl číst. Protože je mám v GITu na svém serveru, kde to nemám na šifrovaném disku a také na telefonu, kde také nemám šifrování, tak chci tyhle textové soubory mít šifrované samostatně. Pár pedo videí, tím myslím dokumenty o pedofílii, jsem taky zašifroval GPG, ale to trvá opravdu delší dobu, ale ještě horší je to pak commitnout do gitu :D Na velké jednotlivé soubory bych použil spíš přímo openssl enc nebo celý disk, to je nejjednodušší.
Ale jak píšu, nejsou to nelegální věci, takže pokud to bude chtít vidět PČR, NSA, FBI, tak zapojí kdo ví co a třeba to rozlouskou, ale nic nelegálního tam nenajdou. Tohle je ochrana proti ovčanům. Jak jsem psal, stejně tak byt jen zamknu, aby se tam nedostal každý pobuda, ale policie samozřejmě dveře vylomit dokáže.
Třeba plánuju si koupit i trezor s odůvodněním, abych si tam mohl uložit důležité dokumenty, ale nechci ho ani přidělávat na zeď, jen si do něho chci dát intimní věci (panenku masturbátor, nebo pedo-telefon a ještě jednu věc a nerad bych, aby tyhle věci někdo jen tak našel, hlavně moje děti ne). Teď to mám schované za knihama ve výšce, tam se mi děti nedostanou, ale dospělý zvědavec by to mohl najít, kdyby náhodou vytáhnul nějakou knížku a za ní viděl nějaké věci. Policie ten safe klidně otevřít může, ale náhodný návštěvník ne.
Uživatelský avatar
Cykle02
Mediální analytik
Líbí se mi: Chlapci i dívky
ve věku od: 2
ve věku do: 12
Výkřik do tmy: Nevěřím těm co nevěří na Ježíška.
Příspěvky: 6109
Dal: 365 poděkování
Dostal: 2537 poděkování

Re: Šifrujete data?

Nový příspěvek od Cykle02 »

podivin píše: čtvrtek 25. 6. 2020, 1:37:44Tohle je ochrana proti ovčanům.
Jo, tohle si lidi taky moc neuvědomujou. Jedna věc je bát se, že tě za nějaký materiál odsoudí. Jiná věc je bát se, co by mohlo nastat, co by lidi řekli na něco, co by třeba i u soudu prošlo. Zvlášť kdyby si někdo dal tu práci to získat a zveřejnit, případně použil k vydírání pod pohrůžkou zveřejnění.
...a o jakých tématech se po dnešním Googlení začne na ČEPEKu mluvit?
Uživatelský avatar
Smazaný uživatel (gabajaza)

Re: Šifrujete data?

Nový příspěvek od Smazaný uživatel (gabajaza) »

Mě jinak rozesměje, když se někoho zeptám, jestli šifruje a on odpoví, že ne že jen zaheslovaný přístup uživatele stačí. Ale to si bohužel myslí spousta lidí, že když vytvoří uživatelský profil a dají tam heslo, tak to má stačit. Přitom si neuvědomují, že tohle je tak maximálně ochrana před jejich babičkou. Tohle se dá stejně snadno obejít jako zaheslovaný BIOS. Jen je to takový zpomalovák. Je to něco jako když si zamknete kolo řetězem. Nevezmou vám ho hned, ale trochu je zbrzdí přestřihnutí řetězu.

Jinak Podivíne, s tím nešifrováním telefonu nemáš tak úplně pravdu. Od nějaké verze jsou i androidí telefony defaultně šifrované. Není to sice ono, Google má tu možnost telefon odemknout, i když se tím nechlubí, ale je to pořád lepší než nic.
Uživatelský avatar
podivin
Administrátor
Líbí se mi: Dívky a ženy
ve věku od: 2
ve věku do: 40
Výkřik do tmy: Srdce plné lásky přetéká v slzách očima *** Když někoho miluješ, znamená pro tebe víc než ty sám a chceš pro něj jen to nejlepší, ikdyby to tobě mělo působit bolest *** Ikdyž jsou to "jen" děti, mají mou úctu a chovám se k nim slušně *** Moc, peníze ani sex nemůžou nahradit dětskou radost, smích a lásku. *** Čiň, co chceš, pokud nikomu neškodíš *** Každý čin se ti třikrát vrátí
Příspěvky: 1729
Dal: 2051 poděkování
Dostal: 861 poděkování

Re: Šifrujete data?

Nový příspěvek od podivin »

Cykle02 píše: čtvrtek 25. 6. 2020, 10:09:07
podivin píše: čtvrtek 25. 6. 2020, 1:37:44Tohle je ochrana proti ovčanům.
Jo, tohle si lidi taky moc neuvědomujou. Jedna věc je bát se, že tě za nějaký materiál odsoudí. Jiná věc je bát se, co by mohlo nastat, co by lidi řekli na něco, co by třeba i u soudu prošlo. Zvlášť kdyby si někdo dal tu práci to získat a zveřejnit, případně použil k vydírání pod pohrůžkou zveřejnění.
Takhle, momentálně jsem v situaci, kdy by mi zjištění, že sleduju obrázky holčiček, mohlo způsobit omezení v kontaktu s mýma dětma. Proto to chráním, aby to nenašel nějakou trouba jen tak náhodou, kdy zkousil nějak prohledávat moje disky. Až budou děti starší a budou si moct sami určovat, s kým se stýkat budou, tak mi bude jedno, jestli to někdo najde. Pak se rozhodou sami, jestli jsem úchyl a nechtějí se mnou nic mít, nebo si nechají vysvětlit moje pocity. Opravdu to přirovnání k zamčenému bytu proti někomu, kdo prochází všechny patra zkouší, jestli někde není odemčeno. Bezpečnostní dveře, mříže na zdích, alarm opravdu nepotřebuju, protože tak cenné vybavení bytu zase nemám.
Uživatelský avatar
podivin
Administrátor
Líbí se mi: Dívky a ženy
ve věku od: 2
ve věku do: 40
Výkřik do tmy: Srdce plné lásky přetéká v slzách očima *** Když někoho miluješ, znamená pro tebe víc než ty sám a chceš pro něj jen to nejlepší, ikdyby to tobě mělo působit bolest *** Ikdyž jsou to "jen" děti, mají mou úctu a chovám se k nim slušně *** Moc, peníze ani sex nemůžou nahradit dětskou radost, smích a lásku. *** Čiň, co chceš, pokud nikomu neškodíš *** Každý čin se ti třikrát vrátí
Příspěvky: 1729
Dal: 2051 poděkování
Dostal: 861 poděkování

Re: Šifrujete data?

Nový příspěvek od podivin »

Sertralin píše: čtvrtek 25. 6. 2020, 11:08:39Jinak Podivíne, s tím nešifrováním telefonu nemáš tak úplně pravdu. Od nějaké verze jsou i androidí telefony defaultně šifrované. Není to sice ono, Google má tu možnost telefon odemknout, i když se tím nechlubí, ale je to pořád lepší než nic.
Dá se to zapnout - to mám na interní paměti pedotelefonu (Android nějaká 4). Ale na svém osobním telefonu (Android 8) šifrování nemám (nebo jo? teď nevím, ale jestli, tak jen interní paměť), navíc ta data mám na SD kartě, kdyby telefon chcípnul, tak data zůstanou na kartě (také se s kartou líp pracuje v PC), takže kartu nešifruju, abych s kartou mohl pracovat i jinde.
Uživatelský avatar
Smazaný uživatel (gabajaza)

Re: Šifrujete data?

Nový příspěvek od Smazaný uživatel (gabajaza) »

Android 8 už má nativní šifrování. To ani nemusíš zapínat v nastavení. Ale paměťová karta se nešifruje. Některé mobily mají i nativní možnost zvlášť zašifrovat SD kartu, ale tu pak přečteš jen v tom daném zařízení. Jinak třeba takový Huawei má nástroj na vytváření šifrovaných kontejnerů, které si otevřeš i na jiném zařízení, ale pouze značky Huawei.

Pokud bys chtěl mít šifrovanou SD kartu a zároveň chtěl tu snadnou přenositelnost, tak ti můžu doporučit aplikaci EDS Lite pro Android. Tato aplikace umí vytvářet a otevírat šifrované kontejnery vytvořené nástrojem LUKS, VeraCrypt a dokonce i TrueCrypt.
Uživatelský avatar
Krabat
Registrovaný uživatel
Bydliště: Morava
Líbí se mi: Chlapci
ve věku od: 3
ve věku do: 14
Příspěvky: 17
Dal: 19 poděkování
Dostal: 5 poděkování

Re: Šifrujete data?

Nový příspěvek od Krabat »

Sertralin píše: úterý 23. 6. 2020, 14:48:52 někteří tvrdí, že nemají co skrývat (což je snad nejhorší možný argument, jaký jsem slyšel).
Co je na tom spatneho? Ja nemam v PC nic co by se dalo nejak zneuzit nebo pouzit proti mne... ;)
Sertralin píše: úterý 23. 6. 2020, 14:48:52 Jak byste se asi cítili, kdyby vám taková nemocnice řekla: „Sorry, někdo se nám dostal do počítače a vytáhnul z tama vaše lékařské záznamy. Data byla nešifrovaná.“
Neumim si predstavit jak by mi timhle nekdo mohl ublizit... Hlavne kdyz jsem u doktora nebyl od 15ti :D
Uživatelský avatar
Cykle02
Mediální analytik
Líbí se mi: Chlapci i dívky
ve věku od: 2
ve věku do: 12
Výkřik do tmy: Nevěřím těm co nevěří na Ježíška.
Příspěvky: 6109
Dal: 365 poděkování
Dostal: 2537 poděkování

Re: Šifrujete data?

Nový příspěvek od Cykle02 »

Tak jsem dělal další testy s luksem na Ubuntu 20.04, a zjistil jsem že to přímé šifrování na maximální Argon2id, pak použije na master klíč jen 1000 iterací. Když se nejdřív udělá šifrovaný oddíl s minimem parametrů cryptsetup -v luksFormat --cipher aes-xts-plain64 --key-size 512 --hash sha512 /dev/sdx1 a pak až povýší cryptsetup-reencrypt /dev/sdx1 --keep-key --hash sha512 --pbkdf argon2id --pbkdf-memory 4194304 --pbkdf-parallel 4 --iter-time 1000 bude tak použito řádově větší počet iterací na master klíč a bude i na maximu jeho derivace (případně ještě třeba zvyšit iter-time).

Původně návod byl komplikovanější, protože se na master klíč použilo jen sha 256, místo sha 512. Teď zas tohle.
...a o jakých tématech se po dnešním Googlení začne na ČEPEKu mluvit?
Uživatelský avatar
Code
Na trestné lavici
ve věku od: 100
ve věku do: 100
Příspěvky: 49
Dal: 46 poděkování

Re: Šifrujete data?

Nový příspěvek od Code »

Cykle02 píše: středa 1. 7. 2020, 20:34:39 Tak jsem dělal další testy s luksem na Ubuntu 20.04, a zjistil jsem že to přímé šifrování na maximální Argon2id, pak použije na master klíč jen 1000 iterací. Když se nejdřív udělá šifrovaný oddíl s minimem parametrů cryptsetup -v luksFormat --cipher aes-xts-plain64 --key-size 512 --hash sha512 /dev/sdx1 a pak až povýší cryptsetup-reencrypt /dev/sdx1 --keep-key --hash sha512 --pbkdf argon2id --pbkdf-memory 4194304 --pbkdf-parallel 4 --iter-time 1000 bude tak použito řádově větší počet iterací na master klíč a bude i na maximu jeho derivace (případně ještě třeba zvyšit iter-time).

Původně návod byl komplikovanější, protože se na master klíč použilo jen sha 256, místo sha 512. Teď zas tohle.
Promiň, ale není těch technických dat až moc? Ono je tu spousta lidí co si dodnes myslí že Linux je karamelová tyčinka. *tux* *rofl*
Uživatelský avatar
Cykle02
Mediální analytik
Líbí se mi: Chlapci i dívky
ve věku od: 2
ve věku do: 12
Výkřik do tmy: Nevěřím těm co nevěří na Ježíška.
Příspěvky: 6109
Dal: 365 poděkování
Dostal: 2537 poděkování

Re: Šifrujete data?

Nový příspěvek od Cykle02 »

Code píše: čtvrtek 2. 7. 2020, 18:02:16Promiň, ale není těch technických dat až moc?
To si sakra piš že tohle je silně zjednodušený :D
...a o jakých tématech se po dnešním Googlení začne na ČEPEKu mluvit?
Uživatelský avatar
Jednorozec
Registrovaný uživatel
Líbí se mi: Dívky
ve věku od: 9
ve věku do: 30
Výkřik do tmy: Zázraky se dějí, jen zatím bohužel vždy někde daleko...
Příspěvky: 3192
Dal: 12 poděkování
Dostal: 512 poděkování

Re: Šifrujete data?

Nový příspěvek od Jednorozec »

Krabat píše: středa 1. 7. 2020, 10:20:52 Co je na tom spatneho? Ja nemam v PC nic co by se dalo nejak zneuzit nebo pouzit proti mne... ;)
Věř mi že máš a ani o tom nevíš. Už jen to že jsi koukal na pedofilie-info se dá snadno zneužít. Stejně tak záznam jaké stránky navštěvuješ obecně na co koukáš konkrétně.
A hlavně to co máš na počítači, a je nyní legální, může za nějakou dobu být nelegální. Nehledě na to že není nic jednoduššího než ti tam něco přikopírovat.
Víš o tom že před rokem 2007 jsi klidně mohl mít v počítači DP a nikdo ti nic nemohl?
Krabat píše: Neumim si predstavit jak by mi timhle nekdo mohl ublizit... Hlavne kdyz jsem u doktora nebyl od 15ti :D
Velice snadno třeba pokud by jsi tam měl záznam o návštěvě sexuologa a řešení pedofilní orientace a ani by jsi k němu nemusel jít dobrovolně, stačí že by tě z toho někdo obvinil a soud si vyžádal vyšetření...
No a že ty nemáš žádné zdravotní potíže neznamená že ostatní jsou dokonale zdraví. Komu je co po tom jestli a na co se léčíš u urologa, jestli ti museli odstranit hemeroidy nebo že máš někdy deprese... A věř mi že nestojíš ani o to aby někdo věděl že jsi se třeba léčil na rakovinu, nic z toho není něco špatného, ale může ti to u někoho ublížit...

Mimochodem všichni co sem chodí šifrují přenášená data mezi sebou a serverem a ani o tom nevědí. Připojení není Http: ale Https: ne?

jinak ono i to šifrování má svoje problémy, už se mi stalo, že nějaké staré soubory jsem nedokázal rozšifrovat, prostě jsem zapomněl heslo...