Итак, как следует из названия, я бы искал удобный способ защиты своих данных при достижении вероятного отрицания. Я прочитал Archwiki на эту тему. Я бы предпочел не шифровать всю корневую систему, если я могу избежать этого, НО мне нужно зашифровать /var.

dm-crypt предлагает два варианта правдоподобного отрицания: простой режим и отдельный заголовок LUKS, но оба они очень неудобны, так как требуют длинного и сложного для запоминания ввода команды cryptopen. Мне также не нравится идея хранить заголовок LUKS на незашифрованном USB-накопителе, так как, если это будет обнаружено, вся цель будет побеждена.

VeraCrypt (преемник TrueCrypt), с другой стороны, очень удобен, поскольку его можно использовать для создания скрытого зашифрованного раздела внутри внешнего зашифрованного тома (который действует как приманка). Можно написать скрипт монтирования veracrypt, который после запуска запрашивает только пароль, и два разных пароля могут быть использованы для монтирования двух разных разделов (либо ложных, либо скрытых).

Для Windows также существует загрузчик veracrypt, который можно использовать для загрузки полностью зашифрованной системы. В моем случае я не обязательно хочу зашифровать всю систему, но я хочу зашифровать /var, тогда мне все еще нужен какой-то способ монтировать зашифрованный /var, когда это необходимо во время загрузки. Насколько вам известно, может ли быть какой-нибудь (удобный / быстрый) способ в Linux запустить veracrypt во время загрузки, чтобы смонтировать /var до того, как это потребуется?

В качестве альтернативы, можете ли вы придумать какой-то другой способ достижения того же результата с помощью dm-crypt? Результат должен быть: зашифрованный /var и /home + правдоподобный отказ + быстрое и простое монтирование во время загрузки.

Спасибо за помощь

1 ответ1

0

У меня есть пара идей на этот счет:

  • На полностью зашифрованном диске поместите liveCD только для чтения в качестве «правдоподобного» раздела - возможно, TAILS?
    • утверждают, что вы храните читаемые файлы на USB-накопителе, которых у вас нет с собой / вы потеряли
    • использовать оставшуюся часть диска как «запрещенный» раздел, содержащий всю вашу систему
  • пометить запрещенный раздел как «зашифрованный своп», поэтому он должен 1) измениться и 2) не быть читаемым / монтируемым
  • используйте файл с именем / swap в качестве «запрещенного раздела» по той же причине

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .