Допустим, я купил использованную USB-флешку у очень профессионального хакера, который скомпрометировал флешку действительно профессиональными методами, и АНБ или ФБР воспользовались бы для ее компрометации: было бы безопасно зашифровать весь диск с TrueCrypt 7.1a и позволить отформатировать его или все еще есть шанс, что устройство все еще взломано?
1 ответ
Ваш лучший вариант (если я хорошо понимаю, что вы пытаетесь) - это использовать Linux для записи нулей по всему USB, а затем использовать gdisk или fdisk для создания новой пустой таблицы MBR или GPT, после чего обрабатывать ее как не скомпрометированный USB создать разделы, отформатировать их ... и, если хотите, зашифровать.
Параноидальная точка зрения: это значит, что у вас есть какой-либо USB (например, вы нашли его на улице, в горах и т.д.), На котором есть программное обеспечение / данные, которым вы не доверяете / не хотите, и, возможно, вы можете подумать, что такие данные могут заставить тебя пойти в тюрьму.
Действительно параноик: недостаточно только одной перезаписи, действительно эксперты-криминалисты могут восстановить (по крайней мере, в прошлый раз, когда я проверял) больше, чем последние 83 состояния, так что вам нужно как минимум (чтобы быть в безопасности), чтобы перезаписать его примерно в сто раз (лучше если сделано со специальными образцами); это относится к магнитным жестким дискам, а также к USB-флешкам, картам памяти, твердотельным накопителям и т. д. Это называется «безопасная многократная передача».
С другой стороны: если у вас есть данные, которые вы хотите сохранить в безопасности, но только для глаз, то они намного сложнее, но проще, чем 1,2,3 ... просто убедитесь, что у вас есть другой носитель, куда вы можете «скопировать» «данные, затем выполните« безопасную очистку нескольких проходов », после этого создайте новую таблицу MBR/GPT и разделы, зашифруйте их, заполните их огромным файлом или более (в случае FAT32 и> 4GiB и т. д.) данными». из данных random.org (реальных случайных и не воспроизводимых данных) удалите этот огромный файл (-ы), скопируйте обратно в него данные, а затем выполните «безопасный стирающий многоход» на другом.
Параноидальная точка зрения: для того, чтобы данные не были видны другим, вам нужна Система с полным шифрованием, никогда не доверяйте никому, кто скажет, что 100% системная регистрация не нужна, ... лучший пример - вопрос: знаете ли вы всегда, где все работающее программное обеспечение сохраняет данные? (не только гибернация, виртуальная память ... также текстовый редактор может сохранить текстовый файл, который вы редактируете, в месте, которое вы не можете знать) ... просто в качестве примера откройте (последние версии) Notepad++ напишите некоторый текст, но не сохраните его, закройте NotePadd++ и перезагрузите компьютер, если вы не уверены, затем снова откройте Notepad++, и там есть несохраненный текст, поэтому мы сохранили где-то, и мы не знаем, где.
Таким образом, чтобы защитить данные ... и быть на безопасной линии ... никогда не используйте эти данные в системах, где вы не можете иметь под своим контролем 100% системную подписку.
Не сказать, будьте осторожны, какие приложения установлены (клавиатурные шпионы и т.д.).
Параноик: для окон, не доверяющих Bitlocker, ключи отправляются на M $ -серверы и NSA, и т.д., ... и был отвергнут Big Back Door.
Мой личный лучший выбор: VeraCrypt (Win+Lin) и DiskCryptor (только Win) и LUK +LVM +LUK (только Lin).
Да, я не доверяю одному LUK, он не достаточно безопасный ... должен связать по крайней мере два из них, или три ... то же самое для VeraCrypt (используйте каскад из двух или трех алгоритмов).
Параноидальная точка зрения: я использую в Linux секторное монтирование цикла на свободном пространстве Ext4 (я задаю секретный старт и длину, и я должен печатать при каждой загрузке) по 5 цепочкам LUK без заголовков (очень важно не иметь заголовков ), я загружаюсь с Grub2 на зашифрованном разделе (на LUKS) с поддельным grug.cfg (он загрузит фиктивный linux).
Итак, моя параноидальная загрузка: Power On, введите encription для /boot, появляется меню Grub, я нажимаю c, чтобы перейти в режим консоли, затем набираю команды для доступа к Ext4 через LUK через LVM через LUK через сектор от сектора к Ext4 то есть через LUK через LVM через LUK, ... и так далее, тогда я могу набрать команду для загрузки ядра и initramfs ... затем загрузиться, я настроил эти initramfs, чтобы показать мне pre-sh консольный propmt, поэтому я повторите все команды и пароли, которые позволяют мне получить доступ к rootfs, затем я нажимаю exit и загрузка продолжается с смонтированными rootfs .... Очень уродливо каждый раз, когда приходит обновление ядра ... я должен многое сделать перед загрузкой ... но, эй, мы говорим о "сокрытии и защите полного Linux" ... все, что менее сложно, недостаточно безопасно.
Конечно ... я использую намного более сложную систему ... я также использую ZFS и RAID0 и т.д. ... в цепях и т.д. ... но это была бы другая история ... не говоря уже об использовании между 250 и 750 файлов размером 1 МБ в списке из десяти тысяч и более и т.д. ... для защиты слабой части (только потому, что парольные фразы размером до 64 байт настолько слабы!).
Это параноидальная точка зрения ... сделать все достаточно сложно даже для того, чтобы обнаружить, что там есть Linux, который любой человек или машина воздерживается (атака грубой силой не сработает, поскольку во всей вселенной достаточно энергии, чтобы протестировать 1% возможные комбинации) только для 8GiB USB Stick ... представьте себе для 1000GiB HDD!
Основные понятия:
- Более 100 проходов для стирания данных с помощью специальных инструментов (шаблонов), если вы хотите обезопасить удаление информации и при этом использовать носитель.
- Смешайте (с высокой температурой) носитель, если вы хотите уничтожить его, недостаточно форматировать, стереть его и так далее.
- Для конфиденциальных данных создайте много слоев, чтобы сделать доступ очень сложным, используйте несколько слоев шифрования, используйте разные проходы, алгоритмы и т.д. Для каждого.
- Скройте свою ОС внутри свободного пространства раздела, но убедитесь, что раздел не сможет быть обнаружен, если этот раздел не может быть смонтирован (никогда не используйте: Физический, затем Ext4, затем сектор от X до Y ... что Ext4 покажет, где Вы зашифровали данные.
- Используйте те же алгоритмы шифрования на двух ближайших уровнях, где это Ext4 и для сектора к части сектора, иначе алгоритмы тестирования могут выявить начальную точку.
- Никогда не используйте более 1% всего диска для конфиденциальных данных, а оставшиеся оставляйте почти одинаковые сложные слои со множеством пустышек.
Основная идея: найдите Монету в Галактике, а не на Планете, не в городе, не на ферме и т.д. ... спрячьте Монету в эквиваленте размером с Галактику ... и поместите слои, которые придают большое усилие энергии и время, чтобы получить к нему доступ, просто чтобы найти, что Монеты там нет ... если все сделано хорошо, никто не получит ваши данные.
Важно: Любой носитель данных может содержать данные не только о секторах, но и о прошивках и т.д., Некоторые из них называются «Драйвер меньше» ... при их подключении они автоматически устанавливают необходимые драйверы автоматически ... драйверы могут быть скомпрометированы ... поэтому не подключайте его к вашему основному компьютеру и т. д. ... используйте фиктивный без интернета и т. д. ... лучше, если это Live Linux без другого подключенного хранилища и т. д.
И т.д. и т.д. Я не хочу, чтобы люди скучали!