Jump to content

Защита информации на HDD

Barsick
 Share

Recommended Posts

Barsick

Barsick

Posted
Posted

Сервер под w2k3

Как сделать, чтобы посторонний не смог добраться до содержимого винта, имея неограниченый доступ к серверу?

Как и куда бэкапить (типа раз в сутки) один маленький, но ценный, файл с этого сервера, опять-таки, чтобы никто не добрался? Остальная информация некритична

Варианты физического уничтожения винта нежелательны

Shiva

Shiva

Posted
Posted

Barsick,

DriveCrypt, DriveCrypt Plus Pack, TrueCrypt (халява). В ПГП унивирсальный ключ есть.

Виндовая EFS, но с ней пошаманить надо будет.

Аппаратное шифрование винта.

Ключ на юсб токене + пин на 20 символов к нему :)

Barsick

Barsick

Posted
  • Author
Posted

Прошу прощения, неточно выразился:

Файлик в постоянной работе, обращения неск. раз в минуту

PGP, секретный ключ хранить на дискетке/флешке

Не годится, только в голове, дискетку/флешку прятать надо :)

Виндовая EFS, но с ней пошаманить надо будет.

Я тоже склоняюсь к EFS... В чем заключается шаманство?

Shiva

Shiva

Posted
Posted

Barsick,

Я тоже склоняюсь к EFS... В чем заключается шаманство?

Доступ только того пользователя, который зашифровал или того, который иммеет право на востановление инфы.

Ключ лежит в хранилище сертификатов пользователя. Шифрование завсит от пароля, при его смене данные более не читаются, если не сменить пароль назад.

 

Варианта 2

1. EFS + USB token например iKey от Rainbow Technologies. Плюс PIN в голове, но тут тоже есть своё шаманство :)

2. DriveCrypt, TrueCrypt

Barsick

Barsick

Posted
  • Author
Posted
Доступ только того пользователя, который зашифровал или того, который иммеет право на востановление инфы.  

А система будет иметь доступ к этому файлу?

Arkadi, Goblins Chief

Arkadi, Goblins Chief

Posted
Posted
Я тоже склоняюсь к EFS... В чем заключается шаманство?

 

Надеюсь Вы понимаете, что шифрация в EFS примерно такая же как пароль на почтовый ящик в "The BAT!"?

 

В смысле, что это "защита от доярок".

 

Понимаете или не понимаете?

Shiva

Shiva

Posted
Posted

Arkadi, Goblins Chief,

Надеюсь Вы понимаете, что шифрация в EFS примерно такая же как пароль на почтовый ящик в "The BAT!"?  

Оленя вмдел? Совсем не похож (С) Анекдот

  • 2 weeks later...
-=DGN=-

-=DGN=-

Posted
Posted

Вопрос от чего вы защищаетесь? если от спецслужб - то ВСЕ публичные системы имеют бекдор. EFS не исключение. От продвинутых юзеров - EFS поможет.

Guest

Guest

Posted
Posted

имхо надо писать свою (уникальную т.е. неизвестную НИКОМУ), максимально уродским слогом, софтину для кодинга на чем нибудь более или менее редком (может перл+перл2екзе), и раскидать с ее помощью ваш файлик мелкими фрагментами на пару сотен порнушных картинок на винте.... и хранить эти картинки как зеницу ока :)

ну я бы сделал что-нибудь типа того, если задача бы встала

desperado

desperado

Posted
Posted
Сервер под w2k3

Как сделать, чтобы посторонний  не смог добраться до содержимого винта, имея неограниченый доступ к серверу?

Никак. Из определения задачи.

 

Как и куда бэкапить (типа раз в сутки) один маленький, но ценный, файл с этого сервера, опять-таки, чтобы никто не добрался?  

в простейшем случае отправить на мыло на надежный почтовый сервер.

 

 

Чтобы защитить инфу хранящуюся на сетевом сервере фактически от самого сервера - шифруйте на стороне клиента, способов можно придумать 1,000,000.

Guest

Guest

Posted
Posted
а с каких пор криптографическая защита стала базироваться на тайном АЛГОРИТМЕ?
Наверно с тех, как стало известно что любая популярная крипта (покупная и халявная) имеет помимо "паспорта" еще и длинный хвост всяких тулсов под нее наделаных.

Есть задача, и решение не обязательно покупать в магазине ;) И в данном случае чем более оно неординарно, тем больше шансов остаться им доволным (имхо)

одно дело когда дядя сунет ваш хдд в свою "подготовленную" машину и за 20 мин пококает весь EFS, и совсем другое если ни одной известной крипты дядя на вскидку не найдет...

Shiva

Shiva

Posted
Posted

Гоша111,

одно дело когда дядя сунет ваш хдд в свою "подготовленную" машину и за 20 мин пококает весь EFS

Хм... без ключика не как, а вот ключик достать не проблемма, если всё по умолчанию зделано

hcube

hcube

Posted
Posted

У меня была другая мысль - намотать вокруг винта ЗДОРОВУЮ катушку, сунуть в комп батарею конденсаторов и сделать размагничивалку ;-)). Это точно никто никак не вскроет - даже если сисадмина пытать, все равно от этого резервная копия не появится.

puh

puh

Posted
Posted
И в данном случае чем более оно неординарно, тем больше шансов остаться им доволным (имхо)

одно дело когда дядя сунет ваш хдд в свою "подготовленную" машину и за 20 мин пококает весь EFS, и совсем другое если ни одной известной крипты дядя на вскидку не найдет...

 

понимаете ли, в чём загвоздка... что криптографические поделки юных кулибиных в 99,9% случаев ломаются профессионалами на раз-два. Даже если этот кулибин реализовал не самопальный алгоритм, который придумал накануне, а, например, AES, руководствуясь книжкой с описанием этого алгоритма.

 

Кстати, особо недоверчивые могут взять исходники PGP, GnuPG и изучить их на предмет наличия бэкдоров.

  • 3 weeks later...
alpha_ds

alpha_ds

Posted
Posted

У меня есть девайс, который включается _между_ IDE винтом и материнкой.

В него втыкается ключ, который нужен _только_ во время включения питания.

После чего этот ключ можно спокойно вынуть.

Теперь _вся_ информация на винте шифруется этой железкой.

И если компьютеру выключить питание, то без ключа получить доступ к информации не удастся.

hcube

hcube

Posted
Posted

> И если компьютеру выключить питание, то без ключа получить доступ к информации не удастся.

 

Дык... эта... существует же ректотермальный криптоанализ.

alpha_ds

alpha_ds

Posted
Posted
> И если компьютеру выключить питание, то без ключа получить доступ к информации не удастся.

 

Дык... эта... существует же ректотермальный криптоанализ.

 

Ввввооот! :-)

Как раз этот метод до минимума снижает результативность вышеназваного метода.

 

Если сервер загрузить с ключом, потом админ отдает ключ, скажем директору, а директор увозит его в неизвестном направлении.

То при любой термальности метода получить информацию будет невозможно.

 

Ну только в таком случае УПС нужен побольше... Т.к. в случае случайного выключения сервера, его будет запусть долго.

(Перегружать без выключения питания можно.)

hcube

hcube

Posted
Posted

Не. Директора найти проще, чем ломать защиту. А к директору оный анализ тоже применим.

 

Мой вариант лучше - потому как 100% необратим ;-).

 

Хотя... вообще, действительно, зачем сам винт калечить... если железяка работает на уровне перехвата и шифрования IDE пакетов - достаточно уничтожить саму железяку.

balamutang

balamutang

Posted
Posted
У меня была другая мысль - намотать вокруг винта ЗДОРОВУЮ катушку, сунуть в комп батарею конденсаторов и сделать размагничивалку ;-)). Это точно никто никак не вскроет - даже если сисадмина пытать, все равно от этого резервная копия не появится.
1) что за админ без бэкапов?

2) а если случайно сработает, а бэкапа нет?

Shiva

Shiva

Posted
Posted

balamutang,

1) что за админ без бэкапов?  

2) а если случайно сработает, а бэкапа нет?

Бэкап уходит в неизвестное место. Может уходить с люльми которые этого могут и не знать.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.