"Self Destruction of LUKS"

Varning! Det som diskuteras här är inte alltid enkelt och det kan hända att vissa installationer/modifieringar kan göra ditt system oanvändbart. Inget för nybörjare. Gör alltid backup av känslig data innan du experimenterar.
Kategoriregler
Varning! Det som diskuteras här är inte alltid enkelt och det kan hända att vissa installationer/modifieringar kan göra ditt system oanvändbart. Inget för nybörjare. Gör alltid backup av känslig data innan du experimenterar.
Användarvisningsbild
Pink Panther
Inlägg: 3050
Blev medlem: 08 feb 2009, 02:13
OS: Linux Mint
Utgåva: Vet inte/ingen utgåva passar
Ort: Luna

"Self Destruction of LUKS"

Inlägg av Pink Panther »

Varning! Det som diskuteras här är inte alltid enkelt och det kan hända att vissa installationer/modifieringar kan göra ditt system oanvändbart. Inget för nybörjare. Gör alltid backup av känslig data innan du experimenterar.

"Self Destruction of LUKS"

Jag har "full disk encryption", extra är att även min "Home" katalog är dekrypterad . Just nämnda anses tillsammans med en del annat/andra åtgärder som hyfsat säkert. Jag anser mig inte att vara i behov av nedanstående extra funktion. Det finns inte så mycket av värde eller glädje för någon i min dator. Men det betyder inte att någon annan läsare kan ha intresse för lite extra säkerhet.

Jag skrev tidigare om följande "Self Destruction of LUKS" här http://ubuntu-se.org/phpBB3/viewtopic.p ... 61#p468561 Om användaren av någon anledning behöver den här extra funktionen i din "full disk encryption" så läs nedanstående information.

Jag tar inte ställning för eller mot. Eller för övrigt någon åsikt i ämnet eller i eventuella användningsområden.

En enkel förklaring.

Det innebär att användaren har skapat ett extra lösenord via "LUKS" för din "full disk encryption" som användaren kan lämna ut vid en begäran/eller vid hot eller tvång om att lämna ut lösen för att någon vill få behörighet till din "full disk encryption".

Vad händer då? Se nedanstående information.

adding a “nuke” password to cryptsetup, which when used, deletes all keyslots and makes the data on the drive inaccessible.

Källa: http://www.kali.org/how-to/emergency-se ... luks-kali/

Källa: http://www.linuxbsdos.com/2014/01/09/a- ... pted-disk/

"Apply the nuke patch to LUKS cryptsetup in Linux Mint 16 and Ubuntu 13.10"

Källa: http://www.linuxbsdos.com/2014/01/14/ap ... ntu-13-10/
andol
Inlägg: 3093
Blev medlem: 31 dec 2007, 00:19
OS: Ubuntu
Utgåva: 23.10 Mantic Minotaur

Re: "Self Destruction of LUKS"

Inlägg av andol »

Nice! Vetisjutton när jag personligen skulle vilja/våga använda dylik Nuke, men en schysst funktionalitet att ha hursom.
Användarvisningsbild
Pink Panther
Inlägg: 3050
Blev medlem: 08 feb 2009, 02:13
OS: Linux Mint
Utgåva: Vet inte/ingen utgåva passar
Ort: Luna

Re: "Self Destruction of LUKS"

Inlägg av Pink Panther »

Svar till "HakanS"

Att skriva informationen är inte kontroversiellt.

Det kontroversiella är om informationen används till ett icke hederligt ändamål.

Var och en får ta ansvar för sina handlingar eller beslut.
HakanS
Global Moderator
Inlägg: 4289
Blev medlem: 30 mar 2006, 10:34
OS: Kubuntu
Utgåva: 23.04 Lunar Lobster
Ort: Trollhättan

Re: Sv: "Self Destruction of LUKS"

Inlägg av HakanS »

Pink Panther skrev:Svar till "HakanS"
Svar på vad?
Idéer räknas inte förrän du genomför dem.
Användarvisningsbild
Osprey
Inlägg: 6310
Blev medlem: 06 apr 2008, 00:09
OS: Ubuntu
Ort: Göteborg/Mölndal/Falkenberg
Kontakt:

Re: "Self Destruction of LUKS"

Inlägg av Osprey »

Pink Panther skrev:Det innebär att användaren har skapat ett extra lösenord via "LUKS" för din "full disk encryption" som användaren kan lämna ut vid en begäran/eller vid hot eller tvång om att lämna ut lösen för att någon vill få behörighet till din "full disk encryption".
Men... om det nu är under tvång? om användaren lämnar ut ett "nuke password" så kommer ju alltså volymen inte att låsas upp utan det enda som händer är att lite data i LUKS-headern rensas bort och att systemet svarar något i stil med "invalid password" - vilket ju alltså innebär att hotet om kanske "livstids windows" kommer att verkställas ändå - så vad är vinsten jämfört med att lämna ut vilket påhittat ickefungerande lösenord som helst...??
Pink Panther skrev:adding a “nuke” password to cryptsetup, which when used, deletes all keyslots and makes the data on the drive inaccessible.
Den blir inte alls "inaccessible", det enda som händer är uppenbarligen att alla (8 st.) "keyslots", varav de sista 7 ofta är tomma ändå kommer att rensas - men... att dumpa headern och spara undan den informationen innan är ju inte direkt raketforskning eftersom man gör det med "cryptsetup -v luksDump partition" och att lägga tillbaka det är enkelt med "hexedit"...

Så var ligger egentligen vinsten?? det låter lite som att försöka få en högst marginell förbättring att låta revolutionerande...
Agera genom att ta och behålla initiativet, ta de risker detta kräver...
http://www.enargo.com/it/
OpenVMS Shark - i Linux finns inte SYS$CMKRNL...
Användarvisningsbild
Pink Panther
Inlägg: 3050
Blev medlem: 08 feb 2009, 02:13
OS: Linux Mint
Utgåva: Vet inte/ingen utgåva passar
Ort: Luna

Re: "Self Destruction of LUKS"

Inlägg av Pink Panther »

Svar till "Osprey"

"Så var ligger egentligen vinsten?? det låter lite som att försöka få en högst marginell förbättring att låta revolutionerande..."

Jag har ingen anledning att hävda något annorlunda än vad du beskriver. Du är säkert mer kompetent i ämnet säkerhet. Det är säkert så att de överdriver och försöker få det låta mer revolutionerande än vad det är i verkligheten. Då får du förlåta min okunnighet som trillade ditt för överdrifterna som i praktiken är marginell förbättring.
Användarvisningsbild
Osprey
Inlägg: 6310
Blev medlem: 06 apr 2008, 00:09
OS: Ubuntu
Ort: Göteborg/Mölndal/Falkenberg
Kontakt:

Re: "Self Destruction of LUKS"

Inlägg av Osprey »

Om de försöker få det att låta större än vad det i verkligheten är, så är det ju inte alls något konstigt eller ovanligt med det, det är ju ganska vanligt att folk med en idé/affärsidé gör det.

Och jag ser det inte heller som att du har "trillat dit" på något sätt. Det du har gjort är ju bara att förmedla precis vad de säger och sedan får ju var och en göra en egen utvärdering av det.

Däremot förstår jag inte deras resonemang med "som användaren kan lämna ut vid en begäran/eller vid hot eller tvång om att lämna ut lösen", det man lämnar ut är ju isåfall ett lösenord som inte heller "fungerar" i så måtto att det inte låser upp disken, så hotet/tvånget kommer ju att verkställas ändå! Och det enda man "räddar" är ju att man tar bort lite info som "skurkarna/främmande makt" lätt kan rädda undan innan...

Enda sättet jag skulle kunna se att det här har någon funktion är om man använder sitt "nuke password" innan skurkarna får tag på den och på så sätt gör att "inget" lösenord överhuvudtaget skulle kunna låsa upp disken. Fast då måste man ju för den delen lyckas med att övertyga skurkarna om att man inte själv har någon backup på det heller, för annars blir ju bara situationen exakt densamma ändå...

Och... eftersom den krypterade informationen ligger kvar på samma sätt precis som innan, så funkar ju brute-force fortfarande precis lika "bra"...

Kanske är det bara så att det är jag som har missat något, men just nu så begriper jag liksom inte poängen med det...

P.S. Företag/underrättelsetjänster som sysslar med att återställa information från kvaddade diskar, kan dessutom kanske gräva fram innehållet till de keyslots som raderats. Exakt hur raderingen går till står ju inte, men den är iallafall inte hårdvarumässig.
Agera genom att ta och behålla initiativet, ta de risker detta kräver...
http://www.enargo.com/it/
OpenVMS Shark - i Linux finns inte SYS$CMKRNL...
Användarvisningsbild
Pink Panther
Inlägg: 3050
Blev medlem: 08 feb 2009, 02:13
OS: Linux Mint
Utgåva: Vet inte/ingen utgåva passar
Ort: Luna

Re: "Self Destruction of LUKS"

Inlägg av Pink Panther »

Dina slutsatser är riktiga.

Det vill säga att man redan känner att man är under någon form av press eller spaning, övervakning är en förutsättning. Men du riskerar fortfarande att någon med annan teknik återställer informationen. Eller bestraffar dig för felaktigt lösen som medför extra bekymmer.

"There are other ways to delete your keyslots, however the advantage of the Nuke option is it is quick, easy, and does not require you to fully login to your Kali installation. If you maintain a backup of your header, you can Nuke the keyslots whenever you feel uncomfortable. Then conduct a restoration when you feel secure"

"How to Nuke your Encrypted Kali Installation"

Källa: http://www.kali.org/how-to/nuke-kali-linux-luks/
Skriv svar

Återgå till "Experimentverkstad"