Re: [ml] Home criptata

Panagiotis Atmatzidis wrote:
> ...
> Salve,
> Domanda:
>
> A livello user, puoi 'nascondere' la password da root, con truecrypt e
> pam-mount? Se la risposta e' negativa allora in teoria una criptazione
> simile protegge solo da un attacco di un intruso con id =! 0.
> Specialmente l'auto mount al login, non mi convince. Meglio usare
> mcrypt e fare tutto manualmente no?
>   

Per ottenere questo penso che tu debba utilizzare qualche
implementazione di RBAC (tipo rsbac, selinux ecc.). In
pratica puoi specificare che root non abbia accesso a
certe risorse mentre un certo utente si. E root non puo'
cambiare questa regola. Ma non e' il mio campo per cui
gli esperti diranno meglio.

> Ed una domanda su truecrypt, esiste un attacco noto x individuare se
> il contenitore contiene dati?
>
>   

Se assumi che un contenitore riempito _interamente_ con dati
casuali (es. da /dev/random) non desti sospetti sul fatto
che ci potrebbe essere all'interno un volume crittato allora
la questione diventa la seguente: siccome l'algoritmo di
crittazione - se e' buono - scrive i dati in modo che la
loro distribuzione sia uniforme, e' importante riempire i
la parte non ancora utilizzata dal contenitore con dati
analoghi, cioe' casuali uniformi (es. /dev/random) in modo
che non si noti la differenza tra la parte scritta e quella non
scritta. In pratica la prima volta che usi un contenitore lo
riempi interamente con dati casuali (dd if=/dev/random
of=...) e poi lo usi normalmente come volume crittato.
Se quest'ultima operazione non avviene allora le due
parti appaiono piu' o meno distinte e possono indurre a
ritenere che siano presenti dati (nascosti).

Pero' l'assunzione iniziale e' abbastanza forte: per esempio un hd
nuovo non penso abbia sempre i dati sparsi uniformemente,
inizialmente. E quindi come giustifichi la presenza sull'hd di
contenitori pieni di dati perfettamente casuali? :)


Emanuele