Amendamente la ghid

Mi s-a reproșat la articolul precedent, printre altele, că:

1. Propun citirea FAQ-ului LUKS în contextul schimbării opțiunilor implicite.

Opțiunile implicite sunt bune, cu câteva excepții. Excepții descrise în FAQ.
If you need it, you’ll know it.

2. Multă informație redundantă.

Este. Greșeala mea pentru că am repetat lucruri deja scrise. Dacă stau bine să mă uit, tot articolul este redundant.
Trebuie luat mai mult ca o listă de link-uri.

3. Ce înseamnă parolă lungă sau complexă?

Puteți începe de aici
https://en.wikipedia.org/wiki/Password

Pentru unii lungă înseamnă 10 caractere. Pentru alții 80.

Complexă? Adică random. Cât mai greu de ghicit. Nu numele mamei sau numărul de la mașină. 

4. dd if=/dev/urandom of=/dev/hddmeu înainte de criptare e irelevantă.

„Umplut hdd-ul criptat cu LUKS cu urandom are avantaje discutabile. Dar să presupunem că merge. Eu am găsit păreri împărțite, „

Ideea nu e de wipe, ideea e de a îngreuna delimitarea datelor. 

5. „Împotriva keylogger-elor puteți ține keyfile pe un SD card și la bootare în initramfs

Poate îngreuna folosirea unui atac. Dar sunt alte metode.
Între parola 123456 și un keyfile ținut pe SD în buzunar eu aleg SD-ul.

6. „Un plus de siguranță ar fi să criptați și /home cu o parolă la fel de lungă

E o greșeală. home e criptat oricum pentru că tot HDD-ul e criptat. 

Home ar trebui să fie pe o partiție separată pentru flexibilitate. Criptat la fel.

Sau puneți tot sub LVM și criptați peste LVM, e mai ușor pentru hibernarea cu swap.

7. pornit tor, configurat vidalia să iasă prin proxy localhost:8080

Echipa din spatele TBB recomandă să nu schimbați valorile implicite. Eu spun că nu-i nicio problemă să faci asta cât timp realizezi ce faci. Trecerea printr-un proxy local înainte de TOR poate fi făcută și din afara TBB-ului (din firewall sau variabilele de sistem, nu am încercat varianta 2).

Totuși dacă ce scrie pe aici e nou/SF pentru voi, nu schimbați nimic. Singurul risc e să vadă cineva că ieșiți prin tor (inclusiv cu bridge-uri obuscate sau nu). Check wiki.

8 ” Firefox & extensiile standard pentru privacy. Chromium la fel. Nu Chrome totuși. Chromium e ok

E vag, foarte vag și îmi asum greșeala. Dar nu voi detalia.

9 Gpg2 Trebuie să fie setat pe niște algoritmi puternici <https://www.apache.org/dev/openpgp.html&gt;. Deși mărimea nu contează (spun unii) după 2048, rău nu face.

Gpg2 poate fi gpg(1).

Algoritmi puternici = ăia considerați mai safe. SHA-1 nu de exemplu. Deși nu o să muriți din asta. Scrie în link și în alte linkuri. Pentru o listă, mail.

10. „Parolele uzuale se țin în keepass

Alegeți voi varianta de KeePass sau compatibilă, în funcție de necesități. Sunt zeci de articole și wiki-uri.
Encryption rounds se schimbă pentru a îngreuna atacurile pe bază de dicționar/brute.

KeePass nu e sf graal. 

11. Există modele de atacuri/atacatori/situații/amenințării pe care nu le-am menționat și care schimbă datele problemei. Le găsiți singuri și după un timp poate construiți. 

Atenție, articolul nu este pentru specialiști sau pentru cei peste piciorul broaștei. Asta a fost intenția mea. E o încercare de popularizare a unor unelte. Nu este în niciun fel exhaustiv, nici măcar aproape. Nu acoperă tot și nu este un tutorial. 

Închei subiectul pe blog. Oricum a fost o idee proastă, Internetul e plin de documentație și românii știu toți engleză. 

Pentru alte nedumeriri, folosiți BitLocker și citiți documentația de la manage-bde.

Anunțuri

Vorbeşte-mi murdar...

Completează mai jos detaliile tale sau dă clic pe un icon pentru a te autentifica:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare / Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare / Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare / Schimbă )

Fotografie Google+

Comentezi folosind contul tău Google+. Dezautentificare / Schimbă )

Conectare la %s