web-dev-qa-db-ja.com

Linuxのもっともらしい拒否可能なファイルシステム

もっともらしい否認性を維持するような方法でLinuxファイルシステムを暗号化する方法はありますか?例えば。 「非表示のOSサポート」、TrueCryptとVeracryptが機能する方法は、低レベルのDISK IO(フィルタードライバーを介して)のため、Windows OSのみをサポートし、サポートはLinuxに拡張されていません。

ご存知のように、TrueCryptは現在開発中ではなく、VeraCryptはまだ低レベルのディスクIOドライバを実装していません。

「通常の」/暗号化されていないFSでリークすることなく、非表示のパーティション/ボリュームからファイルシステムを実行/ chrootするのはどうですか?

編集:

もっともらしい否認可能性アラ(True/Vera)Crypt:「外部」暗号化コンテナー(暗号化されている/高いエントロピーを持っている/ランダムに表示される)があり、「内部」暗号化コンテナー(同じ特性を持っている必要があります)がどこにあるかパスワードを提供することができ、パスワードに応じて、外部/内部コンテナのいずれかを復号化します。これにより、恐喝/ブラックメーラーに「外部」コンテナパスワードを提供して満足させることができますが、他の暗号化データの存在を証明することはできません。また、ファイルシステムを復号化してchrootし、電源を切っても暗号化されたままになることを望みます。

10
grepNstepN

Dm-cryptとリモートヘッダー、またはraw dm-crypt暗号化とブロックデバイスオフセット( 12 )を使用して、拒否可能な暗号化を作成できます。

Dm-cryptは非常に低レベルのツールですが、TrueCryptほど簡単ではありませんが、間違いを犯すことは非常に簡単ですが、より多くの制御と柔軟性があります。

2
Lie Ryan

TrueCryptはLinuxで動作しますが、それだけでは完全なディスク暗号化をサポートしていません。

Linux内では、もっともらしい否認性を特徴とするTrueCryptボリュームをマウントして、単純にchrootできます。

または、気が利く場合は、ボリュームにDockerイメージを含めて「ドッキング」します。

6
Nate

法的注記:

それはあなたがもっともらしい否認可能性で達成することを期待するものに依存します:これはいくつかの国(例えば英国のような)でお尻に刺される可能性があります。他の場所で)、要求されたときに、デバイスに保存されているすべてのデータ(つまり、容量)に復号化キーを提供しない場合、罰金を科したり、投獄したりする可能性があります。それは、TrueCryptで暗号化されたデバイスとの国境を越える場合に取るリスクです。キーを要求された場合、デバイス上のすべてのストレージのロックを解除する答え以外は、非協力的と見なされます。

(明らかに、もっともらしい否認可能性はまた、データを証明できないことを意味しますではないそこにあり、単に何かを差し控えているわけではありません-これは自動刑務所の時間になります。注意してください。)

0
Oliver Jones