[opensuse-es] Problema con particiones cifradas
Hola, tengo una máquina de pruebas en casa en la que instalé una 11.2 con las particiones /home y /swap cifradas. Durante el arranque me preguntaba 2 veces por la password de cada partición, lo introducía y el sistema arrancaba correctamente. A raíz de una actualización publicada ayer (zypper up), se instaló una revisión del kernel (2.6.31.8-0.1 ahora mismo). Todo terminó correctamente, pero al volver a arrancar hoy... durante el arranque tan sólo me pregunta una vez por la password, no 2. Cuando arranca el gestor de sesiones e intento iniciar sesión, no tengo acceso a /home. En el fstab tengo lo siguiente: /dev/mapper/cr_sda1 swap swap defaults 0 0 /dev/mapper/cr_sda3 /home ext4 acl,users_xattr,noauto 0 0 /dev/disk/by-id/ata-CHURRO-part2 / ext4 acl,user_xattr 1 1 ...más cosas Si intento montar /home (mount /home) me devuelve un error de mount. Al husmear en dicho error (dmesg | tail) aparece lo siguiente: "EXT4-fs (dm-0): VFS: Can't find ext4 filesystem" He comprobado, fdisk -l, que la primera partición del disco se corresponde con la swap; la segunda, con / y la tercera con /home. Durante el arranque, por detrás del splash-boot veo que falla lo siguiente: Failed feature: boot.crypto (en rojo) Skipped features: boot.cycle (en amarillo) ¿Qué falla? ¿Qué puedo hacer? -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2010-01-05 a las 16:28 -0000, Alfredo Amaya escribió:
iniciar sesión, no tengo acceso a /home. En el fstab tengo lo siguiente:
/dev/mapper/cr_sda1 swap swap defaults 0 0 /dev/mapper/cr_sda3 /home ext4 acl,users_xattr,noauto 0 0 /dev/disk/by-id/ata-CHURRO-part2 / ext4 acl,user_xattr 1 1 ...más cosas
Pon el contenido de /etc/crypt*. Probablemente "/etc/crypttab" contenga una linea que comience con "cr_sda3". Si es así, puedes intentar la partición home con: rccrypto start cr_sda3 Si falla, pon la salida, y lo nuevo que ponga en /var/log/messages.
Si intento montar /home (mount /home) me devuelve un error de mount. Al husmear en dicho error (dmesg | tail) aparece lo siguiente:
"EXT4-fs (dm-0): VFS: Can't find ext4 filesystem"
He comprobado, fdisk -l, que la primera partición del disco se corresponde con la swap; la segunda, con / y la tercera con /home.
Durante el arranque, por detrás del splash-boot veo que falla lo siguiente:
Failed feature: boot.crypto (en rojo)
Esperable. - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.9 (GNU/Linux) iEYEARECAAYFAktDhE8ACgkQtTMYHG2NR9WCSACdEZRoXcx6/ySZJdWrR3fEd43g V6wAn0Ly7dmtwjbdqvpwc0cxkjRQsoPB =uK21 -----END PGP SIGNATURE-----
Pon el contenido de /etc/crypt*. Probablemente "/etc/crypttab" contenga una linea que comience con "cr_sda3". Si es así, puedes intentar la partición home con:
rccrypto start cr_sda3
Si falla, pon la salida, y lo nuevo que ponga en /var/log/messages.
Cuando lanzo ese comando no falla, pero dice: cr_sda3: already mapped skypped pero en el archivo /etc/crypttab tengo las siguientes líneas (únicamente): cr_sda1 /dev/disk/by-id/ata-ST3500830AS_9QG48Q9Z-part1 none swap cr_sda3 /dev/disk/by-id/ata-ST3500830AS_9QG48Q9Z-part3 none none la primera es correcta, en la segunda me llaman la atención ese "none" final. Si en el sistema gráfico inicio sesión como root, en el margen izquierdo de Dolphin tengo un enlace a cada partición cifrada, listadas como "Volume (crypto_LUKS)". Haciendo clic sobre la /home, me pide la password y me la monta luego correctamente. Debería indicarle en esa línea, de alguna manera, que la cr_sda3 es /home? Por qué no lo hace directamente? Es normal que esa configuración se pierda? -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Content-ID:
Pon el contenido de /etc/crypt*. Probablemente "/etc/crypttab" contenga una linea que comience con "cr_sda3". Si es así, puedes intentar la partición home con:
rccrypto start cr_sda3
Si falla, pon la salida, y lo nuevo que ponga en /var/log/messages.
Cuando lanzo ese comando no falla, pero dice:
cr_sda3: already mapped skypped
Eso es un fallo, porque realmente no ha conseguido montar /home.
pero en el archivo /etc/crypttab tengo las siguientes líneas (únicamente):
cr_sda1 /dev/disk/by-id/ata-ST3500830AS_9QG48Q9Z-part1 none swap cr_sda3 /dev/disk/by-id/ata-ST3500830AS_9QG48Q9Z-part3 none none
la primera es correcta, en la segunda me llaman la atención ese "none" final.
Creo que es correcto. La sintaxis es: # (punto de montaje) #/dev/mapper/name device or file none options #----------------·······--------------··························-----···-------- La primera es un nombre arbitrario; el script creará el nodo "/dev/mapper/name" al dar la contraseña correcta. El segundo es el sitio donde está la partición o fichero encriptado. La tercera puede ser un fichero conteniendo claves. No se como se usa. Si es none, pide contraseña por teclado. El cuarto contiene opciones de encriptación. Yo suelo tener "noauto", pero también tengo "none". Noauto sirve para que no se monte durante el arranque, es decir, para montarlas manualmente. Sospecho que "none" es quivalente a "luks". Con swap hace que cree el espacio con mkswap cada vez. El sistema funciona con dos entradas, una en ese fichero y otra en fstab. La primera crea el nodo cifrado, la segunda lo monta. En tu caso, parece que el nodo ha aparecido, pero no se ha montado. Puedes intentar hacer: mount /home a ver que te dice. Según el resultado podremos seguir. Otros comandos: file -s /dev/mapper/cr_sda3 Te debería decir que es tipo ext4. cryptsetup status cr_sda3 te debería dar algunos datos. Para volver a intentar correr el script, puedes hacer "rccrypto stop cr_sda3". O el proceso manual, si falla: umount /home cryptsetup remove cr_sda3 El proceso manual de montaje es: cryptsetup luksOpen /dev/sda4 cr_sda3 mount /home Y ojo a una cosa: los mensajes de error, sobre todo si usas el script, no van a pantalla, van al log. Los mensajes de pantalla son confusos, probablemente intencionalmente confusos. - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.9 (GNU/Linux) iEYEARECAAYFAktLtTEACgkQtTMYHG2NR9WpVQCgjFM8tneOqQgd3rzjFZsPi5hj J5wAniI67UfnoM4cKXiJyAsXqhEYvebe =7ex8 -----END PGP SIGNATURE-----
En tu caso, parece que el nodo ha aparecido, pero no se ha montado. Puedes intentar hacer:
mount /home
a ver que te dice. Según el resultado podremos seguir.
# mount /home mount: wrong fs type, bad option, bad superblock on /dev/mapper/cr_sda3, missing codepage or helper program, or other error In some cases useful info is found in syslog - try dmesg | tail or so y ejecutando: # dmesg | tail ... [ 243.014364] EXT4-fs (dm-0): VFS: Can't find ext4 filesystem
Otros comandos:
file -s /dev/mapper/cr_sda3
Te debería decir que es tipo ext4.
Pues vaya jaleo!! # file -s /dev/mapper/cr_sda3 /dev/mapper/cr_sda3: Linux/i386 swap file (new style) 1 (4K pages) size 525990 pages
cryptsetup status cr_sda3
# cryptsetup status cr_sda3 /dev/mapper/cr_sda3 is active: cipher: aes-cbc-essiv:sha256 keysize: 128 bits device: /dev/sda1 offset: 1032 sectors size: 4207935 sectors mode: read/write
te debería dar algunos datos. Para volver a intentar correr el script, puedes hacer "rccrypto stop cr_sda3". O el proceso manual, si falla:
Pero justo en este punto... # rccrypto stop cr_sda3 cr_sda3... done ...si vuelvo a arrancar... # rccrypto start cr_sda3 Please enter passphrase for cr_sda3: Please enter passphrase for cr_sda3: key slot 0 unlocked. Command successful. cr_sda3... done lo monta perfectamente, KDE se entera y Dolphin lo monta. Puedo ver el contenido.
umount /home cryptsetup remove cr_sda3
Ahi veo un remove, ¿me cargo algo si lo lanzo?
El proceso manual de montaje es:
cryptsetup luksOpen /dev/sda4 cr_sda3 mount /home
Y ojo a una cosa: los mensajes de error, sobre todo si usas el script, no van a pantalla, van al log. Los mensajes de pantalla son confusos, probablemente intencionalmente confusos.
-- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2010-01-12 a las 17:21 -0000, Alfredo Amaya escribió:
Otros comandos:
file -s /dev/mapper/cr_sda3
Te debería decir que es tipo ext4.
Pues vaya jaleo!!
# file -s /dev/mapper/cr_sda3 /dev/mapper/cr_sda3: Linux/i386 swap file (new style) 1 (4K pages) size 525990 pages
Ondiá, ¡se han cruzado!
cryptsetup status cr_sda3
# cryptsetup status cr_sda3 /dev/mapper/cr_sda3 is active: cipher: aes-cbc-essiv:sha256 keysize: 128 bits device: /dev/sda1 offset: 1032 sectors size: 4207935 sectors mode: read/write
Ja, apunta a sda1. Que lio.
te debería dar algunos datos. Para volver a intentar correr el script, puedes hacer "rccrypto stop cr_sda3". O el proceso manual, si falla:
Pero justo en este punto...
# rccrypto stop cr_sda3 cr_sda3... done
...si vuelvo a arrancar...
# rccrypto start cr_sda3 Please enter passphrase for cr_sda3: Please enter passphrase for cr_sda3: key slot 0 unlocked. Command successful. cr_sda3... done
lo monta perfectamente, KDE se entera y Dolphin lo monta. Puedo ver el contenido.
Vaya...
umount /home cryptsetup remove cr_sda3
Ahi veo un remove, ¿me cargo algo si lo lanzo?
No, pero desactiva la partición cifrada. para eso es. - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.9 (GNU/Linux) iEYEARECAAYFAktM23UACgkQtTMYHG2NR9XuHQCbBQx/x3xMjCQCAcBFtvcE23J8 qFMAniApm90UYBG2d9GfWYCMaIGy91UU =Q7QP -----END PGP SIGNATURE-----
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Content-ID:
A raíz de una actualización publicada ayer (zypper up), se instaló una revisión del kernel (2.6.31.8-0.1 ahora mismo).
¿Qué falla? ¿Qué puedo hacer?
Ya se que falla, me pasa lo mismo. De hecho, la partición se monta, pero el script dice que falla, por lo que a tí te falla el inicio. De hecho, si correso "rccrypto status cr_sda3" te dira que "running". (Hay un error en el log sobre un nodo temporal) Voy a reportar el bug. Yo no tengo home encriptado, son particiones sueltas y no me afecta por tanto al arranque; no se como puedes conseguir entrar en tu caso. Quizás tengas que esperar o retraerte al kernel anterior. Puede que sea un bug del udev.mountd. - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.9 (GNU/Linux) iEYEARECAAYFAktEmq0ACgkQtTMYHG2NR9UQ3gCdHpMDjUpIOXw+tuC74TclPByh VWYAn0TOCiC45FR+NvDdCkR1/jJDifh0 =ujA6 -----END PGP SIGNATURE-----
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2010-01-06 a las 15:13 +0100, escribí:
Voy a reportar el bug.
Bug 568577 - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.9 (GNU/Linux) iEYEARECAAYFAktEnu4ACgkQtTMYHG2NR9XHIACePgHiS9wTDymFmTssWfu4ig5e 4SkAniNUYsX0+JrpvMvXqXbgc2PaZVhV =qZTR -----END PGP SIGNATURE-----
Voy a reportar el bug.
Bug 568577
OK, esperaré. Por ahora puedo acceder como root al sistema, montar el home y rescatar ficheros, así que no me afecta gravemente. Gracias por las pistas -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
Aunque no he dicho nada, les sigo la pista, y... pregunto(pues he oido
algo): ¿cómo puedo cifrar una partición?, ¿eso implica que si me quitan el
HDD para chismear no podrán leerlo a menos que lo monten en mi propia
máquina y entre por el sistema y con mi propia password?, ¿qué tan
confiable(desde el punto de vista de la seguridad de mis datos) es eso?,
pues ya he visto algunas piedras caer.
En Wed, 06 Jan 2010 09:45:01 -0500, Alfredo Amaya
Voy a reportar el bug.
Bug 568577
OK, esperaré. Por ahora puedo acceder como root al sistema, montar el home y rescatar ficheros, así que no me afecta gravemente. Gracias por las pistas -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
__________ Información de ESET Smart Security, versión de la base de firmas de virus 4740 (20100103) __________
ESET Smart Security ha comprobado este mensaje.
-- Saludos, Luis Esteban -- Este mensaje le ha llegado mediante el servicio de correo electronico que ofrece Infomed para respaldar el cumplimiento de las misiones del Sistema Nacional de Salud. La persona que envia este correo asume el compromiso de usar el servicio a tales fines y cumplir con las regulaciones establecidas Infomed: http://www.sld.cu/ -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2009-12-28 a las 15:45 -0500, Luis Esteban escribió:
Aunque no he dicho nada, les sigo la pista, y... pregunto(pues he oido algo): ¿cómo puedo cifrar una partición?, ¿eso implica que si me quitan el HDD para chismear no podrán leerlo a menos que lo monten en mi propia máquina y entre por el sistema y con mi propia password?, ¿qué tan confiable(desde el punto de vista de la seguridad de mis datos) es eso?, pues ya he visto algunas piedras caer.
Es cifrado por software, y se cree bastante seguro - pero no se cuanto. Es útil sobre todo para portátiles, por si te lo roban. Te puedes llevar el disco y montarlo en otro ordenador, si sabes la contraseña. El sistema más seguro consiste en usar una contraseña (larga) junto con una llave guardada en algún tipo de medio extraible. De esta manera tienen que robarte no sólo el disco (o portatil), sino también la llave y la contraseña. Pero no sé como hacer eso de una manera práctica con LUKS (que es el sistema de encriptación que se usa ahora en suse). Y me gustaría saberlo. - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.9 (GNU/Linux) iEYEARECAAYFAktE/w0ACgkQtTMYHG2NR9XVKACfQ1ykBYTK/PnliEzJ0OtjLOA8 WCgAnij7kQpMqnFcRl/JZ7FhwaTAbTWW =KAPr -----END PGP SIGNATURE-----
Hola,
Aunque no he dicho nada, les sigo la pista, y... pregunto(pues he oido algo): ¿cómo puedo cifrar una partición?, ¿eso implica que si me quitan el HDD para chismear no podrán leerlo a menos que lo monten en mi propia máquina y entre por el sistema y con mi propia password?, ¿qué tan confiable(desde el punto de vista de la seguridad de mis datos) es eso?, pues ya he visto algunas piedras caer.
Es cifrado por software, y se cree bastante seguro - pero no se cuanto. Es útil sobre todo para portátiles, por si te lo roban.
Te puedes llevar el disco y montarlo en otro ordenador, si sabes la contraseña. El sistema más seguro consiste en usar una contraseña (larga) junto con una llave guardada en algún tipo de medio extraible. De esta manera tienen que robarte no sólo el disco (o portatil), sino también la llave y la contraseña. Pero no sé como hacer eso de una manera práctica con LUKS (que es el sistema de encriptación que se usa ahora en suse). Y me gustaría saberlo.
Tal vez Alfredo nos pueda aportar algo de su experiencia -- Saludos, Luis Esteban -- Este mensaje le ha llegado mediante el servicio de correo electronico que ofrece Infomed para respaldar el cumplimiento de las misiones del Sistema Nacional de Salud. La persona que envia este correo asume el compromiso de usar el servicio a tales fines y cumplir con las regulaciones establecidas Infomed: http://www.sld.cu/ -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El Mon, 28 Dec 2009 15:45:58 -0500, Luis Esteban escribió:
Aunque no he dicho nada, les sigo la pista, y... pregunto(pues he oido algo): ¿cómo puedo cifrar una partición?,
Con YaST debería ser un proceso sencillo: seleccionar o crear la partición que contendrá los datos cifrados y cifrarla.
¿eso implica que si me quitan el HDD para chismear no podrán leerlo a menos que lo monten en mi propia máquina y entre por el sistema y con mi propia password?,
Los datos sólo se podrán leer si proporcionas la contraseña correcta, bien sea en tu propio equipo o si pinchas en disco en otro.
¿qué tan confiable(desde el punto de vista de la seguridad de mis datos) es eso?, pues ya he visto algunas piedras caer.
Pues dependerá del uso que le des. Por ejemplo, si cifras una partición con datos a los que accedes a menudo, esos datos pueden ir a parar a otras ubicaciones que no están cifradas, como puede ser /tmp. Si te quitan/pierdes el portátil y los datos han quedado disponibles en esas particiones sin cifrar, entonces es como si no hubieras hecho nada :-) Lo ideal sería cifrar una partición que no vayas a utilizar a diario, es decir, que sea de archivo definitivo. Lo recomendable es usar un cifrado del sistema completo y de todas las particiones ("/home", "/swap", "/", etc...), bien por software (intuyo que será un poco más lento en equipos antiguos y que el proceso completo aún no está muy pulido) o bien por hardware (hay discos duros que ya permiten activar el cifrado desde la BIOS). Personalmente prefiero el sistema de cifrado por disco -por hardware- me parece un sistema más fiable, cómodo y práctico para el usuario. Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2010-01-07 a las 15:37 -0000, Camaleón escribió:
El Mon, 28 Dec 2009 15:45:58 -0500, Luis Esteban escribió:
Aunque no he dicho nada, les sigo la pista, y... pregunto(pues he oido algo): ¿cómo puedo cifrar una partición?,
Con YaST debería ser un proceso sencillo: seleccionar o crear la partición que contendrá los datos cifrados y cifrarla.
Así es. Lo hace el módulo de particionado.
¿qué tan confiable(desde el punto de vista de la seguridad de mis datos) es eso?, pues ya he visto algunas piedras caer.
Pues dependerá del uso que le des.
Por ejemplo, si cifras una partición con datos a los que accedes a menudo, esos datos pueden ir a parar a otras ubicaciones que no están cifradas, como puede ser /tmp. Si te quitan/pierdes el portátil y los datos han quedado disponibles en esas particiones sin cifrar, entonces es como si no hubieras hecho nada :-)
Por eso en los portátiles se cifra todo.
Lo ideal sería cifrar una partición que no vayas a utilizar a diario, es decir, que sea de archivo definitivo.
Sí, eso es lo que yo hago.
Lo recomendable es usar un cifrado del sistema completo y de todas las particiones ("/home", "/swap", "/", etc...), bien por software (intuyo que será un poco más lento en equipos antiguos y que el proceso completo aún no está muy pulido) o bien por hardware (hay discos duros que ya permiten activar el cifrado desde la BIOS).
Es más lento, pero es admisible. Es un motivo para sólocifrar la partición de archivo, no la normal.
Personalmente prefiero el sistema de cifrado por disco -por hardware- me parece un sistema más fiable, cómodo y práctico para el usuario.
Siii... pero. No es abierto. Es transparente. No se sabe su fiabilidad. Es más rápido. No hay datos sobre uso en linux (lo hace hdmparm -algo). - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.9 (GNU/Linux) iEYEARECAAYFAktGCDkACgkQtTMYHG2NR9VBkwCggLj8IKk+LAcVkdZC12YY7I8P WqQAoIzKeIONzxW0XQ2sVjA9Zlexeec8 =tEUJ -----END PGP SIGNATURE-----
El Thu, 07 Jan 2010 17:13:44 +0100, Carlos E. R. escribió:
Personalmente prefiero el sistema de cifrado por disco -por hardware- me parece un sistema más fiable, cómodo y práctico para el usuario.
Siii... pero.
No es abierto.
Es un estándar ISO >:-) *** http://www.trustedcomputinggroup.org/media_room/news/69 Trusted Computing Group's Trusted Platform Module Gets ISO Standardization Date Published: August 5, 2009 (...) Documents from ISO include ISO/IEC 11889-1:2009, an overview of the TPM, which describes the TPM and how it fits into the trusted platform. ISO/ IEC 11889-1:2009 describes trusted platform concepts such as the trust boundary, transitive trust, integrity measurement, and integrity reporting. Additional ISO documents provide TPM design principles, structures and commands. ***
Es transparente.
Sí.
No se sabe su fiabilidad.
¿A qué te refieres? ¿A la "fiabilidad" de usar una partición cifrada con XFS y que te deje bloqueado el sistema o a otro tipo de "fiabilidad"?
:-)
Es más rápido.
Sí.
No hay datos sobre uso en linux (lo hace hdmparm -algo).
¿No habíamos quedado en que era "transparente" y "estándar"? >:-P *** http://tpmdd.sourceforge.net/ Linux TPM Device Driver This project provides a Linux kernel device driver to enable the TPM chip as described by Trusted Computing Group specifications. The TPM chip will enable you to use hardware to securely store and protect your keys and personal data. The Trusted Comuting Group specifications also describes a library for application access to the TPM funcitonality. A Linux implementation of this Trusted Software Stack (TSS) library is TrouSerS. Work is ongoing to have this driver accepted into the vanilla Linux kernel. Watch our mailing list (tpmdd-devel@lists.sourceforge.net) or LKML for details. *** Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2010-01-07 a las 18:21 -0000, Camaleón escribió:
El Thu, 07 Jan 2010 17:13:44 +0100, Carlos E. R. escribió:
Personalmente prefiero el sistema de cifrado por disco -por hardware- me parece un sistema más fiable, cómodo y práctico para el usuario.
Siii... pero.
No es abierto.
Es un estándar ISO >:-)
¿Mande?
*** http://www.trustedcomputinggroup.org/media_room/news/69
Trusted Computing Group's Trusted Platform Module Gets ISO Standardization Date Published: August 5, 2009
¿Eso es lo que implementa el firmware de un disco duro de Seagate o de Hitachi, todos el mismo? No estoy seguro de que hablemos de lo mismo. Yo hablo del "ATA Security Feature Set".
Es transparente.
Sí.
No se sabe su fiabilidad.
¿A qué te refieres? ¿A la "fiabilidad" de usar una partición cifrada con XFS y que te deje bloqueado el sistema o a otro tipo de "fiabilidad"?
:-)
Te quedas sin disco duro como pierdas la clave, tienes que enviarlo al fabricante, por ejemplo. Pero no se sabe la fuerza de la encriptación, al ser sistemas cerrados de cada fabricante, y cada uno distinto. No, no me has convencido todavía de que lo que hace hdparm - --security-set-pass PWD sea ese estandar ISO, el manual del hdparm no menciona ningún estandard.
Es más rápido.
Sí.
No hay datos sobre uso en linux (lo hace hdmparm -algo).
¿No habíamos quedado en que era "transparente" y "estándar"? >:-P
No. No me lo creo, el manual del hdparm no dice nada de eso.
*** http://tpmdd.sourceforge.net/
Linux TPM Device Driver
This project provides a Linux kernel device driver to enable the TPM chip as described by Trusted Computing Group specifications. The TPM chip will enable you to use hardware to securely store and protect your keys and personal data. The Trusted Comuting Group specifications also describes a library for application access to the TPM funcitonality. A Linux implementation of this Trusted Software Stack (TSS) library is TrouSerS. Work is ongoing to have this driver accepted into the vanilla Linux kernel. Watch our mailing list (tpmdd-devel@lists.sourceforge.net) or LKML for details. ***
O sea, un chip muy especial que los fabricantes pueden poner o no. Y que no ha sido aceptado todavía por la gente del kernel. - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.9 (GNU/Linux) iEYEARECAAYFAktGMKsACgkQtTMYHG2NR9WhyQCfbYXI2UPAlhI1/qxxnmwNA58h 7G0AoIKApW0Tp3w/DZPu2EWjhoK3dwuW =1BJL -----END PGP SIGNATURE-----
El Thu, 07 Jan 2010 20:06:12 +0100, Carlos E. R. escribió:
El 2010-01-07 a las 18:21 -0000, Camaleón escribió:
Es un estándar ISO >:-)
¿Mande?
*** http://www.trustedcomputinggroup.org/media_room/news/69
Trusted Computing Group's Trusted Platform Module Gets ISO Standardization Date Published: August 5, 2009
¿Eso es lo que implementa el firmware de un disco duro de Seagate o de Hitachi, todos el mismo?
No estoy seguro de que hablemos de lo mismo. Yo hablo del "ATA Security Feature Set".
Yo hablo del TPM, la plataforma completa que obviamente incluye todos los "feature sets" del ATA. Si el disco que compres implementa TPM versión "la-que-sea", es que sigue esa especificación... estándar.
No se sabe su fiabilidad.
¿A qué te refieres? ¿A la "fiabilidad" de usar una partición cifrada con XFS y que te deje bloqueado el sistema o a otro tipo de "fiabilidad"?
:-)
Te quedas sin disco duro como pierdas la clave, tienes que enviarlo al fabricante, por ejemplo. Pero no se sabe la fuerza de la encriptación, al ser sistemas cerrados de cada fabricante, y cada uno distinto.
Sí se sabe, sólo tienes que mirar las especificaciones del disco que compras. AES-256 es la habitual.
No, no me has convencido todavía de que lo que hace hdparm - --security-set-pass PWD sea ese estandar ISO, el manual del hdparm no menciona ningún estandard.
¿Yoooo, convencerte de algo... a ti? Je, "cuando las ranas críen pelo y monten a caballo" (nota de Camaleón: es un dicho español que significa "eso no va a pasar nunca" :-P). Ya te convencerás por ti mismo...
No hay datos sobre uso en linux (lo hace hdmparm -algo).
¿No habíamos quedado en que era "transparente" y "estándar"? >:-P
No. No me lo creo, el manual del hdparm no dice nada de eso.
Es posible que el "hdparm" no lo soporte/implemente... eso no quiere decir que la tecnología sea o no un estándar. Te recuerdo que se ha convertido en ISO hace apenas unos meses.
*** http://tpmdd.sourceforge.net/
Linux TPM Device Driver
This project provides a Linux kernel device driver to enable the TPM chip as described by Trusted Computing Group specifications. The TPM chip will enable you to use hardware to securely store and protect your keys and personal data. The Trusted Comuting Group specifications also describes a library for application access to the TPM funcitonality. A Linux implementation of this Trusted Software Stack (TSS) library is TrouSerS. Work is ongoing to have this driver accepted into the vanilla Linux kernel. Watch our mailing list (tpmdd-devel@lists.sourceforge.net) or LKML for details. ***
O sea, un chip muy especial que los fabricantes pueden poner o no. Y que no ha sido aceptado todavía por la gente del kernel.
No es un chip "muy especial". Es un modelo normalizado para añadir seguridad en los discos duros. Y si no lo han incluido en el kernel será porque es algo nuevo, como siempre. Mira qué casualidad, parece que en el IEEE también dicen algo sobre este chip "tan especialísimo": *** http://ieeexplore.ieee.org/Xplore/login.jsp?url=http%3A%2F%2Fieeexplore.ieee.org%2Fiel5%2F4287452%2F4287802%2F04287984.pdf%3Farnumber%3D4287984&authDecision=-203 A New Data Protecting Scheme Based on TPM Summary:Trusted platform model (TPM) is special-purpose integrated circuits built into a variety of platforms to enable strong user authentication and machine attestation-essential to prevent inappropriate access to confidential and sensitive information and to protect against compromised networks. As a necessary component for multifarious platforms, storage device keeps on a mass of data including confidential and secretive information. How to ensure data not to be accessed by unauthorized users effectively, and to guarantee information to be in safe and secure state? Aiming at these problems, we put forward a novel scheme for protecting data on personal computer platform. By combing trusted computing platform, we propose a secure and reliable model for user authentication and data encryption. The model uses storage protocol to establish a password system to encrypt data, and uses TPM to authenticate different users. We also implement this model by adding it into trusted computing platform. The enhanced platform can not only encrypt data per sector drastically, but also exclude those who can't be authenticated. Some external software attacks and physical theft also cut no ice. *** Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2010-01-07 a las 19:44 -0000, Camaleón escribió:
El Thu, 07 Jan 2010 20:06:12 +0100, Carlos E. R. escribió:
No estoy seguro de que hablemos de lo mismo. Yo hablo del "ATA Security Feature Set".
Yo hablo del TPM, la plataforma completa que obviamente incluye todos los "feature sets" del ATA. Si el disco que compres implementa TPM versión "la-que-sea", es que sigue esa especificación... estándar.
Mmmm.
No, no me has convencido todavía de que lo que hace hdparm - --security-set-pass PWD sea ese estandar ISO, el manual del hdparm no menciona ningún estandard.
¿Yoooo, convencerte de algo... a ti? Je, "cuando las ranas críen pelo y monten a caballo" (nota de Camaleón: es un dicho español que significa "eso no va a pasar nunca" :-P).
Ya te convencerás por ti mismo...
Cuando el linux lo soporte, ya tendrán pelo las ranas :-P Ahora mismo, es como si no existiera. Y no sabemos si los discos duros de nuestros ordenadores soportan ese "estandard".
http://ieeexplore.ieee.org/Xplore/login.jsp?url=http%3A%2F%2Fieeexplore.ieee.org%2Fiel5%2F4287452%2F4287802%2F04287984.pdf%3Farnumber%3D4287984&authDecision=-203 A New Data Protecting Scheme Based on TPM
Summary:Trusted platform model (TPM) is special-purpose integrated circuits built into a variety of platforms to enable strong user authentication and machine attestation-essential to prevent inappropriate access to confidential and sensitive information and to protect against compromised networks. As a necessary component for multifarious platforms, storage device keeps on a mass of data including confidential and secretive information. How to ensure data not to be accessed by unauthorized users effectively, and to guarantee information to be in safe and secure state? Aiming at these problems, we put forward a novel scheme for protecting data on personal computer platform. By combing trusted computing platform, we propose a secure and reliable model for user authentication and data encryption. The model uses storage protocol to establish a password system to encrypt data, and uses TPM to authenticate different users. We also implement this model by adding it into trusted computing platform. The enhanced platform can not only encrypt data per sector drastically, but also exclude those who can't be authenticated. Some external software attacks and physical theft also cut no ice. ***
Ojo, es una plataforma. Eso creo que requiere soporte correspondiente en la placa. Reconoce diversos usuarios... es no es el cifrado que llevan los discos duros que se compran en la tienda. - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.9 (GNU/Linux) iEYEARECAAYFAktGREEACgkQtTMYHG2NR9VzMACfVaW9EGrhou/DfvAwblTROTpk pLsAn2QBfvv7t4T+Jw3RWFepFMLRqEvr =KHwi -----END PGP SIGNATURE-----
El Thu, 07 Jan 2010 21:29:51 +0100, Carlos E. R. escribió:
El 2010-01-07 a las 19:44 -0000, Camaleón escribió:
El Thu, 07 Jan 2010 20:06:12 +0100, Carlos E. R. escribió:
No estoy seguro de que hablemos de lo mismo. Yo hablo del "ATA Security Feature Set".
Yo hablo del TPM, la plataforma completa que obviamente incluye todos los "feature sets" del ATA. Si el disco que compres implementa TPM versión "la-que-sea", es que sigue esa especificación... estándar.
Mmmm.
Ya >:-)
Ya te convencerás por ti mismo...
Cuando el linux lo soporte, ya tendrán pelo las ranas :-P
¿Qué entiendes por "cuando el linux lo soporte"? Puedes instalar cualquier sistema con un disco que admita cifrado, no veo el problema.
Ahora mismo, es como si no existiera. Y no sabemos si los discos duros de nuestros ordenadores soportan ese "estandard".
Tu disco duro claro que no, necesita el chip y no creo que lo tenga. Tampoco creo que tu BIOS esté preparada. De hecho sólo unos pocos discos de gama empresarial y para portátiles lo admiten.
http://ieeexplore.ieee.org/Xplore/login.jsp?url=http%3A%2F% 2Fieeexplore.ieee.org%2Fiel5%2F4287452%2F4287802%2F04287984.pdf%3Farnumber %3D4287984&authDecision=-203 A New Data Protecting Scheme Based on TPM
(...)
Ojo, es una plataforma. Eso creo que requiere soporte correspondiente en la placa. Reconoce diversos usuarios... es no es el cifrado que llevan los discos duros que se compran en la tienda.
A ver... una cosa es la plaforma (TPM) que engloba todos los medios posibles de cifrado y su implementación y otra cosa son los medios que se utilizan para llevarlo a cabo. Hay discos duros que usan cifrado y que usan esa plataforma para proporcionar seguridad "extra" (solicitud de credenciales al iniciar el sistema, en la BIOS): http://en.wikipedia.org/wiki/Hardware-based_Full_Disk_Encryption Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
Muy buena su explicación. :)
Aunque no he dicho nada, les sigo la pista, y... pregunto(pues he oido algo): ¿cómo puedo cifrar una partición?,
Con YaST debería ser un proceso sencillo: seleccionar o crear la partición que contendrá los datos cifrados y cifrarla.
¿eso implica que si me quitan el HDD para chismear no podrán leerlo a menos que lo monten en mi propia máquina y entre por el sistema y con mi propia password?,
Los datos sólo se podrán leer si proporcionas la contraseña correcta, bien sea en tu propio equipo o si pinchas en disco en otro.
¿qué tan confiable(desde el punto de vista de la seguridad de mis datos) es eso?, pues ya he visto algunas piedras caer.
Pues dependerá del uso que le des.
Por ejemplo, si cifras una partición con datos a los que accedes a menudo, esos datos pueden ir a parar a otras ubicaciones que no están cifradas, como puede ser /tmp. Si te quitan/pierdes el portátil y los datos han quedado disponibles en esas particiones sin cifrar, entonces es como si no hubieras hecho nada :-)
Lo ideal sería cifrar una partición que no vayas a utilizar a diario, es decir, que sea de archivo definitivo.
Lo recomendable es usar un cifrado del sistema completo y de todas las particiones ("/home", "/swap", "/", etc...), bien por software (intuyo que será un poco más lento en equipos antiguos y que el proceso completo aún no está muy pulido) o bien por hardware (hay discos duros que ya permiten activar el cifrado desde la BIOS).
Personalmente prefiero el sistema de cifrado por disco -por hardware- me parece un sistema más fiable, cómodo y práctico para el usuario.
Saludos,
-- Saludos, Luis Esteban -- Este mensaje le ha llegado mediante el servicio de correo electronico que ofrece Infomed para respaldar el cumplimiento de las misiones del Sistema Nacional de Salud. La persona que envia este correo asume el compromiso de usar el servicio a tales fines y cumplir con las regulaciones establecidas Infomed: http://www.sld.cu/ -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2010-01-06 a las 14:45 -0000, Alfredo Amaya escribió:
Voy a reportar el bug.
Bug 568577
OK, esperaré. Por ahora puedo acceder como root al sistema, montar el home y rescatar ficheros, así que no me afecta gravemente. Gracias por las pistas
He puesto también un correo en la lista de seguridad, por si te quieres añadir. - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.9 (GNU/Linux) iEYEARECAAYFAktEvzoACgkQtTMYHG2NR9Wr5wCfX5Cg+NPQuOPmUstcEy4TLU0y DPMAnjNHhs7CkcxgZU7wjkmyCjvr9Or+ =W4YF -----END PGP SIGNATURE-----
¿Qué falla? ¿Qué puedo hacer?
Ya se que falla, me pasa lo mismo. De hecho, la partición se monta, pero el script dice que falla, por lo que a tí te falla el inicio. De hecho, si correso "rccrypto status cr_sda3" te dira que "running".
rccrypto status cr_sda3 running cr_sda3 [ mapped ] Exacto -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
participants (4)
-
Alfredo Amaya
-
Camaleón
-
Carlos E. R.
-
Luis Esteban