У меня есть флешка с бэкапами профилей различных программ, базой паролей, некоторыми личными данными и т.д.
Хотелось бы защитить данные на этой флешке от посторонних, а именно:
1) Все данные на флешке должны шифроваться.
2) Доступ к данным должен осуществляться только по паролю.
3) Доступ к данным должен осуществляться по возможности без использования какой нибудь программы вне флешки.
4) Решение по возможности должно быть кросплатформенным (Linux и Windows), или хотябы запускаться под Wine, опять же, если возможно.
Rosenfeld, Вам бы специалистом по защите информации работать 
спасибо, отлично все расписали.
удалено
Не обижайтесь - слабый раздел.
Особенно про удаление критичных данных, так как там рассматриваются и предлагаются проприетарные программы.
Особенно сомнительно написано "Удаление конфиденциальных данных в Интернет", в котором внушается мысль, что достаточно удалить накопленные temporary-данные встроенными средствами браузеров - и все будет в полном порядке.
Rosenfeld
Да спамер это. По крайней мере, был на ру-борде пару месяцев назад с такими же ссылками на свой блог.
Да вот я тоже смотрю - как-то синхронно две ссылки сразу появились в разных темах. Хотя первая была по делу.
Добавил (совсем запамятовал о нем) важный пункт G., а также ссылку на описываемый в нем программный продукт:
Rosenfeld, спасибо Вам огромное!
Благодаря вашим постам уже несколько месяцев пользуюсь вот такой связкой:
Dropbox -> TrueCrypt. В криптоконтейнере у меня лежит база от KeePass'a и зашифрованная база от Mirand'ы (специальный драйвер поставил вместо стандартного).
Теперь я счастлив
okkamas_knife:
Вот кстати да, у меня дома семёрка. Надо будет прошариться по встроенным методам бэкапа. Спасибо большое
Для хранения паролей и личных данных можно использовать классическое криптосредство под названием KeePass.
Недавно писал в блоге об этом менеджере паролей. Эта удобная и функциональная программа действительно помогает не забыть пароли, и защитить их. Я доволен KeePass, и различные отзывы пользователей, которые мне попадались, также по большей части были положительны. Но недавно довелось прочесть статью из журнала ComputerBild №08 за 2010 (называется она «За шестью замками»), в которой описаны результаты тестирования восьми программ для хранения паролей. Если верить написанному (присутствует большая таблица результатов), проводились грамотные и обстоятельные тесты. Так вот, KeePass занял там 5-е место.
Мотивация заниженной оценки:
В ходе тестирования в работе KeePass Password Safe 2 обнаружены серьёзные недостатки, не позволяющие обеспечивать высокий уровень безопасности. Например, программа «забывает» удалить пароли и другие сведения из оперативной памяти, что делает конфиденциальные данные лёгкой добычей для троянских программ. К томе же KeePass Password Safe 2 в большинстве случаев не в состоянии противостоять атакам методом «грубой силы» при подборе главного пароля.
Впереди оказались такие программы, как Steganos Password Manager 11 (Free), Rony Shapiro Password Safe 3.2 (Free) — к ним также были предъявлены некоторые претензии. Второе место у Steganos Password Manager 12 (Trial, 1050 руб.), а первое у Acebit Password Depot 4 (Trial, 1350 руб.) — у этих двух программ выявили лишь такие недостатки, как «допускает использование простых паролей» и «возможно изменение настроек без ввода главного пароля».
Вот такие результаты. Однако KeePass Password Safe привлекателен не только в силу своего удобства и функциональности, но и в силу того, что является opensource-приложением (причём, сертифицированным OSI). Конкуренты же — проприетарные и платные…
Как же быть? Наверное, всё же хранить пароли в KeePass, но спрятанном в контейнер FreeOTFE; а вводить символы с безопасной виртуальной клавиатуры?
К томе же KeePass Password Safe 2 в большинстве случаев не в состоянии противостоять атакам методом «грубой силы» при подборе главного пароля.
Поставте для базы данных задержку перед открытием: это хорошая защита от метода перебора паролей (что видать и назвали "грубой силой").
Вот кстати из ещё одной статьи:
В предыдущем тестировании KeePass получила оценку «плохо», поскольку с помощью специальных программ хакеры могли считать главный пароль из оперативной памяти. Новая версия (1.09) ставит заслон для подобного мошенничества: теперь главный пароль в оперативной памяти обнаружить не удастся.
Наверняка в журнале использовали более ранние версии.
Наверняка в журнале использовали более ранние версии.
А в статье написано, что использовали версию 2, в цитате это присутствует. И, как я понял, в оперативной памяти остаётся не главный пароль к базе, а отдельные пароли, которые копируются в защищённый буфер, например. Впрочем, от себя мне нечего добавить — процесс «добывания» таких данных из оперативной памяти я весьма смутно представляю, не знаком с действиями и ПО подобного рода.
А по сути, для меня эти тесты ещё не повод перестать пользоваться KeePass
Линейки 1.x и 2.x параллельны, поэтому баг вполне мог быть в обоих версиях, а потом его исправили.
Да и объективность этих тестов вызывает сомнения: они не приняли во внимание опцию задержки перед открытием базы, да и заявили что KeePass невозможно использовать с флешки 
Да и объективность этих тестов вызывает сомнения: они не приняли во внимание опцию задержки перед открытием базы, да и заявили что KeePass невозможно использовать с флешки
Кстати да, правда ваша, в статье написано, что среди описанных программ, возможность запуска с флэшки есть лишь у Steganos Password Manager 12.
лучшая зашита данных на флешке это кусачки и зажигалка,чтоб в случае чего уничтожить её физически,
Ну это не всегда работает ))) Есть вот такая флешка:http://www.igromania.ru/articles/57800/ … rvivor.htm
Например, программа «забывает» удалить пароли и другие сведения из оперативной памяти, что делает конфиденциальные данные лёгкой добычей для троянских программ.
Кстати, в средах, где нет явного управления памятью, это далеко не всегда возможно.
К томе же KeePass Password Safe 2 в большинстве случаев не в состоянии противостоять атакам методом «грубой силы» при подборе главного пароля.
Что скрывается под этим, можно только гадать.
Поставте для базы данных задержку перед открытием: это хорошая защита от метода перебора паролей
Это snake oil, а не защита
Что скрывается под этим, можно только гадать.
Если прочитать статью, то там указывается что "грубая сила" это метод перебора паролей.
Это snake oil, а не защита
Не могли бы вы объяснить значение этого басурманского словосочетания. Может это и не защита, но это делает подобный метод в большинстве случаев просто бесполезным.
Не могли бы вы объяснить значение этого басурманского словосочетания. Может это и не защита, но это делает подобный метод в большинстве случаев просто бесполезным.
Ни в какой мере не делает. Никто не мешает атакующему просто написать переборщик паролей, в котором этой задержки не будет. Замедлить перебор не меняя собственно алгоритма шифрования невозможно - это либо некомпетентность разработчиков, либо намеренное введение пользователей в заблуждение.
Snake Oil - термин означает меры защиты, по факту оказывающиеся уязвимыми или вовсе бесполезными.
Ни в какой мере не делает. Никто не мешает атакующему просто написать переборщик паролей, в котором этой задержки не будет. Замедлить перебор не меняя собственно алгоритма шифрования невозможно - это либо некомпетентность разработчиков, либо намеренное введение пользователей в заблуждение.
Смысл защиты такой, то что это время появляется не просто так. При открытии базы данных происходит множество расчётов, по которым она расшифровывается. При включении такой защиты количество операций по расшифровке увеличивается (сколько циклов - указывает сам пользователь). И пока все расчёты не будут произведены, базу не расшифровать т.к. пока не будут завершены все циклы, база всё ещё останется зашифрованной. Т.е. защита находится в самой базе, а не в программе шифрования.
Но чем мощнее компьютер, тем быстрее происходит подбор. Однако, если, скажем, на своём Core2Duo E8400 установил задержку примерно в 5 секунд, то даже на разогнанном компьютере с Core i7 пароль наврятли будет подбираться быстрее, чем один-два раза в секунду. А так как пароль совсем не маленький, то и время это займёт ооооооочень много. А тратить столько времени на расшифровывание базы паролей обычного пользователя никто не станет.
Ну а те, кто хранят особо конфиденциальную информацию не будут ограничиваться одной только базой паролей.
При включении такой защиты количество операций по расшифровке увеличивается (сколько циклов - указывает сам пользователь).
Ну так это ж не временная задержка, а кратное шифрование. Да, в принципе при правильной реализации это может улучшить защиту, только вовсе не от "грубой силы", а от словарной атаки.
Ну так это ж не временная задержка, а кратное шифрование
Благодаря ему и увеличивается время расшифровки базы, а следовательно появляется и временная задержка.
Да, в принципе при правильной реализации это может улучшить защиту, только вовсе не от "грубой силы", а от словарной атаки.
Ну, то что паролем окажется слово из словаря далеко не факт...
А так как пароль совсем не маленький, то и время это займёт ооооооочень много.
Кстати, я недавно читал в учебнике, что подбор пароля из шести цифр на процессоре с частотой, если мне не изменяет память, 800 МГц занимает 6 секунд, а подбор пароля из десяти различных символов (то есть букв разных алфавитов, цифр, других знаков) — более трёх миллиардов лет! В обоих случаях не учитывалась возможность использования словаря. Использование суперкомпьютера типа "Эльбрус" ускоряет подбор в 10 тысяч раз.
Использование суперкомпьютера типа "Эльбрус" ускоряет подбор в 10 тысяч раз.
Кто будет суперкомпьютером расшифровывать базу паролей обычного пользователя?
Пароль состоит далеко не только из цифр, да и, опять же, не забываем про то, что на открытие БД требуются относительно долгие вычисления.
Ну, то что паролем окажется слово из словаря далеко не факт...
Под взломом "грубой силой" обычно понимают взлом непосредственно ключа шифрования, а не пароля, из которого он генерируется. Хотя, мне вообще странной кажется идея усиливать практически самую сильную часть в системе.
Rosenfeld,
спасибо за профессиональный ответ.
Если Вас не затруднит, то подскажите, пожалуйста: какой версией KeePass лучше воспользоваться - 1.18 или 2.14?
Судя по Вашему UA, Вы пользуетесь Windows. В таком случае лучше выбрать ветку 1.* (как в стационарном, так и в portable-вариантах). Все дело в том, что ветка 2.* требует предустановленную в ОС среду .NET (а это сотни дополнительных мегабайтов).
Судя по Вашему UA, Вы пользуетесь Windows. В таком случае лучше выбрать ветку 1.* (как в стационарном, так и в portable-вариантах). Все дело в том, что ветка 2.* требует предустановленную в ОС среду .NET (а это сотни дополнительных мегабайтов).
Спасибо, Rosenfeld.
P.S.
Есть ещё несколько вопросов, но чтобы не оффтопить : ) задам их в ветке FAQ по Rosenfox`у.
Кто будет суперкомпьютером расшифровывать базу паролей обычного пользователя?
Я о том, что если пароль серьёзный, то и суперкомпьютер не взломает (ну, теоретически может случайно хоть с первого раза попасть, но вероятность ведь какая). То есть то, что пароль из десяти различных символов (то есть букв разных алфавитов, цифр, других знаков) на компьютере «Эльбрус» можно подобрать не за три с половиной миллиарда, а за примерно триста пятьдесят тысяч лет, ситуацию не меняет — через такой срок эти данные не будут иметь значения ни для Вас, ни для того, кто пытался взломать.
Есть ещё несколько вопросов, но чтобы не оффтопить : ) задам их в ветке FAQ по Rosenfox`у.
Там - НЕ НАДО! Это же ФАК. Просто откройте новую тему.
Rosenfeld
Из-за ваших советов безопасности я схожу с ума. Сегодня увидел надпись TOP (слово ТОП, которое зачем то написали по английски) компаний. Первая мысль - какого чёрта здесь делает тор (а это, как вы поняли, совсем не топ), затем увидев первым эмблему лаборатории касперского подумал: "видать какие-то компании решили добавить в тор свои сервера" и только после того как увидел эмблему какого-то цветочного магазина, наконец то понял что это слово "топ". 
Я искренне рад, что некоторые мои советы и рекомендации настолько прочно отложились в умах отдельных продвинутых пользователей... Лично для меня - это еще один стимул продолжать начатые темы... Ибо "Паранойя - это моя специальность!"