sistema de archivos encriptado
Carlos Manuel Duclos Vergara
carlos en embedded.cl
Mie Dic 22 17:18:13 CLST 2004
Holas,
>
> Daniel... a mi eso me suena como a paranoia (sin ofender claro esta)...
> eso es como mucho.. porque una cosa es un intruso y otra es que no se
> pueda acceder facilmente a la info.. esta claro que _SIEMPRE_ se puede
> acceder a la info... lo importante es cuan dificil es...
>
pretty easy, te propongo dos alternativas diferentes para hacerlo:
1.- con un modulo para el kernel (si ya tienes acceso root puedes cargar un
modulo para el kernel sin problemas):
a traves de un hook colgarse a la rutina de desencriptado del sistema de
archivos, luego dejar que el modulo espera a que alguien invoque esa rutina y
ir sacando los datos fresquitos despues de desencriptado. Notese que esto es
bastante facil en algunos procesadores que ofrecen la capacidad de debugueo
por hardware, es cosa de setear los flags correctos en el procesador y pasar
a cobrar, ni siquiera el hecho de desmontar con un timeout el sistema de
archivos te salva de esto, ya que basta que una vez pases por ahi.
2.- cambiar la libc (eres root, por lo tanto tambien puedes cambiar la libc
sin problemas de permisos, salvo quizas el reinicio de algunos programas)
por una libc pichicateada que por cada read y write que haga
copie los datos hacia un disco ram para su posterior analisis (notese que en
este punto los datos ya estan desencriptados). Tampoco te salva el desmontar
con un timeout el sistema de archivos, ya que al momento de montarlo tendras
que usar los datos y por lo tanto donarlos generosamente
> Yo recomiendo una carpeta cifrada que se monte via loop cifrado con AES
> a 256... eso es trivial de hacer y se puede hacer un programita que en
> la medida de las necesidades monte dicha carpetita o la demonte... hasta
> creo que hay una aplicacion en drake que lo hace..
> pero nunca la use..
>
no te salvas ni de 1 ni de 2
> Ahora... lo TOP TOP TOOOOOP seria algo como lo que hace pgp... que es
> tener una particion de montaje cifrado tal y como te lo digo yo pero con
> la gracia que al momento de querer accederlo te pregunta la contraseña
> para poder montarla y con time out cosa de que no te quede montada y
> otro la pueda ver..
> eso si que es top... yo estuve viendo como lo podia hacer via autofs...
> pero al parecer tenia que modificar el cod fuente para poder hacerlo ya
> que necesitaba un programa user space para poder capturar la contraseña
> y como no tengo mucho tiempo lo deje botado... pero es un tema muy
> interesante si es que no esta resuelto aun que no se si es asi...
>
tampoco te salvas ni de 1 ni de 2
Xhau
--
Carlos Manuel Duclos Vergara
carlos en embedded.cl
http://www.embedded.cl
Más información sobre la lista de distribución Linux