[e-privacy] filesystem cifrati

Sanata sanata at paranoici.org
Sun May 27 16:41:21 CEST 2007 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Salve, sono iscritto da pochi giorni a questa lista ma sono da sempre
molto interessato al campo della privacy e della sicurezza informatica.
Spero di non commettere grossolani errori di "netiquette" chiedendo un
corposo consiglio su una questione che mi affligge da un po' di tempo.
Chiedo aiuto a voi perche' la tematica e' molto vasta, e nonostante
abbia fatto tante ricerche rischio davvero di perdermi... mi sono detto
"e' probabile che qualcuno di loro si sia gia' posto questo problema e
magari l'abbia risolto".

Mi sono deciso finalmente a cercare una buona soluzione per cifrare il
mio disco. Fino a poco fa usavo Truecrypt sotto windows per tenere i
miei documenti ma come capite questa soluzione mi stava molto stretta.
Recentemente sono riuscito ad usare Truecrypt sotto ubuntu per cifrare
l'intero contenuto della /home, come soluzione funziona ma ha diverse
limitazioni, tra cui grosse difficolta' nel caso che lo stesso pc debba
essere usato da piu' utenti (familiari, amici etc.).

L'idea che mi sono fatto girando su vari forum e' che al momento le
soluzioni, almeno sotto linux, ci sono ma ognuno ne "escogita" una
diversa dalle altre. Quella che servirebbe a me - idealmente - dovrebbe
avere le seguenti caratteristiche:

1) essere "fidata" ovviamente, ad esempio open source - o meglio ancora
free software -, mantenuta da gente conosciuta, utilizzando tecniche e
algoritmi noti e studiati... niente "snake oil" insomma

2) integrarsi perfettamente con l'ambiente linux, deducendo le chiavi di
cifratura unicamente dalla coppia nome utente - password/passphrase di login

3) garantire cifratura dell'intero filesystem (esclusa eventualmente la
sezione /boot) compresa l'area di swap, utilizzando per ogni partizione
una master key diversa, ma che sia decrittabile da ogni utente del sistema

4) garantire cifratura della /home utilizzando una master key diversa
per ogni utente

5) possibilmente salvare il contenuto (filesystem) di ogni
/home/nomeutente in un "file contenitore" a parte, diverso per ogni
utente, crittato con una master key unica per ogni utente e risiedente
in una partizione a parte (un po' come fa truecrypt), al momento del
login il sistema dovrebbe decrittare il file contenitore e montarlo
dinamicamente su /home/nomeutente, e smontarlo al logout (salvare tutto
il contenuto della home all'interno di un file contenitore servirebbe a
semplificare di molto il backup delle impostazioni personali). Neanche
l'utente root dovrebbe poter leggere il contenuto delle home dei vari
utenti.

6) garantire una combinazione di hotkeys per il logout rapido (questo
forse lo fa gia' linux di per se' ma abbiate pazienza... sono alle prime
armi ^^ )

7) il tutto dovrebbe, per essere perfetto, studiato in modo che una
persona che non riesca ad autenticarsi sul sistema non possa trarre
nessuna informazione nemmeno sulla QUANTITA' di utenti registrati nel
sistema. Ideale ancora sarebbe che perfino un utente che riesce ad
autenticarsi possa dare solo una vaga stima del numero di account
presenti oltre al suo.

Ok, lo so che chiedo troppo :) pero' volevo sapere se esiste una qualche
soluzione che almeno, diciamo, "approssimi" il risultato che voglio
ottenere. In particolare ho sentito parlare di un certo LUKS / dm-crypt
/ cryptoloop / loopAES ma ho una gran confusione in testa su questo
argomento, mi e' parso solo di capire che e' "qualcosa che potrebbe fare
vagamente al caso mio".

Ogni aiuto e' gradito, grazie ;)
Sanata

- --
+---------------------------------------------------------------------+
|Sanata <sanata at paranoici.org>                                        |
|GPG Key Fingerprint 1E6A 462A 27D0 E9A4 239D 19BC C301 C2EA 224F 5BC4|
|  (RSA/RMD 4096/160 ID: 0x224F5BC4 - ELG/AES 4096/256 ID: 0xB0DD2B35)|
|TOR Homepage: http://nz32rq3abwf6iftm.onion                          |
+---------------------------------------------------------------------+
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.5 (MingW32)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
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=9DcI
-----END PGP SIGNATURE-----

More information about the E-privacy mailing list