Статья вдохновила меня на написание этого шедевра «Мечта параноика или еще раз о шифровании» .
Очень замечательно и полезно, за одним исключением — если придут «маски-шоу», то они заберут сервер вместе со всеми флешками и ключами.
Отсюда вопрос - как сделать так, чтобы на сервере вообще не было следов шифрования, ключей и т.п.
? Ответ прост — не храните их на сервере.
И не храните его рядом с сервером.
И вообще в любом месте, в пределах досягаемости потенциального злоумышленника.
Идея предлагаемого решения проста: — На сервер, который нужно защитить (назовем его «рабочим»), установите две системы.
Первый — минимальный, для обычного НЕ зашифрованного раздела, состоящий только из ядра, консоли и сетевых интерфейсов и не использующий подкачку.
Второй — на зашифрованный раздел методом FeNUMe .
Зашифрованный раздел должен быть зашифрован полностью и не содержать заголовков.
С точки зрения стороннего наблюдателя это должна быть неформатированная область диска, заполненная случайными данными.
— Должен быть второй (назовем его «скрытым») сервер, географически расположенный в другой стране и зарегистрированный на другого человека.
Сервер не должен отвечать на пинг и должен принимать запросы только с одного IP — IP рабочего сервера.
Причем остальные соединения должны быть отключены на уровне фаервола — для остального мира, кроме рабочего сервера, скрытый сервер — это «черная дыра».
— Загрузка работающего сервера начинается с запуска минимальной (открытой) незашифрованной системы.
Во время загрузки подключаются сетевые интерфейсы, SSH и RAM-диск.
— После загрузки открытой системы она связывается со вторым сервером по протоколу HTTP/HTTPS. — В ответ на стук рабочего сервера скрытый сервер логинится в консоль рабочего сервера по протоколу SSH, копирует на рам диск определенный скрипт и ключевой файл из скрытого раздела рабочего сервера и запускает сценарий.
После чего он благополучно выключается.
— Скрипт подключает скрытый раздел (на нем есть файл ключей) и запускает ядро оттуда с помощью kexec. Те.
фактически запускается новая система.
- Все.
Финита, как говорится, комедия и полный всеобъемлющий профит. — Для желающих скрытый сервер может быть оснащен функцией отключения при получении определенного сообщения от SMS-email-шлюза (по сути, функцией отключения при получении SMS).
Причём перед выключением он должен зайти на работающий сервер по SSH и выключить его.
Те.
Добавлена функция удаленного отключения обоих серверов.
Что мы имеем в результате? Если удалить продакшн-сервер, то на нем не останется ничего, кроме голой системы, к которой после загрузки осуществляется доступ по какому-то загадочному URL. Такая захваченная система мало что даст, так как ее IP изменится и скрытый сервер будет игнорировать все запросы.
Более того, сам факт существования скрытого сервера будет недоказуем, поскольку он отвечает на запросы с одного конкретного IP. Доказать наличие каких-либо полезных данных на рабочем сервере невозможно — видна только немаркированная область, заполненная случайными данными.
На рабочем сервере не хранятся ключи.
Доказать факт использования средств шифрования невозможно, поскольку каждый раз они копируются с другого компьютера (со скрытого сервера) и располагаются на оперативной памяти.
Вся основная система рабочего сервера вместе с ядром и логами находится на зашифрованном разделе и факт ее существования доказать невозможно.
Владелец сервера (его друзья, родственники, коллеги) может в любой момент отключить скрытый сервер, сделав невозможным доступ к данным на рабочем сервере, а сам факт наличия каких-либо данных не может быть доказан.
Если есть управление через СМС, то в случае показа маски владелец может удаленно отключить оба сервера и после включения на рабочем сервере не будет ничего, кроме голой системы.
Метод полностью и на 100% устойчив даже к самому строгому терморектальному криптоанализу.
Потому что если физически отформатировать скрытый сервер или удалить с него файл ключа, то даже при желании владелец никому ничего показать не сможет. Метод устойчив к сбоям – если секретный сервер неожиданно умер, то у владельца может быть флешка с файлами, необходимыми для запуска рабочего сервера, закопанная в секретном месте под заветной липой.
И имея эти файлы (скрипт и ключ), никто не запрещает зайти в открытую систему работающего сервера по SSH и запустить зашифрованную систему.
Правда, резистентность к терморектальному криптоанализу в этом случае заметно падает. Из недостатков имеем: — если скрытый сервер недоступен, рабочий сервер не может запуститься, а обычные сервера перезагружаются редко и если нет интернета, то рабочий сервер скорее всего бесполезен; — никто не запрещает иметь два скрытых сервера (дублирование).
P.S. Т.
к.
здесь вопросы присылают на почту, поэтому напишу несколько комментариев: 1) Просто использовать скрытый сервер для хранения данных неинтересно, потому что.
он далеко и пинг до него высокий, а канал узкий.
2) Со скрытого сервера ничего не возвращается - скрытый сервер обращается к рабочему серверу по SSH. Если что-то отдать, то становится понятна схема работы и возникает масса вопросов, плюс появляется повод надавить на хозяина, потому что.
он "мешает".
3) Доступ к скрытому серверу, естественно, по HTTPS, чтобы IP не подменить.
Хотя на самом деле в этом нет необходимости — мы все равно принимаем один единственный IP. Кроме того, у человека, который стучит, должны быть ключи SSH. 4) Это не панацея и не защита от всего.
Если государство хочет посадить кого-то в тюрьму, оно посадит его.
И для этого вам не нужны никакие серверы.
И если спецслужбы на кого-то возьмутся, то получат по заслугам.
Это защита чисто от произвола и хаоса – когда из-за конкурентов или малолетних шутников ничего не подозревающий владелец сервера может получить настоящий приговор.
5) Это касается в первую очередь веб-хостинга, когда нет физического доступа к серверу.
Для корпоративных серверов, наверное, тоже используют что-то подобное, но непонятно зачем :) 6) В комментариях к этому злосчастному паяльнику все привязались, как банный лист к заднице.
Паяльник не поможет. Даже отсутствие сервера.
П.
П.
С.
Устав спорить со странными людьми из параллельной вселенной, добавляю вот этот пример .
Теги: #шифрование #защита данных #информационная безопасность
-
Насколько Хороша Ваша Служба Dsl?
19 Oct, 24 -
Великолепная И Мощная Локализация Basecamp!
19 Oct, 24 -
Как Стать Менеджером По Продукту. Часть 2
19 Oct, 24
