假设我从一个非常专业的黑客那里购买了一个二手USB记忆棒,该人已经用非常专业的方法破坏了该记忆棒,NSA或FBI会使用该记忆棒来破解它:用TrueCrypt 7.1a加密整个驱动器并对其进行格式化是否安全?还是设备仍然受到威胁?
最好的选择(如果我了解您要做什么的话)是使用Linux在整个USB上写入零,然后使用gdisk或fdisk创建一个新的MBR或GPT空表,之后将其视为不受限制的USB ,创建分区,格式化分区...,如果您希望对其进行加密。
偏执狂的观点:那就是您拥有不信任/想要的任何USB(例如,您在街道,山区等地方找到的USB)上都可以拥有软件/数据,也许您可以认为拥有此类数据可以让你入狱。
真正的偏执:仅一次覆盖是不够的,真正的法医专家可以(至少在我上次检查时)比最近的83个州恢复更多,因此您至少(为了安全)至少需要覆盖一百次(更好)如果使用特殊模式完成);这适用于磁性HDD以及USB记忆棒,存储卡,SSD等。这称为“安全擦除多遍”。
另一方面:如果您想保护数据安全,但只注意眼睛,那么它要复杂得多,但是像1,2,3一样简单...只要确保您有另一种介质就可以“复制”数据,然后执行“安全擦除多次传递”,然后,创建新的MBR / GPT表和分区,对其进行加密,并用一个或多个大文件(如果是FAT32和> 4GiB等)填充数据从random.org数据(真正的随机数据,而非可复制数据)中删除该大文件,将数据复制回该文件,然后对另一文件进行“安全擦除多次”。
偏执狂的观点:要使他人看不到数据,您需要一个具有完全加密功能的系统,永远不要相信说不需要100%系统加密的任何人,...最好的例子是问题:您始终知道哪里所有正在运行的软件都会保存数据吗?(不仅休眠,虚拟内存...而且文本编辑器可以将您正在编辑的文本文件保存在您不知道的地方)...仅作为示例,打开(最新版本)Notepad ++可以编写一些文本,但不能保存它,关闭NotePadd ++并重新启动(如果您没有罪过的话),然后重新打开Notepad ++并找到未保存的文本,因此t已保存在某个我们不知道在哪里的地方。
因此,为了保护数据……并保持安全……永远不要在自己无法控制100%系统加密的系统上使用该数据。
更不要说提防安装了哪些应用程序(按键记录器等)。
偏执狂:对于Windows不信任Bitlocker的情况,将密钥发送到M $服务器和NSA等。
我个人的最佳选择是:VeraCrypt(Win + Lin)和DiskCryptor(仅Win)以及LUK + LVM + LUK(仅Lin)。
是的,我不信任一个LUK,它也不是安全的...必须链接至少两个,或者三个...对于VeraCrypt来说是相同的(使用两个或三个算法的级联)。
偏执狂的观点:我在Linux上使用一个扇区到扇区循环挂载在5个没有标题的LUK上的Ext4的空闲空间上(我拥有秘密的开始和长度,并且我必须在每次引导中键入)(没有标题非常重要) ),我使用假grug.cfg在加密分区(在LUKS上)上使用Grub2进行引导(它将引导虚拟Linux)。
所以我的偏执启动:开机,键入/ boot的encription,出现Grub菜单,我按c进入控制台模式,然后我键入命令以通过LVM上的LUK来访问Ext4,而通过LK上的LUK来访问Ext4的扇区那是在LVM之上的LUK之上,在LUK之上,...等等,然后我可以键入命令以加载内核和initramfs ...然后启动,我已经配置了initramfs来向我展示一个pre-sh控制台propmt,所以我重新输入所有允许我访问rootfs的命令和密码,然后按exit键,并在安装了rootfs的情况下继续引导...。每次内核更新到来时都很难看...在引导之前我必须做很多工作...但是,嘿,我们正在谈论“隐藏和保护完整的Linux”……任何简单的事情都不够安全。
当然...我使用的比这复杂得多...我还使用ZFS和RAID0等...在链条上等等...但这将是另一回事...更不用说在两者之间使用了250个和750个1MiB大小的文件在上万个或更多的列表上,等等……以保护弱点(仅因为最多64个字节的密码短语太弱了!)。
那是偏执狂的观点...使事情变得很难,甚至找不到那里的Linux,任何人为或机器都无法使用(暴力攻击不会起作用,因为整个宇宙上没有足够的能量来测试1%的Linux)。可能的组合)仅适用于8GiB USB棒...想象一下1000GiB HDD!
基本概念:
主要思想:在银河系上搜索硬币,而不是在星球上,在城市,不在农场上等等……将您的硬币隐藏在银河系大小的等价物上……并在能源上投入大量精力和时间来访问它,只是发现硬币不在那儿...如果做得好,没人会得到您的数据的。
重要提示:任何存储介质都不仅可以在扇区上,而且可以在固件上等上具有数据。有一些称为“ Driver less”的驱动器。当您连接它们时,它们会自动安装所需的驱动程序。驱动程序可能已经受到攻击...因此请勿将其连接到您的主计算机,等等...使用没有互联网的虚拟主机,等等...如果它是没有连接其他存储设备的Live Linux,则更好。
等等等等,我不想让人们感到无聊!
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句