Paldies par plašo kopsavilkumu.
Viena no Windows īpatnībām ir datu sakopēšana visvisādās vietās, kuras sakarā ar privātumu un scenāriju, kad nedraudzīgi onkuļi rakņājas pa datoru ko tu esi izmantojis var radīt nepatīkamus mirkļus.
Te es nedomāju tevis piesauktos windows backdoor (ja tādas arī ir, droši vien jābūt varenāko aģentu simtniekā lai pie tādas piekļūtu), vai arī cietā diska slāņu analīzi, kura, pieņemu, izmaksā tūkstošos un prasa ļoti rūpīgu darbu.
Es domāju par temp failiem, index.dat failiem, un tamlīdzīgām lietām, kas var viegli pārsvītrot visus centienus kaut ko šifrēt. Piemēram žurnālists lieto TOR, lieto online servisu ar neatšifrējamu pseidonīmu, visi tur glabātie dati šifrējas ar daudzbitu atslēgu. Bet vietējā datora tmp folderī glabājas nešifrēts dokumenta fails un pārlūka vēsturē ar vienkāršiem instrumentiem var izvilkt web lapu apmeklējumu, ieskaitot google meklēšanas vārdus utml. Lai šādu informāciju izvilktu, nedraudzīgajiem spēkiem pietiek ar fizisku pieeju pie datora un administratora līmeņa zināšanām. Šīs netīšās pēdas paliek tāpēc, ka programmētāji vairāk domāja par sistēmas ātrdarbību vai risinājuma vienkāršību. Un problēma ir tāda, ka šīs pēdas ir ļoti daudzās vietās, kas padara slēpējam darbu ļoti grūtu.
Vai ir kāds pamats uzskatīt ka šādas "netīšas pēdas" linux risinājumos būs mazāk? Tur taču tieši tāpat kā komecrisinājumos privātums (labi ir datoram neatcerēties neko) ir pretrunā ar datora draudzīgumu (labi ir datoram atcerēties ko es darīju).
Es drošības pēc pieņemtu ka linux ir tikpat ķēpīgs kā windows un ja pie diska var fiziski piekļūt tad cauri ar noslēpumiem ir :).
Tautai aizniedzams drošākais risinājums varētu būt sāknējams USB ar pilnu operētājsistēmu, kurš ir read-only režīmā; plus datu glabāšanas USB vai online-serviss (kurā protams ir tikai un vienīgi šifrēts fails - nevienā brīdi netiek veidota nešifrēta kopija… un nekādi tmp, swap, index utml lietas). T.i. opsistēmas USB nekādus datus vai paroles nesatur. datu usb savukārt satur tikai šifrētu failu (aerodium_fakti_par_ozolu.odf.pgp ;) ).
Kādas būtu vājās vietas šādam risinājumam? (vai ērtāka alternatīva?).
Vai Ubuntu ISO uzlikts uz USB varēs strādāt ar šifrētu USB disku, tai pat laikā nekādus failus neglabāt uz operācijas sistēmas USB draiva?
Par īslaicīgajiem failiem
Ja Windows programmas darbojas korekti, tās īslaicīgos failus glabā katalogā, kas norādīts TEMP vai TMP vides mainīgajā (Vides mainīgos var apskatīt, ievadot komandu set). Tomēr var atrasties Windows lietojumprogrammas, kas mantojušas stilu no DOS laikiem, kad datoru lietoja tikai viens cilvēks, un saglabāt šos datus C:\Windows\Temp. Diemžēl, Windows šos failus neizdzēš un šie faili jādzēš manuāli vai arī palaižot diska tīrīšanas vedņus.
Linux datoros visi īslaicīgie faili tiek saglabāti /tmp katalogā, ja vides mainīgajos nav norādīts citādi (vides mainīgos var apskatīt, ievadot komandu env). Linux, atšķirībā no Windows, pēc datora sāknēšanas vienmēr iztīra /tmp katalogu, ja tas nav jau izdarīts, piemēram, datoru pārsāknējot vai izslēdzot piespiedu kārtā. Tāpēc Linux šajā ziņā ir daudz drošāks.
Par USB un diska šifrēšanu
Šifrējot diska vai faila saturu ir nepieciešama rakstāma vieta, kur saglabāt satura atšifrēšanas atslēgu. Ja šifrē visu disku, tad vajag modificēt diska saturu, kur atrodas operētājsistēma, pēc tam šis disks varētu būt tikai lasāms. Ja šifrē tikai failu, ar dažiem šifrēšanas paņēmieniem ir nepieciešama tikai parole ko var atcerēties, tomēr drošāki ir atslēgu pāra šifrēšanas risinājumi, kur parole aizsargā atšifrēšanas atslēgu un tad tā kaut kur ir jāsaglabā.
P.S.
Papildināju nodaļu par noklausīšanos, iekļaujot e-pastu un ziņojumapmaiņas programmas.
Meklēju kā paātrināt mana netbook darbu (svaigs ubuntu 10.04 vilkās nenormāli - kādas 15s lai pārslēgtos starp atvērtiem logiem). un uzdūros padomam, kas attiecas arī uz privātumu:
/tmp mapi ievietot ramdiskā.
t.i. iekš /etc/fstab ieraksta papildus rindu
tmpfs /tmp tmpfs rw 0 0
Privātuma nodrošinašanai pilnīgi slinkā recepte ir:
instalējam ubntu, instalācijā norādam, ka /home mape tiek šifrēta.
papildinam fstab, lai visi pagaidu faili būtu šifrēti
(teorētiski vēl varētu neveidot swap partīciju)
šādā setupā izslēdzot datoru diskā nešifrētas ir tikai programmas - visi lietotāja-specifiskie dati ir šifrēti iekš /home un /tmp nekad uz diska arī nav atradies. (par cik izdzēstos /tmp failus (pieņemu) ka var atjaunot salīdzinoši vienkāršiem līdzekļiem - to kas bijis atmiņā startējoties nevar atjaunot).
Un vēl - tikko tikko google palaidis savu https://google.com versiju.
Bez https viss meklēšanas vārdu saturs diezgan viegli pārķerams un analizējams. Ar https tikai ar google ziņu...
(pasaki ko tu meklē un es pateikšu kas tev padomā :) )
- instalējam ubntu, instalācijā norādam, ka /home mape tiek šifrēta.
- papildinam fstab, lai visi pagaidu faili būtu šifrēti
- (teorētiski vēl varētu neveidot swap partīciju)
šādā setupā izslēdzot datoru diskā nešifrētas ir tikai programmas - visi lietotāja-specifiskie dati ir šifrēti iekš /home un /tmp nekad uz diska arī nav atradies. (par cik izdzēstos /tmp failus (pieņemu) ka var atjaunot salīdzinoši vienkāršiem līdzekļiem - to kas bijis atmiņā startējoties nevar atjaunot).