Cifrado completo del disco de los sistemas instalados de Windows Linux. Arranque múltiple cifrado

Guía propia actualizada para el cifrado de disco completo en Runet V0.2.

Estrategia vaquera:

[A] Cifrado del sistema de bloques de Windows 7 del sistema instalado;
[B] Cifrado del sistema de bloques GNU/Linux (Debian) sistema instalado (incluyendo /arranque);
[C] Configuración de GRUB2, protección del gestor de arranque con firma digital/autenticación/hashing;
[D] limpieza: destrucción de datos no cifrados;
[E] copia de seguridad universal del sistema operativo encriptado;
[F] ataque <en [C6]> objetivo - cargador GRUB2;
[G] Documentación útil.

╭───Esquema #sala 40# :
├──╼ Windows 7 instalado: cifrado completo del sistema, no oculto;
├──╼ GNU/Linux instalado (Distribuciones Debian y derivadas) - el cifrado completo del sistema no está oculto(/, incluido /boot; intercambio);
├──╼ cargadores de arranque independientes: cargador de arranque VeraCrypt instalado en MBR, cargador de arranque GRUB2 instalado en partición extendida;
├──╼ no se requiere la instalación/reinstalación del sistema operativo;
└──╼software criptográfico utilizado: VeraCrypt; configuración de criptas; GnuPG; Caballo de mar; Hash profundo; GRUB2 es gratis/gratis.

El esquema anterior resuelve parcialmente el problema del "arranque remoto en una unidad flash", le permite disfrutar del sistema operativo Windows / Linux encriptado e intercambiar datos a través de un "canal encriptado" de un sistema operativo a otro.

Orden de arranque de PC (una de las opciones):

• encender la máquina;
• descargando el cargador de arranque VeraCrypt (la entrada correcta de la contraseña continuará iniciando Windows 7);
• al presionar la tecla "Esc" se cargará el cargador de arranque GRUB2;
• Cargador de arranque GRUB2 (elección de distribución/GNU/Linux/CLI), requerirá la autenticación del superusuario de GRUB2 <usuario/contraseña>;
• después de una autenticación y selección exitosas de la distribución, deberá ingresar una frase de contraseña para desbloquear "/boot/initrd.img";
• después de ingresar las contraseñas correctas en GRUB2 "requerido" para ingresar una contraseña (tercero en una fila, contraseña de BIOS o contraseña de cuenta de usuario de GNU/Linux - no considerar) para desbloquear y arrancar GNU/Linux OS, o sustitución automática de la clave secreta (dos contraseñas + clave, o contraseña + clave);
• una intrusión externa en la configuración de GRUB2 congelará el proceso de arranque de GNU/Linux.

¿Molesto? Ok, vamos a automatizar procesos.

Al particionar un disco duro (tabla MBR) Una PC no puede tener más de 4 particiones principales, o 3 principales y una extendida, así como un área no asignada. Una sección extendida, a diferencia de la principal, puede contener subsecciones. (unidades lógicas = partición extendida). En otras palabras, la "partición extendida" en el HDD reemplaza LVM para la tarea actual: cifrado completo del sistema. Si su disco está particionado en 4 particiones principales, necesita usar lvm o transformar (con formato) sección de principal a avanzada, o use de manera competente las cuatro secciones y deje todo como está, obteniendo el resultado deseado. Incluso si solo tiene una partición en su disco, Gparted lo ayudará a particionar su HDD (para secciones adicionales) sin pérdida de datos, pero aún con un pequeño precio a pagar por tales acciones.

El esquema de diseño del disco duro, en relación con el cual se verbalizará todo el artículo, se presenta en la tabla a continuación.

Cuadro (Nº 1) de apartados 1TB.

Deberías tener algo similar.
sda1 - partición principal #1 NTFS (encriptado);
sda2 - marcador de sección extendida;
sda6 - unidad lógica (el cargador de arranque GRUB2 está instalado en él);
sda8 - swap (archivo de intercambio cifrado / no siempre);
sda9 - disco lógico de prueba;
sda5 - unidad lógica para los curiosos;
sda7: sistema operativo GNU/Linux (sistema operativo portado a una unidad lógica cifrada);
sda3 - partición principal #2 con Windows 7 (encriptado);
sda4 - partición principal #3 (contenía GNU/Linux sin cifrar, utilizado para copia de seguridad/no siempre).

[A] Cifrado del sistema de bloques de Windows 7

A1. VeraCrypt

Descargar desde El sitio oficialo de un espejo forjado versión de instalación del software criptográfico VeraCrypt (en el momento de la publicación de v1.24-Update3, la versión portátil de VeraCrypt no es adecuada para el cifrado del sistema). Compruebe la suma de comprobación del software descargado

$ Certutil -hashfile "C:VeraCrypt Setup 1.24.exe" SHA256

y compare el resultado con el CS publicado en el sitio web del desarrollador de VeraCrypt.

Si el software HashTab está instalado, aún más fácil: RMB (Configuración de VeraCrypt 1.24.exe)-propiedades-suma hash de archivos.

Para verificar la firma del programa, el software y la clave pgp pública del desarrollador deben estar instalados en el sistema. gnuPG; gpg4win.

A2. Instalar/iniciar el software VeraCrypt con derechos de administrador

A3. Selección de opciones de cifrado del sistema para la partición activaVeraCrypt - Sistema - Cifrar partición/unidad del sistema - Normal - Cifrar partición del sistema de Windows - Arranque múltiple - (advertencia: "No se recomienda que los usuarios sin experiencia utilicen este método" y es cierto, acepte "Sí") - Disco de inicio ("sí", incluso si no es así, sigue siendo "sí") – Número de unidades del sistema “2 o más” – Múltiples sistemas en una unidad “Sí” – Cargador de arranque que no es de Windows “No” (de hecho, "Sí", pero los cargadores VeraCrypt/GRUB2 no compartirán el MBR entre ellos, más precisamente, solo la parte más pequeña del código del cargador se almacena en el MBR/pista de arranque, su parte principal se encuentra dentro del archivo sistema) – Arranque múltiple – Configuración de cifrado…

Si se desvía de los pasos anteriores (esquemas de cifrado del sistema de bloques), entonces VeraCrypt emitirá una advertencia y no permitirá que se cifre la partición.

El siguiente paso, hacia la protección de datos dirigida, es realizar una "Prueba" y elegir un algoritmo de cifrado. Si tiene una CPU obsoleta, lo más probable es que el algoritmo de cifrado de Twofish sea el más rápido. Si la CPU es potente, notará la diferencia: AES: el cifrado según los resultados de la prueba será varias veces más rápido que sus competidores criptográficos. AES es un algoritmo de cifrado popular, el hardware de las CPU modernas está especialmente optimizado para "secreto" y "piratería".

VeraCrypt admite la capacidad de cifrar discos con cascada AES(dos peces)/ y otras combinaciones. En una CPU Intel nuclear antigua hace diez años (sin soporte de hardware AES, cifrado en cascada A/T) la degradación del rendimiento es esencialmente imperceptible. (para CPU AMD de la misma época/~parámetros, el rendimiento se reduce ligeramente). El sistema operativo funciona de forma dinámica y el consumo de recursos para el cifrado transparente es imperceptible. A diferencia, por ejemplo, de una disminución notable en el rendimiento debido a la prueba instalada entorno de escritorio inestable Mate v1.20.1 (o v1.20.2 no recuerdo exactamente) en GNU/Linux, o por el funcionamiento de la rutina de telemetría en Windows7↑. Por lo general, los usuarios sofisticados realizan pruebas de rendimiento del hardware antes del cifrado. Por ejemplo, en Aida64 / Sysbench / systemd-analyze culpan y comparan con los resultados de las mismas pruebas después de que el sistema fue encriptado, desmintiendo así el mito de que "el cifrado del sistema es dañino". La ralentización de la máquina y los inconvenientes se notan al realizar copias de seguridad/restauración de datos cifrados, porque la operación de "copia de seguridad de datos del sistema" en sí no se mide en ms, y se agregan los mismos <descifrar/cifrar sobre la marcha>. En última instancia, cada usuario al que se le permite jugar con la criptografía logra un equilibrio entre el algoritmo de cifrado en relación con la satisfacción de las tareas, el grado de su paranoia y la facilidad de uso.

Es mejor dejar el parámetro PIM en el valor predeterminado para que no ingrese los valores de iteración exactos cada vez que inicia el sistema operativo. VeraCrypt usa una gran cantidad de iteraciones para crear un "hash lento". Un ataque a un "caracol criptográfico" de este tipo utilizando el método de tablas de fuerza bruta/arco iris solo tiene sentido con una frase de contraseña corta "simple" y una lista de juegos de caracteres personales de la víctima. Pagar por la seguridad de la contraseña: la demora en ingresar la contraseña correcta al cargar el sistema operativo (montar volúmenes de VeraCrypt en GNU/Linux es significativamente más rápido).
Software gratuito para ataques de fuerza bruta (extracción de la frase de contraseña del encabezado del disco VeraCrypt/LUKS) hashcat John the Ripper no sabe cómo "romper Veracrypt", y cuando trabaja con LUKS, no entiende la criptografía de Twofish.

Debido a la fuerza criptográfica de los algoritmos de cifrado, los cypherpunks imparables desarrollan software con un vector de ataque diferente. Por ejemplo, extraer metadatos/claves de la RAM (zapato frío/ataque DMA), existe software libre y no libre especializado para este fin.

Al final de la configuración/generación de "metadatos únicos" de la partición activa cifrada, VeraCrypt ofrecerá reiniciar la PC y probar el rendimiento de su gestor de arranque. Después de reiniciar / iniciar Windows, VeraCrypt se cargará en modo de espera, todo lo que queda es confirmar el proceso de cifrado - Y.

En el paso final del cifrado del sistema, VeraCrypt ofrecerá crear una copia de seguridad del encabezado de la partición cifrada activa en forma de "disco de rescate de veracrypt.iso". Debe hacerlo. en este software tal operación es un requisito (en LUKS, como requisito, lamentablemente se omite, pero se subraya en la documentación). El disco de rescate es útil para todos, pero para alguien más de una vez. Pérdida (reescritura de encabezado/MBR) la copia de seguridad del encabezado denegará permanentemente el acceso a la partición descifrada con el sistema operativo Windows.

A4. Crear disco/usb de rescate VeraCryptDe forma predeterminada, VeraCrypt ofrece grabar "metadatos ~2-3 MB" en un CD, pero no todas las personas tienen discos o unidades DWD-ROM, y crear una unidad flash de arranque "VeraCrypt Rescue disk" será una sorpresa técnica para alguien: Rufus / GUIdd-ROSA ImageWriter y otro software similar: no podrán hacer frente a la tarea, porque además de copiar los metadatos desplazados a una unidad flash de arranque, debe copiar / pegar desde la imagen fuera del sistema de archivos de la unidad USB, en resumen, copie correctamente el MBR / road to keychain. Desde el sistema operativo GNU / Linux, puede crear una unidad flash de arranque utilizando la utilidad "dd", mirando esta placa.

Crear un disco de rescate en un entorno Windows es diferente. El desarrollador de VeraCrypt no incluyó la solución a este problema en el oficial documentación en el "disco de rescate", pero propuso una solución de una manera diferente: publicó un software adicional para crear un "disco de rescate usb" en acceso libre en su foro de VeraCrypt. El archivador de este software de Windows es "crear disco de rescate usb veracrypt". Después de guardar el disco de rescate.iso, comenzará el proceso de cifrado del sistema de bloques de la partición activa. Durante el cifrado, la operación del sistema operativo no se detiene, no es necesario reiniciar la PC. Una vez completada la operación de encriptación, la partición activa se encripta por completo, puede usarla. Si el cargador de arranque VeraCrypt no aparece cuando se inicia la PC, y la operación de restaurar el encabezado no ayuda, entonces verifique el indicador de "arranque", debe configurarse en la partición donde está presente Windows (independientemente de la encriptación y otros sistemas operativos, ver tabla No. 1).
Esto completa la descripción del cifrado del sistema de bloques con el sistema operativo Windows.

[B] LUCAS. Cifrado GNU/Linux (~Debian) sistema operativo instalado. Algoritmo y pasos

Para cifrar una distribución Debian/derivada instalada, debe asignar la partición preparada a un dispositivo de bloque virtual, moverla a una unidad GNU/Linux asignada e instalar/configurar GRUB2. Si no tiene un servidor simple y valora su tiempo, entonces necesita usar la GUI, y la mayoría de los comandos de terminal que se describen a continuación están destinados a ejecutarse en "modo Chuck-Norris".

B1. Arranque de PC desde live usb GNU/Linux

"Realice una prueba criptográfica sobre el rendimiento del hardware"

lscpu && сryptsetup benchmark

Si usted es un feliz propietario de un automóvil potente con soporte de hardware AES, entonces los números se verán como el lado derecho de la terminal, si está contento, pero con hierro antiguo, se verán como el lado izquierdo.

B2. Disposición del disco. montar/formatear el fs del disco lógico HDD en Ext4 (Gparted)

B2.1. Creando un encabezado de partición sda7 encriptadoPara describir los nombres de las particiones, en lo sucesivo, estaré de acuerdo con mi tabla de particiones, expuesta anteriormente. De acuerdo con el diseño de su disco, debe sustituir sus propios nombres de partición.

Asignación de cifrado de unidad lógica (/dev/sda7 > /dev/mapper/sda7_crypt).
#Creación simple de "partición LUKS-AES-XTS"

cryptsetup -v -y luksFormat /dev/sda7

Opciones:

* luksFormat - Inicialización del encabezado LUKS;
* -y -contraseña (no clave/archivo);
* -v - verbalización (salida de información en la terminal);
* /dev/sda7 - su unidad lógica de la partición extendida (donde se planea la portabilidad/cifrado de GNU/Linux).

Algoritmo de cifrado predeterminado <LUKS1: aes-xts-plain64, clave: 256 bits, hashing de encabezado LUKS: sha256, RNG: /dev/urandom> (depende de la versión de cryptsetup).

#Проверка default-алгоритма шифрования
cryptsetup  --help #самая последняя строка в выводе терминала.

Si no hay soporte de hardware para AES en la CPU, la mejor opción sería crear una "partición LUKS-Twofish-XTS" extendida.

B2.2. Creación avanzada de "LUKS-Twofish-XTS-partition"

cryptsetup luksFormat /dev/sda7 -v -y -c twofish-xts-plain64 -s 512 -h sha512 -i 1500 --use-urandom

Opciones:
* luksFormat - Inicialización del encabezado LUKS;
* /dev/sda7 es su futuro disco lógico cifrado;
* -v verbalizar;
* -y contraseña;
* -c selección de algoritmo de cifrado de datos;
* -s tamaño de la clave de cifrado;
* -h algoritmo hash/criptofunción, se utiliza RNG (—uso-urandom) para generar una clave de cifrado/descifrado de encabezado de disco lógico única, clave de encabezado secundario (XTS); una clave maestra única almacenada en el encabezado del disco encriptado, una clave XTS secundaria, todos estos metadatos y una rutina de encriptación que, utilizando la clave maestra y la clave XTS secundaria, cifran/descifran cualquier dato en la partición (excepto el encabezado de la sección) se almacenan en ~3 MB en la partición del disco duro seleccionada.
* -i iteraciones en milisegundos, en lugar de "cantidad" (el tiempo de demora en el procesamiento de la frase de contraseña afecta la carga del sistema operativo y la fuerza criptográfica de las claves). Para mantener el equilibrio de la fuerza criptográfica con una contraseña simple como "ruso" se requiere aumentar el valor -(i), con una contraseña compleja como "?8dƱob/øfh" se puede reducir el valor.
* --use-urandom generador de números aleatorios, genera claves y sal.

Después de mapear la partición sda7 > sda7_crypt (la operación es rápida, ya que se crea una cabecera encriptada con ~3 MB de metadatos y listo), debe formatear y montar el sistema de archivos sda7_crypt.

B2.3. Cartografía

cryptsetup open /dev/sda7 sda7_crypt
#выполнение данной команды запрашивает ввод секретной парольной фразы.

opciones:
* abierto: haga coincidir la sección "con el nombre";
* /dev/sda7 - unidad lógica;
* sda7_crypt: asignación de nombres que se utiliza para montar la partición cifrada o inicializarla cuando se inicia el sistema operativo.

B2.4. Formatear el sistema de archivos sda7_crypt a ext4. Montaje de un disco en el sistema operativo(Nota: no podrás trabajar con una partición cifrada en Gparted)

#форматирование блочного шифрованного устройства
mkfs.ext4 -v -L DebSHIFR /dev/mapper/sda7_crypt 

opciones:
* -v - verbalización;
* -L - etiqueta del disco (que se muestra en Explorer entre otros discos).

A continuación, debe montar el dispositivo de bloque cifrado virtual /dev/sda7_crypt en el sistema

mount /dev/mapper/sda7_crypt /mnt

Trabajar con archivos en la carpeta /mnt cifrará/descifrará automáticamente los datos en sda7.

Más conveniente para mapear y montar una partición en el Explorador de archivos (nautilus/caja GUI), la partición ya estará en la lista de selección de disco, todo lo que queda es ingresar la frase de contraseña para abrir/descifrar el disco. El nombre coincidente se seleccionará automáticamente y no “sda7_crypt”, sino algo como /dev/mapper/Luks-xx-xx...

B2.5. Copia de seguridad del encabezado del disco (metadatos ~3mb)Uno de los mas importante operaciones que deben realizarse sin demora: una copia de seguridad del encabezado "sda7_crypt". Si sobrescribe/encabezado corrupto (por ejemplo, instalar GRUB2 en la partición sda7, etc.), los datos cifrados se perderán permanentemente sin posibilidad de recuperarlos, porque no será posible volver a generar las mismas claves, las claves se crean únicas.

#Бэкап заголовка раздела
cryptsetup luksHeaderBackup --header-backup-file ~/Бэкап_DebSHIFR /dev/sda7 

#Восстановление заголовка раздела
cryptsetup luksHeaderRestore --header-backup-file <file> <device>

opciones:
* luksHeaderBackup --header-backup-file - comando de copia de seguridad;
* luksHeaderRestore --header-backup-file - comando de restauración;
* ~/Backup_DebSHIFR - archivo de copia de seguridad;
* /dev/sda7: la partición cuyo encabezado de disco cifrado se va a respaldar.
En este paso, <creación y edición de una partición cifrada> ha terminado.

B3. Migración del sistema operativo GNU/Linux (sda4) a la partición cifrada (sda7)

Crea una carpeta /mnt2 (Nota: todavía estamos trabajando con usb en vivo, sda7_crypt está montado en /mnt), y monte nuestro GNU/Linux en /mnt2, que debe cifrarse.

mkdir /mnt2
mount /dev/sda4 /mnt2

Realizamos la correcta transferencia del SO utilizando el software Rsync

rsync -avlxhHX --progress /mnt2/ /mnt

Las opciones de Rsync se describen en la sección E1.

Además, necesario desfragmentar una partición de disco

e4defrag -c /mnt/ #после проверки, e4defrag выдаст, что степень дефрагментации раздела~"0", это заблуждение, которое может вам стоить существенной потери производительности!
e4defrag /mnt/ #проводим дефрагментацию шифрованной GNU/Linux

Haga una regla para hacer e4defrag en GNU/LInux encriptado de vez en cuando si tiene un HDD.
La transferencia y sincronización [GNU/Linux > GNU/Linux-encrypted] se completa en este paso.

A LAS 4. Configuración de GNU/Linux en una partición sda7 cifrada

Después de una transferencia exitosa del sistema operativo /dev/sda4 > /dev/sda7, debe iniciar sesión en GNU/Linux en una partición cifrada y realizar una configuración adicional (sin reiniciar la PC) sobre el sistema encriptado. Es decir, estar en usb en vivo, pero ejecutar comandos "relativos a la raíz del sistema operativo encriptado". Simular una situación similar será "chroot". Para obtener información rápidamente desde qué sistema operativo está trabajando actualmente (encriptado o no, ya que los datos en sda4 y sda7 están sincronizados), desincronice el sistema operativo. Crear en directorios raíz (sda4/sda7_cripta) archivos de token vacíos, como /mnt/encryptedOS y /mnt2/decryptedOS. Comprueba rápidamente en qué sistema operativo estás (incluyendo para el futuro):

ls /<Tab-Tab>

B4.1. "Simulación de inicio de sesión en un sistema operativo encriptado"

mount --bind /dev /mnt/dev
mount --bind /proc /mnt/proc
mount --bind /sys /mnt/sys
chroot /mnt

B4.2. Comprobación de que el trabajo se realiza en relación con el sistema cifrado

ls /mnt<Tab-Tab> 
#и видим файл "/шифрованнаяОС"

history
#в выводе терминала должна появиться история команд su рабочей ОС.

B4.3. Creación/configuración de un intercambio cifrado, edición de crypttab/fstabDado que el archivo de intercambio se formatea cada vez que se inicia el sistema operativo, no tiene sentido crear y asignar el intercambio al disco lógico ahora y escribir comandos, como en el párrafo B2.2. Para Swap, en cada inicio, sus claves de cifrado temporales se generarán automáticamente. Ciclo de vida de las claves swap-a: desmontar/desmontar una partición swap (+borrar RAM); o reinicie el sistema operativo. Configuración de intercambio, abra el archivo responsable de la configuración de dispositivos cifrados en bloque (similar al archivo fstab, pero responsable de la criptografía).

nano /etc/crypttab 

yo hago

#"nombre de destino" "dispositivo de origen" "archivo clave" "opciones"
intercambiar /dev/sda8 /dev/urandom swap,cipher=twofish-xts-plain64,size=512,hash=sha512

Opciones
* swap: nombre asignado al cifrar /dev/mapper/swap.
* /dev/sda8: use su partición lógica para el intercambio.
* /dev/urandom - generador de claves de cifrado aleatorias para swap (con cada nuevo arranque del sistema operativo, se crean nuevas claves). El generador /dev/urandom es menos aleatorio que /dev/random, después de todo, /dev/random se usa cuando se trabaja en circunstancias paranoicas peligrosas. En el arranque del sistema operativo, /dev/random ralentiza la carga durante unos minutos. (ver systemd-analizar).
* swap,cipher=twofish-xts-plain64,size=512,hash=sha512: -la partición sabe que es swap y tiene el formato correspondiente; algoritmo de cifrado.

#Открываем и правим fstab
nano /etc/fstab

yo hago

# el intercambio estaba en /dev/sda8 durante la instalación
/dev/mapper/swap ninguno intercambio sw 0 0

/dev/mapper/swap -nombre dado en crypttab.

Intercambio cifrado alternativo
Si por alguna razón no desea proporcionar una partición completa como un archivo de intercambio, entonces puede optar por una alternativa mejor: crear un archivo de intercambio en un archivo en una partición del sistema operativo cifrada.

fallocate -l 3G /swap #создание файла размером 3Гб (почти мгновенная операция)
chmod 600 /swap #настройка прав
mkswap /swap #из файла создаём файл подкачки
swapon /swap #включаем наш swap
free -m #проверяем, что файл подкачки активирован и работает
printf "/swap none swap sw 0 0" >> /etc/fstab #при необходимости после перезагрузки swap будет постоянный

La configuración de la partición de intercambio está completa.

B4.4. Configuración de GNU/Linux encriptado (edición de archivos crypttab/fstab)El archivo /etc/crypttab, como escribí anteriormente, describe dispositivos de bloques cifrados que se configuran en el momento del arranque del sistema.

#правим /etc/crypttab 
nano /etc/crypttab 

si coincidió con la sección sda7>sda7_crypt como en el párrafo B2.1

# "nombre de destino" "dispositivo de origen" "archivo clave" "opciones"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none luks

si coincidió con la sección sda7>sda7_crypt como en el párrafo B2.2

# "nombre de destino" "dispositivo de origen" "archivo clave" "opciones"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 none cipher=twofish-xts-plain64,size=512,hash=sha512

si coincidió con la sección sda7>sda7_crypt como en el párrafo B2.1 o B2.2, pero no desea volver a ingresar la contraseña para desbloquear y arrancar el sistema operativo, entonces puede sustituir la clave secreta/archivo aleatorio en lugar de la contraseña

# "nombre de destino" "dispositivo de origen" "archivo clave" "opciones"
sda7_crypt UUID=81048598-5bb9-4a53-af92-f3f9e709e2f2 /etc/skey luks

Descripción
*ninguno: indica que cuando se inicia el sistema operativo, se requiere una frase de contraseña secreta para desbloquear la raíz.
* UUID - identificador de partición. Para saber tu ID, teclea en el terminal (recuerde que todo este tiempo en adelante, está trabajando en una terminal en un entorno chroot y no en otra terminal usb en vivo).

fdisk -l #проверка всех разделов
blkid #должно быть что-то подобное 

/dev/sda7: UUID=«81048598-5bb9-4a53-af92-f3f9e709e2f2» TYPE=«crypto_LUKS» PARTUUID=«0332d73c-07»
/dev/mapper/sda7_crypt: LABEL=«DebSHIFR» UUID=«382111a2-f993-403c-aa2e-292b5eac4780» TYPE=«ext4»

esta línea es visible cuando se solicita blkid desde el terminal usb en vivo con sda7_crypt montado).
UUID se toma de su sdaX (¡no sdaX_crypt!, UUID sdaX_crypt - desaparecerá automáticamente al generar la configuración grub.cfg).
* cipher=twofish-xts-plain64,size=512,hash=sha512 -luks cifrado de modo avanzado.
* /etc/skey: archivo de clave secreta, que se sustituye automáticamente para desbloquear el arranque del sistema operativo (en lugar de ingresar la tercera contraseña). Puede especificar cualquier archivo de hasta 8 MB, pero los datos se leerán <1 MB.

#Создание "генерация" случайного файла <секретного ключа> размером 691б.
head -c 691 /dev/urandom > /etc/skey

#Добавление секретного ключа (691б) в 7-й слот заголовка luks
cryptsetup luksAddKey --key-slot 7 /dev/sda7 /etc/skey

#Проверка слотов "пароли/ключи luks-раздела"
cryptsetup luksDump /dev/sda7 

Se verá algo como esto:

(hágalo usted mismo y compruébelo usted mismo).

cryptsetup luksKillSlot /dev/sda7 7 #удаление ключа/пароля из 7 слота

/etc/fstab contiene información descriptiva sobre varios sistemas de archivos.

#Правим /etc/fstab
nano /etc/fstab

# "sistema de archivos" "punto de montaje" "tipo" "opciones" "volcado" "aprobar"
# / estaba en /dev/sda7 durante la instalación
/dev/mapper/sda7_crypt / ext4 errores=remontar-ro 0 1

opción
* /dev/mapper/sda7_crypt es el nombre de la asignación sda7>sda7_crypt, que se especifica en el archivo /etc/crypttab.
La configuración de crypttab/fstab ahora está completa.

B4.5. Edición de archivos de configuración. Momento claveB4.5.1. Editando la configuración /etc/initramfs-tools/conf.d/resume

#Если у вас ранее был активирован swap раздел, отключите его. 
nano /etc/initramfs-tools/conf.d/resume

y comentar (Eсли существует) línea "#" "currículum". El archivo debe estar completamente vacío.

B4.5.2. Editando la configuración /etc/initramfs-tools/conf.d/cryptsetup

nano /etc/initramfs-tools/conf.d/cryptsetup

debería coincidir

# /etc/initramfs-tools/conf.d/cryptsetup
CRYPTSETUP=sí
exportar CRYPTSETUP

B4.5.3. Editando la configuración de /etc/default/grub (Es esta configuración la responsable de la capacidad de generar grub.cfg cuando se trabaja con /boot cifrado)

nano /etc/default/grub

agregue la línea "GRUB_ENABLE_CRYPTODISK=y"
configurado en 'y', grub-mkconfig y grub-install verificarán las unidades cifradas y generarán los comandos adicionales necesarios para acceder a ellos en el momento del arranque (insmods ).
debería ser similar

GRUB_DEFAULT=0
GRUB_TIMEOUT = 1
GRUB_DISTRIBUTOR=`lsb_release -i -s 2> /dev/null || eco Debian`
GRUB_CMDLINE_LINUX_DEFAULT="acpi_backlight=proveedor"
GRUB_CMDLINE_LINUX="Quiet splash noautomount"
GRUB_ENABLE_CRYPTODISK=y

B4.5.4. Editando la configuración /etc/cryptsetup-initramfs/conf-hook

nano /etc/cryptsetup-initramfs/conf-hook

comprobar que la línea comentó <#>.
En el futuro (e incluso ahora, este parámetro no tendrá ningún valor, pero a veces interfiere con la actualización de la imagen initrd.img).

B4.5.5. Editando la configuración /etc/cryptsetup-initramfs/conf-hook

nano /etc/cryptsetup-initramfs/conf-hook

añadir

KEYFILE_PATTERN="/etc/clave"
UMÁSCARA=0077

Esto empaquetará la clave secreta "skey" en initrd.img, la clave es necesaria para desbloquear la raíz en el arranque del sistema operativo (si no se desea volver a introducir la contraseña, se sustituye automáticamente la tecla “skey”).

B4.6. Actualizar /boot/initrd.img [versión]Para empaquetar la clave privada en initrd.img y aplicar las correcciones de cryptsetup, actualice la imagen

update-initramfs -u -k all

al actualizar initrd.img (Como dice el refrán, "Tal vez, pero no seguro") habrá advertencias relacionadas con cryptsetup o, por ejemplo, una notificación sobre la pérdida de módulos de Nvidia; esto es normal. Después de actualizar el archivo, verifique que realmente se haya actualizado ver por tiempo (relativo al entorno chroot ./boot/initrd.img). ¡Atención! antes de [update-initramfs -u -k all] asegúrese de verificar que cryptsetup abra /dev/sda7 sda7_cripta - este es el nombre que debería ser, que aparece en /etc/crypttab, de lo contrario, después de reiniciar, aparece el error de la caja ocupada)
Este paso completa la instalación de los archivos de configuración.

[С] Instalación y configuración de GRUB2/Protección

C1. Si es necesario, formatee la partición dedicada para el cargador de arranque (al menos 20 MB son suficientes para la partición)

mkfs.ext4 -v -L GRUB2 /dev/sda6

C2. Monte /dev/sda6 en /mntDado que estamos trabajando en un chroot, no habrá un directorio /mnt2 en la raíz y la carpeta /mnt estará vacía.
montar la partición GRUB2

mount /dev/sda6 /mnt

Si tiene instalada una versión anterior de GRUB2, en /mnt/boot/grub/i-386-pc (posible otra plataforma, por ejemplo, no "i386-pc") sin criptomódulos (en resumen, la carpeta debe contener módulos, incluidos estos .mod: cryptodisk; luks; gcry_twofish; gcry_sha512; signature_test.mod), en tal caso, GRUB2 necesita ser sacudido.

apt-get update
apt-get install grub2 

¡Importante! Al actualizar el paquete GRUB2 desde el repositorio, cuando se le pregunte "sobre la elección" de dónde instalar el cargador de arranque, debe negarse a instalar (razón - tratando de instalar GRUB2 - en "MBR" o en usb en vivo). De lo contrario, dañará el encabezado/cargador de VeraCrypt. Después de actualizar los paquetes GRUB2 y cancelar la instalación, el cargador de arranque debe instalarse manualmente en una unidad lógica y no en el "MBR". Si su repositorio tiene una versión desactualizada de GRUB2, intente actualizar desde el sitio oficial - no verificado (trabajó con nuevos cargadores de arranque GRUB 2.02 ~BetaX).

C3. Instalar GRUB2 en la partición extendida [sda6]Debes tener una partición montada [p.C.2]

grub-install --force --root-directory=/mnt /dev/sda6

opciones
* --force - instala el gestor de arranque, pasando por alto todas las advertencias que casi siempre existen y bloquea la instalación (bandera obligatoria).
* --root-directory - directorio de instalación a la raíz de sda6.
* /dev/sda6 - su partición sdaX (no omita el <espacio> entre /mnt /dev/sda6).

C4. Creación de un archivo de configuración [grub.cfg]Olvídese del comando "update-grub2" y use el comando completo de generación de archivos de configuración

grub-mkconfig -o /mnt/boot/grub/grub.cfg

después de completar la generación/actualización del archivo grub.cfg, en la terminal de salida debe haber líneas (a) con el sistema operativo que se encuentra en el disco ("grub-mkconfig" probablemente encontrará y recogerá el sistema operativo desde el USB en vivo, si tiene una unidad flash de arranque múltiple con Windows 10 y un montón de distribuciones en vivo, esto es normal). Si el terminal está "vacío", el archivo "grub.cfg" no se genera, entonces este es el caso cuando hay errores de GRUB en el sistema (y muy probablemente un cargador de la rama de prueba del repositorio), reinstale GRUB2 desde fuentes confiables.
La instalación de "configuración simple" y la configuración de GRUB2 ahora están completas.

C5. Prueba de prueba del sistema operativo GNU/Linux encriptadoCompleta correctamente la criptomisión. Dejar GNU/Linux encriptado con cuidado (salir del entorno chroot).

umount -a #размонтирование всех смонтированных разделов шифрованной GNU/Linux
Ctrl+d #выход из среды chroot
umount /mnt/dev
umount /mnt/proc
umount /mnt/sys
umount -a #размонтирование всех смонтированных разделов на live usb
reboot

Después de reiniciar la PC, el cargador de arranque VeraCrypt debería cargarse.


*Ingresando la contraseña para la partición activa - Windows comenzará a cargarse.
*Al presionar la tecla "Esc" se transferirá el control a GRUB2, si selecciona GNU/Linux encriptado, necesitará una contraseña (sda7_crypt) para desbloquear /boot/initrd.img (si grub2 dice uuid "no encontrado" - esta es una problema con el cargador de arranque grub2, debe reinstalarse, por ejemplo, desde la rama de prueba/estable y pd).


*Dependiendo de cómo configure el sistema (consulte la sección B4.4/4.5), después de ingresar la contraseña correcta para desbloquear la imagen /boot/initrd.img, necesitará una contraseña para iniciar el sistema operativo kernel/root, o el la clave secreta se sustituirá automáticamente por "skey", eliminando la necesidad de volver a ingresar la frase de contraseña.

(captura de pantalla "sustitución automática de la clave secreta").

*A continuación, se iniciará el conocido proceso de arranque de GNU/Linux con autenticación de cuenta de usuario.


*Después de la autorización del usuario e iniciar sesión en el sistema operativo, debe volver a actualizar /boot/initrd.img (ver P4.6).

update-initramfs -u -k all

Y en caso de líneas extra en el menú de GRUB2 (desde una pastilla OS-m con USB en vivo) Deshazte de ellos

mount /dev/sda6 /mnt
grub-mkconfig -o /mnt/boot/grub/grub.cfg

Un resumen rápido del cifrado del sistema GNU/Linux:

• GNU/Linuxinux está completamente encriptado, incluidos /boot/kernel e initrd;
• la clave secreta está empaquetada en initrd.img;
• régimen de autorización actual (ingresar una contraseña para desbloquear initrd; contraseña/clave para iniciar el sistema operativo; contraseña de autorización de la cuenta de Linux).

La encriptación del sistema de partición de bloque de "Configuración simple de GRUB2" ha finalizado.

C6. Configuración avanzada de GRUB2. Protección del cargador de arranque con firma digital + protección de autenticaciónGNU/Linux está completamente encriptado, pero el gestor de arranque no puede encriptarse; esta condición la dicta el BIOS. Por esta razón, el arranque en cadena cifrado con GRUB2 no es posible, pero sí es posible/disponible un arranque en cadena simple, que no es necesario desde el punto de vista de la seguridad [ver más abajo]. PF].
Para el GRUB2 "vulnerable", los desarrolladores implementaron el algoritmo de protección del gestor de arranque de "firma/autenticación".

• Cuando el gestor de arranque está protegido con "su propia firma digital", la modificación externa de los archivos o un intento de cargar módulos adicionales en este gestor de arranque provocará el bloqueo del proceso de arranque.
• Al proteger el cargador de arranque con autenticación, para seleccionar el arranque de un kit de distribución o ingresar comandos adicionales en la CLI, deberá ingresar el nombre de usuario y la contraseña del superusuario-GRUB2.

C6.1. Protección del gestor de arranque con autenticaciónCompruebe que está ejecutando en una terminal en un sistema operativo encriptado

ls /<Tab-Tab> #обнаружить файл-маркер

crear una contraseña de superusuario para la autorización en GRUB2

grub-mkpasswd-pbkdf2 #введите/повторите пароль суперпользователя. 

Obtenga el hash de la contraseña. Algo como esto

grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

montar la partición GRUB

mount /dev/sda6 /mnt 

editar la configuración

nano -$ /mnt/boot/grub/grub.cfg 

compruebe en la búsqueda de archivos que no haya indicadores en ningún lugar de "grub.cfg" ("-unrestricted" "-user",
añadir al final (antes de la línea ### FIN /etc/grub.d/41_custom ###)
"establecer superusuarios="raíz"
hash de raíz password_pbkdf2".

debería ser algo como esto

# Este archivo proporciona una manera fácil de agregar entradas de menú personalizadas. Simplemente escriba el
# entradas de menú que desea agregar después de este comentario. Tenga cuidado de no cambiar
# la línea 'exec tail' de arriba.
### FIN /etc/grub.d/40_custom ###

### COMENZAR /etc/grub.d/41_custom ###
if [ -f ${directorio_config}/custom.cfg]; entonces
fuente ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefijo/personalizado.cfg ]; entonces
fuente $prefijo/personalizado.cfg;
fi
establecer superusuarios="raíz"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### FIN /etc/grub.d/41_custom ###
#

Si usa con frecuencia el comando "grub-mkconfig -o /mnt/boot/grub/grub.cfg" y no desea realizar cambios en grub.cfg cada vez, ingrese las líneas anteriores (Contraseña de inicio de sesión) al script de usuario de GRUB hasta el final

nano /etc/grub.d/41_custom 

gato<<EOF
establecer superusuarios="raíz"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
EOF

Al generar la configuración "grub-mkconfig -o /mnt/boot/grub/grub.cfg", las líneas responsables de la autenticación se agregarán automáticamente a grub.cfg.
Este paso completa la configuración de autenticación de GRUB2.

C6.2. Proteger el gestor de arranque con una firma digitalSe supone que ya tienes tu clave de cifrado pgp personal. (o crear tal clave). El software criptográfico debe estar instalado en el sistema: gnuPG; Cleopatra/GPA; Caballo de mar. El software criptográfico le hará la vida mucho más fácil en todos estos casos. Seahorse - versión estable del paquete 3.14.0 (las versiones anteriores, por ejemplo, V3.20 son inferiores y tienen errores importantes).

¡La clave PGP debe generarse/ejecutarse/agregarse solo en el entorno su!

Generar una clave de cifrado personal

gpg - -gen-key

Exporta tu clave

gpg --export -o ~/perskey

Monte la unidad lógica en el sistema operativo si aún no está montada

mount /dev/sda6 /mnt #sda6 – раздел GRUB2

limpiar la partición GRUB2

rm -rf /mnt/

Instale GRUB2 en sda6 colocando su clave privada en la imagen principal de GRUB "core.img"

grub-install --force --modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa" -k ~/perskey --root-directory=/mnt /dev/sda6

opciones
* --force - instala el cargador de arranque, pasando por alto todas las advertencias que siempre existen (bandera obligatoria).
* --modules="gcry_sha256 gcry_sha512 signature_test gcry_dsa gcry_rsa": indica a GRUB2 que precargue los módulos necesarios al iniciar la PC.
* -k ~/perskey - ruta a la "clave PGP" (después de empaquetar la clave en una imagen, se puede eliminar).
* --root-directory -establecer el directorio de arranque en sda6 root
/dev/sda6 es su partición sdaX.

Generar/actualizar grub.cfg

grub-mkconfig  -o /mnt/boot/grub/grub.cfg

Agregue la línea "trust /boot/grub/perskey" al final del archivo "grub.cfg" (obligar a usar la tecla pgp). Dado que instalamos GRUB2 con un conjunto de módulos, incluido el módulo de firma "signature_test.mod", esto elimina la necesidad de agregar comandos como "set check_signatures=enforce" a la configuración.

Debería verse algo como esto (líneas finales en el archivo grub.cfg)

### COMENZAR /etc/grub.d/41_custom ###
if [ -f ${directorio_config}/custom.cfg]; entonces
fuente ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f $prefijo/personalizado.cfg ]; entonces
fuente $prefijo/personalizado.cfg;
fi
confiar en /boot/grub/perskey
establecer superusuarios="raíz"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8
### FIN /etc/grub.d/41_custom ###
#

La ruta a "/boot/grub/perskey" no necesita apuntar a una partición de disco específica, por ejemplo, hd0,6, ya que el gestor de arranque "root" es la ruta predeterminada de la partición en la que está instalado GRUB2. (ver set rot=..).

Firmando GRUB2 (todos los archivos en todos los directorios /GRUB) con su clave “perskey”.
Solución fácil cómo firmar (para nautilus/caja explorer): Instale la extensión “seahorse” para Explorer desde el repositorio. Su clave debe agregarse al entorno su.
Abra el explorador desde sudo "/mnt/boot" - RMB - firme. En la pantalla se ve así

La clave en sí es "/mnt/boot/grub/perskey" (copiar al directorio grub) también debe estar firmado con su propia firma. Compruebe que las firmas del archivo [*.sig] aparecen en el directorio/subdirectorios.
Utilizando el método descrito anteriormente, firme "/boot" (nuestro núcleo, initrd). Si su tiempo vale algo, entonces este método elimina la necesidad de escribir un script bash para firmar "muchos archivos".

Para eliminar todas las firmas del gestor de arranque (si algo salió mal)

rm -f $(find /mnt/boot/grub -type f -name '*.sig')

Para no firmar el cargador de arranque después de actualizar el sistema, congelamos todos los paquetes de actualización relacionados con GRUB2.

apt-mark hold grub-common grub-pc grub-pc-bin grub2 grub2-common

En este paso <proteger el gestor de arranque con una firma digital> se completa la configuración avanzada de GRUB2.

C6.3. Proof-test del gestor de arranque GRUB2 protegido por firma digital y autenticaciónGRUB2. Al elegir una distribución GNU/Linux o ingresar a la CLI (línea de comando) se requiere autorización de superusuario. Después de ingresar el nombre de usuario/contraseña correctos, necesitará la contraseña de initrd

Captura de pantalla, autenticación exitosa de superusuario de GRUB2.

Si falsifica alguno de los archivos GRUB2 / realiza cambios en grub.cfg, o elimina el archivo / firma, carga el módulo malicioso.mod, aparecerá la advertencia correspondiente. El arranque de GRUB2 se detendrá.

Captura de pantalla, un intento de interferir en GRUB2 "desde afuera".

En el arranque "normal" "sin intrusión", el estado del código de salida del sistema es "0". Por lo tanto, no se sabe si la protección funciona o no. (es decir, "con o sin protección del cargador de arranque con una firma" durante el arranque normal, el estado es el mismo "0" - esto es malo).

¿Cómo comprobar la protección de la firma digital?

Una forma inconveniente de verificar: falsifique/elimine el módulo utilizado por GRUB2, por ejemplo, elimine la firma luks.mod.sig y obtenga un error.

La forma correcta es ir a la CLI del cargador de arranque y escribir el comando

trust_list

En respuesta, deben recibir una huella dactilar "perskey", si el estado es "0", entonces la protección de firma no funciona, vuelva a verificar la cláusula C6.2.
En este paso, la configuración avanzada "Proteger GRUB2 con firma digital y autenticación" ha terminado.

C7 Método alternativo para asegurar el cargador de arranque GRUB2 con hashingEl método de "Protección del cargador de CPU / Autenticación" descrito anteriormente es un clásico. Debido a la imperfección de GRUB2, en condiciones de paranoia, está sujeto a un ataque real, que daré a continuación en el párrafo [F]. Además, después de actualizar el sistema operativo/kernel, es necesario volver a iniciar sesión en el gestor de arranque.

Proteger el cargador de arranque GRUB2 con hashing

Ventajas sobre los clásicos:

• Mayor nivel de confiabilidad (El hashing/verificación se lleva a cabo solo desde un recurso local encriptado. Toda la partición asignada bajo GRUB2 está controlada por cualquier cambio, y todo lo demás está encriptado, en el esquema clásico con protección/autenticación del cargador de CPU, solo los archivos están controlados, pero no gratis espacio, en el que se puede añadir "algo algo siniestro").
• Registro cifrado (Se agrega al esquema un registro cifrado personal legible).
• velocidad (La protección/verificación de toda la partición asignada para GRUB2 ocurre casi instantáneamente).
• Automatización de todos los procesos criptográficos.

Desventajas de los clásicos.

• Falsificación de firma (teóricamente, es posible encontrar una colisión de función hash dada).
• Mayor nivel de dificultad (en comparación con los clásicos, se requiere un poco más de conocimiento del sistema operativo GNU/Linux).

Cómo funciona la idea de hash de partición/GRUB2

La sección GRUB2 está "firmada", cuando se carga el sistema operativo, se verifica la invariabilidad de la sección del cargador de arranque, seguido de iniciar sesión en un entorno seguro (encriptado). Si el cargador de arranque o su partición están comprometidos, además del registro de invasión, lo siguiente

Cosa.

Se realiza una verificación similar cuatro veces al día, que no carga los recursos del sistema.
Con el comando "-$ check_GRUB", se realiza una verificación instantánea en cualquier momento sin registro, pero con salida de información a la CLI.
Con el comando "-$ sudo GRUB_signature", la partición/cargador de arranque GRUB2 se vuelve a firmar instantáneamente y su registro se actualiza (necesario después de la actualización del sistema operativo/arranque) y la vida continúa.

Implementación del método hash del gestor de arranque y su partición.

0) Firmemos el gestor de arranque/partición GRUB montándolo primero en /media/nombre de usuario

-$ hashdeep -c md5 -r /media/username/GRUB > /podpis.txt

1) Creamos un script sin una extensión en la raíz del sistema operativo encriptado ~/podpis, le aplicamos los derechos necesarios 744 seguridad y protección contra el "tonto".

Llenándolo de contenido

#!/bin/bash

#Проверка всего раздела выделенного под загрузчик GRUB2 на неизменность.
#Ведется лог "о вторжении/успешной проверке каталога", короче говоря ведется полный лог с тройной вербализацией. Внимание! обратить взор на пути: хранить ЦП GRUB2 только на зашифрованном разделе OS GNU/Linux. 
echo -e "******************************************************************n" >> '/var/log/podpis.txt' && date >> '/var/log/podpis.txt' && hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB' >> '/var/log/podpis.txt'

a=`tail '/var/log/podpis.txt' | grep failed` #не использовать "cat"!! 
b="hashdeep: Audit failed"

#Условие: в случае любых каких-либо изменений в разделе выделенном под GRUB2 к полному логу пишется второй отдельный краткий лог "только о вторжении" и выводится на монитор мигание gif-ки "warning".
if [[ "$a" = "$b" ]] 
then
echo -e "****n" >> '/var/log/vtorjenie.txt' && echo "vtorjenie" >> '/var/log/vtorjenie.txt' && date >> '/var/log/vtorjenie.txt' & sudo -u username DISPLAY=:0 eom '/warning.gif' 
fi

Ejecute el script desde su, se verificará el hashing de la partición GRUB y su cargador de arranque, guarde el registro.

Vamos a crear o copiar, por ejemplo, un "archivo malicioso" [virus.mod] en la partición GRUB2 y ejecutar una comprobación/prueba temporal:

-$ hashdeep -vvv -a -k '/podpis.txt' -r '/media/username/GRUB

El CLI debe ver una invasión de nuestra -ciudadela-#Inicio de sesión eliminado CLI

Ср янв  2 11::41 MSK 2020
/media/username/GRUB/boot/grub/virus.mod: Moved from /media/username/GRUB/1nononoshifr
/media/username/GRUB/boot/grub/i386-pc/mda_text.mod: Ok
/media/username/GRUB/boot/grub/grub.cfg: Ok
hashdeep: Audit failed
   Input files examined: 0
  Known files expecting: 0
          Files matched: 325
Files partially matched: 0
            Files moved: 1
        New files found: 0
  Known files not found: 0

#Como puede ver, apareció "Archivos movidos: 1 y auditoría fallida", lo que significa que la verificación falló.
Debido a las peculiaridades de la sección probada, en lugar de "Nuevos archivos encontrados" > "Archivos movidos"

2) Ponga el gif aquí > ~/warning.gif, configure los permisos en 744.

3) Configuración de fstab para montar automáticamente la partición GRUB en el arranque

-$ sudo nano /etc/fstab

ETIQUETA=GRUB /medios/nombre de usuario/GRUB ext4 por defecto 0 0

4) Giramos el registro

-$ sudo nano /etc/logrotate.d/podpis 

/var/log/subpis.txt {
todos los días
rotar 50
tamaño 5M
texto de datos
comprimir
demora comprimir
dirantiguo /var/log/antiguo
}

/var/log/vtorjenie.txt {
mensual
rotar 5
tamaño 5M
texto de datos
dirantiguo /var/log/antiguo
}

5) Agregar un trabajo a cron

-$ sudo crontab -e

reiniciar '/suscripción'
0 */6 * * * '/subpis

6) Crear alias permanentes

-$ sudo su
-$ echo "alias подпись_GRUB='hashdeep -c md5 -r /media/username/GRUB > /podpis.txt'" >> /root/.bashrc && bash
-$ echo "alias проверка_GRUB='hashdeep -vvv -a -k '/podpis.txt' -r /media/username/GRUB'" >> .bashrc && bash

Después de la actualización del sistema operativo -$ apt-get upgrade volver a firmar nuestra partición GRUB
-$ подпись_GRUB
Este paso completa la protección hash de la partición GRUB.

[D] Limpieza: destrucción de datos no cifrados

Elimine sus archivos personales tan completamente que "ni siquiera Dios pueda leerlos", según el portavoz de Carolina del Sur, Trey Gowdy.

Como de costumbre, hay varios "mitos y leyendas”, sobre la recuperación de datos después de borrarlos del disco duro. Si cree en la brujería cibernética o es miembro de la comunidad web de Dr y nunca ha intentado recuperar datos después de eliminarlos o sobrescribirlos (por ejemplo, recuperación con R-studio), entonces es poco probable que el método propuesto le convenga, use el que esté más cerca de usted.

Después de transferir exitosamente GNU/Linux a una partición cifrada, la copia anterior debe eliminarse sin posibilidad de recuperación de datos. Método de limpieza universal: software para Windows/Linux software GUI gratuito BleachBit.
Rápidamente formatear la partición, los datos sobre los que desea destruir (usando Gparted), ejecute BleachBit, seleccione "Limpiar espacio libre" - seleccione una partición (su sdaX con una copia anterior de GNU/Linux), comenzará el proceso de extracción. BleachBit: limpia el disco de una sola vez: esto es lo que "necesitamos", ¡pero! En teoría, esto sólo funciona si formateaste el disco y lo limpiaste con el software BB v2.0.

¡Atención! BB borra el disco, dejando metadatos, los nombres de archivo se conservan cuando se destruyen los datos (Ccleaner - no deja metadatos).

Y el mito sobre la posibilidad de recuperación de datos no es realmente un mito.Bleachbit V2.0-2 antiguo paquete de sistema operativo inestable Debian (y cualquier otro software similar: sfill; wipe-Nautilus - también se vieron en este negocio sucio) en realidad tenía un error crítico: función de "limpieza de espacio libre" funciona incorrectamente en discos duros/unidades flash (ntfs/ext4). El software de este tipo, al limpiar el espacio libre, no sobrescribe todo el disco, como piensan muchos usuarios. Y algo (un montón de) datos eliminados El sistema operativo/software trata estos datos como datos de usuario/no eliminados y omite estos archivos al borrar el sistema operativo/sistema operativo. El problema es que después de tanto tiempo, limpiar el disco Los "archivos eliminados" se pueden recuperar incluso después de más de 3 pasadas de limpieza del disco.
En GNU/Linux en Bleachbit 2.0 - 2 las funciones de eliminación permanente de archivos y directorios funcionan de manera confiable, pero no limpian el espacio libre. A modo de comparación: en Windows en el software CCleaner, la función "OSB para ntfs" funciona correctamente y Dios realmente no puede leer los datos eliminados.

Y así, para eliminar a fondo "compromiso" datos antiguos sin cifrar, Bleachbit necesita acceso directo a estos datos, luego, use la función "borrar archivos / directorios irremediablemente".
Para eliminar "archivos eliminados usando herramientas regulares del sistema operativo" en Windows, use CCleaner / BB con la función "OSB". En GNU/Linux sobre este problema (eliminando archivos borrados) necesitas practicar por tu cuenta (eliminar datos + un intento independiente de restaurarlos y no confiar en la versión del software (si no es un marcador, entonces un error)), solo en este caso podrá comprender el mecanismo de este problema y deshacerse por completo de los datos eliminados.

Bleachbit v3.0 no se comprobó, quizás el problema ya se haya solucionado.
Bleachbit v2.0 funciona honestamente.

Este paso completa la limpieza del disco.

[E] Copia de seguridad genérica del sistema operativo cifrado

Cada usuario tiene su propio método para realizar copias de seguridad de los datos, pero los datos cifrados del "Sistema operativo" requieren un enfoque ligeramente diferente de la tarea. El software unificado como "Clonezilla" y software similar no puede funcionar directamente con datos cifrados.

Configuración de la tarea de copia de seguridad para dispositivos de bloques cifrados:

1. universalidad: el mismo algoritmo / software de respaldo para Windows / Linux;
2. la posibilidad de trabajar en la consola con cualquier live usb GNU/Linux sin necesidad de descargas de software adicionales (pero aún así recomiendo GUI);
3. seguridad de las copias de seguridad: las “imágenes” almacenadas deben estar cifradas/protegidas con contraseña;
4. el tamaño de los datos cifrados debe coincidir con el tamaño de los datos reales copiados;
5. extracción conveniente de los archivos necesarios de una copia de seguridad (no es necesario descifrar toda la sección primero).

Por ejemplo, copia de seguridad/restauración a través de la utilidad "dd"

dd if=/dev/sda7 of=/путь/sda7.img bs=7M conv=sync,noerror
dd if=/путь/sda7.img of=/dev/sda7 bs=7M conv=sync,noerror

Corresponde a casi todos los puntos de la tarea, pero según el párrafo 4 no resiste las críticas, ya que copia toda la partición del disco, incluido el espacio libre, lo que no es interesante.

Por ejemplo, copia de seguridad de GNU/Linux a través de [tar" | gpg] es conveniente, pero para la copia de seguridad de Windows debe buscar otra solución, no interesante.

E1. Copia de seguridad universal de Windows/Linux. Paquete rsync (Grsync) + volumen VeraCryptAlgoritmo para crear una copia de seguridad:

1. creando un contenedor encriptado (volumen/archivo) VeraCrypt para sistema operativo;
2. transferencia / sincronización del sistema operativo utilizando el software Rsync al criptocontenedor VeraCrypt;
3. si es necesario, cargue el volumen de VeraCrypt en www.

La creación de un contenedor VeraCrypt encriptado tiene sus propias características:
creando un volumen dinámico (la creación de DT solo está disponible en Windows, también se puede usar en GNU/Linux);
creando un volumen normal, pero hay un requisito de una "naturaleza paranoica" (según el desarrollador) - formateo de contenedores.

Un volumen dinámico se crea casi instantáneamente en el sistema operativo Windows, pero cuando se copian datos desde el sistema operativo GNU/Linux > VeraCrypt DT, en general, el rendimiento de la operación de copia de seguridad se reduce significativamente.

Se crea un volumen Twofish regular de 70 GB (Digamos, en potencia promedio de PC) a HDD ~ en media hora (sobrescribiendo los datos del contenedor anterior en un solo paso, debido a requisitos de seguridad). De VeraCrypt Windows/Linux, se eliminó la función de formatear rápidamente un volumen durante su creación, por lo que la creación de un contenedor solo es posible a través de una "sobrescritura en una sola pasada", o la creación de un volumen dinámico de bajo rendimiento.

Crear un volumen regular de VeraCrypt (no dinámico/ntfs), no debería haber ningún problema.

Configurar/crear/abrir contenedor en VeraCrypt GUI > GNU/Linux live usb (el volumen se montará automáticamente en /media/veracrypt2, el volumen del sistema operativo Windows se montará en /media/veracrypt1). Creación de una copia de seguridad cifrada de Windows mediante la interfaz gráfica de usuario de rsync (grsync)marcando las casillas.

Esperar al final del proceso. Una vez completada la copia de seguridad, tendremos un archivo cifrado.

Del mismo modo, cree una copia de seguridad del sistema operativo GNU/Linux desmarcando la GUI de rsync "compatible con Windows".

¡Atención! crear un contenedor Veracrypt para una "copia de seguridad de GNU/Linux" en el sistema de archivos ext4. Si realiza una copia de seguridad en un contenedor ntfs, cuando restaure dicha copia, perderá todos los derechos/grupos de todos sus datos.

Puede realizar todas las operaciones en la terminal. Opciones básicas para rsync:
* -g - guardar grupos;
* -P --progress - el estado del tiempo de trabajo en el archivo;
* -H -copiar enlaces duros tal cual;
* -a -modo de archivo (varias banderas rlptgoD);
* -v -verbalización.

Si desea montar un "volumen de Windows VeraCrypt" a través de la consola en el software cryptsetup, puede crear un alias (su)

echo "alias veramount='cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt && mount /dev/mapper/ Windows_crypt /media/veracrypt1'" >> .bashrc && bash

Ahora, en el comando "imágenes reales", se le pedirá que ingrese una frase de contraseña y el volumen del sistema de Windows encriptado se montará en el sistema operativo.

Asignar/montar el volumen del sistema VeraCrypt en el comando cryptsetup

cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sdaX Windows_crypt
mount /dev/mapper/Windows_crypt /mnt

Asignar/montar partición/contenedor VeraCrypt en el comando cryptsetup

cryptsetup open --veracrypt --type tcrypt /dev/sdaY test_crypt
mount /dev/mapper/test_crypt /mnt

En lugar de alias, agreguemos (secuencia de comandos para carga automática) un volumen del sistema con sistema operativo Windows y un disco ntfs cifrado lógico para la carga automática de GNU/Linux

Cree un script y guárdelo en ~/VeraOpen.sh

printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --tcrypt-system --type tcrypt /dev/sda3 Windows_crypt && mount /dev/mapper/Windows_crypt /media/Winda7 #декодируем пароль из base64 (bob) и отправляем его на запрос ввода пароля при монтировании системного диска ОС Windows.
printf 'Ym9i' | base64 -d | cryptsetup open --veracrypt --type tcrypt /dev/sda1 ntfscrypt && mount /dev/mapper/ntfscrypt /media/КонтейнерНтфс #аналогично, но монтируем логический диск ntfs.

Damos derechos "verdaderos":

sudo chmod 100 /VeraOpen.sh

Cree dos archivos idénticos (¡mismo nombre!) en /etc/rc.local y ~/etc/init.d/rc.local
llenando los archivos

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will «exit 0» on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

sh -c "sleep 1 && '/VeraOpen.sh'" #после загрузки ОС, ждём ~ 1с и только потом монтируем диски.
exit 0

Damos derechos "verdaderos":

sudo chmod 100 /etc/rc.local && sudo chmod 100 /etc/init.d/rc.local 

Eso es todo, ahora al iniciar GNU/Linux no necesitamos ingresar contraseñas para montar discos ntfs encriptados, los discos se montan automáticamente.

Una breve nota sobre lo descrito anteriormente en el párrafo E1 paso a paso (pero ahora para OS GNU/Linux)
1) Cree un volumen en fs ext4> 4 gb (para un archivo) Linux en Veracrypt [Crypto box].
2) Reiniciar para vivir usb.
3) ~$ cryptsetup open /dev/sda7 Lunux #asignar la partición cifrada.
4) ~$ mount /dev/mapper/Linux /mnt #montar la partición cifrada en /mnt.
5) ~$ mkdir mnt2 #crear un directorio para la futura copia de seguridad.
6) ~$ cryptsetup open --veracrypt --type tcrypt ~/Cryptobox Cryptobox && mount /dev/mapper/Cryptobox /mnt2 #Asigne el volumen Veracrypt llamado "Cryptobox" y monte Cryptobox en /mnt2.
7) ~$ rsync -avlxhHX --progress /mnt /mnt2/ #operación para hacer una copia de seguridad de una partición cifrada en un volumen cifrado Veracrypt.

(PD/ ¡Atención! Si está transfiriendo un GNU/Linux encriptado de una arquitectura/máquina a otra, por ejemplo, Intel > AMD (es decir, implementando una copia de seguridad de una partición encriptada a otra partición encriptada Intel > AMD), no olvides después de transferir el sistema operativo encriptado, edite la clave sustituida secreta en lugar de la contraseña, tal vez. la clave anterior ~/etc/skey - ya no encajará en otra partición encriptada, y no es deseable crear una nueva clave "cryptsetup luksAddKey" desde debajo de chroot - es posible que haya una falla, solo en ~/etc/crypttab especifique temporalmente "ninguno " en lugar de "/etc/skey" ”, después de reiniciar e ingresar al sistema operativo, vuelva a generar su clave secreta sustituida).

Como veteranos de TI, no se olviden de hacer una copia de seguridad de los encabezados de las particiones cifradas del sistema operativo Windows/Linux por separado, o el cifrado se volverá en su contra.
En este paso, se completa la copia de seguridad de los sistemas operativos cifrados.

[F] Ataque al gestor de arranque GRUB2

detallesSi ha protegido su cargador de arranque con una firma digital y/o autenticación (Ver punto C6.), entonces esto no protegerá contra el acceso físico. Los datos cifrados seguirán siendo inaccesibles, pero se omite la protección (restablecer protección de firma digital) GRUB2 permite a los cibervillanos inyectar su código en el gestor de arranque sin despertar sospechas (a menos que el usuario controle manualmente el estado del gestor de arranque, o cree su propio código de script personalizado sólido para grub.cfg).

algoritmo de ataque intruso

* Arranca la PC desde un usb en vivo. Cualquier cambio (violador) Los archivos alertarán al propietario real de la PC sobre la intrusión en el gestor de arranque. Pero una simple reinstalación de GRUB2 manteniendo grub.cfg (y la posterior posibilidad de editarlo) permitirá a un atacante editar cualquier archivo (en este escenario, al cargar GRUB2, el usuario real no será notificado. El estado es el mismo <0>)
* Monta una partición sin cifrar, guarda "/mnt/boot/grub/grub.cfg".
* Reinstalar el gestor de arranque (eliminando "perskey" de la imagen core.img)

grub-install --force --root-directory=/mnt /dev/sda6

* Devuelve "grub.cfg" > "/mnt/boot/grub/grub.cfg", lo edita si es necesario, por ejemplo, agregando su módulo "keylogger.mod" a la carpeta con los módulos del cargador, en "grub.cfg" > línea "insmod keylogger". O, por ejemplo, si el enemigo es astuto, luego de reinstalar GRUB2 (Todas las firmas permanecen en su lugar) construye la imagen principal de GRUB2 usando "grub-mkimage con la opción (-c)". La opción "-c" le permitirá cargar su configuración antes de cargar el "grub.cfg" principal. La configuración puede constar de una sola línea: redirigir a cualquier "modern.cfg", mezclado con, por ejemplo, ~400 archivos (módulos+firmas) en la carpeta /boot/grub/i386-pc. En este caso, el infractor puede introducir código arbitrario y cargar módulos sin afectar "/boot/grub/grub.cfg", incluso si el usuario aplicó "hashsum" al archivo y lo mostró temporalmente en la pantalla.
El atacante no necesitará descifrar el nombre de usuario / contraseña del superusuario de GRUB2, solo necesitará copiar las líneas (responsable de la autenticación) "/boot/grub/grub.cfg" a su "modern.cfg"

establecer superusuarios="raíz"
password_pbkdf2 root grub.pbkdf2.sha512.10000.DE10E42B01BB6FEEE46250FC5F9C3756894A8476A7F7661A9FFE9D6CC4D0A168898B98C34EBA210F46FC10985CE28277D0563F74E108FCE3ACBD52B26F8BA04D.27625A4D30E4F1044962D3DD1C2E493EF511C01366909767C3AF9A005E81F4BFC33372B9C041BE9BA904D7C6BB141DE48722ED17D2DF9C560170821F033BCFD8

Y el host de la PC seguirá teniendo autenticación de superusuario GRUB2.

Carga de cadena (el gestor de arranque carga otro gestor de arranque), como se mencionó anteriormente, no tiene sentido (es para un propósito diferente). Debido a la BIOS, el cargador de arranque encriptado no se puede cargar (al cargar en cadena, GRUB2 se reinicia > GRUB2 encriptado, ¡error!). Sin embargo, si todavía usa la idea de la carga en cadena, puede estar seguro de que es el cifrado el que se está cargando. (no actualizado) "grub.cfg" de la partición cifrada. Y esto también es una falsa sensación de seguridad, porque todo lo que se enumera en el "grub.cfg" encriptado (carga de módulos) se apila con módulos que se cargan desde GRUB2 sin cifrar.

Si desea verificar esto, asigne/cifre otra partición sdaY, copie GRUB2 en ella (La operación de instalación de grub en una partición cifrada no es posible) y en "grub.cfg" (configuración sin cifrar) cambiar líneas como esta

entrada de menú 'GRUBx2' --class loro --class gnu-linux --class gnu --class os $menuentry_id_option 'gnulinux-simple-382111a2-f993-403c-aa2e-292b5eac4780' {
cargar_video
insmod
si [x$grub_platform = xxen]; luego insmod xzio; insmod lzopio; fi
insmod parte_msdos
criptodisco insmod
insmod lux
insmod gcry_dospeces
insmod gcry_dospeces
insmod gcry_sha512
insmodext2
cryptomount -u 15c47d1c4bd34e5289df77bcf60ee838
set root=’cryptouuid/15c47d1c4bd34e5289df77bcf60ee838′
normal /arranque/grub/grub.cfg
}

escaso
* insmod: carga los módulos necesarios para trabajar con un disco encriptado;
* GRUBx2: el nombre de la línea que se muestra en el menú de inicio de GRUB2;
* criptomontaje -u 15c47d1c4bd34e5289df77bcf60ee838 -ver. fdisk -l (sda9);
* establecer raíz - configuración de raíz;
* normal /boot/grub/grub.cfg - archivo de configuración ejecutable en la partición cifrada.

La confianza de que se está cargando el "grub.cfg" encriptado es una respuesta positiva al ingresar la contraseña / desbloquear "sdaY" al elegir la línea "GRUBx2" en el menú de GRUB.

Al trabajar en la CLI, para no confundirse (y verifique si la variable de entorno "establecer raíz" funcionó), cree archivos de marcadores vacíos, por ejemplo, en la partición cifrada "/shifr_grub", en la partición no cifrada "/noshifr_grub". Validación en la CLI

cat /Tab-Tab

Como se señaló anteriormente, esto no lo ayudará a descargar módulos maliciosos si dichos módulos terminan en su PC. Por ejemplo, un registrador de teclas que puede guardar las pulsaciones de teclas en un archivo y mezclarlas con otros archivos en "~/i386" hasta que un atacante lo descargue con acceso físico a la PC.

La forma más fácil de comprobar que la protección de firma digital está activa (no reiniciado), y nadie invadió el gestor de arranque, en la CLI escribimos el comando

list_trusted

en respuesta, obtenemos un lanzamiento de nuestro "perskey", o no obtenemos nada si fuimos atacados (también es necesario marcar "establecer check_signatures=enforce").
Una desventaja significativa de este paso es escribir comandos manualmente. Si agrega este comando a "grub.cfg" y firma digitalmente la configuración, entonces la salida preliminar de la conversión de clave a la pantalla es demasiado breve y es posible que no tenga tiempo para ver la salida cuando obtenga el arranque GRUB2. .
No hay nadie de quien quejarse particularmente: el desarrollador en su documentación la cláusula 18.2 declara oficialmente

“Tenga en cuenta que incluso con la protección con contraseña de GRUB, GRUB en sí no puede evitar que alguien con acceso físico a la máquina altere la configuración del firmware de esa máquina (por ejemplo, Coreboot o BIOS) para hacer que la máquina arranque desde un dispositivo diferente (controlado por el atacante). GRUB es, en el mejor de los casos, sólo un eslabón de una cadena de arranque segura".

GRUB2 está demasiado sobrecargado con funciones que pueden dar una sensación de falsa seguridad, y su desarrollo ya ha superado la funcionalidad de MS-DOS, y es solo un gestor de arranque. Es gracioso que GRUB2 - "mañana" pueda convertirse en un sistema operativo y máquinas virtuales GNU / Linux de arranque para él.

Un breve video sobre cómo restablecí la protección de firma digital GRUB2 y declaré mi intrusión a un usuario real (Te asusté, pero en lugar de lo que se muestra en el video, puedes escribir un código arbitrario no inofensivo/.mod).

Conclusiones:

1) Cifrado del sistema de bloques para Windows: más fácil de implementar, y la protección con una contraseña es más conveniente que la protección con varias contraseñas con el cifrado del sistema de bloques GNU / Linux, para ser justos: este último está automatizado.

2) Escribí el artículo como relevante, detallado simple guía para el cifrado de disco completo VeraCrypt / LUKS en una casa la máquina, que es, con mucho, la mejor en runet (en mi humilde opinión). El manual tiene > 50k caracteres por lo que no cubre algunos capítulos interesantes: sobre criptógrafos que desaparecen/permanecen en las sombras; sobre el hecho de que en varios libros de GNU/Linux hay poco/ningún escrito sobre criptografía; sobre el artículo 51 de la Constitución de la Federación Rusa; O Licencia/prohibición cifrado en Rusia, sobre por qué necesita cifrar "root/boot". El manual resultó ser ya considerable, pero detallado. (describe incluso pasos simples), a su vez, esto le ahorrará mucho tiempo cuando ingrese al "cifrado real".

3) Cifrado de disco completo realizado en Windows 7 64; Loro GNU/Linux 4x; GNU/Debian 9.0/9.5.

4) Implementó un ataque exitoso en su Cargador de arranque GRUB2.

5) El Tutorial fue creado para ayudar a todos los paranoicos en el CIS, donde el cifrado está legalmente permitido. Y, en primer lugar, para aquellos que desean implementar el cifrado de disco completo sin demoler sus sistemas configurados.

6) Revisó y actualizó su manual, que es relevante en 2020.

[G] Documentación útil

1. Guía del usuario de TrueCrypt (febrero de 2012 RU)
2. Documentación de VeraCrypt
3. /usr/share/doc/cryptsetup(-run) [recurso compartido local] (documentación oficial detallada sobre cómo configurar el cifrado GNU/Linux con cryptsetup)
4. Preguntas frecuentes oficiales sobre configuración de criptas (documentación breve sobre cómo configurar el cifrado GNU/Linux con cryptsetup)
5. Cifrado de dispositivos LUKS (documentación de archlinux)
6. Descripción detallada de la sintaxis de cryptsetup (página del manual de arco)
7. Descripción detallada de crypttab (página del manual de arco)
8. Documentación oficial de GRUB2.

Etiquetas: cifrado de disco completo, cifrado de partición, cifrado de disco completo de Linux, cifrado de sistema completo LUKS1.

Solo los usuarios registrados pueden participar en la encuesta. Registrarsepor favor

¿Encriptas?

• 17,1%Encripto todo lo que puedo. Estoy paranoico.14

• 34,2%Solo encripto datos importantes.28

• 14,6%A veces cifro, a veces olvido.12

• 34,2%No, no cifro, es inconveniente y costoso.28

82 usuarios votaron. 22 usuarios se abstuvieron.

Fuente: habr.com