Web上のプライバシー

Bottom of this page. | <<last 0 1

7e87d9e4 anonymous [sage] 2011-06-04 07:03

メモ:
truecryptのコマンドラインオプション "--protect-hidden=yes|no" は、隠しボリュームのマウントには関わらないようである
フォーマットや鍵の変更で深夜から夜明けまでの貴重な時間を失うことになってしまったが、もしヘッドレスな環境（モニタがない環境）で隠しボリュームをスタンドアロンでマウントするなら次のとおりに
モニタのついた認証用（これまた中二的wな）の鯖を用意すべきである。
最初に一度クライアントでダミーボリュームを間抜けなパスワード123456789とともに作成しマウントする。
ダミーボリュームの中には赤の他人からみれば速度重要されるような何の変哲もないファイルをおいておく。（それに一番向いているのはどうでもよいランダムデータが入ったsqliteのdbである）
tmpfsを適当なサイズで/mntにマウントして先のdbをそこにコピー。
コピーが終わったらダミーボリュームをdismountする。
次に非暗号化されたドライブから（/dev/sda1|C:\）から<ファイル名はなんだっていいよ>.(sh|bat)を実行、中身は認証用鯖へ鍵ファイル2を求めにいく。
192.168.さ.ば:/media/truecrypt1/k_dir
+/media/truecrypt1/k_dir
 +/values
　-values1
　-values2
　-values3
 -tc.sh
tc.shを実行すればおそらくマウントできているはずなので、成功したら忘れず/mntにshredで気が済むままデーターを上書きしていく。（念のため→ｵﾇﾇﾒｵﾌﾟｼｮﾝ shred -vn<気が済む整数n>z --remove
個人的には"sqlite3.db"の内容が重要度を増す。このデータだけでこれ以上の”追跡”をさせないためにも有効であると考えるためである。
余談を許せば"重要度"から考えればうちの場合MySQLの方が重要度を増すが、前述の通り削除してしまうので使わない方が良い。無理にでもどうにか"怪しくないぞ.db"を用意すべきである。

すべて#!/bin/shから世界がはじまる
~/db.sh
/usr/bin/truecrypt -t /dev/sdc1 /media/truecrypt1 -p "123456789"
mount -t tmpfs size=16m /mnt && cp /media/truecrypt1/sqlite3.db
/usr/bin/truecrypt -d -f

~/ssh.sh
scp -i ./.ssh/localcal hoge@192.168.さ.ば:/media/truecrypt1/k_dir /mnt
/bin/bash /mnt/tc.sh

/mnt/tc.sh
/usr/bin/truecrypt -t /dev/sdc2 /media/truecrypt1 --password="ou)~#TU" --keyfile="/mnt/sqlite3.db" --keyfile="/mnt/values/values1" ... values2 ... values3
find /mnt -type f -print0|xargs -0 shred -vn10240z --remove &

痛い突っ込みが来る前にpause、この方法は書いているうちに自分でもなんの強みもないことが気がついた。
もっともよいであろう次の方法。ボリュームパスワードは間抜けな"123456789"に固定になるが、鯖がもし正規の"ダミー/hidden"ボリュームのどちらかをマウント/マウントできていない場合、怪しまれずに手元でダミーボリュームをマウントすることができる。
想像力が大宇宙の人に考えを言わせれば鯖自体をダミー/hidden両方どちらかの鍵にしてしまうのである。（正確には鯖で正規のボリュームがマウントされているかなんだけど、、ああもうごちゃごちゃだ。）
こいつを組み込むと11行目のディレクトリ/ファイルも名前こそ違うものの中身はそれぞれまったく別のファイルになってよろし。ただよく考えると個々にtc.shを設定できるわけだからパスワードは間抜けな"123456789"ではなくてもいい気がしてきた。
:ここまで

実践してみる。

Top of this page. | <<last 0 1

(Web上のプライバシー/148/0.0MB)