Как защитить ключи LUKS с помощью Рутокен ЭЦП 3.0 и алгоритмов ГОСТ Р 34.10-2012. Часть 1

В этом цикле статей мы подробно рассмотрим технологию LUKS с позиции системного администрирования и способы защиты мастер-ключа, в том числе и с использованием алгоритмов ГОСТ Р 34.10-2012 на Рутокен ЭЦП 3.0. Материал прошел обсуждение в фокус-группе нашего сообщества ALD Pro фессионалов и будет включен в содержание открытого курса по службе каталога ALD Pro . Возможности повысить квалификацию в объеме 16 академ. часов не обещаем, но вкусных буковок будет много.

https://habr.com/ru/companies/astralinux/articles/992778/

#linux #luks #полнодисковое_шифрование #full_disk_encryption #fde #рутокен #рутокен_эцп #рутокен_эцп_30 nf #plymouth

@kkarhan I was just pointed at this:

https://search.nixos.org/packages?channel=unstable&query=Shufflecake

https://dl.acm.org/doi/10.1145/3576915.3623126

#FDE #FullDiskEncryption #Deniability #PlausibleDeniability #Shufflecake

#Microsoft hands out your #Windows #Bitlocker disk #encryption recovery key if #USA agencies like the #FBI ask for it:
https://www.forbes.com/sites/thomasbrewster/2026/01/22/microsoft-gave-fbi-keys-to-unlock-bitlocker-encrypted-data/

And yes, this has already happened at least twenty times a year for some keys.

According to other situations, I'd not particular bet that twenty is the correct number as US law usually prevents services from talking about it too openly.

#security #privacy #FDE #Windows11 #Win11 #cloud

@postmarketOS Does somewhen is #FDE supported again?

https://gitlab.postmarketos.org/postmarketOS/pmaports/-/issues/2434

Maybe that is the problem/solution: https://gitlab.postmarketos.org/postmarketOS/pmaports/-/issues/2254

#postmarketos #encryption

Dự án LionLock FDE vừa cập nhật lớn: công bố công khai Module 2, 3 và 4. Module 2 xử lý điểm số và phát hiện mệt mỏi; Module 3 phát hiện bất thường và dịch chuyển dữ liệu; Module 4 cung cấp telemetry SQL an toàn, bảo vệ quyền riêng tư. Sắp tới là Module 5 (gating logic). Mở đón cộng tác viên và phản hồi từ cộng đồng. #LionLock #OpenSource #AIreliability #AnomalyDetection #FDE #DựánLionLock #Mởnguồn #Pháthiệnbấtthường #Độtincai

https://www.reddit.com/r/LocalLLaMA/comments/1pzlruj/update_to_proje

• Boots into #ChimeraLinux Plasma live USB
• Ok, pretty standard Plasma, nice wallpaper, let's see...
• No Firefox? Konqueror? In 2025? That's what you're going with? OK, ok, not hatin'...!
• Install icon? No?
• Application launcher, ok, i-n-s-t-a-l-l... uhh... nothing?
• Ok Konqueror, konquer this web search for me...
• Reads docs... ok! NO INSTALLER. Hmmm!
• Ok, I could totally lazy out by just installing the #Fedora #Sway spin, but honestly, the instructions aren't too bad, and they support #FDE, which is always a plus
• To be continued...

Jornada hacia la huelga

La Casa+Grande, sábado, 22 de noviembre, 11:30 CET

Desde el Frente de Estudiantes organizamos una jornada de aprendizaje y socialización de cara a la huelga universitaria de los días 26 y 27 de noviembre. En ella, compartiremos experiencias entre trabajadores y estudiantes de las universidades, disfrutaremos de una comida popular, y aprenderemos nociones básicas de seguridad militante. Además, contaremos con la intervención del UESARIO, quienes expondrán la situación de ocupación del Sáhara occidental y analizarán la realidad del imperialismo. La jornada finalizará con una cena y un espacio para el ocio.

https://mad.convoca.la/event/jornada-hacia-la-huelga

@pitrh @SamuraiSakura @inlovewithpda

Great write-up!

Agreed, the install process on #OpenBSD is really quite painless, especially since they added #FDE setup to the installer.

The fact that it isn't a #TUI is really minor.

Also, #doas is BAE. I install it everywhere else, including all my Linux boxen. 😁

I got a "hankerin'" (as we say here) to try daily-driving #FreeBSD again, but I kind of want to wait until the desktop installer is ready.

@evgandr, how fast did you say you got FreeBSD to resume from S3, again?

I wouldn't mind trying #NetBSD again, but the instructions for #FDE (#FullDiskEncryption) looked quite daunting.

#Tumbleweed now defaults to #GRUB2-BLS! This modern boot setup brings easier integration for features like full disk encryption #FDE, #TPM2/#FIDO2 support, and faster updates. Clean, simple #boot entries. https://news.opensuse.org/2025/11/13/tw-grub2-bls/

@JSCybersec

I'd use #FDE on a desktop that was chained to the wall, filled with lead and guarded by a #Dalek. XD

#POLL: Do you use Full-Disk Encryption, such as LUKS on #Linux or GELI on #FreeBSD?

#FullDiskEncryption #FDE #LUKS #GELI

Компьютер с полностью шифрованным SSD/NVMe?
Вполне полноценно через #LUKS — рабочее решение, без дырок от вендоров для криминалистов (#forensics).
Т.е. получается комп на #Linux с файловой системой #btrfs на «жёстком диске» с LUKSv2 для шифрования. Годно и для игр и для нескольких лет работы.

Именно вторая версия LUKS ради другой #PBKDF — обработке вводимого пароля через #argon2id в рамках #PBKDF2 для извлечения ключа шифрования из заголовка раздела на «диске».

Суеверные люди предпочитают молчать о том, как работают их сложные и навороченные системы. Однако, когда прошло несколько лет эксплуатации, то можно просто констатировать как свершившийся факт качество работы системы.

Ноутбуки иногда теряются или крадутся, а из десктопов не всегда удаётся извлечь носитель («диск»). Оперативно-следственные службы не всегда добросовестно опечатывают технику при изъятии и абы кто может докинуть на ваши носители данных непонятно какие материалы, перед тем как устройства поступят в «ЭКЦ МВД России».

И помните, что если следователь показывает распоряжение о проведении экспертизы содержимого ваших носителей данных. Требуя при этом предоставить пароль, то знать о наличии пароля он как бы и не должен. А может оказаться в курсе лишь в том случае, если на этом постановлении имеется отметка от ЭКЦ о приёме на экспертизу ваших устройств.
А если же такой отметки нету, то значит следак в курсе неудачной попытки что-то эдакое подкинуть на ваши носители данных. Т.е. устройства ваши находятся всё ещё у него в закромах, а не были переданы в ЭКЦ. И если выдать пароль, то неизвестно что нового появится на них перед отправкой в ЭКЦ.

#cryptsetup #Argon2 #FDE #crypto #криптография #security #ИБ #infosec

Rogue disk plugged into your #Linux? #openSUSE’s advanced #FDE setup uses #TPM PCRs to detect fake rootfs and halt booting. Bonus: automatic policy updates after updates. #SecureBoot https://news.opensuse.org/2025/07/18/fde-rogue-devices/

Curious about what the future holds for Tumbleweed & #MicroOS? In this #oSC25 talk, explore advancements like #FDE with TPM/FIDO2, transactional-update tweaks, BLS in #GRUB2, systemd‑sysext, #sndiff, and so much more! https://youtu.be/MPMrlUj1sVA?si=6KA153_pVpo3KTlq

Worried about rogue devices compromising your encrypted #Linux system? Discover how #openSUSE combines #TPM2, #FIDO2, and measured boot to fortify #FDE installation. https://news.opensuse.org/2025/07/18/fde-rogue-devices/

Boot-time trust, #TPM2 sealing, and stopping fake rootfs attacks; #openSUSE’s new Full Disk Encryption defenses are wild. Read the #tech deep-dive. #infosec #openSUSE #TPM2, #PCR #FDE #sysadmins #security #opensource https://news.opensuse.org/2025/07/18/fde-rogue-devices/

If you use #LUKS for #FDE and have fast disks, you should read my last blog post.
The default settings cut the performance 90% vs unencrypted in synthetic testing. Real world would probably not be as bad but still, with some quick settings we got it back up to 50%, which probably means 90% in real world.

This was for a big RAID10 array with 10 really fast NVME disks, I have not looked at if this happens also on single disks. Defaults might also have changed since I did the testing early last year.

https://blog.nyman.re/2025/08/18/luks-on-nvme-from-gibs.html

It's a really long #blaugust2025 post to make up for the recent micro blogging :-)

Наиболее весёлое из полнодискового шифрования через #LUKS? Что на многих ноутбуках используются AT-клавиатуры и ввести пароль для доступа к диску можно лишь при наличии активного atkbd модуля в образе initramfs.
Или же подключив usb-клавиатуру, если слетело что-то в системе из-за обновлений и некорректно собрался initramfs.
Т.е. на десктопах с этим проще, а вот на ноутах народ часто забывает о такой вещи. И не важно с каким загрузчиком EFI-шным — systemd-boot или же GRUB.

На некоторых ноутах приходится ещё и atkbd.reset=1 использовать, из-за определённых заморочек\багов в EFI\UEFI от производителя материнской платы.
Поскольку могут возникать проблемы, когда при перезагрузке ноутбука клавиатура просто не работает. И надо его тупо выключить и подождать секунд 30 если работает с батареи или же пару минут, если работает от сети. Только после этого получится будет работать клавиатура при запросе пароля для доступа к шифрованным разделам NVMe/SSD/HDD.
Например, было такое лично у меня на выданном Asus ZenBook в районе 2022-2023 годов.

А так, в целом, за последние пять лет #LUKSv2 лишь радовал, если понимаешь что нужно и делаешь изначально всё c #Argon2 и потому приходится разобраться с тем, каким должен быть initramfs и загрузчик в системе.

#linux #crypto #fde #криптография