" title="Написать письмо">Написать письмо
Донаты на карту ВТБ:
2200 4002 2461 6363

Статистика

Пользователи : 1
Статьи : 2215
Просмотры материалов : 8302704
 
Шифрование виртуалок (30.06.2025). Печать E-mail
2025 - Июнь
30.06.2025 17:43
Save & Share
Неясно, почему в заметках оказалась строка "написать статью о шифровании в VirtualBox", - придётся писать что-нибудь.



Толчком к глубокому изучению шифрования стало прибытие внешней комиссии, сующей нос не в свои дела. Пострадал сотрудник, вина которого не была доказана: парню просто предъявили, что на его флешке что-то нашли давнее плохое, - и не предоставили никаких доказательств найденного (даже флешку не вернули). Когда он всё это рассказывал - он заикался даже: так его вымурыжили.

Встал вопрос: как обезопаситься от такого рода параноидальных шизофреников, имеющих неограниченную власть. Использовать методы, где они не имеют власти: выколоть им глаза шифрованием VirtualBox - не найдут ничего и никогда. "Ой, а я пароль забыл!" - и всё, пусть трахаются с расшифровкой годами.

Шифрование VirtualBox, несмотря на его изобретение в далёком прошлом, имеет принципиально важные парадигмы, повышающие итоговую криптостойкость информации:
- политика неких открытых и закрытых ключей: зашифрованная виртуалка может быть открыта только на ОС, на которой проходило шифрование. Если целиком унести эту виртуалку за пределы ОС - даже при вводе правильного пароля, виртуалка не расшифруется. Это - одновременно и опасность: если накроется ОС - накроются все зашифрованные виртуалки. Но это легко обходится, например, хранением всех настроек виртуальных машин в разделе с ОС, а виртуальных дисков с информацией - в другом месте. В моём случае - тупо бакап каждой идеально настроенной ОС вместе с её конкретными виртуалками (бакапы, естественно, тоже зашифрованы - но уже функционалом TeraByte Image). Если же виртуалку надо перенести в другое место - дешифровка диска, корректный перенос незашифрованного диска, зашифровка уже на нужном месте;
- шифрование AES256: особо не удивишь - однако криптостойкость выше, чем у MD5. Еле-еле запустившаяся утилита взлома пароля hashcat (раз, два): показала скорость расшифровки MD5 ~5млрд паролей в секунду на стоковой GeForce GTX 1050 2016 года выпуска - в то время, как 7-Zip расшифровывался в 2.5млн раза медленнее (при этом шифруя тем же AES256). Напрямую скорость расшифровки VirtualBox получить не удалось: запустилась только старая версия утилиты, не знавшая о VirtualBox тогда ничего;
- правильный подбор длины пароля: минимум 11 символов, регистрозависимость, цифры, спецсимволы. Да даже номер банковской карты с амперсандом посередине - уже для расшифровщиков непосильная задача будет;
- слабое влияние на ЦП (пытался обнаружить высокую нагрузку, в сравнении с нешифрованной ОС, - не вышло);
- пароль Windows - можно сбросить за 5мин, независимо от его длины. Пароль шифрованного диска - ничем не скинуть.

Ложки дёгтя:
- шифрованные виртуальные диски - несжимаемые, требуются дополнительные накопители для хранения информации;
- миграция реальной ОС в виртуальную - очень больно для Linux и почти без проблем для Windows;
- шифрованная информация - монолитна. 1 битый сектор или ошибка файловой системы - и весь виртуальный диск может быть повреждён (с шифрованным образом TeraByte Image - дважды такая ситуация возникала).

(добавлено 01.07.2025) А ведь тут можно играться. С учётом, что передавать данные с виртуальных дисков по сети - медленно: разграничить настройки виртуалок и их диски нужно наоборот. Настройки - на сетевом ресурсе (тут и 100Мб/с хватит), виртуальные диски - каждый на компьютере нужного пользователя. И настройки-обманки разместить у этих пользователей: чтобы создать иллюзию, что виртуальная машина полностью локальная: вот и пусть взламывают с неправильным закрытым ключом.

(добавлено 05.07.2025) Если на диске создать виртуалку с диском 1ТБ, выбрать выделение полного места под виртуальный диск, а потом поставить шифрование диска - всё, на медленном носителе можно курить бамбук часа 3. Поэтому есть смысл сначала всё в виртуалку поставить - и шифровать в самом конце. К сожалению, автоматическое завершение работы ПК после шифрования - не предусмотрено.

Важный момент по паролям: пароль не должен храниться у пользователя и начальника. Первый может откинуться от возраста, второй потеряет бумажку с паролем за несколько месяцев (сымитированная ситуация, кроме смерти) - всё, к данным не добраться. Виртуалку пришлось сносить и пересоздавать заново - по накопленному за 3мес опыту (данных в ней ценных не было). Нужен кто-то 3-й, хранящий рабочие пароли дома: чтобы никакой любитель копаться в грязном белье других людей до них не добрался даже при обыске.

(добавлено 10.07.2025) После шифрования виртуалки - нужно затереть свободное место на её разделе: информация с нешифрованного виртуального диска - сохраняется.

Способ облегчить пользователям ввод сложных паролей от виртуалок: гибернация родительской ОС при уже запущенных дочерних ОС с введённым паролем - после пробуждения вообще никакие пароли вводить не надо. Для стационарных ПК подойдёт - но для ноутбуков крайне не рекомендуется.

Ярлык гибернации: sudo systemctl hibernate (владелец root, права 777, подождать после выполнения минуту). Нельзя применять в виртуалке: убивает разрешение на 800x600 - и все значки рабочего стола сбиваются (при этом, сама гибернация - срабатывает корректно).

Через меню пуска - гибернация не работает должным образом.

Обновлено ( 10.07.2025 14:35 )
 
 

Последние новости


©2008-2025. All Rights Reserved. Разработчик - " title="Сергей Белов">Сергей Белов. Материалы сайта предоставляются по принципу "как есть". Автор не несет никакой ответственности и не гарантирует отсутствие неправильных сведений и ошибок. Вся ответственность за использование материалов лежит полностью на читателях. Размещение материалов данного сайта на иных сайтах запрещено без указания активной ссылки на данный сайт-первоисточник (ГК РФ: ст.1259 п.1 + ст.1274 п.1-3).

Много статей не имеет срока устаревания. Есть смысл смотреть и 2011, и даже 2008 год. Политика сайта: написать статью, а потом обновлять ее много лет.
Рекламодателям! Перестаньте спамить мне на почту с предложениями о размещении рекламы на этом сайте. Я никогда спамером/рекламщиком не был и не буду!
Top.Mail.Ru