Convalesco

On Octomber 21 TrueCrypt 6.3 was released with Snow Leopard support! This is very good news for paranoid users! TrueCrypt is the best, by any means, encryption software for MacOSX that you will find on the internet.

There are some new options available in this new version like the ability to configure selected volumes as ‘system favorite volumes’. This is useful, for example, when you have volumes that need to be mounted before system and application services start and before users start logging on. It is also useful when there are network-shared folders located on a TrueCrypt volume and you need to ensure that the network shares will be restored by the system each time it is restarted. For more information, see the chapter ‘Main Program Window’, section ‘Program Menu’, subsection ‘Volumes -> Save Currently Mounted Volumes as System Favorites’ in the documentation. (Windows)

It’s nice to have TrueCrypt back! I already feel more secure!

Apple Inc. has been pedantic for many things. One of these is the lack of support for PGP. Truth is, encryption is badly needed in today’s world. Email encryption is at hand. Today’s technology solved the most dangerous aspect of encryption, with the introduction Public Key Exchange.

While, technology has served well on this matter, people seem to ostensibly ignore the use of encryption. Of course, those who don’t want to trade a few extra clicks with a secure communication, don’t deserve a secure communication by default. This choice however, affects a large part of internet savvy tech users. It would be much more difficult for eavesdroppers to handle a couple of thousands of encrypted emails, than a dozen of them. Not to mention the possibilities of the digital signature that comes with the emails against spam, etc.

It’s hard to understand Apple’s policy on many things. I still remember the buzz about the iPhone SDK, before it was released. Same goes for other things. To mention the most current, everyone is trying to understand why did they turn Quicktime Pro from a swiss army knife of video formats to a wooded knife that no one cares to use anymore. No one can really understand why would someone want just another program that will help you upload your video to YouTube automagically, while it will hide all that tiny little options that made Quicktime a winner. I’ve spoken to a couple of MacOSX application developers, they all were amazed by the silly choice.

Back to the PGP thing now. It’s not a big deal. It takes 40 hours for an external programmer to do some trial & error research in order to  write a bundle for the Mail.app . How many hours could it take for the OSX developers to do likewise… Five?

Many people don’t use cryptography on their disk partitions, however there is a very handy disk utility that handles the entire procedure in a human way. There’s always the Truecrypt alternative which I consider like 10 times safer for many technical reasons, but the AES-256 encryption is build-in!

Now that GPGMail will not be supported on Snow Leopard, we’re out of lack! I’m going to use the command line for encrypted emails. No, I don’t use them regularly, but we are in 2009 after all. This is MacOSX v10.6 and the Mail.app is v4.0. Mature enough for a build-in GPG support. In my opinion, Apple should be shipping GnuPG2 implemented on Mail.app by default, along with the usual apple-style “click-and-go” application for creating personal keys, which you can use for disk encryption also.

Although I am a kinda addicted with Apple products, I still can’t understand the obsessive lack of support for some regular things. Apple’s user-base has an important percentage of ex UNIX – chose a flavor, there’s one for every taste – users. They should pay some respect to them as to any other user which needs such a basic functionality…

Ο Λευκορώσος προγραμματιστής Svarychevski Michail Aleksandrovich έγραψε τον το BarsWF, τον πιο γρήγορο MD-5 (Message-Digest algorithm 5) cracker στον κόσμο! Σε έναν υπερ-υπολογιστή γραφείου, όπως τους αποκαλεί η NVidia CUDA μπορεί να επεξεργαστεί 350 M keys / sec!!! Σύμφωνα με τα benchmarks στην ιστοσελίδα του είναι ο πιο γρήγορος που θα βρείτε τριγύρω

Πριν από λίγες ώρες πέρασε το χειρότερο νομοσχέδιο στην Ευρωπαϊκή ιστορία του διαδικτύου, στην Γαλλία. Ο νόμος HADOPI πήρε σάρκα και οστά. Πλέον όλοι οι πολίτες της Γαλλίας θα είναι υπό στενή παρακολούθηση, δεν θα έχουν το δικαίωμα του προσωπικού απορρήτου στις συνδέσεις internet. Πλέον ο ISP στην Γαλλία είναι αυτός που αποφασίζει πότε και ποιος έχει το δικαίωμα να μείνει on-line και ποιος όχι. Όποιος κριθεί από την ομάδα HADOPI ότι κατεβάζει παράνομα, θα δεχθεί 3 emails, ένα για κάθε φορά που κατεβάζει κάτι παράνομο. Μετά την τρίτη φορά, θα πηγαίνει στο δικαστήριο ενώ θα κόβεται αυτόματα η σύνδεση Internet. Δεν υπάρχει ανάγκη από ένταλμα. Το Three Strikes του Sarkozy είναι πλέον πραγματικότητα.

Αυτό που απομένει να δούμε, είναι πως θα αντιδράσει η Γαλλική διαδικτυακή κοινότητα. Δεν εννοώ απαραίτητα με απεργίες. Έως σήμερα, ο διαδικτυακός πολίτης, δεν ανησυχούσε πολύ για την ασφάλεια του, αν και τα εργαλεία υπήρχαν. Οι μόνοι χρήστες με τους οποίους έχω ανταλλάξει PGP κλειδιά είναι, κάποιοι φίλοι που έχουν GNULinux ή BSD συστήματα. Είναι άνθρωποι που ανησυχούν για την ασφάλεια τους. Πόσοι όμως από αυτούς που χρησιμοποιούν το διαδίκτυο ανησυχούν πραγματικά;

Ο Jérôme Bourreau Guggenheim, το πρώτο κατά-λάθος θύμα του HADOPI, πλήρωσε με την εργασία του την διαφορετική άποψη του, επί του θέματος. Αν είχε κάνει χρήση ενός αλγόριθμου κρυπτογράφησης όμως, θα είχε ακόμη την δουλειά του! Το ισχύει για τις επικοινωνίες www και p2p. Αν γίνει σωστή χρήση της κρυπτογραφίας είναι δύσκολο να ξέρει κάποιος τι ακριβώς περνάει από την γραμμή του χρήστη.

Αν την κρυπτογραφία την χρησιμοποιεί ένας χρήστης και μόνο, τότε αποτελεί τον μεγαλύτερο στόχο. Εάν την χρησιμοποιεί όμως η πλειοψηφία των χρηστών του διαδικτύου όμως, και γίνει το standard  στις επικοινωνίες, τότε θα έχουν πολύ δύσκολο έργο όλοι όσοι μας “παρακολουθούν”. Οπότε, ίσως τελικά, ο Sarkozy χωρίς να το θέλει έσπρωξε τους Γάλλους προς την σωστή κατεύθυνση.

Δεν υπάρχει αμφιβολία ότι όλοι αυτοί οι νόμοι είναι απλά λάθος. Η νοοτροπία και οι νόμοι του copyright που ίσχυαν του 1970 δεν μπορούν να ισχύουν στην κοινωνία του 2010. Απλά οι εταιρίες μουσικής παραγωγής δεν θέλουν να χάσουν την πίτα, και σκαρφίζονται ότι μπορούν για να αυξήσουν τα υπερκέρδη. Αισχρό να συμβαίνει αυτό σε περίοδο κρίσης. Αλλά ίσως είναι το καλύτερο, και ίσως ξέρετε είναι η καλύτερη δυνατή χώρα για να πολεμήσει – να τα σπάσει όλα αν χρειαστεί – κάτι τέτοιο. Αρχικά, πολλοί δεν θα καταλάβουν τι συμβαίνει. Αργότερα όμως, όσο η υπόθεση θα αρχίσει να ενοχλεί τους νέους, και να παίρνει δημοτικότητα, δεν νομίζω ότι θα το ανεχτούν οι Γάλλοι. Άλλωστε το πρώτο θύμα του HADOPI δεν ήταν ένας νεαρός που κατέβαζε και πουλούσε παράνομα μουσική, ήταν ένας άνθρωπος που είχε αντίθετη άποψη με το σύστημα.

Αναρωτιέμαι αν έχει σκεφτεί ο Sarkozy τι θα γίνει αν χάσει τις εκλογές κι ο επόμενος πρωθυπουργός χρησιμοποιήσει αυτό το σύστημα για να του κάνει την ζωή κόλαση και δημοσιοποιεί “κατά λάθος” πάντα, την αλληλογραφία του.

Οπότε ίσως πρέπει να ευχαριστήσουμε τον κ. Sarkozy που θα ξυπνήσει τον κόσμο για να αρχίσει να χρησιμοποιεί τεχνολογίες που είδη υπάρχουν και τις αγνοούν οι περισσότεροι επειδή “βαριούνται“.

Είχα αναφέρει και παλαιότερα το duplicity σαν λύση για backup. Το duplicity είναι βασισμένο στο καταπληκτικό rdiff-backup. Το duplicity έχει τις ίδιες δυνατότητες με την πρόσθεση της κρυπτογράφησης των δεδομένων μας. Έτσι έχουμε την δυνατότητα να αποθηκεύσουμε τα δεδομένα μας σε έναν απομακρυσμένο server μέσω ssh. Υποστηρίζει κι άλλα πρωτόκολλα επικοινωνίας πέραν του ssh που προτείνεται για μια τέτοια διαδικασία, για λόγους ασφαλείας.

Στο παράδειγμα μου όμως, θα χρησιμοποιήσω ως αποθηκευτικό μέσω έναν εξωτερικό USB δίσκο. Αργότερα, όταν το κάνω, θα παραθέσω ένα παράδειγμα backup σε απομακρυσμένο server.

Αρχικά καλό θα ήταν να κάνουμε ext2fs τον εξωτερικό σκληρό δίσκο. Εάν θέλετε να το κάνετε χρησιμοποιώντας ένα πρόγραμμα φιλικό προς τον χρήστη, εγκαταστήστε το gparted. Έπειτα επιλέξτε filesystem, προτείνω το ext3fs κι όχι κάποιο εκ των xfs, jfs, reiserfs, αλλά η επιλογή είναι δικιά σας, όπως και τα δεδομένα!

Έπειτα εγκαθιστούμε το duplicity:

atma@Humildus:$ sudo apt-get install duplicity
atma@Humildus:~$ duplicity --version
duplicity 0.4.12

Έπειτα ανοίγουμε το αρχείο .bashrc και βγάζουμε τα comments από το bash_aliases:

 (...)
if [ -f ~/.bash_aliases ]; then
. ~/.bash_aliases
fi
(...)

Τώρα μπορούμε να βάλουμε όλα τα aliases που θέλουμε στο αρχείο .bash_aliases αφού αυτό θα διαβάζεται από το .bashrc κάθε φορά που θα ανοίγουμε ένα console.

Το αρχείο .bash_aliases είναι κάπως έτσι:

atma@Humildus:~$ cat .bash_aliases
# atma's aliases file
(...)
# backup aliases
alias backup='duplicity /home/atma file:///media/disk/backup'
alias backup-statistics='duplicity collection-status file:///media/disk/backup'
alias backup-verify='duplicity verify file:///media/disk/backup /home/atma'
alias backup-list-files='duplicity list-current-files  file:///media/disk/backup'
(...)

Όπως έχετε καταλάβει το directory που “κρατάει” το backup είναι το /media/disk/backup το οποίο είναι ο εξωτερικός USB δίσκος. Τα υπόλοιπα aliases είναι απλά και γρήγορα βοηθήματα για να μην γράφω ολόκληρη την εντολή κάθε φορά.

Το duplicity κάνει χρήση του GnuPG. Εάν έχουμε δημιουργήσει προσωπικό κλειδί GnuPG το duplicity θα κάνει αυτόματα χρήση του κλειδιού κι έτσι θα επιτύχουμε την μέγιστη δυνατή ασφάλεια, με την μη συμμετρική κρυπτογράφηση που προσφέρει το GnuPG. Υποθέτω ότι όσοι κάνουν εκτεταμένη χρήση της κρυπτογραφίας γνωρίζουν ότι εάν χαθεί το κλειδί τους για κάποιο λόγο από το $HOME/.gnupg directory χωρίς να έχουν αντίγραφο, όπως είναι φυσικό, χάνουν αυτόματα και την πρόσβαση στο backup τους! Οπότε κάντε μεγάλη προσοχή σε αυτήν την περίπτωση!

Παρόλα αυτά, εγώ δεν ήθελα να δημιουργήσω κλειδιά γι αυτόν τον χρήση, γιατί δεν χρησιμοποιώ τον email client σε αυτό το μηχάνημα. Οπότε το duplicity δημιούργησε μόνο του ένα .gnupg directory και κάνοντας συμμετρική κρυπτογράφηση στα αρχεία μου ζήτησε μόνο ένα κλειδί, το οποίο είναι το μόνο πράγμα που πρέπει να γνωρίζει ο χρήστης. Ακόμη κι αν χαθεί το $HOME/.gnupg δεν υπάρχει κανένα πρόβλημα, το μόνο που θα σας ζητηθεί για την ανάκτηση του backup σας είναι ο κωδικός ασφαλείας.

Ένα παράδειγμα backup με το duplicity:

atma@Humildus:~$ backup
GnuPG passphrase:
--------------[ Backup Statistics ]--------------
StartTime 1232647665.63 (Thu Jan 22 20:07:45 2009)
EndTime 1232647669.41 (Thu Jan 22 20:07:49 2009)
ElapsedTime 3.77 (3.77 seconds)
SourceFiles 3155
SourceFileSize 1985851007 (1.85 GB)
NewFiles 0
NewFileSize 0 (0 bytes)
DeletedFiles 0
ChangedFiles 3
ChangedFileSize 7557 (7.38 KB)
ChangedDeltaSize 0 (0 bytes)
DeltaEntries 3
RawDeltaSize 1443 (1.41 KB)
TotalDestinationSizeChange 1583 (1.55 KB)
Errors 0
-------------------------------------------------

atma@Humildus:~$ backup-statistics
Connecting with backend: LocalBackend
Archive dir: None
	
Found 0 backup chains without signatures.
	
Found a complete backup chain with matching signature chain:
-------------------------
Chain start time: Wed Jan 21 20:44:36 2009
Chain end time: Thu Jan 22 20:07:43 2009
Number of contained backup sets: 8
Total number of contained volumes: 435
 Type of backup set:                            Time:      Num volumes:
                Full         Wed Jan 21 20:44:36 2009               346
         Incremental         Wed Jan 21 21:07:44 2009                 1
         Incremental         Wed Jan 21 21:09:55 2009                 1
         Incremental         Wed Jan 21 21:14:42 2009                81
         Incremental         Wed Jan 21 21:30:10 2009                 1
         Incremental         Thu Jan 22 08:04:03 2009                 1
         Incremental         Thu Jan 22 19:25:24 2009                 3
         Incremental         Thu Jan 22 20:07:43 2009                 1
-------------------------
No orphaned or incomplete backup sets found.

Όπως βλέπεται πιο πάνω, ζητάει τον κωδικό¹ κι αν τον καταχωρίσουμε σωστά, ξεκινάει η διαδικασία του backup. Το backup είναι αυξητικό ( incremental ) που σημαίνει ότι το πρόγραμμα ελέγχει τα αρχεία στο directory που έχουμε επιλέξει για backup και μεταφέρει μόνο τα καινούρια αρχεία ή αυτά που έχουν υποστεί αλλαγές. Αυτή είναι η προκαθορισμένη συμπεριφορά. Αυτό γίνεται κυρίως για λόγους ταχύτητας και bandwidth όταν μιλάμε για απομακρυσμένο server. Εάν για κάποιο θέλουμε full backup αρκεί να βάλουμε το flag -full στο duplicity.

Προσωπικά, το backup θέλω γίνεται σε καθημερινή βάση, αυτόματα προσθέτω αυτό το script στον κατάλογο /etc/daily.cron/daily-backup:

atma@Humildus:~$ cat /etc/cron.daily/daily-backup
#!/bin/sh
# take a backup every day to avoid bubbles troubles!
PASSPHRASE=PASS su atma -c 'duplicity /home/atma file:///media/disk/backup'

Τώρα ξέρω ότι το duplicity θα εκτελείτε σε καθημερινή βάση από το σύστημα. Το Flag “PASSPHRASE=PASS” υποστηρίζεται από το duplicity για να μπορούν τα backup να αυτοματοποιηθούν. Είναι ο κωδικός του κλειδιού GnuPG. Στην περίπτωση μου δεν πειράζει διότι θεωρώ ασφαλές το μηχάνημα. Για κάποιον που χρησιμοποιεί προσωπικό κλειδί ασφαλείας πρέπει οπωσδήποτε να το αποφύγει αυτήν την λύση! Η μόνη λύση σε αυτήν την περίπτωση είναι να να παίρνει χειροκίνητα ο χρήστης backup, αλλιώς το κλειδί του κινδυνεύει σε τέτοιο βαθμό που χάνει το νόημα ύπαρξης του.

Επειδή όμως τα logs δείχνουν ότι το cron εκτελείτε στις 8:04 κάθε πρωί δεν μου κάνει. Το αφήνω όπως είναι και προσθέτω άλλο ένα crontab entry στον χρήση atma.

atma@Humildus:~$ crontab -l
# m h  dom mon dow   command
5 23 * * * /etc/cron.daily/daily-backup

Το duplicity έχει πάρα πολλές δυνατότητες για επιλογή καταλόγων που θέλουμε να πάρουμε ή όχι backup. Για παράδειγμα σίγουρα πολλοί δεν θα θέλουν να έχουν σε κρυπτογραφημένο backup τα mp3 τους. Αρκεί να κάνουν ένα –exclude /home/user/mp3directory όπως δείχνει το manual page του duplicity.

1. Όταν κάνουμε χρήση GnuPG για κρυπτογράφηση, ο κωδικός μπορεί να είναι μια λέξη ή και μία πρόταση ολόκληρη του τύπου: “40 guys from Livadeia are going to take over, The Tripolitsa” [↩]