O počítačích a věcech okolo...

Odpovědět
Uživatelský avatar
podvlada
Člen_SubaruFanClubu
Člen_SubaruFanClubu
Příspěvky: 10609
Registrován: úte led 01, 2019 5:43 pm
Jméno a příjmení: Vláďa Podlešák
Bydliště: Plzeň

Re: O počítačích a věcech okolo...

Příspěvek od podvlada »

Zajímavý. Pár let jsem to nesledoval, takže mě tenhle článek celkem potěšil - že s původním TrueCryptem nic zásadního nebylo a že teda má i víceméně pokračování ve formě tebou zmíněného VeraCryptu. Odkaz na tenhle článek byl hned v tom s disky cos poslal ty :-)
https://www.root.cz/clanky/truecrypt-pr ... veracrypt/
Subaru Outback '04 BP 3.0 H6 180 kW <vlákno zde> Obrázek
Subaru Forester '05 SG 2.0 H4 92 kW <vlákno zde> Obrázek
ex Ford Mondeo II '00 1.8 I4 85kW
ex Alfa 156 '99 2.5 V6 140kW CUORE SPORTIVO!
sima
Člen_SubaruFanClubu
Člen_SubaruFanClubu
Příspěvky: 24183
Registrován: ned bře 15, 2015 12:03 am
Jméno a příjmení: Radek- šíma
Bydliště: Valašsko

Re: O počítačích a věcech okolo...

Příspěvek od sima »

hamoun píše:
simo, ja to odevzdal asi tyden po koupi a rozchozeni klukovi a uz se k tomu nedostanu ...
a .. cas bych ted stejne nemel .. nejak vladne chaos zmatek a porad s necim plasim v praci
Jj...tož tak na světě :-)
Forester 2.0 SG 2002
Citroen Saxo Twist 1.1 2000
bývalá stálice:Citroen Xantia 1.8 16V LPG 98
klicnik
Uživatel fóra
Uživatel fóra
Příspěvky: 118
Registrován: čtv led 30, 2020 10:45 pm

Re: O počítačích a věcech okolo...

Příspěvek od klicnik »

podvlada píše:O čem mluvim - přišel mi od našeho IT správce mail, že bude zrušena povinnost zadat "pin" při startu compu před bootem. Tak jsem si jako řikal, jak je možný nastartovat ze zašifrovanýho disku windowsy do fáze, kdy může být ověřen uživatel - to už je jen poslední krok - a až pak ho "odšifrovat"? No, neni třeba. Disk je sice zašifrovanej (teda partition s Win, zbylý oddíly zašifrovaný nejsou - bootloader a tak), ale ten klíč je někde v paměti uloženej jako plain text, kterej se tý "transparentní" šifrovací vrstvě pošle, aby bylo možný nastartovat Win, a uživatel se …
Ne, todle funguje trosku jinak. BitLocker umi nekolik "key protectors" a jejich kombinaci; neco jde jednoduse naklikat v GUI, neco je pristupne jenom pres manage-bde a GPO.
V tomhle pripade to vypada, ze patrne pouzivate zarizeni, ktery maji TPM. TPM lze variantne kombinovat s PINem (tedy jako 2FA - "neco mam" (TPM cip na desce) a "neco znam" (PIN)). K tomu jeste existuje recovery klic (40 cislic).

Ve vasem pripade to prepnou z TPM+PIN do TPM-only, takze klic na desifrovani je v TPMku ( = bez potreby recovery klice do toho nabootujes jenom z tehle jedne konkretni desky, ktera na sobe ma tenhle jeden konkretni TPM cip a jeho obsah). Boot z jinyho pocitace tak pres TPM neprojde a bude chtit recovery klic (totez pokus o odemknuti disku pres recovery klic treba z WinPE, nebo z OS nainstalovanyho na jinym disku).

"Druhy faktor" pak neni PIN (ten je temer zbytecny), protoze dal budes viset na loginu do woken (takze ten druhej faktor, "neco znam", je login do woken, variantne podmineny konektivitou na firemni sit/VPNku/whatever kvuli necachovani prihlasovacich udaju lokalne).

Odemykas tedy budto TPMkem (pokud je to v existujici desce) a wokennim loginem, nebo pres recovery klic. PIN je tam jenom "navic".



BTW, TC jsem pouzival na starym notasu taky. Omezeni to melo furu, mj. na to bylo potreba myslet uz pri instalaci OS (mit OS na stejnym oddile, jako wokenni zavadec, na kterej si to defaultne delalo extra oddil), ale celkem to slo. Delalo mi to ale docela divny vykonnostni propady na ruznych HDD pri ruznych aktivitach, nikdy jsem presne nevykoumal, proc.
Na novejsim notase jsem zkousel napred VeraCrypt, ktery spoustu tech problemu resil a byl na tom i lepe co do vykonu na SSDcku.
Jenze do toho vstupuje jeste parametr vykonu (u klasickyho SATA SSD), pricemz BitLocker je proti VeraCryptu o parnik vedle pri beznem (vice random) cteni/zapisu (na stejnem HW, pouze s AES-NI na CPU, ktere pouziva VC, ale ne BL).
Ve finale je to takovy kompromis, na OS a nastroje (tj. data, ktera na svete existuji v bambilionu kopiich) postaci BitLocker (postelovanej na odemykaci trojkombinaci a vynucenym AES-256 s Elephantem, co M$ zredukoval na defaultni AES-128 bez nekdy za dob Win8) a na veci, do kterych nikomu nic neni, pak pouzivat nastroje jine (tam jsou ostatne pozadavky na vykon zas o neco nize).


Ale ono je to celkem jedno, uz nejaky cas jsou slyset hlasy, ze sifruji jenom zlocinci, v Kingdom of Condom jde clovek natvrdo sedet za to, ze heslo zapomene (a neprojevi tak soucinnost pri vysetrovani). Nastesti, tihle z unie vypadli driv, nez tim stihli unijni legislativu oplodnit.
To ale nevadi, i takhle bude radosti dost. Tady jsou treba zvesti o tom, ze komunikace by sifrovana byt mela a dokonce end-to-end, ale se zadnimi vratky pro uredniky a jine skudce.
A podle jine eurounijni studie je doporuceno, aby do roku 2030 po vzoru Ciny a Ruska existovat taky euro-internet, kde budou dostupne sluzby vyznavajici henty Evropske hodnoty, pokrok, transparentnost, ochranu osobnich udaju. Soucasti teto vize je rovnez Velky Evropsky Firewall, aby bylo mozno omezit sireni tech nedostatecne uvedomelych myslenek co to taram, aby bylo obcanstvo chraneno proti hentem fejknews, ruskym dezinformacim, presudecne nenavisti a vubec pred obsahem, ktery je v Unii nelegalni.

A tak si tu budeme fungovat hezky svobodne, demokraticky a s durazem na ochranu soukromi.
Uživatelský avatar
podvlada
Člen_SubaruFanClubu
Člen_SubaruFanClubu
Příspěvky: 10609
Registrován: úte led 01, 2019 5:43 pm
Jméno a příjmení: Vláďa Podlešák
Bydliště: Plzeň

Re: O počítačích a věcech okolo...

Příspěvek od podvlada »

Aha, zajímavý, díky za objasnění :-)
A ne-díky za ty poslední dva odstavce, tos mi teda nepotěšil :-D Ale nic novýho to neni no. Já pořád doufám, že cokoliv tak decentralizovanýho jako internet prostě neovládnou, ale samozřejmě je tu pořád varianta, že veškeřá páteřní sítě do- a ven- z EU prostě dostanou do cesty "firewall" a nazdar. Tvl, už aby se ten komunistickej spolek rozpadl.
Subaru Outback '04 BP 3.0 H6 180 kW <vlákno zde> Obrázek
Subaru Forester '05 SG 2.0 H4 92 kW <vlákno zde> Obrázek
ex Ford Mondeo II '00 1.8 I4 85kW
ex Alfa 156 '99 2.5 V6 140kW CUORE SPORTIVO!
Uživatelský avatar
hamoun
Člen_SubaruFanClubu
Člen_SubaruFanClubu
Příspěvky: 18911
Registrován: ned čer 12, 2011 9:16 pm
Jméno a příjmení: Petr Hanek
Bydliště: Kravaře

Re: O počítačích a věcech okolo...

Příspěvek od hamoun »

taky jsem koukal .. pecka .. ja sice nesifruju .. a nejake sfine mi v zasedacce i otocili obraz na displeji (nastesti bez tech vychytavek, co tu nekdo psal vyse :) protoze nezamykam ... (a to mam za to :) ) ... ale zajimave i pro neuzivatele .. vsecko :)
škoda superb
ex WRX 2008
Uživatelský avatar
spm
Člen_SubaruFanClubu
Člen_SubaruFanClubu
Příspěvky: 22553
Registrován: úte kvě 03, 2016 3:19 pm
Jméno a příjmení: Jan Krajdl

Re: O počítačích a věcech okolo...

Příspěvek od spm »

klicnik píše: V tomhle pripade to vypada, ze patrne pouzivate zarizeni, ktery maji TPM. TPM lze variantne kombinovat s PINem (tedy jako 2FA - "neco mam" (TPM cip na desce) a "neco znam" (PIN)). K tomu jeste existuje recovery klic (40 cislic).

Ve vasem pripade to prepnou z TPM+PIN do TPM-only, takze klic na desifrovani je v TPMku ( = bez potreby recovery klice do toho nabootujes jenom z tehle jedne konkretni desky, ktera na sobe ma tenhle jeden konkretni TPM cip a jeho obsah). Boot z jinyho pocitace tak pres TPM neprojde a bude chtit recovery klic (totez pokus o …
Tohle mi ale pořád z bezpečnostního hlediska přijde jako úplná píčovina. K čemu je to šifrování disku potom dobrý? Ok, nevyndáš disk a nedáš ho jinam. Ale když šlohneš celý notebook, tak se ti disk krásně dešifruje, protože ten klíč tam prostě je a použije se. Ještě bych to chápal s tou variantou PINu, pokud je to tak, že PIN posíláš do TPM a ten teprv pak vydá dešifrovací klíč. Pokud ten TPM chip je nějak rozumně vyrobený, jako že je aspoň nějak zalitý do pryskyřice nebo něco, aby ho nestačilo odpájet z desky a ten obsah paměti mu prostě přečíst, tak budiž. Ale když tohle odstraníš, vezmeš cizí notebook, zapneš ho a oala - máš dešifrovaný disk, tak mi to přijde jako úplně zbytečný mrhání výkonem na šifrování. (A alespoň já mám ten disk šifrovanej právě kvůli tomu, když mi ten notebook někdo šlohne, tak aby se k těm datům nedostal).

Ohledně toho AES-NI - on BitLocker vážně AES-NI nepoužívá? To musí na tom výkonu být ale dost dramaticky znát, ne?
Subaru Outback BH 3.0 H6 Obrázek
Subaru Libero SDX Obrázek
Hyundai i20 1.2 2012 Obrázek
Volkswagen Transporter T4 Syncro 2.5TDI R5 Obrázek
klicnik
Uživatel fóra
Uživatel fóra
Příspěvky: 118
Registrován: čtv led 30, 2020 10:45 pm

Re: O počítačích a věcech okolo...

Příspěvek od klicnik »

spm píše:Tohle mi ale pořád z bezpečnostního hlediska přijde jako úplná píčovina. K čemu je to šifrování disku potom dobrý? Ok, nevyndáš disk a nedáš ho jinam. Ale když šlohneš celý notebook, tak se ti disk krásně dešifruje, protože ten klíč tam prostě je a použije se.
Mno, tak mas odemklej disk, kterejti hned nabehne do OS. Jak se do toho OS dostanes, furt potrebujes login, ni?
Nejaky pokusy se tam dostat po siti (zranitelnost SMB etc.) uz jsou zase mimo problematiku sifrovani, nakolik se do takove situace muze dostat kdykoliv kdokoliv, kdo pocitac jenom nechal nezamklej a nekdo ho slohl bezici.
Figly jako prepsani nejakyho nastroje na usnadneni, ktery je dostupny z login screenu (snad Lupa?) nejakym spravcem souboru apod. (offline, tj. z jine instance OS) neprojdou, protoze pri takovem pristupu neni nactenej ten "spravnej" OS ( = disk nebyl odemklej TPMkem) a disk chce opet odemknuti pres recovery, takze tento typ utoku je taky passe.

Ano, benefit pouziti PINu je v tom, ze PIN odemyka klic z TPMka. A po par pokusech o prolomeni PINu se TPMko umi zablokovat, zacne vyzadovat hard reboot, nebo prodluzuje cas, nez umozni dalsi zadani, pricemz limit je snad 20 neuspesnych pokusu; potom se TPMko zamkne a jedina cesta k obnove jeho funkcnosti je TPM clear ( = smazani sifrovaciho klice). A jedine zbyla cesta k datum je prave ten 40 mistnej recovery klic.


Jak je to s utoky primo na TPM, cert vi. Kdysi jsem cosi cetl o pokusech neco vykoumat sledovanim postrannich kanalu, kudy kdy tece proud a kdesi cosi, ale to na pouziti mimo nejakyho seriozniho vyzkumu a trojpismenkove agentury asi nebude :)
spm píše:Ohledně toho AES-NI - on BitLocker vážně AES-NI nepoužívá? To musí na tom výkonu být ale dost dramaticky znát, ne?
Na self-encrypting SSD to znat neni, protoze tam sifrovani resi az samotny SSD (vracime se zpatky k tve zprave z čtv úno 18, 2021 2:29 pm - presne toho se ten bug totiz tykal). No a self-encrypting SSDcka jsou dneska skoro vsechny mimo uplnej low-end. Takze kdyz to nejakej disk neumi a chroupe to procik hrubou silou, tak se nic moc nedeje, protoze to uloziste je beztak pomaly samo o sobe.
V GPO pak jde ta HW akcelerace u HW sifrovanych SSDcek vypnout a vynutit softwarovy sifrovani (coz byl prave workaround na ten bug, akorat vyzadoval vsecko komplet desifrovat a zasifrovat nanovo).

Tohle VeraCrypt neresi, ten jede v plne SW modu s AES-NI, na disk posila rovnou zasifrovany data. Ale tim, ze to neni nativni a odladeny pro pouziti s NTFS jako BitLocker jsou vyrazne vyssi latence pri realnym pristupu k datum (hlavne random read sel do kytek).


podvlada píše:Já pořád doufám, že cokoliv tak decentralizovanýho jako internet prostě neovládnou, ale samozřejmě je tu pořád varianta, že veškeřá páteřní sítě do- a ven- z EU prostě dostanou do cesty "firewall" a nazdar.
To az takovy problem nebude, soudruzi v Cine s tim maji bohate zkusenosti a jiste se o ne podeli. To by v tom byl cert, abychom obcany pred temi dezinformacemi neuchranili.
Uživatelský avatar
spm
Člen_SubaruFanClubu
Člen_SubaruFanClubu
Příspěvky: 22553
Registrován: úte kvě 03, 2016 3:19 pm
Jméno a příjmení: Jan Krajdl

Re: O počítačích a věcech okolo...

Příspěvek od spm »

klicnik píše:Mno, tak mas odemklej disk, kterejti hned nabehne do OS. Jak se do toho OS dostanes, furt potrebujes login, ni?
Nejaky pokusy se tam dostat po siti (zranitelnost SMB etc.) uz jsou zase mimo problematiku sifrovani, nakolik se do takove situace muze dostat kdykoliv kdokoliv, kdo pocitac jenom nechal nezamklej a nekdo ho slohl bezici.
Figly jako prepsani nejakyho nastroje na usnadneni, ktery je dostupny z login screenu (snad Lupa?) nejakym spravcem souboru apod. (offline, tj. z jine instance OS) neprojdou, protoze pri takovem pristupu neni nactenej ten "spravnej" OS ( = disk nebyl odemklej TPMkem) a disk …
No a jak TPM pozná, že nabíhá ten správnej / nekompromitovanej OS a ne něco jinýho? Pokud tam vrazím USB flashku s mým OS, který si TPM řekne o šifrovací klíč, tak jak TPM pozná, že ho má poslat k šípku? Jediná návaznost mě napadá na to, že se to liší dle toho, ze kterého disku bootuju. Jenže to pak jsme zase u toho, že buď se musí používat HW šifrování celýho disku (který je by design na houby, viz níže :-) ) no a nebo pokud to má fungovat se SW šifrováním, tak musím mít pořád možnost zavést bootloader před rozšifrováním. Což u UEFI systému bude typicky znamenat, že je tam nějaká nešifrovaná partition se zavaděčema, kterou můžu potencionálně kompromitovat.
klicnik píše: Na self-encrypting SSD to znat neni, protoze tam sifrovani resi az samotny SSD (vracime se zpatky k tve zprave z čtv úno 18, 2021 2:29 pm - presne toho se ten bug totiz tykal). No a self-encrypting SSDcka jsou dneska skoro vsechny mimo uplnej low-end. Takze kdyz to nejakej disk neumi a chroupe to procik hrubou silou, tak se nic moc nedeje, protoze to uloziste je beztak pomaly samo o sobe.
V GPO pak jde ta HW akcelerace u HW sifrovanych SSDcek vypnout a vynutit softwarovy sifrovani (coz byl prave workaround na ten bug, akorat vyzadoval vsecko komplet desifrovat …
Ok, self-encrypting SSD stranou. Ano, je to teoreticky rychlé, ale prakticky úplně k ničemu, protože viz ten článek :-) Pokud se teda bavíme o SW kryptování - tedy VeraCrypt nebo BitLocker v SW režimu - pak BitLocker nepoužívá AES-NI? Dobře, jako věřil bych tomu, že třeba BitLocker to má na NTFS lépe optimalizované, ale nevěřím tomu, že bez použití AES-NI to nebude výkonnově poznat, SSD zas tak pomalý úložiště nejsou. Sice dnešní CPU asi dokáží bez AES-NI (nebo jiné akcelerace) ušifrovat to, co to SSD dá, ale za celkem znatelného použití CPU výkonu - který pak bude zase chybět jinde... (zatímco moje zkušenost na šifrovacích věcech, co AES-NI používají, je, že ikdyž ten disk vyloaduju co dá, tak na vytížení CPU to vůbec nepoznám...)
Subaru Outback BH 3.0 H6 Obrázek
Subaru Libero SDX Obrázek
Hyundai i20 1.2 2012 Obrázek
Volkswagen Transporter T4 Syncro 2.5TDI R5 Obrázek
klicnik
Uživatel fóra
Uživatel fóra
Příspěvky: 118
Registrován: čtv led 30, 2020 10:45 pm

Re: O počítačích a věcech okolo...

Příspěvek od klicnik »

Pozna, je nejaka kontrola integrity.
Experimentalne mam odzkouseno, ze pozna treba flashnutej BIOS a v ten moment te opet posle do recovery. Proto nektery flashovaci utilitky pred spustenim flashe udelaji Suspend Bitlocker na jeden reboot, aby uzivatel neskoncil kvuli flashi zablokovanej, protoze recovery klic ma v praci typicky jen admin a ne user.
Zrovna tak TPM zacne frflat, pokud disk zasifrujes pri UEFI nastaveni Secure Boot = ON a Secure Boot nekdy pozdejs vypnes. Opet, padne to do recovery, tady ovsem trvale (az do opetovnyho zapnuti Secure Bootu, nebo do komplet desifrovani a novyho zasifrovani v rezimu Secure Boot = OFF).

Klic na odemknuti BitLockerovaneho disku pujde patrne vytahnout jenom na zacatku, pokud je OS jeste v nenabootovane fazi, toliko pisou v MS dokumentaci na TPM fundamentals.

Ale trosku to ve mne vzbudilo zvedavost, tak jsem se pustil do hledani, az jsem dohledal. Nakonec to povinne pouzivani jineho faktoru (PIN/flashka) ma i padny duvod:
https://pulsesecurity.co.nz/articles/TPM-sniffing

Souvisejici odkazy do MS dokumentace na konci clanku to pak objasni docista do cista. :)


A jo, BitLocker v SW rezimu AES-NI nepouziva, ale zadna katastrofa to neni. Se ctyrjadernym Haswellem s HT na 2,8 GHz a "hloupym" SATA SSDckem to vyzere kolem 30% CPU pri kopirovani z jednoho hloupyho SSD na druhy pri 400 MB/s (disky vic nedaji), nebo pri zthrottlovani CPU na 800 MHz to da furt nejakych 280 MB/s (pri zatezi kolem 80%)... coz samo neni uplne typickej kazdodenni scenar. CPU vykonu je dost, horsi je to s I/O, takze mi to takhle vyhovuje vic.
Uživatelský avatar
HonzaCZ
Člen_SubaruFanClubu
Člen_SubaruFanClubu
Příspěvky: 21883
Registrován: pát črc 31, 2009 12:00 am
Bydliště: Praha

Re: O počítačích a věcech okolo...

Příspěvek od HonzaCZ »

Tak bude to všechno dost souviset s tím Secure Bootem.

Jinak drtivá většina SSD řadičů data šifruje, ovšem jenom některý to "přiznávají" a umožňují uživatelské využití *). Šifrování zapsaných dat na SSD se děje kvůli tomu, že u šifrovaných dat je vyrovnaný počet jedniček a nul a vhodněji opotřebovávají paměťové moduly. To jsou možná ty případy s pevně daným klíčem. Ono u těhlech typů řadičů se s tím šifrováním nikdy nepočítalo pro nějaké bezpečnostní účely, ale jenom pro optimalizaci wear levelingu. Jestli to Bit Locker vyhodnotí jako nativní HW šifrování, tak je holt trošku mimo. :-DDD

Samozřejmě tohle platilo primárně pro SLC moduly. V době 2-, 3-, 4úrovňovejch buňěk bude navíc ten šifrovací algoritmus optimalizovanej právě pro vytváření "vhodných" dat pro zápis do těchto modulů.

*) Buďto přes ATA Security (klasické BIOS heslo, pomocí kterého se zašifruje šifrovací klíč; např. starší 5xx Intel SSD) nebo přes různý ty TCG Opal a podobně.
SOLCtech
V mládí jsem býval namyšlený, nicméně dnes už jsem bez chyby!
Legacy 3.0R sedan 5AT MY2007 (BLE) Obrázek [vlákno o autě]
Outback 2.5GX 4AT/VTD MY2001 (BH9) - prodáno
Uživatelský avatar
spm
Člen_SubaruFanClubu
Člen_SubaruFanClubu
Příspěvky: 22553
Registrován: úte kvě 03, 2016 3:19 pm
Jméno a příjmení: Jan Krajdl

Re: O počítačích a věcech okolo...

Příspěvek od spm »

Mě secure boot tím, jak je na většině konzumerského hardwaru implementovaný, přijde spíš jako nástroj pro upevnění monopolu microsoftu, než že by to zvyšovalo bezpečnost :-DDD Ale zase: pokud už teda budu mít počítač, na kterém ty windows ani nejsou, mám tam linux s grubem, budu mít třeba teda i zapnutý secure boot a ten grub bude korektně podepsaný. Tak pokud nebudu (ani nevím, jestli to vlastně jde :-DDD) mít grub nakonfigurovaný tak, že v něm nepůjde pustit konzole, tak z něj jsem schopen nabootovat z čehokoliv. Takže zase: vrazím USB flashku s nějakým svým systémem do PC, pustím to, nabootuje mi grub z lokálního šifrovaného disku, já v něm nadatluju, že chci pustit svůj systém z USB, ten si vzápětí řekne TPM o šifrovací klíč a... TPM ho teda bez keců vydá? :-) Prostě mi tenhle způsob přijde úplně perverzní :-DDD Teda, konkrétně k ničemu. Sice asi když mi ten notebook šlohne nějaký běžný tykváč s IQ 50, který maximálně zvládne ten disk strčit do USB šuplíku, tak se k těm datům nedostane... ale u lidí, co s tím aspoň trochu umí, to prostě otevře spoustu možností, jak se k těm datům dostat, když při tom to samotné šifrování je celkem hodně neprůstřelné řešení... A všechno kvůli tomu, aby uživatel nemusel při startu zadat nějaký jedno heslo (který navíc stejně pak zadává při každém odemknutí... a navíc se to týká jenom cold bootu, při suspend/resume, což na normálním systému vydrží mraky dní, ten klíč zůstane v RAM (ok, to je taky bezpečnostní slabina, ale přijde mi to prakticky mnohem hůře zneužitelné, než když ten systém prostě najede) a není třeba to řešit).
Subaru Outback BH 3.0 H6 Obrázek
Subaru Libero SDX Obrázek
Hyundai i20 1.2 2012 Obrázek
Volkswagen Transporter T4 Syncro 2.5TDI R5 Obrázek
Uživatelský avatar
HonzaCZ
Člen_SubaruFanClubu
Člen_SubaruFanClubu
Příspěvky: 21883
Registrován: pát črc 31, 2009 12:00 am
Bydliště: Praha

Re: O počítačích a věcech okolo...

Příspěvek od HonzaCZ »

Podle mě cokoliv bez zadávání něčeho, z čeho se přímo vyderivuje klíč, tedy nějakýho hesla, HW klíče, souboru, whatever... je úplně k ničemu. Vždycky tam musí bejt nějakej mechanismus, kterej to dokáže obejít a celá bezpečnost stojí a padá na něm. Kdyžto když teda pominu, že třeba v šifrovací vrstvě v FreeBSD (GELI) nebo v nativní šifrování v ZFS může bejt taky nějaká díra (ale vzhledem k tomu, že je to opensource tak by na to snad někdo přišel), tak prostě bez zadání toho hesla není jak ty data získat, protože se prostě nedešifrujou.
SOLCtech
V mládí jsem býval namyšlený, nicméně dnes už jsem bez chyby!
Legacy 3.0R sedan 5AT MY2007 (BLE) Obrázek [vlákno o autě]
Outback 2.5GX 4AT/VTD MY2001 (BH9) - prodáno
OK2MDK
Vášnivý uživatel
Vášnivý uživatel
Příspěvky: 1125
Registrován: čtv led 16, 2020 9:56 pm
Jméno a příjmení: Mira Decky
Bydliště: Valašské Meziříčí

Re: O počítačích a věcech okolo...

Příspěvek od OK2MDK »

podvlada píše:Tak hurá
Trochu to komplikuje to, že je potřeba, aby ten počítač byl odemčenej - nikdo by od svýho odemčenýho PC odejít neměl, zvlášť třeba v práci, ale kdo to reálně dělá žejo V minulý práci jsme se s kolegama bavili, že kdokoliv zapomněl zamknout PC, udělali jsme mu prinstscreen plochy (včetně ikon), tu v malování otočili vzhůru nohama, uložili, nastavili jako pozadí plochy, převrátili plochu vzhůru nohama - je na to nějaká zkratka něco jako Win-Alt-šipky, nebo Ctrl-Alt-šipky, teď nevim - takže plocha vypadala normálně, ale myš běhala naopak a ještě schovali ikony. Ty byly printnutý a nastavený na …
Jo u nás v práci se říká "zamykej aby to nelákalo kolegy"
FAke update stránku znáte? Stačí dát prohlížeč do fulscreen, vypnout touchpad, a povytáhnout USB z dockiny :-DDD

Jo a dobrý vtip je pripíchnout se s druhou klávesnicí /myší kolegovi do kompu.

Pak jednou za čas, mu ten komp třeba zamknout...
U té myši stačí sem tam kliknout, kdyz kliká on = dvojklik, hlavně vhodné když má kolega nejakou super hyper echt gold herní myš - nez proběhne rozborka přiznejte se!

:-DDD :-DDD
Forester SG 116kW + LPG
Dědův SG 92kW
Mondeo IV 2.0 Duratec
Mondeo II 1.8i Zetec - Srdcovka v modré bohužel zrušeno
Uživatelský avatar
podvlada
Člen_SubaruFanClubu
Člen_SubaruFanClubu
Příspěvky: 10609
Registrován: úte led 01, 2019 5:43 pm
Jméno a příjmení: Vláďa Podlešák
Bydliště: Plzeň

Re: O počítačích a věcech okolo...

Příspěvek od podvlada »

Hehe to je taky dobrý, kreativní :-)
Subaru Outback '04 BP 3.0 H6 180 kW <vlákno zde> Obrázek
Subaru Forester '05 SG 2.0 H4 92 kW <vlákno zde> Obrázek
ex Ford Mondeo II '00 1.8 I4 85kW
ex Alfa 156 '99 2.5 V6 140kW CUORE SPORTIVO!
klicnik
Uživatel fóra
Uživatel fóra
Příspěvky: 118
Registrován: čtv led 30, 2020 10:45 pm

Re: O počítačích a věcech okolo...

Příspěvek od klicnik »

HonzaCZ píše:Šifrování zapsaných dat na SSD se děje kvůli tomu, že u šifrovaných dat je vyrovnaný počet jedniček a nul a vhodněji opotřebovávají paměťové moduly. To jsou možná ty případy s pevně daným klíčem. Ono u těhlech typů řadičů se s tím šifrováním nikdy nepočítalo pro nějaké bezpečnostní účely, ale jenom pro optimalizaci wear levelingu. Jestli to Bit Locker vyhodnotí jako nativní HW šifrování, tak je holt trošku mimo.
Je to jak pises, akcelerace se zapina akorat u TGC/Opal-compliant zarizeni, ktery to fakt umi. Pokud to teda zrovna neni bugly. :)
spm píše:Takže zase: vrazím USB flashku s nějakým svým systémem do PC, pustím to, nabootuje mi grub z lokálního šifrovaného disku, já v něm nadatluju, že chci pustit svůj systém z USB, ten si vzápětí řekne TPM o šifrovací klíč a... TPM ho teda bez keců vydá?
Nojo, jenze kdyz mas Secure Boot, tak si do grubu nenabehnes a kdyz ho vypnes, tak sice jo, ale ztopi ti to TPM s tim, ze sorryjako, nemas secure boot = BitLocker ti rekne, davaj recovery key.
Do jake miry to funguje v legacy rezimu... koneckoncu proc ne, jestli budu mit pres tyden cas, tak to u sebe na notasu prubnu.
HonzaCZ píše:Podle mě cokoliv bez zadávání něčeho, z čeho se přímo vyderivuje klíč, tedy nějakýho hesla, HW klíče, souboru, whatever... je úplně k ničemu.
Jo, technicky spravne.
Ale jako takovy nejvic "pro usera nepoznatelny" reseni to pri kombinaci Secure Boot, TPM-only a vyzadany login (idealne s vypnutym cacheovanim uzivatelskych uctu = s nutnym pripojenim na VPNku pred loginem do woken) muze fungovat relativne obstojne a snad by to melo byt povazovano jako dostatecna ochrana i z hlediska uredniho simla.
OK2MDK píše:...
Ja jen prihodim moznou inspiraci prihodou o tom, kterak si mi uzivatel stezoval, ze se mu totalne pomatla klavesnice a je neco zamackly. Nu, nebudu napinat dlouho, zamacklej byl dongl na klavesnici bezdratovou, kterou ten lenoch nevypnul, ba ani nevypakoval z baglu.
Jakej prostor pro zaskodniceni da takovej malej nenapadnej USBckovej dongl pro klavesnici, kteryho si clovek v kompu pod stolem snad ani nevsimne, asi netreba dodavat.
Odpovědět

Zpět na „Spotřební elektronika, počítače, IT“