podvlada píše:O čem mluvim - přišel mi od našeho IT správce mail, že bude zrušena povinnost zadat "pin" při startu compu před bootem. Tak jsem si jako řikal, jak je možný nastartovat ze zašifrovanýho disku windowsy do fáze, kdy může být ověřen uživatel - to už je jen poslední krok - a až pak ho "odšifrovat"? No, neni třeba. Disk je sice zašifrovanej (teda partition s Win, zbylý oddíly zašifrovaný nejsou - bootloader a tak), ale ten klíč je někde v paměti uloženej jako plain text, kterej se tý "transparentní" šifrovací vrstvě pošle, aby bylo možný nastartovat Win, a uživatel se …
Ne, todle funguje trosku jinak. BitLocker umi nekolik "key protectors" a jejich kombinaci; neco jde jednoduse naklikat v GUI, neco je pristupne jenom pres manage-bde a GPO.
V tomhle pripade to vypada, ze patrne pouzivate zarizeni, ktery maji TPM. TPM lze variantne kombinovat s PINem (tedy jako 2FA - "neco mam" (TPM cip na desce) a "neco znam" (PIN)). K tomu jeste existuje recovery klic (40 cislic).
Ve vasem pripade to prepnou z TPM+PIN do TPM-only, takze klic na desifrovani je v TPMku ( = bez potreby recovery klice do toho nabootujes jenom z tehle jedne konkretni desky, ktera na sobe ma tenhle jeden konkretni TPM cip a jeho obsah). Boot z jinyho pocitace tak pres TPM neprojde a bude chtit recovery klic (totez pokus o odemknuti disku pres recovery klic treba z WinPE, nebo z OS nainstalovanyho na jinym disku).
"Druhy faktor" pak neni PIN (ten je temer zbytecny), protoze dal budes viset na loginu do woken (takze ten druhej faktor, "neco znam", je login do woken, variantne podmineny konektivitou na firemni sit/VPNku/whatever kvuli necachovani prihlasovacich udaju lokalne).
Odemykas tedy budto TPMkem (pokud je to v existujici desce) a wokennim loginem, nebo pres recovery klic. PIN je tam jenom "navic".
BTW, TC jsem pouzival na starym notasu taky. Omezeni to melo furu, mj. na to bylo potreba myslet uz pri instalaci OS (mit OS na stejnym oddile, jako wokenni zavadec, na kterej si to defaultne delalo extra oddil), ale celkem to slo. Delalo mi to ale docela divny vykonnostni propady na ruznych HDD pri ruznych aktivitach, nikdy jsem presne nevykoumal, proc.
Na novejsim notase jsem zkousel napred VeraCrypt, ktery spoustu tech problemu resil a byl na tom i lepe co do vykonu na SSDcku.
Jenze do toho vstupuje jeste parametr vykonu (u klasickyho SATA SSD), pricemz BitLocker je proti VeraCryptu o parnik vedle pri beznem (vice random) cteni/zapisu (na stejnem HW, pouze s AES-NI na CPU, ktere pouziva VC, ale ne BL).
Ve finale je to takovy kompromis, na OS a nastroje (tj. data, ktera na svete existuji v bambilionu kopiich) postaci BitLocker (postelovanej na odemykaci trojkombinaci a vynucenym AES-256 s Elephantem, co M$ zredukoval na defaultni AES-128 bez nekdy za dob Win8) a na veci, do kterych nikomu nic neni, pak pouzivat nastroje jine (tam jsou ostatne pozadavky na vykon zas o neco nize).
Ale ono je to celkem jedno, uz nejaky cas jsou slyset hlasy, ze sifruji jenom zlocinci, v Kingdom of Condom jde clovek natvrdo sedet za to, ze heslo zapomene (a neprojevi tak soucinnost pri vysetrovani). Nastesti, tihle z unie vypadli driv, nez tim stihli unijni legislativu oplodnit.
To ale nevadi, i takhle bude radosti dost. Tady jsou treba
zvesti o tom, ze komunikace by sifrovana byt mela a dokonce end-to-end, ale se zadnimi vratky pro uredniky a jine skudce.
A podle
jine eurounijni studie je doporuceno, aby do roku 2030 po vzoru Ciny a Ruska existovat taky euro-internet, kde budou dostupne sluzby vyznavajici henty Evropske hodnoty, pokrok, transparentnost, ochranu osobnich udaju. Soucasti teto vize je rovnez Velky Evropsky Firewall,
aby bylo mozno omezit sireni tech nedostatecne uvedomelych myslenek co to taram, aby bylo obcanstvo chraneno proti hentem fejknews, ruskym dezinformacim, presudecne nenavisti a vubec pred obsahem, ktery je v Unii nelegalni.
A tak si tu budeme fungovat hezky svobodne, demokraticky a s durazem na ochranu soukromi.