dobor metody szyfrowania dysku

[energydrink]

Witam, chcialbym zasiegnac zdania ludzi w kwestii szyfrowania danych. Przejde do sedna.

Komputer to Dell Latitude E4300 z TPM (Trusted Platform Module) 1.2, posiada uwierzytelnianie wielopoziomowe przy użyciu opcjonalnego zintegrowanego bezdotykowego czytnika kart Smart Card, oraz biometrycznego czytnika linii papilarnych.

1. Interesujacy jest ten caly modul TPM 1.2. Jestem ciekaw czy warto jest kupic w tym momencie HDD np. jeden z tych z szyfrowaniem/FIPS 140-2 Rodzina dysk
ale FIPS 140-2 to tez chyba nie jest jakas rewelacja:
https://secure.wikimedia.org/wikiped...ssing_Standard
https://secure.wikimedia.org/wikiped...iki/FIPS_140-2
Nigdy tego rozwiazania nie uzywalem.

2. Drugie rozwiazanie to skorzystanie z systemowego szyfrowania jakie uferuje Ubuntu Alternate i zaszyfrowanie /home lub calego dysku. /home mam teraz w ten sposob zaszyfrowane i z uzytkowej strone zdaje to egzamin. Nie wiem jak jest ze strona bezpieczenstwa.

3. Zaszyfrowac programem TrueCrypt.

4. Moze ponakladac jedno szyfrowanie na drugie ? ale chyba z wydajnoscia bedzie bardzo slabo...

5. Inne...

Generalnie chodzi mi sposob zabezpieczenia danych, ktory bedzie z punktu bezpieczenstwa najbardziej solidny.

System operacyjny to Ubuntu 10.04 alternate. CPU Intel SP9400, 2GB RAM DDR3.

[gemini300]

http://czytelnia.ubuntu.pl/index.php...ystemy-plikow/

[cyber_pl]

szyfrowanie programowe na laptopach powoduje szybsze wyladowywanie baterii.

We found that TrueCrypt had a performance impact on several benchmarks, but the impact is not noticeable if you work with popular desktop applications, in a reasonable manner, using a single encryption algorithm. Depending on the application or benchmark, the real-time encryption/decryption may have a noticeable impact. Using a fast multi core processor and a fast system drive, preferably a Flash SSD, widens this bottleneck to an extent that makes TrueCrypt almost transparent—power users will complain, but most average users will not.

w tescie true crypt pisza ze na kartach o niskich czasach dostepu praca na zaszyfrowanej partycji jest niemalze przezroczysta, nie zwalnia pracy systemu.

wiekszosc ludzi przecenia bezpieczenstwo danych a pozniej gubi klucze i ma problemy z odzyskiwaniem zachowanymi danymi.

Wszystkie operacje szyfrowania i deszyfrowania na potrzeby testu wykonywane są w pamięci RAM komputera. Rzeczywiste osiągi zazwyczaj będą ograniczone przez:

* wydajność posiadanych napędów (prędkość zapisu i odczytu w MB/s)

* obciążenie komputera dodatkowymi procesami (wykorzystanie procesora, pamięci, magistrali systemowej).

[TQM]

U nas w firmie nie ma laptopow bez TPM wiec jest to skonfigurowane tak, ze dzial IT ma hasla do komputerow a pracownicy maja tylko odcisk palca... TPM zatrzymuje start na poziomie TPM/BIOS az nie pojawi sie wlasciwy odcisk palca - tym sposobem tylko dany pracownik moze odpalic dany komputer.

Pozostale tematy typu szyforwania danych itd - tak, jesli komputer nie ma TPM to wymagamy pelnego szyfrowania. TrueCrypt jest ok i TC tworzy plyte ratunkowa (ktora sprawdza czy jest dobrze nagrana zanim zacznie szyfrowac dysk) tak aby w razie zapomnienia hasla mozna bylo odzyskac dane, wiec temat 'zapomnialem haslo i stracilem dane' mozna miedzy bajki wlozyc... tylko trzeba plytki pilnowac

Linux uzywa dmcrypt'a - dziala to wysmienicie, na niektorych serwerach mam cale dyski tym zrobione, nie tylko katalogi uzytkownikow. Jedyna upierdliwosc to to, ze do reboot'a musze byc na konsoli aby podac haslo, bo w serwerowni nie zdecyduje sie na klucz na USB bo to by sie mijalo z celem.

[michael156]

Mam róznież pytanie co do programu True Crypt. Gdzieś na forum wyczytałem, że zaszyfrowanie całego dysku, oczywiście z dobrze dobranym hasłem jest nie do obejścia. Czy to prawda? Chodzi na przykład o sytuację kradzieży HDD. Bo gość się wypowiadał, że są programy odszyfrujące, ale przy dobrym haśle pokaże, że odszyfrowanie zajmie kilka lat? Czy faktycznie tak to wygląda?

[cyber_pl]

Mam róznież pytanie co do programu True Crypt. Gdzieś na forum wyczytałem, że zaszyfrowanie całego dysku, oczywiście z dobrze dobranym hasłem jest nie do obejścia. Czy to prawda? Chodzi na przykład o sytuację kradzieży HDD. Bo gość się wypowiadał, że są programy odszyfrujące, ale przy dobrym haśle pokaże, że odszyfrowanie zajmie kilka lat? Czy faktycznie tak to wygląda?

true crypt wykonuje takowe czynnosci:

1. do kazdego bloku dodaje losowa ilosc danych ktora uniemowzliwia odczytanie zakodowanego bloku danych
2. potrafi wykorzystywac 3 bezpieczne algorytmy kryptograficzne w kaskadzie
3. haslem nie musi byc slowo a ciag kluczowych danych binarnych zapisanych w notacji hexadecymalnej

w stanach istnieja dokumenty nakazujace jak dane maja zostac zabezpieczone np dla departamentu obrony, a true crypt idealnie implementuje te nakazy.

jesli wykorzystamy wypisane przezemnie cechy naraz to uzyskamy najlepszy poziom ogolno dostepnego bezpieczenstwa dla danych, sadze ze zlamanie w domowych warunkach jest zdecydowanie niemozliwe, w labolatoryjnych potrzeba specjalistow wysokiej klasy ( takich ktorzy conajmniej znaja sie na analizie oprogramowania, optymalizowaniu kodu, dzieleniu zadan na klastry, zarzadzaniu procesami ), dobry sprzet i z rok czasu ( albo i wiecej zalezy czy uda sie wyodrebnic chodz jeden blok danych ktore sa pewne do sprawdzania kluczy ).

[TQM]

W przypadku TC mozna odszyfrowac dysk za pomoca specjalnego 'rescue CD' ktore *musisz* zrobic zanim zaszyfrujesz dane, to tak na wypadek jakbys zapomnial hasla... albo cos - my mamy te CD w sejfie zamkniete na wypadek jakby pracownikowi cos sie stalo albo odszedl z pracy... w ten sposob nie moze zabrac danych ktore naleza do firmy, tzn firma moze dane odzyskac tak czy inaczje

Druga sprawa to praca min. Joanny Rutkowskiej i atak typu 'Evil Maid' - co prawda to byl PoC ale przedstawiono go akurat na przykladzie TC choc ta sama zasada bedzie dotyczyc innych programow. Jest mozliwosc zainfekowania sektora startowego TC keyloggerem w taki sposob aby nie uszkodzic TC i tak aby TC nadal startwoal, wiec jesli ktos uzyje 'evil maid' to przy nastepnym wlaczeniu kompa podasz haslo do TC, ten odpali i dziala... pozniej atakujacy wraca i zczytuje to co keylogger zalogowal (tylko jedno, ostatnio uzyte haslo do TC). Atak ten wymaga jednak fizycznego dostepu do komputera gdy ten jest wylaczony i pozniej ponownego dostepu aby odczytac dane - dlatego atak nazwano 'evil maid' (zla pokojowka) bo idealny scenariusz to pokoje hotelowe gdzie user zostawia laptopa i idzie na kolacje.

Do tego na DC4420 pare miesiecy temu jeden koles pokazal jak lamac full-disk encryption w komercyjnych aplikacjach... koles nawet nie znal sie do konca na reverse-engineering ale rozpracowal tak aplikacje szyfrujace ze glowa mala - znalazl metody aby wpiac sie w aplikacje na poziomie sterownikow i calosc przedstawil w prezentacj Zabezpieczen wiele nie ma... wiec jak masz dostep do dzialajacego systemu to tez mozesz sie zabawic. Zapytalem go czego warto wiec uzywac i odpowiedzial ze TC to jeden z najlepszych wyborow bo nawet jesli ma te same problemy co inni, to za niego nie placisz i masz dostep do kodu zrodlowego wiec wiecej osob moze szukac bledow...

Stara zasada znowu sie potwierdza - dostep fizyczny = game over...
ale moj glos idzie i tak w strone TC

[gemini300]

BTW wczoraj wyszla nowa 7 wersja TC gdzie zaimplementowano tzw hardware acceleration

Encrypt Files And Partitions Using TrueCrypt 7.0, Now With Hardware Acceleration For AES Encryption ~ Web Upd8
TrueCrypt - Free Open-Source Disk Encryption - Documentation - Hardware Acceleration

[andreas]

a czy to jest prawda co pisza?

TrueCrypt i BitLocker nie chronią danych w 100% - Artykuły - Chip.pl

[TQM]

Lol... podstawowa zasada szyfrowania dyskow - wylaczenie hibernacji calkowicie. To nie wina programow szyfrujacych ale usera, bo nie potrafi poprawnie uzywac aplikacji.

Jak komputer dziala to klucze szyfrujace sa w pamieci RAM i jak komputer hibernuje to do hiberfil.sys lub odpowiednika zapisuje zawartosc calej pamieci RAM. Ten plik nie moze byc zaszyfrowany z oczywistych powodow, wiec zdobycie tego pliku oznacza zdobycie zawartosci RAM a wiec i klucza szyfrujacego.

Zadna nowosc, artykul sponsorowany i tyle... do tego podwaza skutecznosc szyfrownaia co nie jest prawda.

Swoja droga... ankieta mowi ze 57% polskich firm szyfruje dane? Jaaasne, a ja jestem jednorozcem! Moze 57% wyjdzie, wsrod klientow Mediarecovery i firm z ktorymi maja kontakt. Wiedzac ze Mediarecovery tanie nie jest i dziala w bardzo specyficznym obszarze rynku, to juz wiemy jaki jest pokroj ich klientow. 57% firm w skali kraju to straszne naciaganie wynikow ankiety moim zdaniem. Przydaloby sie aby podali jak dobrali grupe ankietowanych