SSD do T420: mSATA vs. SATA

Re:SSD do T420: mSATA vs. SATA
« Odpověď #15 kdy: 23. 09. 2014, 20:34:59 »
Uvedomujes si treba, ze nekteri z nas nepotrebuji chranit pred NSA, ale staci jim kdyz to neotevre Pepík co kterej ten zapomenutej notebook najde ve vlaku?
Děkuji za možnost editace příspěvku.


mca

  • ***
  • 181
    • Zobrazit profil
Re:SSD do T420: mSATA vs. SATA
« Odpověď #16 kdy: 23. 09. 2014, 21:14:15 »
Vis, ja jsem na tyhle superbezpecnostni levne zalezitost dost vysazeny, protoze nam jedna dost velka spolecnost instalovala novy bezpenostni a kontrolni system budovy. Jake prekvapeni bylo zjisteni, ze root heslo ve tvaru vyrobce1234 dovoluje prochazet celou DB, plnou nesifrovanych udaju. S vybavenim za $275 a znalosti, kam sahnout by to obeslo i dite. Cele to stalo peknych par set tisic a dodnes to poradne nefunguje. Tez jsem zil v iluzich (chcipni Motorolo), ze takove spolecnosti si tohle nemuzou dovolit. O zadnou alianci zahrnujici IBM, Microsoft, Cisco, Dell, HP, ... ala rozkurovacky generalu v NSA fakt nejde.

Kdyz vis, ze na nektere ty supertrupersifrovane flash disky sezenes crack za par $, crask s novym sec. chipem do Latitude D810 pod stovku, tak proste neverim vsem temhle lacinym kramum urcenym pro ovecky. To uz radeji truecrypt/dm-crypt nebo encfs. Tam mam alespon nejakou jistotu, nez cerna skrinka, o ktery nevim nic.

Re:SSD do T420: mSATA vs. SATA
« Odpověď #17 kdy: 23. 09. 2014, 23:00:46 »
Je to jen o mire snesitelneho rizika.
Děkuji za možnost editace příspěvku.

Santiago

Re:SSD do T420: mSATA vs. SATA
« Odpověď #18 kdy: 24. 09. 2014, 00:50:15 »
Nerozumim proc resit potencialne derave a neduveryhodne sifrovani sifrovani na urovni SSD, kdyz je mozne pouzit bezproblemove sifrovani disku na urovni OS s libovolnym SSD ci HDD.

Op

Re:SSD do T420: mSATA vs. SATA
« Odpověď #19 kdy: 24. 09. 2014, 07:21:08 »
mca: Tvrdil jsi, ze Crucial M500 neumi PBA, coz neni pravda. O FIPS certifikaci a hlavne o tamper resistanci jsi nic nerikal a to pochopitelne zadny consumer SSD neni. A ohanet se FIPS a myslet na bezpecnost proti NSA je usmevne. BTW doufam, ze pameti mas prilepene ;-)

Santiago: To sice muzes, ale porad ti zustava nezabezpeceny boot.


Pali

Re:SSD do T420: mSATA vs. SATA
« Odpověď #20 kdy: 24. 09. 2014, 10:12:30 »
Santiago: To sice muzes, ale porad ti zustava nezabezpeceny boot.

Ten budes mat vzdycky. Alebo ako si myslis cez SED SSD ti ho vyriesi?

Btw, grub2 uz podporuje LUKS, takze je mozne zasifrovat aj jadro a initramfs. Do core.img sa da pridat aj ovladac na LUKS, takze je mozne zasifrovat este aj cely grub (okrem core.img, ktory je na EFI particii, resp. za MBR tabulkou).

Op

Re:SSD do T420: mSATA vs. SATA
« Odpověď #21 kdy: 24. 09. 2014, 10:15:30 »
Pali: Ano SED SSD tohle resi a prave pomoci PBA

Santiago

Re:SSD do T420: mSATA vs. SATA
« Odpověď #22 kdy: 24. 09. 2014, 11:23:10 »
1) Nezabezpeceny boot je problem jen pro nektere typy utoku (podstrceni falesneho bootovaciho kodu a nasledne odchyceni hesla). Pokud cloveka zajima primarne ochrana dat pri kradezi, ztrate ci zabaveni zarizeni, tak to nehraje roli (oproti tomu pripadna suntova implementace sifrovani uvnitr SSD muze hrat roli kdykoliv).

2) PBA ten problem pouze presouva o vrstvu vedle. Takze namisto falesneho zavadece je treba podstrcit falesny firmware.

Op

Re:SSD do T420: mSATA vs. SATA
« Odpověď #23 kdy: 24. 09. 2014, 12:30:35 »
Santiago: 1. Souhlasim 2. Nepresouva, ale resi. PBA image tezko podstrcis, protoze je na tom konkretnim SEDu read-only.

Pali

Re:SSD do T420: mSATA vs. SATA
« Odpověď #24 kdy: 24. 09. 2014, 12:41:03 »
Ako teda to PBA na SSD funguje? Wikipedia hovori: A PBA environment serves as an extension of the BIOS or boot firmware. Takze to iba potrvrdzuje co napisal Santiago.

Op

Re:SSD do T420: mSATA vs. SATA
« Odpověď #25 kdy: 24. 09. 2014, 13:52:35 »
Pali: Funguje to jednoduse. Prepnuti disku do Opal rezimu, znamena zmenu sifrovaciho klice pro ukladani dat, nastaveni PBA oblasti a nahrani PBA image. Po rebootu pocitac vidi na disku jen tu PBA oblast, ktera je read-only. System ktery je z ni spusten zaridi autentizaci uzivatele a odemkne/nastavi klic v disku pro sifrovani, tim disk nasledne zpristupni MBR a zbytek sveho prostoru pro pocitac a provede z neho boot. Je skoda, na to jake to ma moznosti, ze jeste neexistuje opensourcova implementace PBA systemu.

Kdyz nemate prihlasovaci udaje do PBA tak s takovym diskem nic neudelate. Konkretne treba ten Crucial, to resil tak, ze jste mu takto "bricknuty" disk museli poslat. Nastesti uz existuje utilitka, ktera umi disk prepnou z Opal zpet, pochopitelne se prijde o data:

http://forum.crucial.com/t5/Solid-State-Drives-SSD/Pre-Boot-Password/td-p/156609

Pali

Re:SSD do T420: mSATA vs. SATA
« Odpověď #26 kdy: 24. 09. 2014, 14:28:43 »
Aha, takze najprv sa disk javi, ze na nom je nejaky SW od vyrobcu, ktory po spusteni vyzve uzivatela aby zadal heslo a po spravnom hesle prepne disk do plneho pouzitelneho rezimu? Nejak predpokladam, ze ten SW bude obsahovat bootloader aby bol disk bootovatelny a ze ten SW bude v read-only rezime nezmazatelny. Chapem spravne?

A aky problem to riesi od obycajneho ATA hesla, bez ktoreho sa k datam na disku neda dostat (kde to ATA heslo moze sluzit ako vstupny zdroj na odvodenie AES kluca)?

Op

Re:SSD do T420: mSATA vs. SATA
« Odpověď #27 kdy: 24. 09. 2014, 15:00:08 »
Pali: Evil maid attack. Taky to umi o dost vice veci nez proste ATASX. Viz (hlavne hidden OS a 2-factor auth):

http://www.securstar.com/products_drivecryptpp.php


Paradoxem je, ze vetsina PBA OS jsou zalozeny na linuxu, ale free natoz OS neni ani jeden.