Fórum Root.cz
Hlavní témata => Hardware => Téma založeno: hknmtt 28. 01. 2023, 18:44:08
-
Aky externy sifrovany disk by ste odporucili? Potrebujem nieco co de/sifruje on-the-fly ked je disk aktivny, takze data nie su nikdy nechranene. V Alze pozeram ze maju napriklad disky so skenermi odtlackov prstov, co si o tom myslite?
-
Je to uplne k nicemu, jses zavisly na nestandardni aplikaci treti strany (samsung,..). Zadny bezpecnostni audit, jenom tvrzeni korejskeho vyrobce ze pouzivaji 256b security. Pruseru u podobnych nestandardnich reseni jiz bylo…
Pouzij neco standardniho na urovni software - bitlocker, veracrypt, luks, … a vyprdni se na otisk prstu.
-
sam bych i sve sifroval soubory. filmy neni nutno sifrovat.
-
sam bych i sve sifroval soubory. filmy neni nutno sifrovat.
Praveze mi ide o to aby to bolo cisto plug and play. Neviem ci veracrypt nahodou nieco take nevie? Neskusal som. Musi to byt ale multiplatformne win-mac-linux. Preto chcem aby to bolo riesene diskom samotnym.
-
VeraCrypt je software, vy jste to napsal tak, jako že sháníte hardware. Běžně dostupné šifrované disky potřebují speciální ovladač, přes který zadáte heslo. Pokud byste to chtěl nezávislé na ovladačích, potřebujete disk, který má číselnou klávesnici pro zadání PINu přímo na sobě. Třeba něco takového: https://www.corsair.com/eu/en/Categories/Products/Storage/Portable-Storage/flash-padlock-3-config/p/CMFPLA3B-128GB
-
Ono to vypadá v tom hardware lákavě, protože nebude potřeba žádný software. Bohužel praxe ukazuje, že v řadě podobných výrobků byly nalezeny zásadní chyby návrhu (https://www.bleepingcomputer.com/news/security/flaws-in-popular-ssd-drives-bypass-hardware-disk-encryption/), které umožňovaly dostat se k „šifrovaným“ datům. Pokud to má sloužit jako bezpečnostní řešení, pak to selhává a nemá smysl to kupovat.
Je to uzavřené řešení, což je vždycky pro bezpečnost velký problém. Softwarové řešení je proti tomu standardní, prověřené časem a v řadě případy i audity. V případě bezpečnostní mezery se navíc snadno problém vyřeší aktualizací. To v hardwarovém případě bývá nesnadné nebo úplně nemožné.
-
tie vase odpovede ako to nejde su sice fajn, ale mna zaujima odpoved na ako to ide...
-
Budto chces poradit nebo te nazor nezajima a chces reseni ktere je jakoby bezpecne ale ve skutecnosti bezpecnost neresis. Pokud bezpecnost neresis tak si kup kterykoliv z disku se ti libi, treba ruzovy se cteckou otisku. Pokud ti jde o bezpecnost, tak se proste na tyhle radoby bezpecne hardverove ptakoviny vyprdni a pouzij standardni overene reseni. Chces mac/win/linux kombinaci? Veracrypt. Ono ty disky s klavesnici nebo cteckou vypadaji hrozne kul, ale jenom do doby kdy ti nekdo ukaze ze to nema zadnou skutecnou security.
-
tie vase odpovede ako to nejde su sice fajn, ale mna zaujima odpoved na ako to ide...
Vy jste nenapsal, jaký problém máte, takže vám těžko někdo může poradit, jak ho vyřešit.
Napsal jste jenom vaši představu o řešení, přičemž ty představy se v různých komentářích navzájem popírají.
Pokud budete chtít skutečně bezpečné řešení, potřebujete něco s FIPS certifikací.
Před pár lety vyšel článek v HN: Test bezpečných flash disků: Slib ochrany dat naplní jen málokterá USB klíčenka (https://tech.hn.cz/c1-59201540-srovnavaci-test-usb-klicenek-sifrovani).
-
tie vase odpovede ako to nejde su sice fajn, ale mna zaujima odpoved na ako to ide...
Pokud se ti nezdají zdejší odpovědi, tak odpověď na tvoje otázku je: TO NEJDE.
-
tie vase odpovede ako to nejde su sice fajn, ale mna zaujima odpoved na ako to ide...
Vy jste nenapsal, jaký problém máte, takže vám těžko někdo může poradit, jak ho vyřešit.
Napsal jste jenom vaši představu o řešení, přičemž ty představy se v různých komentářích navzájem popírají.
Pokud budete chtít skutečně bezpečné řešení, potřebujete něco s FIPS certifikací.
Před pár lety vyšel článek v HN: Test bezpečných flash disků: Slib ochrany dat naplní jen málokterá USB klíčenka (https://tech.hn.cz/c1-59201540-srovnavaci-test-usb-klicenek-sifrovani).
Ja bych jenom doplnil, ze overit si ktery hw je fips certifikovan jde na https://csrc.nist.gov/projects/cryptographic-module-validation-program/validated-modules
Pozor na vyrobce kteri uvadeji FIPS compliant - tohle neproslo certifikaci a je to jenom zavadejici marketing stejne jako neomezena data u mobilnich operatoru v CR.
Fips cerifikovane disky jsou na domaci pouziti cenovy nesmysl, za 500GB pomaly HDD s FIPS certifikaci clovek da $500…
-
tie vase odpovede ako to nejde su sice fajn, ale mna zaujima odpoved na ako to ide...
Pokud se ti nezdají zdejší odpovědi, tak odpověď na tvoje otázku je: TO NEJDE.
Jde, například si může koupit „Raspberry Pi“ (jiný malinký počítač s Linuxem a podporou USB OTG), vytvořit na něm LUKS svazek a nasdílet ho přes USB OTG jako mass storage.
Uzavřená hardwarová řešení jsou nebezpečná, a ani FIPS vás nezachrání (https://www.zdnet.com/article/encryption-busted-on-nist-certified-kingston-sandisk-and-verbatim-usb-flash-drives/). Sbírám trochu ty průšvihy, tak je tady zase dumpnu:
2022:
https://www.syss.de/fileadmin/dokumente/Publikationen/Advisories/SYSS-2022-010.txt
https://www.syss.de/fileadmin/dokumente/Publikationen/Advisories/SYSS-2022-009.txt
toto [ECB] je asi prvy utok, ktory sa na kryptografii uci, lebo je super lahke ho vysvetlit, nepotrebujes ziadnu extra matematiku
toto v preklade znamena, ze firma tejto velkosti si nebola schopna zaplatit jedneho cloveka, co by tej kryptografii aspon priemerne rozumel, a nasekali toho neviem ake stotisice (alebo kolko:)
starší:
https://www.ru.nl/publish/pages/909275/draft-paper_1.pdf
https://spritesmods.com/?art=security
http://www.zdnet.com/article/encryption-busted-on-nist-certified-kingston-sandisk-and-verbatim-usb-flash-drives/
https://eprint.iacr.org/2015/1002.pdf
https://news.ycombinator.com/item?id=18382975
a kdybyste si mysleli že SSD jsou na tom líp: https://www.ieee-security.org/TC/SP2019/papers/310.pdf
-
Třeba něco takového: https://www.corsair.com/eu/en/Categories/Products/Storage/Portable-Storage/flash-padlock-3-config/p/CMFPLA3B-128GB
I pokud by to bylo implementováno správně (což nelze potvrdit, ale ani vyloučit), tak je problém v tom, že na malinké klávesnici umožňující jen čísla 0-9 (a polovinu z nich nepohodlně) budete těžko zadávat (a pamatovat si) heslo s dostatečnou entropií, a vestavěný HW nebude dost silný pro nějakou dobrou KDF. Takže budete spoléhat na nějaký TPM (v lepším případě; v horším tam bude obyčejný MCU) uvnitř, a že z toho nikdo nedokáže extrahovat data, proti kterým by mohl pin bruteforcovat na výkonném hardwaru.
Příklad hesla z čísel 0-9 obsahujícího 64 bitů což je naprosté kryptografické minimum (log2(10) = 3.3 bitu na číslici):
$ cat /dev/urandom | tr -dc 0-9 | head -c 20
75242804357430081792
-
Jde, například si může koupit „Raspberry Pi“ (jiný malinký počítač s Linuxem a podporou USB OTG), vytvořit na něm LUKS svazek a nasdílet ho přes USB OTG jako mass storage.
Jakékoli takovéhle samo-domo řešení na tom bude co do bezpečnosti stejně špatně, jako ty nejhorší komerční věci s ovladačem jen pro Win a bez FIPS certifikace.
Třeba něco takového: https://www.corsair.com/eu/en/Categories/Products/Storage/Portable-Storage/flash-padlock-3-config/p/CMFPLA3B-128GB
I pokud by to bylo implementováno správně (což nelze potvrdit, ale ani vyloučit), tak je problém v tom, že na malinké klávesnici umožňující jen čísla 0-9 (a polovinu z nich nepohodlně) budete těžko zadávat (a pamatovat si) heslo s dostatečnou entropií, a vestavěný HW nebude dost silný pro nějakou dobrou KDF. Takže budete spoléhat na nějaký TPM (v lepším případě; v horším tam bude obyčejný MCU) uvnitř, a že z toho nikdo nedokáže extrahovat data, proti kterým by mohl pin bruteforcovat na výkonném hardwaru.
Princip těchto zařízení spočívá v tom, že to po několikerém zadání špatného PINu klíč smaže. Samozřejmě je také potřeba, aby to bylo odolné proti tomu, že to někdo fyzicky rozebere a ke klíči se dostane jinudy.
Proto tenhle typ zařízení považuju pořád za bezpečenější, než když PIN/heslo zadáváte do SW ovladače – data na úložišti pak vůbec nemusí být šifrovaná a dostanete se k nim jenom softwarově, když obejdete ovladač.
Ale těžko radit, když nevíme, k čemu je to zabezpečení potřeba – jestli tam chce ukrývat výplatní pásky před manželkou, aby nevěděla, kolik doopravdy bere, nebo na to chce ukládat tajný armádní výzkum.
-
Jde, například si může koupit „Raspberry Pi“ (jiný malinký počítač s Linuxem a podporou USB OTG), vytvořit na něm LUKS svazek a nasdílet ho přes USB OTG jako mass storage.
Jakékoli takovéhle samo-domo řešení na tom bude co do bezpečnosti stejně špatně, jako ty nejhorší komerční věci s ovladačem jen pro Win a bez FIPS certifikace.
To není samodomo řešení, to je existující dobře prověřený a veřejně zkoumaný software (LUKS).
Princip těchto zařízení spočívá v tom, že to po několikerém zadání špatného PINu klíč smaže. Samozřejmě je také potřeba, aby to bylo odolné proti tomu, že to někdo fyzicky rozebere a ke klíči se dostane jinudy.
A nebo můžete mít heslo dostatečně silné aby ani po fyzické extrakci nešlo vybruteforcovat. Nebo nejlépe samozřejmě kombinaci obojího. Zabránit extrakci je fakt složité (samozřejmě jak píšete záleží jestli na to půjde jenom manželka), třeba lidi kolem Satoshi Labs (Bitcoin Trezor) to dost řeší a píšou o tom. A ti jsou IMHO důvěryhodnější (open-source, zkoumají to nezávislí odborníci) než proprietární kryptografie od nějakého výrobce flashek.
Proto tenhle typ zařízení považuju pořád za bezpečenější, než když PIN/heslo zadáváte do SW ovladače – data na úložišti pak vůbec nemusí být šifrovaná a dostanete se k nim jenom softwarově, když obejdete ovladač.
Jedna z populárních chyb, kterou myslím trpí některá zařízení co jsem odkazoval, je že se porovná pin na shodu, a pak se použije pro samotné šifrování nahardcodovaný klíč nijak nesouvisející s pinem.
-
To není samodomo řešení, to je existující dobře prověřený a veřejně zkoumaný software (LUKS).
Nikoli, aby se to chovalo jako externí disk, potřebujete tam dost dalších věcí – zadávání hesla, zpřístupnění jako USB OTG. A v těch může být bezpečnostní problém.
A nebo můžete mít heslo dostatečně silné aby ani po fyzické extrakci nešlo vybruteforcovat. Nebo nejlépe samozřejmě kombinaci obojího. Zabránit extrakci je fakt složité (samozřejmě jak píšete záleží jestli na to půjde jenom manželka), třeba lidi kolem Satoshi Labs (Bitcoin Trezor) to dost řeší a píšou o tom. A ti jsou IMHO důvěryhodnější (open-source, zkoumají to nezávislí odborníci) než proprietární kryptografie od nějakého výrobce flashek.
Ovšem to pak znamená, že budete to heslo muset zadávat na počítači, ke kterému ten disk připojujete. A musíte tam mít vhodný software (ovladač disku). No a když už máte počítač, kam jste ochoten zadat heslo k datům a můžete tam mít zvolený software – proč pak nepoužít rovnou VeraCrypt? (Nebo jiné důvěryhodné softwarové šifrování.)
-
proc se tyhle diskuse vzdy takhle arogantne zvrhnou v akademickou masturbaci?
a vzdy to konci stejne, protoze bezne zamky lze specialnim naradim otevrit, nema smysl dvere na ulici ani zavirat.
nez mit ne 100% spolehlive reseni, tak radeji nic, protoze to dava falesny pocit bezpeci??
ja rikam lepsi neco nez nic. pokud ztratim USB cumbrk s excelem mych hypotecnich splatek, tak na fibs certifikaci sere pes, staci, ze to soused neotevre na prvni pokus.
a kazdy doporucuje veracrypt, uz to konecne nevyzaduje na druhem pocitaci admina? diky tomu i portable verze veracryptu je ciste akademicke reseni..
-
To není samodomo řešení, to je existující dobře prověřený a veřejně zkoumaný software (LUKS).
Nikoli, aby se to chovalo jako externí disk, potřebujete tam dost dalších věcí – zadávání hesla, zpřístupnění jako USB OTG. A v těch může být bezpečnostní problém.
Zadávání hesla myslíte aby se třeba někde nezapsalo omylem do /tmp na perzistentním storage?
USB OTG znamená útok z toho připojeného počítače, který ale má přístup k rozšifrovanému disku z definice toho jak se to používá. Jo, může klíče ukrást a pak mít přístup k dalším datům i když si heslo změníte.
Ovšem to pak znamená, že budete to heslo muset zadávat na počítači, ke kterému ten disk připojujete. A musíte tam mít vhodný software (ovladač disku).
Tak teoreticky může driverless řešení fungovat tak, že zpřístupní prázdný mass storage, a očekává vytvoření souboru heslo.txt, kterým to pak odemkne :) (takhle se konfigurují některé kamery a, um, keyloggery). A i pokud to bude speciální software tak alespoň nebude požadovat admina jak si lidi stěžují v okolních příspěvcích, že zpřístupnění „disku“ vyžaduje (na Linuxu se dá bez admina asi spouštět FUSE).
Samozřejmě pokud má možnost použít Veracrypt (či podobné), tak to je naprosto nejlepší řešení, ale v diskuzi tu opakovaně píšou že ne.
Pak je samozřejmě taky otázka, jak teda vypadá ten use-case. Protože buď si řeší bezpečnost sám (nějaký soukromý/osobní počítač) - a pak má admina, nebo admina nemá a bezpečnost mu tedy řeší někdo jiný - pak je ale podezřelé, že mu tento jiný nedá i tohle řešení.
-
Zadávání hesla myslíte aby se třeba někde nezapsalo omylem do /tmp na perzistentním storage?
Nebo třeba aby to nebylo implementované tak, že klíč k šifrovaným datům bude uložen ve speciálním oddílu, heslo se jen porovná na rovnost a pak se šifrovaný oddíl uloženým klíčem připojí. Když to takhle implementuje výrobce „šifrovaných disků“, proč by to nenapadlo i někoho, kdo si bude chtít „šifrovaný disk“ postavit sám?
VeraCrypt zmiňoval samotný tazatel. Jediné, co proti němu měl, bylo to, že ho nezkoušel. Multiplatformní pro Windows, Linux a MacOS je. To, že pro zpřístupnění souborového systému ve Windows je potřeba ovladač zařízení a ten může nainstalovat jenom administrátor, je celkem logické. A bude to tak fungovat i s těmi „hardwarově“ šifrovanými disky, které mají speciální ovladač, který po zadání hesla disk odemkne. Aby to fungovalo bez speciálních oprávnění, musí si odemknutí řešit samotné externí zařízení, bez nějakého ovladače – obvykle buď otiskem prstu (to bývá dost nespolehlivé) nebo právě HW klávesnicí a zadáním PINu.
Ale jak jsem psal, nevíme, co vlastně tazatel chce. Zda skutečnou ochranu, která obstojí třeba i z právního hlediska, nebo mu stačí, aby se do dat nedostal pubertální synek, který je ochotný maximálně 5 minut něco googlit. Jestli to chce používat na zařízeních, kde může instalovat software, nebo jestli to má fungovat i v internetové kavárně na Bali. Jestli tam bude ukládat pár klíčů, takže stačí i ta nejmenší flashka, nebo jestli tím chce stěhovat nemocniční IS s osobními údaji, rentgeny a naskenovanými lékařskými zprávami a bude potřebovat terabajtové úložiště.
-
A bude to tak fungovat i s těmi „hardwarově“ šifrovanými disky, které mají speciální ovladač, který po zadání hesla disk odemkne
Nejsem odborník na Windows, ale myslím, že pokud má zařízení správnou USB třídu, například se tváří jako HID nebo jako sériák (CDC ACM), tak by mělo fungovat rovnou i pod uživatelem. (pokud není třeba doménová politika zakazující připojování USB obecně)
-
Jestliže používáš Windows tak Bitlocker.
Jestliže máš Office 365 tak OneDrive s dvoufaktorovým ověřením a se složkou Osobní sejf.
Ovšem záleží i na tom k čemu to hledáš, protože např. do některých států (Čína, ale třeba i USA) žádný takto šifrovaný média se vozit nesmí, resp. imigrační tě donutí k dešifrování a kontrole dat.
-
proc se tyhle diskuse vzdy takhle arogantne zvrhnou v akademickou masturbaci?
a vzdy to konci stejne, protoze bezne zamky lze specialnim naradim otevrit, nema smysl dvere na ulici ani zavirat.
Ano, 100000% presne toto je exaktny obraz rootu, pekne si to vystihol :)
Co tu padli otazky na ucel, tak ten je jednoduchy - chcem aby vyvojari mali ulozene zdrojaky na zasifrovanom disku a pracovali iba na nom. Takze nemusia riesi sifrovanie vo svojom systeme ani sa s tym nijako zaoberat. Len si nakonfigurovat cestu v editore/ide na externy disk a to je cele. Keby sa disk pri ceste stratil niekde(v kaviarni, mhd, zlodej na ulici vytrhne tasku s ntb..) tak data su zasifrovane a nic sa nedeje, netreba panikarit a riesit teraz invalidaciu pristupov pre vsetkych ludi a stroje, vygenerovane kluce, tokeny a cojaviem co. Davnejsie v praci po nas chceli zasifrovanie vlastnych pc(ntb) kvoli klientskym kodom, takze tam som videl ze to je nedobre pre ludi takto riesit a zasahovat im do systemu a prostredia a preto externy disk(opakujem disk, neviem co su stale omielate usb kluce). A neviem co je nezrozumitelne na otazke. Jasne som napsial ze chcem hardeverove sifrovanie a plug-and-play funkcionalitu. Ci uz clovek raz pri spusteni zada heslo, alebo naskenuje odtlacok prsta je mi jedno. Ci to ma aplikaciu alebo nie je mi jedno len nech to ide na kazdom OS.
-
Ovšem záleží i na tom k čemu to hledáš, protože např. do některých států (Čína, ale třeba i USA) žádný takto šifrovaný média se vozit nesmí, resp. imigrační tě donutí k dešifrování a kontrole dat.
Pokud tě zrovna vyhmátnou. A umí si dělat kopie disků, když se jim něco nezdá, nebo chtějí zrovna buzerovat. V minulé práci byla firemní politika "plně spolupracovat, nechat je dělat, co chtějí, a pak za hraniční kontrolou okamžitě zavolat na firemní security."
Takže řešení pro takovéhle situace je před cestou citlivá data někam nahrát, lokálně je smazat, a za hranicí si to zase stáhnout ze serveru a dešifrovat. Nebo se bez nich po dobu cestování obejít.
proc se tyhle diskuse vzdy takhle arogantne zvrhnou v akademickou masturbaci?
a vzdy to konci stejne, protoze bezne zamky lze specialnim naradim otevrit, nema smysl dvere na ulici ani zavirat.
Protože otázky zase často jsou ve stylu "chci kouzelné dveře, co nepustí dovnitř nikoho, kromě mě, a lidí, které znám, ale nechci používat žádný klíč a nesmí to nic stát, jo a musí to fungovat bez elektriky a odolat i jadernému výbuchu." A pak se ukáže, že nakonec mu stačí obyčejný korálkový závěs. Ne vždycky, ale často jo.
Co tu padli otazky na ucel, tak ten je jednoduchy - chcem aby vyvojari mali ulozene zdrojaky na zasifrovanom disku a pracovali iba na nom. Takze nemusia riesi sifrovanie vo svojom systeme ani sa s tym nijako zaoberat.
Dole je odkaz na možné řešení, ale... tohle mi nepřijde jako dobrý nápad. Co třeba cache toho IDE? Nebo vývojář, kterému se ten externí disk zdá pomalý, a tak si to zkopíruje lokálně? Co uložené přihlášení do firemních systémů v prohlížeči, nemůže se přes to útočník dostat do repozitáře a ten kód si stáhnout? Nebo udělat mnohem víc škody nějak jinak třeba ukradnutím databáze zákazníků? Atd.
Plus, stejného výsledku dosáhneš i vytvořením jednoho šifrovaného adresáře/kontejneru přímo na systémovém disku, a odpadnou problémy s připojováním něčeho do USB. Pokud máte nějaký set-up skript, co připravuje vývojářské prostředí (instalace závislostí pro vývoj, konfigurace cest...), tak je možné to tam přidat a vývojáři nemusí řešit vůbec nic, kromě hesla.
Mimochodem, je potřeba, aby se firma mohla dostat do toho šifrovaného disku i bez spolupráce toho vývojáře?
Len si nakonfigurovat cestu v editore/ide na externy disk a to je cele. Keby sa disk pri ceste stratil niekde(v kaviarni, mhd, zlodej na ulici vytrhne tasku s ntb..) tak data su zasifrovane a nic sa nedeje, netreba panikarit a riesit teraz invalidaciu pristupov pre vsetkych ludi a stroje, vygenerovane kluce, tokeny a cojaviem co. Davnejsie v praci po nas chceli zasifrovanie vlastnych pc(ntb) kvoli klientskym kodom, takze tam som videl ze to je nedobre pre ludi takto riesit a zasahovat im do systemu a prostredia
Jak píšu nahoře, těch důvodů, proč šifrovat, je hromada. Víc než jen uložené zdrojáky, a platí to i pro osobní stroj. Při instalaci systému je to typicky otázka pár kliknutí (pokud to někdy není už i výchozí volba.) Ale chápu, že je nechceš nutit přeinstalovávat si soukromé stroje.
a preto externy disk(opakujem disk, neviem co su stale omielate usb kluce).
Klíčenka, aka přívěsek na klíče, ne klíč. USB flashdisk s vlastní bezpečností, jako https://www.czc.cz/kingston-usb-datatraveler-dt2000-32gb/184121/produkt - nepřipojí se to jako úložiště, dokud to nedostane správný pin.
A neviem co je nezrozumitelne na otazke. Jasne som napsial ze chcem hardeverove sifrovanie a plug-and-play funkcionalitu. Ci uz clovek raz pri spusteni zada heslo, alebo naskenuje odtlacok prsta je mi jedno. Ci to ma aplikaciu alebo nie je mi jedno len nech to ide na kazdom OS.
Ale pořád nevíme, jestli jde o pár MB, jednotky GB, nebo ta data s databázovými dumpy a podobně mají stovky GB. Je požadavek na velkou propustnost toho úložiště? Pokud je to klasická flashka, ať s vlastním šifrováním, nebo přes aplikaci, tak to bude hodně trpět na časté přepisy a náhodně umírat.
-
A bude to tak fungovat i s těmi „hardwarově“ šifrovanými disky, které mají speciální ovladač, který po zadání hesla disk odemkne
Nejsem odborník na Windows, ale myslím, že pokud má zařízení správnou USB třídu, například se tváří jako HID nebo jako sériák (CDC ACM), tak by mělo fungovat rovnou i pod uživatelem. (pokud není třeba doménová politika zakazující připojování USB obecně)
To by pak ale nebyl moc dobrý šifrovaný disk, kdyby se jenom připojil do počítače a všechna šifrovaná data by byla dostupná, bez jakéhokoli zadávání hesla nebo PINu. A když chcete zadat PIN/heslo, potřebujete buď hardware, kde to zadáte (např. ta klávesnice přímo na disku) nebo ovladač pro daný operační systém, který si o heslo řekne, pošle ho do hardwaru a pak se ten hardwaru může přepnout do režimu standardního USB disku.
-
chcem aby vyvojari mali ulozene zdrojaky na zasifrovanom disku a pracovali iba na nom.
Že se části kódu v podobě dočasných souborů dostanou mimo šifrovaný disk vám nevadí? Že práce s pomalým externím diskem bude vývojáře pěkně štvát vám nevadí?
A neviem co je nezrozumitelne na otazke.
Tak si přečtěte odpovědi – tam je toho popsaného docela dost, co je na otázce nejasné.
Jasne som napsial ze chcem hardeverove sifrovanie a plug-and-play funkcionalitu.
Takže potřebujete zařízení, které má hardwarovou klávesnici. Odkaz už jsem vám dával. Jakmile to vyžaduje speciální software na používaném počítači, není to plug-and-play.
Ci uz clovek raz pri spusteni zada heslo, alebo naskenuje odtlacok prsta je mi jedno. Ci to ma aplikaciu alebo nie je mi jedno len nech to ide na kazdom OS.
Protiřečíte si. Když to má aplikaci, není to plug-and-play – před použitím musíte nainstalovat tu aplikaci (resp. její ovladače).
opakujem disk, neviem co su stale omielate usb kluce
Bavíme se to o USB flash discích. Protože šifrované USB disky s parametry, které by mohly vašim mlhavým představám odpovídat, se vyrábějí. Šifrovaný velký externí disk je úplně mimo vaše možnosti.
-
proc se tyhle diskuse vzdy takhle arogantne zvrhnou v akademickou masturbaci?
a vzdy to konci stejne, protoze bezne zamky lze specialnim naradim otevrit, nema smysl dvere na ulici ani zavirat.
Ano, 100000% presne toto je exaktny obraz rootu, pekne si to vystihol :)
Co tu padli otazky na ucel, tak ten je jednoduchy - chcem aby vyvojari mali ulozene zdrojaky na zasifrovanom disku a pracovali iba na nom. Takze nemusia riesi sifrovanie vo svojom systeme ani sa s tym nijako zaoberat. Len si nakonfigurovat cestu v editore/ide na externy disk a to je cele. Keby sa disk pri ceste stratil niekde(v kaviarni, mhd, zlodej na ulici vytrhne tasku s ntb..) tak data su zasifrovane a nic sa nedeje, netreba panikarit a riesit teraz invalidaciu pristupov pre vsetkych ludi a stroje, vygenerovane kluce, tokeny a cojaviem co. Davnejsie v praci po nas chceli zasifrovanie vlastnych pc(ntb) kvoli klientskym kodom, takze tam som videl ze to je nedobre pre ludi takto riesit a zasahovat im do systemu a prostredia a preto externy disk(opakujem disk, neviem co su stale omielate usb kluce). A neviem co je nezrozumitelne na otazke. Jasne som napsial ze chcem hardeverove sifrovanie a plug-and-play funkcionalitu. Ci uz clovek raz pri spusteni zada heslo, alebo naskenuje odtlacok prsta je mi jedno. Ci to ma aplikaciu alebo nie je mi jedno len nech to ide na kazdom OS.
Tak stacilo napsat ze na bezpecnost sete pes a kazdy ti doporuci at si vyberes kterykoliv z toho co nabizi alza. Nerozumim tomu ale proc se pak chodis ptat sem kdyz je ti to vlastne uplne jedno. Ujasni si co chces, v prvnim prispevku pises o disku se cteckou a ted pises ze nechces nic instalovat. Nechces nic instalovat? Pak si ale treba samsung nekoupis protoze ten potrebuje nainstalovat ovladace a aplikaci. Chces neco instalovat? Pak jsme zase u toho ze jsou bezpecnejsi alternativy nez nejaka tamtung aplikace.
A diskuse se zvrhnou vzdy v nejakou akademickou debatu jenom proto ze tazatel se neumi ptat a neumi v uvodnim dotazu napsat vsechny sve pozadavky. Misto toho napise neco, pak placne zase neco co je klidne v rozporu s tim co placnul prvne. Ja bych se na to rovnou uz vytento, pokud je tohle admin nekde tak potes koste. Za me - vyber si co chces.
-
Ja bych se na to rovnou uz vytento, pokud je tohle admin nekde tak potes koste.
Není to admin. Má projekt, na kterém vydělá nejmíň stovky milionů. Už mu tu někdo poradil globální platební bránu. Teď řeší šifrované disky pro vývojáře, aby mu ten jedinečný nápad náhodou někdo neukradl. Příště se bude ptát, v čem se má celosvětově úspěšná aplikace napsat, jestli v Rustu nebo Cobolu. A pak bude řešit (pokud to ještě neřešil), který cloud použít, protože Amazon ani Google nestačí předpokládanému zájmu o jeho aplikaci. Takových už tu také pár bylo…
-
Takových už tu také pár bylo…
Jééé, já si právě vzpomněl na Hlodač. Až mi nostalgická slza ukápla.
-
Používám Kingston Ironkey externí SSD, uvádějí u něj:
56-bit AES hardware-based encryption, in XTS mode, and FIPS 140-2 Level 3 validation with on-device Cryptochip Encryption Key management
Má dotykový displej na správu zabezpečení a odemčení, nic není třeba instalovat (doprovodný SW na správu ale k dispozici je).
https://www.kingston.com/en/ssd/ironkey-vp80es-encrypted-external-ssd
-
A bude to tak fungovat i s těmi „hardwarově“ šifrovanými disky, které mají speciální ovladač, který po zadání hesla disk odemkne
Nejsem odborník na Windows, ale myslím, že pokud má zařízení správnou USB třídu, například se tváří jako HID nebo jako sériák (CDC ACM), tak by mělo fungovat rovnou i pod uživatelem. (pokud není třeba doménová politika zakazující připojování USB obecně)
To by pak ale nebyl moc dobrý šifrovaný disk, kdyby se jenom připojil do počítače a všechna šifrovaná data by byla dostupná, bez jakéhokoli zadávání hesla nebo PINu. A když chcete zadat PIN/heslo, potřebujete buď hardware, kde to zadáte (např. ta klávesnice přímo na disku) nebo ovladač pro daný operační systém, který si o heslo řekne, pošle ho do hardwaru a pak se ten hardwaru může přepnout do režimu standardního USB disku.
Připojím disk, objeví se malé mass storage zařízení se soubory unlock.exe, unlock.sh a třeba dokumentace.pdf. Provedu odemčení, malé mass storage zmizí a objeví se velké mass storage s daty.
Co tu padli otazky na ucel, tak ten je jednoduchy - chcem aby vyvojari mali ulozene zdrojaky na zasifrovanom disku a pracovali iba na nom. Takze nemusia riesi sifrovanie vo svojom systeme ani sa s tym nijako zaoberat. Len si nakonfigurovat cestu v editore/ide na externy disk a to je cele.
LOL takže fakt. A vývojář ani ty nemáte admina nebo kdo to adminuje?
Očekávám dotazy, jak přesunout na externí disk trvale trčící z notebooku :D soubory správce balíčků daného jazyka (npm, pip, cargo…), a jak zařídit, aby žádné IDE nemělo indexované zdrojáky, dočasné soubory a cache kompilátoru v tempu na disku :D
56-bit AES hardware-based encryption
(pro ostatní, je to špatně zkopírované, na webu píšou 256bit ;) )
-
Používám Kingston Ironkey externí SSD, uvádějí u něj:
56-bit AES hardware-based encryption, in XTS mode, and FIPS 140-2 Level 3 validation with on-device Cryptochip Encryption Key management
Má dotykový displej na správu zabezpečení a odemčení, nic není třeba instalovat (doprovodný SW na správu ale k dispozici je).
https://www.kingston.com/en/ssd/ironkey-vp80es-encrypted-external-ssd
Tohle je takova marketingova zalezitost jako u Vodafone. To zarizeni je fips197 certified, to v praxi neznamena nic jineho ze se vyrobce zavazal pouzit bezpecne algoritmy. Na to aby byli data na disku bezpecna je zapotrebi fips140-2 ktery resi i ten hardver. V prvnim pripade sice budete pouzivat aes256 ale secret muzete klidne ukladat nekam v citelne forme v pameti, v tom druhem pripade certifikace overuje i ten hardver samotny. Jednoduse receno: pokud chcete neco fips certified tak fips197 nebrat ale vzit fips140-2 nebo lepsi. Za me kingston nebrat vubec, bezpecnostni pruser meli, maji a budou mit, kvalita taky nic moc. Muj nazor.
-
Připojím disk, objeví se malé mass storage zařízení se soubory unlock.exe, unlock.sh a třeba dokumentace.pdf. Provedu odemčení, malé mass storage zmizí a objeví se velké mass storage s daty.
Jenže k tomu budete potřebovat administrátorská práva. A je dost velké riziko, že to nebude fungovat zrovna ve vaší distribuci, nebo že to přestane fungovat s příští verzí Windows nebo MacOS.
-
Jestliže používáš Windows tak Bitlocker.
Jestliže máš Office 365 tak OneDrive s dvoufaktorovým ověřením a se složkou Osobní sejf.
Ovšem záleží i na tom k čemu to hledáš, protože např. do některých států (Čína, ale třeba i USA) žádný takto šifrovaný média se vozit nesmí, resp. imigrační tě donutí k dešifrování a kontrole dat.
Nekoukejte furt na ty americky serialy nebo zblbnete… sifrovane disky se normalne pres hranice nosi a imigracni te nebude nutit k nejakemu desifrovani dat pokud nejsi na nejakem seznamu nebo pokud nema nejake podezreni. Normalne se to nedeje. V US muzete odmitnout disk desifrovat a imigracni vas v nejhorsim nepusti do zeme, v UK v pripade nejakych vaznejsich podezreni u kterych jsou i nejake dukazy hrozi za neposkytnuti hesla trest stejny jako za mareni spoluprace s policii. V Cine se vas nebudou ptat, tam si disk klidne skopiruji pokud jste nejaka zajmova osoba a heslo z vas dostanou vyhruzkami. V takovem Izraeli si nechaji rovnou cely notas a heslo taky z vas dostanou pokud chteji. Mohl bych vypravet zazitky z ruznych krajin…
-
Připojím disk, objeví se malé mass storage zařízení se soubory unlock.exe, unlock.sh a třeba dokumentace.pdf. Provedu odemčení, malé mass storage zmizí a objeví se velké mass storage s daty.
Jenže k tomu budete potřebovat administrátorská práva. A je dost velké riziko, že to nebude fungovat zrovna ve vaší distribuci, nebo že to přestane fungovat s příští verzí Windows nebo MacOS.
Nejsem odborník na Windows, ale myslím, že pokud má zařízení správnou USB třídu, například se tváří jako HID nebo jako sériák (CDC ACM), tak by mělo fungovat rovnou i pod uživatelem. (pokud není třeba doménová politika zakazující připojování USB obecně)
Navíc tohle může komunikovat i „hloupě“ přes ten mass storage, takhle fungují updaty firmwaru v některých procesorech, typicky rodiny STM32 (náhodný odkaz 1 (https://github.com/sfyip/STM32F103_MSD_BOOTLOADER) a 2 (https://ralim.github.io/IronOS/Flashing/TS100/)).
Na linuxových distribucích je typicky uživatel třeba ve skupině dialout (sériák) defaultně, HID nejspíš taky, minimálně třeba dokumentace trezoru se o nutnosti sudo nezmiňuje (https://trezor.io/learn/a/download-verify-trezor-suite-app), ale osobně jsem to nezkoušel.
Jestliže používáš Windows tak Bitlocker.
U BitLockeru pozor že měl u některých nastavení tendenci ukládat klíče nešifrovaně do TPM, a to i když to bylo separátní TPM na desce, které udělalo unsealing na základě securebootu a poslalo klíč nešifrovaně po sběrnici. A pak to taky má tendenci zálohovat klíče do MS cloudu. Obecně mi vadí věci u kterých není naprosto jasně a jednoduše vidět co který klíč dělá a jak je vytvořen. Pak vznikají průšvihy jako tohle nebo třeba nekonečný příběh pass-the-hash.
-
Nejsem odborník na Windows, ale myslím, že pokud má zařízení správnou USB třídu, například se tváří jako HID nebo jako sériák (CDC ACM), tak by mělo fungovat rovnou i pod uživatelem. (pokud není třeba doménová politika zakazující připojování USB obecně)
HID vám asi moc nepomůže (heslo asi nebudete přenášet blikáním diod na klávesnici), sériový port by možná šel použít, otázka je, jak by to bylo komplikované a spolehlivé.
Navíc tohle může komunikovat i „hloupě“ přes ten mass storage, takhle fungují updaty firmwaru v některých procesorech, typicky rodiny STM32 (náhodný odkaz 1 (https://github.com/sfyip/STM32F103_MSD_BOOTLOADER) a 2 (https://ralim.github.io/IronOS/Flashing/TS100/)).
Což znamená implementovat ve firmware FAT nebo exFAT, budou vám do toho kecat antiviry, potřebujete obou směrnou komunikaci… Tyhle šifrované disky se často dělají tak, že mají malý oddíl, kde jsou uložené ovládací aplikace – ale to je reálný oddíl, ne jeho simulace firmwarem.
-
Uz teraz vidim ake zalagovane to bude a aka radost pre vyvojarov bude pracovat na projekte kde mas zdrojaky niekde v tramtarii na sifrovanom disku.
Kedze odmieta riesit sifrovanie na PC vyvojaroch, predpokladam ze to bude firma kde si kazdy donesie vlastny hw.
Ocakavam teda onedlho dalsiu temu: "Ako zakazat na sukromnych PC mojich vyvojarov aby tam nemohli vkladat USB, aby nemohli robit screenshoty, a ani kopirovat texty z IDEcka."
Som zvedavy na priemernu dobu zotrvania vyvojara na takomto projekte :D
Cele mi to pripomina tuto fotku:
//nah, nedari sa mi tu vlozit obrazok, tak aspon odkaz
https://www.meme-arsenal.com/en/create/template/94341
-
Nejsem odborník na Windows, ale myslím, že pokud má zařízení správnou USB třídu, například se tváří jako HID nebo jako sériák (CDC ACM), tak by mělo fungovat rovnou i pod uživatelem. (pokud není třeba doménová politika zakazující připojování USB obecně)
HID vám asi moc nepomůže (heslo asi nebudete přenášet blikáním diod na klávesnici)
HID se používá (zneužívá?) pro přenos obecných dat, nedávno jsem třeba reverzoval kity od Texas Instruments (https://github.com/Meteopresscz/LMX2594EVM) které takto nastavují registry SPI zařízení. Původní, možná i současný Trezor je taky HID.
-
Tak hknmtt radsej zrusil ucet, ocakavajte onedlho obdobne otazky od niekoho noveho :D
-
To je skoda, tesil jsem se na reseni problemu a zadne uspokojeni neprislo… ;)
-
Co tu padli otazky na ucel, tak ten je jednoduchy - chcem aby vyvojari mali ulozene zdrojaky na zasifrovanom disku a pracovali iba na nom. Takze nemusia riesi sifrovanie vo svojom systeme ani sa s tym nijako zaoberat. Len si nakonfigurovat cestu v editore/ide na externy disk a to je cele. Keby sa disk pri ceste stratil niekde(v kaviarni, mhd, zlodej na ulici vytrhne tasku s ntb..) tak data su zasifrovane a nic sa nedeje, netreba panikarit a riesit teraz invalidaciu pristupov pre vsetkych ludi a stroje, vygenerovane kluce, tokeny a cojaviem co. Davnejsie v praci po nas chceli zasifrovanie vlastnych pc(ntb) kvoli klientskym kodom, takze tam som videl ze to je nedobre pre ludi takto riesit a zasahovat im do systemu a prostredia a preto externy disk(opakujem disk, neviem co su stale omielate usb kluce). A neviem co je nezrozumitelne na otazke. Jasne som napsial ze chcem hardeverove sifrovanie a plug-and-play funkcionalitu.
Vřele pochybuju,že to skutečně budou používat. Pokud ti skutečně jde o bezpečnost toho,co se ve firmě vyvíjí,máš lepší to mít fyzicky pouze ve firmě,a vývoj na cestách dělat přes VPN připojením k desktopu (ať fyzickému nebo virtuálnímu) ve firmě.
Pak nebudeš muset řešit tyhle nesmysly.
-
Tak hknmtt radsej zrusil ucet, ocakavajte onedlho obdobne otazky od niekoho noveho :D
Takže jsem to psal zbytečně. Některý lidi mě fakt dokážou nas***.
-
Co presne myslis, co bylo tak hodnotnyho, tvuj komentar ze resi nesmysly?
To je mi lito, ze si na tomhle vyjadreni tak intelektualne makal.
Tazatele odchazeji kvuli aroganci podobnejch konzultantu.
Tak hknmtt radsej zrusil ucet, ocakavajte onedlho obdobne otazky od niekoho noveho :D
Takže jsem to psal zbytečně. Některý lidi mě fakt dokážou nas***.
-
Co presne myslis, co bylo tak hodnotnyho, tvuj komentar ze resi nesmysly?
To je mi lito, ze si na tomhle vyjadreni tak intelektualne makal.
Tazatele odchazeji kvuli aroganci podobnejch konzultantu.
Tak hknmtt radsej zrusil ucet, ocakavajte onedlho obdobne otazky od niekoho noveho :D
Takže jsem to psal zbytečně. Některý lidi mě fakt dokážou nas***.
Dojmy nebo fakta?
-
Falešný moralizování,aby vypadal jako ten hodnej snaživej.