Fórum Root.cz
Hlavní témata => Hardware => Téma založeno: johnny 25. 11. 2012, 20:50:06
-
Dobrý večer prajem.
Možno to tohoto fóra ani nepatrí ale dajme tomu. Už niekoľko rokov spúšťam môj Debian z USB externého disku. A keď je tu tá USB 3jka, rozhodol som sa že si zriadim nový rýchlejší externý disk. Zaujímalo by ma, ako je to s podporou HW šifrovania, ktoré majú disky Intel SSD 520 v prípade, že je tento disk pripojený do PC pomocou externého USB boxu ?
-
To bude asi docela zajímavé, protože si nejsem jistý, jestli to šifrování má Intel udělané podle standardu.
Jinak obecně: pokud by to měl Intel udělané podle standardu, pak se bios musí umět na heslo zeptat, což opravdu nevím, jestli přes usb redukci protože, skoro bych řekl, že to bude asi hodně velká loterie.
-
Nevím, jak je to s podporou, ale rozhodně to považuji za špatný nápad.
-------- Original Message --------
Subject: Re: Sifrovani na SSD
Date: Mon, 25 Jun 2012 12:39:02 +0200
From: Jan Hrach
To: Diskuse o Linuxu v cestine
Nevěřte tomu. Nikdy. Je to proprietární implementace, security-by-obscurity a výrobci mají tendenci šetřit. Neuvěřitelné případy, co se v takových „superbezpečných“ řešeních našlo, namátkou:
https://www.zdnet.com/blog/hardware/encryption-busted-on-nist-certified-kingston-sandisk-and-verbatim-usb-flash-drives/6655
(heslo ke klíčence se ověřuje V OBSLUŽNÉM SOFTWARU a ten POTOM pošle disku klíč, který je NA VŠECH ZAŘÍZENÍCH STEJNÝ (!!!))
-
HW sifrovanie je fakt blby napad.
Ja by som pouzil dm_crypt. V pripade ze to nie su extra citlive data, nastavil by som aj discard do crypttabu. Ak mas CPU Intel Core i5 a vyssie, tak sifrovanie ani nie je v beznej prevadzke citelne (vdaka AES NI).
-
Nedalo mi to, tak som si nakoniec kúpil SSD 520 a USB3 box. Teraz by ma zaujímalo, že ako vôbec zadať to heslo. V tých softvérových sračkách od intelu nevidím žiadnu možnosť na zadanie hesla. Disk mám pripojený normálne cez Sata priamo do PC. V BIOSse som žiadnu takú možnosť nenašiel. Už mi zostáva len hdparm.
-
hdd password? To musi podporovat BIOS, inak cez zamknuty radic nenabehne ani bootloader.
-
Ale ja hovorím o úvodnom "inštalácii" hesla
-
hdparm --user-master m --security-set-pass <MASTER-HESLO> /dev/<DISK>
hdparm --user-master u --security-set-pass <USER-HESLO> /dev/<DISK>
-
Najskôr musím vyriešiť problém menom frozen :D
hdparm -I /dev/sda | grep frozen
frozen
-
Zapni AHCI v BIOS/UEFI. Obcas to sposobuje legacy ide nastavenie.
-
Nie je tu niekde nejaký tutoriál o používaní hdparm ?
Na čo je master a na čo user heslo ?
-
Môj verdikt znie, že s týmto HW si teda hw šifrovanie neužijete vôbec.
HDD:
- Model Number: INTEL SSDSC2CW060A3
- Firmware Revision: 400i
USB BOX:
- lsusb: Bus 002 Device 002: ID 067b:2771 Prolific Technology, Inc.
- Zalman ZM-HE250
MB:
- Manufacturer: MSI
- Product Name: Z77A-G43 (MS-7758)
- BIOS Version: V2.7
- BIOS Release Date: 10/24/2012
Matičná doska vôbec nepodporuje hdd password. Nevie toto heslo ani nainštalovať, ani ak je toto heslo už v HDD nainštalované, tak si toto heslo nevie vypýtať pri štarte počítača.
Heslo NIE JE možné nainštalovať ani žiadnym softvérom, ktorý som pre Windows od Intelu našiel.
Heslo JE možné nainštalovať prostredníctvom programu hdparm, avšak treba si dať pozor aby disk MAL status "not frozen". Túto informáciu zistíte pomocou príkazu: hdparm -I /dev/<DISK>. Ak je status frozen, stačí len uspať a zobudiť počítač, mne to pomohlo a status sa zmenil na "not frozen".
HDD je možné odomknúť pomocou "intel rapid storage technology" avšak nie toto heslo zrušiť.
HDD je taktiež možné odomknúť pomocou programu hdparm.
Ak tento HDD s nainštalovaným heslom zapojíte do USB boxu a pripojíte do počítača ešte pred štartom počítača tak:
Windows nenabehne, úplne zamrzne.
Linux nenabehne, hneď na začiatku vypíše niečo, že sa mu nedá čítať a zamrzne.
Ak tento HDD s nainštalovaným heslo zapojíte do USB boxu a pripojíte do počítača po štarte systému tak:
Windows s ním nebude možné pracovať, odomknúť ho ani nič iné.
V Linuxe s ním taktiež nebude možné pracovať. Program hdparm ho bude hlásiť ako invalidný.
Čo tak ešte dodať, mal som v tej dobe najdostupnejší bios,hdd fw. SW: win 7 pro 64, debian testing s jadrom Linux 3.6-trunk-amd64 #1 SMP Debian 3.6.8-1~experimental.1 x86_64 GNU/Linux.
-
Logicky... Nic ine sa ani cakat nedalo.
Ked uz HW sifrovanie, tak potrebujes externy box s vlastnym Microcontrollerom ktory sifruje data. Cize napriklad externy box na HDD ktory ma bud klavesnicku na zadanie PIN kodu, alebo ma citacku odtlacku prostov. Tieto srandy vsak uz stoja o dost viac...
A este aj tieto zariadenia su suboptimalne pretoze su proprietarne a aj ked maju realne chip ktory by bezproblemovo zvladal Rijndael 256, netusis co to realne robi.
Na zabranenie pristupu beznym obcanom to staci, ak tam vsak su data ku ktorym by sa nemala dostat konkurencia ci stat, nestaci taketo riesenie ani ak je certifikovane.
Len samotne HDD pwd na obycajnych diskoch napriklad len blokuje elektroniku, data su plaintext. Na riesenie od intelu by som sa vobec nespoliehal.
Pokial chces sifrovat data tak aby boli citatelne na viacerych platformach, pozri si truecrypt. Pokial staci GNU/Linux, dm_crypt. Pravdaze ani toto nie su upllne bezpecne riesenia (dma, coldboot, ...), ale stale lepsie ako hdd pwd.
Neviem presne ako funguje truecyrpt, ale prepokladam ze tiez moze sifrovat particie. V takom pripade si mozes nechat jednu malu cleartext particiu na ktorej bude instalacka truecryptu pre Linux, Mac a Windows...
http://www.h-online.com/security/features/USB-stick-with-hardware-AES-encryption-has-been-cracked-746215.html
Kup si:
http://www.corsair.com/en/usb-drive/flash-padlock-2-usb-drive/flash-padlock-2-16gb-usb-flash-drive.html
-
Logicky... Nic ine sa ani cakat nedalo.
Ked uz HW sifrovanie, tak potrebujes externy box s vlastnym Microcontrollerom ktory sifruje data. Cize napriklad externy box na HDD ktory ma bud klavesnicku na zadanie PIN kodu, alebo ma citacku odtlacku prostov. Tieto srandy vsak uz stoja o dost viac...
Pozor, pokud se něco rozšifrovává *jen* otiskem prstu, musí to mít nutně ten dešifrovací klíč někde vevnitř uloženo, protože otisk nejde jako klíč použít. Pak už je jenom otázka, jak složité je ten uložený klíč extrahovat.
Kup si:
http://www.corsair.com/en/usb-drive/flash-padlock-2-usb-drive/flash-padlock-2-16gb-usb-flash-drive.html
Tomu bych taky moc nevěřil. Píšou 4-10 čísel pin, to je 10^10 kombinací, což není zas tak moc odolné proti bruteforce.
-
Ak je tam nejaký timeout po zadaní zlého hesla , tak je to ok.
Na zatiaľ použijem tento návod:
http://stolowski.blogspot.sk/2011/06/debian-60-encrypting-home-partition.html
+Temp namountujem do ramdisku.
+Keďže je to SSD log by som rád úplne vypol. Prípadne to dám tiež do ramdisku. Kernel panic a nejaké fatálne errory majú smolu.
-
Logicky... Nic ine sa ani cakat nedalo.
Ked uz HW sifrovanie, tak potrebujes externy box s vlastnym Microcontrollerom ktory sifruje data. Cize napriklad externy box na HDD ktory ma bud klavesnicku na zadanie PIN kodu, alebo ma citacku odtlacku prostov. Tieto srandy vsak uz stoja o dost viac...
Pozor, pokud se něco rozšifrovává *jen* otiskem prstu, musí to mít nutně ten dešifrovací klíč někde vevnitř uloženo, protože otisk nejde jako klíč použít. Pak už je jenom otázka, jak složité je ten uložený klíč extrahovat.
Nemusi... Stacilo by ak by to malo ulozenu sumu kluca. Ale prave o tom pisem :) Proste aj tomu HW sifrovaciemu zariadeniu sa neda verit kym nie je open source.
-
Ten navod je onicom. Sifrovat len /home nie je dostatocne.
Rozdel si disk na 1 boot particiu, pripadne jednu nesifrovanu windows particiu a zbytok do jedej ktora bude niest cely system.
sda1 /boot
sda2 /mnt/windows
sda3 -- physical volume for encryption
Nad sda3 sprav dm_crypt - sda3-encrypted
Nad sda3-encrypted sprav LVM - vg-encrypted a nad tym VG sprav lv-root, lv-swap, lv-co_len_chches
A az do tych LV nahod system.
vsetky tieto kroky sa daju spravit priamo cez installator Debianu, do Ubunntu 12.04 - alternate install, Nove ubuntu to ma snad tiez. Tympadom je vsetko za bootloaderom sifrovane. Aj swap. Nepotrebujes tolko ramdiskov a aj tak je to bezpecnejsie.
Aj dm_crypt aj LVM si rozumeju s dicard prikazom.
-
Nemusi... Stacilo by ak by to malo ulozenu sumu kluca.
Povídej, přeháněj. Nedokážu si představit, jak bych něco takového implementoval (a co je vlastně „suma klíče“).
Papilární linie nemůžeš použít jako vstup pro vygenerování klíčového materiálu. Umíš je jenom srovnat s předem naučenými vzorky a říct, jak moc jsou si podobné. Derivovat z nich alespoň 80 !vždy stejných! bitů entropie pro symetrický klíč nejde…
-
Ak je tam nejaký timeout po zadaní zlého hesla , tak je to ok.
Ovšem pouze za dvou předpokladů:
1) že se nedá ten flashdisk otevřít a ta kontrola vyřadit, a
2) že šifrovací klíč je náhodně generovaný a uložený tak, že se nedá ze zařízení žádným způsobem dostat.
Oba tyto předpoklady jsou u Padlocku vzhledem k ceně i vzhledem k historii bezpečnosti v Corsairu krajně nepravděpodobné.
Nemusi... Stacilo by ak by to malo ulozenu sumu kluca.
Až na to, že se to nedá implementovat. Problém je v tom, že u žádné mě známé biometrie nedokážeš udělat bit-by-bit stejný výstup v různých časech (pokaždé je prst jinak natočený, jinak silně přitlačený na podklad atd.). Musíš udělat nějaký přepočet, nejspíš srovnání se vzorem ("podobnost je 96 procent, to uznám jako shodu"), ale to se nedá použít pro přímé generování klíče.
-
Diskusia kryptografov :D
Ako vás tak počúvam, pomaly sa dopracujeme k tomu, že si mám počítač vyskladať z materiálov z nízkym vyžarovaním a pre istotu celú izbu odtieniť olovom.
Spraviť si live DVD zo všetkými softvérom ktorý potrebujem, dočasné súbory dať na ramdisk a použiť pre istotu naraz viac druhov šifrovaní: Bios-U-key, hw aes od intelu, pre istotu nejaký dmcrypt celej partície a nakoniec to zapeckovať tým, že si vygenerujem nejaký pekný 8k RSA kľúč a pekne krásne to celé GPGčkom celé zašifrujem. S dešifrovanými dátam pracovať len na ramdisku. Pred vypnutím PC ten ramdisk pre istotu kombináciou ddčka a randu celý prepísať. Zabudol som žiadne bezdrátové pripojenia a ani pripojenie k internetu. Napájanie počítača len cez konvertor z batérii, aby sa náhodou nedostalo šumenie do siete. Pre istotu do miestnosti nikdy nevstupovať, zaliať ju betónom a v prípade otrasov aktivovať výbušniny. Dosť bolo, srandy, aj tak to potom uvolním ako opensource :D