Fórum Root.cz

Hlavní témata => Hardware => Téma založeno: M.Postak 05. 01. 2022, 07:50:23

Název: Flash disk se zabezpečením
Přispěvatel: M.Postak 05. 01. 2022, 07:50:23
Dobrý den,
máte nějaké zkušenosti s flash, která má zabezpečení? Je lepší software (https://www.alza.cz/kingston-datatraveler-locker-g3-32gb-d520177.htm), nebo číselná klávesnice na flash (https://www.alza.cz/kingston-datatraveler-2000-32gb-d4017060.htm)? Potřebuji přenášet pár souborů a chtěl bych je mít v bezpečí. Děkuji za vaše odpovědi.
Název: Re:Flash Locker+ G3
Přispěvatel: _Tomáš_ 05. 01. 2022, 08:49:23
jsou to hračky pro děti a přesně takové zabezpečení od nich čekej, náhodný kolemdoucí se přes to nedostane, ale velkou míru zabezepčení nečekej. V retailu jsem ještě nepotkal flashku/disk se zabezpečením, které by bylo na dobré úrovni, tj. chceš-li něco více zabezpečit, musíš data před uložením šifrovat vlastní cestou.

Jako přenosné bezpečné a dostupné zařízení se dnes daji netradičně považovat mobilní telefony, zejména ty s state of art bezpečností jako iphone nebo Nexus
Název: Re:Flash disk se zabezpečením
Přispěvatel: SB 05. 01. 2022, 09:48:28
Ta první: Na čem ten software funguje a kde bude nainstalovaný (jinak to nebude fungovat)? Je to nějaký vlastní bastard, nebo standardizované řešení? Je aktualizovaný? To radši standardizované řešení (šifr. soub. systém) nebo šifrované zipy.
Ta druhá: Samostatně funkční bez SW, ale jak dlouhý kód jde zadat a jak dlouhý jste ochoten zadávat? Jak mají zaimplementované šifrování? (Pamatuju si, že se to kdesi řešilo, že některé takovéto flash měly bezpečnostní nedostatky.)
Název: Re:Flash disk se zabezpečením
Přispěvatel: Marek Staněk 05. 01. 2022, 10:07:39
Asi nejlepší je dnes VeraCrypt kontejner na flashce.
Z HW řešení bych doporučil 2,5" USB3 box Zalman VE400,který má hardwarové AES a po 10 chybných pokusech disk skartuje,ale už se nevyrábí,protože Zalman byl odkoupen konkurencí a zrušen.
Název: Re:Flash disk se zabezpečením
Přispěvatel: _Tomáš_ 05. 01. 2022, 12:14:52
Asi nejlepší je dnes VeraCrypt kontejner na flashce.
Z HW řešení bych doporučil 2,5" USB3 box Zalman VE400,který má hardwarové AES a po 10 chybných pokusech disk skartuje,ale už se nevyrábí,protože Zalman byl odkoupen konkurencí a zrušen.

Zrovna ten ZAlman VE400 je průser, má sice AES, ale nemá bezpečně uchované klíče, nemá vyřešený bezpečný generátor soli, i bez pinu odpovídá na AT příkazy a je možné přes upravený kabel samotný pin získat, dokonce i resetovat ho do továrního nastavení.

Stejně jako ty zmíněné v otázce, na zabezpečení proti náhodným kolemdoucím to je super, ale pokud to má být pro bezpečné uložení informací, rozhodně to není dobrý nápad.

A jak to poznat v praxi? Výrobci, kteří se nespecializují dlouhodobě na bezpečnost, ale jedná se o konzumní producenty příslušenství vesměs zatím nikdy nevyprodukovali bezpečné zařízení. HW, který odolá řadě různých útoků a k tomu ověřený SW je pekelně drahá věc, takové zařízení nebude stát stovky, ale tisíce. V popisu takových produktů je dobré hledat klíčové slovo HSM, ověřit si certifikace a audity, aspoň, že jich to řadu má a že tomu důvěřují společnosti v oboru.

Z těch dostupný je třeba zajímavé zařízení f-secure USB armory, ale pořizovací cena jde to tisíců.
Název: Re:Flash disk se zabezpečením
Přispěvatel: kanoe22 05. 01. 2022, 12:21:18
Tiez hlasujem za veracrypt. Je to software ktory mozte mat ulozeny rovno na flaske ako portable verziu, cize aj ked pripojite flasku do pc kde veracrypt nie je nainstalovany, no problem, spustite ho z flasky.

Vyhodou moze byt aj to, ze pri veracrypte si zvolite kolko miesta z flasky ma byt sifrovanych (vytvori sa tam predalokovane miesto - kontajner, ktory je sifrovany). Pri tichto celo-sifrovanych flaskach je cely ich obsah sifrovany, co je niekedy zbytocne, ak vam staci zasifrovat iba zopar stoviek MB.

Plus problem hw sifrovanych veci je, ak je v tom niekde chyba, casto krat sa uz neda opravit. V pripade softveru to nie je problem, proste vyde novsia opravena verzia a prinajhorsom budete musiet data odsifrovat starou verziou a zasifrovat novou. V pripade hw chyby v uvedenych flaskach budete musiet kupit iny model.
Název: Re:Flash disk se zabezpečením
Přispěvatel: NCC1701E 05. 01. 2022, 12:39:07
Je jich málo. Cokoli co potřebuje instalaci SW je k ničemu. Polovina HW řešení má taky problémy.
Předchůdce níže uvedené měl FIPS140 a je víceméně použitelný.
Rozhodně dost na to, aby nevadilo když tu flashku někdo ukradne nebo najde.
https://www.alza.cz/kingston-datatraveler-2000-64gb-d4048800.htm
Název: Re:Flash disk se zabezpečením
Přispěvatel: pruzkumbojem 05. 01. 2022, 12:51:32
uplne stejny problem a nevyresil jsem to.

veracrypt uz se da pouzit bez admina? kdyz jsem to zkousel , tak zadna portable verze neexistovala.
Protoze navody "pristup k cilovemu pocitaci, zaloguj se jako admin a nainstaluj Veracrypt" jsou vite na co.


nemusi to byt extra bezpecne, proste jen nechci, kdyz ztratim flashku, abych musel premyslet, co tam proboha bylo a kdo ted vi detaily o me hypotece apod.
Nejaky FIPS jsou vetsi lidi k nicemu.
https://xkcd.com/538/




protoze je mi to naprd, pokud nekam strcim flashku a bez veracryptu
Název: Re:Flash disk se zabezpečením
Přispěvatel: kvas 05. 01. 2022, 13:16:35
A co tak pouzit KeePassXC ?

Ano, viem, primarne urcenie je spravca hesiel, ale:
1) ma moznost prilozit k zaznamu prilohy https://keepassxc.org/docs/KeePassXC_UserGuide.html#_attachments
2) ma aj portable verziu: https://keepassxc.org/download/#windows
3) multiplatform

Kedze autor vlakna pise, ze chce prenasat "par suborov", tak by aj toto bola cesta.
Název: Re:Flash disk se zabezpečením
Přispěvatel: Filip Jirsák 05. 01. 2022, 13:33:40
Flash disk, který potřebuje pro zabezpečení speciální software, je dobrý akorát tak k tomu, aby se k datům nedostal někdo, když flashku někde ztratíte. Jinak ji můžete používat jen na zařízení, kterému důvěřujete a víte, že tam není keylogger – a to už můžete použít normální flashdisk a na něm použít třeba VeraCrypt.

Pokud to myslíte se zabezpečením vážně, je potřeba, aby se bezpečnostní kód zadával přímo na tom flash disku. A pak samozřejmě také záleží na tom, jak je zabezpečený samotný flash disk. Tam se můžete řídit certifikacemi (taková zařízení ale nebudou levná), případně recenzemi. Já jsem si kdysi na základě článku Test bezpečných flash disků: Slib ochrany dat naplní jen málokterá USB klíčenka (https://tech.hn.cz/c1-59201540-srovnavaci-test-usb-klicenek-sifrovani) vybral Corsair Padlock 2.

Ale pokud vám jde jenom o případnou ztrátu a víte, že tam nebudete mít nějaká citlivá data, stačí asi cokoli s libovolným zabezpečením – akorát je dobré si pohlídat, zda tam není nějaká banální chyba jako že se to dá odšifrovat továrním heslem 0000. A nebo použít ten VeraCrypt.
Název: Re:Flash disk se zabezpečením
Přispěvatel: _Jenda 05. 01. 2022, 19:05:44
Já jsem si kdysi na základě článku Test bezpečných flash disků: Slib ochrany dat naplní jen málokterá USB klíčenka (https://tech.hn.cz/c1-59201540-srovnavaci-test-usb-klicenek-sifrovani) vybral Corsair Padlock 2.
V tom článku (je za paywallem) dělali audit toho šifrování? Protože na ty běžné problémy, co se tam objevily - šifrovací klíč zůstává v paměti a jen se porovnává shoda hesla; šifrovací klíč se generuje směšným náhodným generátorem; atd. - nemáte šanci přijít bez disassemblování firmware.

Navíc u klíče s PINem by se vám hodila dobrá key derivation funkce, protože kvalitní klíč bude nesmyslně dlouhý (20 číslic = 66 bitů entropie, cokoli slabšího je v dosahu brute-force motivovaného jednotlivce). Srovnejte s písmenkovým heslem, kde 66 bitů má už 11 znaků, navíc alespoň já si nedokážu 20číselné heslo zapamatovat - leda že byste použil písmenka „jako na mobilu“, ale tam nemáte mixed-case a vůbec to bude strašný opruz.
Název: Re:Flash disk se zabezpečením
Přispěvatel: Filip Jirsák 05. 01. 2022, 19:46:53
Tady je článek odemčený: https://tech.hn.cz/c7-59201540-c8dj8-61d2bbf66ea9214

Michal Altair Valášek nedělal vlastí bezpečnostní analýzu. Ale některé kandidáty odfiltruje už to, že mají jen softwarové šifrování nebo známé bezpečnostní slabiny (o těch psal Michal myslím jinde, možná na svém blogu). A naopak pokud chcete něco opravdu bezpečného, jsou v přehledu i disky s FIPS certifikací.

Na key derivation funkci podle mne tolik nezáleží – pokud nebude vyloženě špatná a nebude snižovat entropii. Sebelepší funkce ale entropii nevyčaruje. Ta ochrana PINem je bezpečná samozřejmě jedině tehdy, pokud se klíč po několika neúspěšných pokusech nenávratně zničí.

Nicméně já jsem si flashku s hardwarovou klávesnicí nepořizoval kvůli obavě z keyloggerů nebo něčeho takového. Nýbrž z toho důvodu, že to nepotřebuje žádný obslužný software a funguje to tedy na jakémkoli zařízení, které je schopné pracovat s obecným flash diskem. Protože ten disk odemknete před připojením k počítači a v okamžiku připojení se to pro OS tváří jako úplně normální flashka. Můj přístup nebyl „1. hlavně ať se tam nikdo nedostane, 2. při splnění bodu 1 bude fajn, když se k datům aspoň někdy dostanu já“, ale opačný „1. ať se k datům vždy dostanu já, 2. bude fajn, když se při splnění bodu 1 k datům nedostane někdo, kdo tu flashku někde najde, až mi vypadne z kapsy“.
Název: Re:Flash disk se zabezpečením
Přispěvatel: Marek Staněk 05. 01. 2022, 20:18:57
Asi nejlepší je dnes VeraCrypt kontejner na flashce.
Z HW řešení bych doporučil 2,5" USB3 box Zalman VE400,který má hardwarové AES a po 10 chybných pokusech disk skartuje,ale už se nevyrábí,protože Zalman byl odkoupen konkurencí a zrušen.

Zrovna ten ZAlman VE400 je průser, má sice AES, ale nemá bezpečně uchované klíče, nemá vyřešený bezpečný generátor soli, i bez pinu odpovídá na AT příkazy a je možné přes upravený kabel samotný pin získat, dokonce i resetovat ho do továrního nastavení.

Stejně jako ty zmíněné v otázce, na zabezpečení proti náhodným kolemdoucím to je super, ale pokud to má být pro bezpečné uložení informací, rozhodně to není dobrý nápad.

A jak to poznat v praxi? Výrobci, kteří se nespecializují dlouhodobě na bezpečnost, ale jedná se o konzumní producenty příslušenství vesměs zatím nikdy nevyprodukovali bezpečné zařízení. HW, který odolá řadě různých útoků a k tomu ověřený SW je pekelně drahá věc, takové zařízení nebude stát stovky, ale tisíce. V popisu takových produktů je dobré hledat klíčové slovo HSM, ověřit si certifikace a audity, aspoň, že jich to řadu má a že tomu důvěřují společnosti v oboru.

Z těch dostupný je třeba zajímavé zařízení f-secure USB armory, ale pořizovací cena jde to tisíců.

Je to záležitost skoro 10 let stará a z toho dobře 6 let už nejde koupit,takže to asi bylo na dobové úrovni spotřební elektroniky. Do hloubky jsem to nikdy nezkoumal,mám ho hlavně kvůli emulaci bootovatelné optické mechaniky z ISO / IMG souborů.
Název: Re:Flash disk se zabezpečením
Přispěvatel: M.Postak 06. 01. 2022, 07:38:12
Moc vám děkuji za názory a odpovědi. Jak jsem předpokládal, musím se rozhodnout mezi software flash / HW klávesnicí.

Vezmu tu s klávesnicí, odemkne se heslem a pak se tváří jako normální flash. Což vyřeší možné problémy s instalací a kompatibilitou softwaru.

Děkuji za článek v HN, potvrdil mou volbu.

Taky zkusím vytvořit vlastní za pomoci BitLocker To Go.

Ještě jednou moc všem děkuji.