Příspěvky

211

Sítě / Re:jak na DNS v interní síti

« kdy: 30. 01. 2023, 17:59:43 »

Když ty lokality máte propojené přes VPN, má nas.kancl.mojedomena.cz pořád IP adresu 192.168.10.10, jenom je to jednou místní síť a podruhé se tam jde přes VPN, ne?

Použijte to, co jste navrhoval – zadejte jména ve správě domény u vašeho registrátora a k nim ty privátní IP adresy. Není to ideální, když jsou privátní IP adresy ve veřejném DNS (a pozor na to, že některé otevřené resolvery překlad takových adres blokují), ale ono není ideální používat privátní adresy jako takové… Bezpečnostní rizika – když server , kde je provozována vaše doména (tedy pravděpodobně vašeho registrátora domény), nepodporuje zónový přenos, nikdo se nedozví, že nějaká adresa nas.kancl.mojedomena.cz existuje, dokud to někde neprozradíte (třeba při vystavení důvěryhodného certifikátu). Pokud to jméno zjistí, může ho přeložit na privátní IP adresu. Což mu bude stejně k ničemu, musel by se dostat do vaší sítě. A když už bude ve vaší síti, máte asi větší problém, než že se něco prozradí z DNS názvů.

Mimochodem, tohle řešení má i tu výhodu, že na ta doménová jména můžete vystavovat důvěryhodné certifikáty (třeba přes Let's Encrypt), takže na ten svůj NAS nebo webkameru můžete chodit přes HTTPS s důvěryhodným certifikátem. Jenom je to drobet komplikovanější na konfiguraci, protože potřebujete ověřovat DNS názvy přes DNS, ne přes webový server, jak se to dělá běžně (protože DNS je veřejné, váš NAS asi veřejnou IP adresu nemá).

212

Hardware / Re:Externy sifrovany disk

« kdy: 30. 01. 2023, 09:01:28 »

Nejsem odborník na Windows, ale myslím, že pokud má zařízení správnou USB třídu, například se tváří jako HID nebo jako sériák (CDC ACM), tak by mělo fungovat rovnou i pod uživatelem. (pokud není třeba doménová politika zakazující připojování USB obecně)

HID vám asi moc nepomůže (heslo asi nebudete přenášet blikáním diod na klávesnici), sériový port by možná šel použít, otázka je, jak by to bylo komplikované a spolehlivé.

Navíc tohle může komunikovat i „hloupě“ přes ten mass storage, takhle fungují updaty firmwaru v některých procesorech, typicky rodiny STM32 (náhodný odkaz 1 a 2).

Což znamená implementovat ve firmware FAT nebo exFAT, budou vám do toho kecat antiviry, potřebujete obou směrnou komunikaci… Tyhle šifrované disky se často dělají tak, že mají malý oddíl, kde jsou uložené ovládací aplikace – ale to je reálný oddíl, ne jeho simulace firmwarem.

213

Hardware / Re:Externy sifrovany disk

« kdy: 29. 01. 2023, 21:30:46 »

Připojím disk, objeví se malé mass storage zařízení se soubory unlock.exe, unlock.sh a třeba dokumentace.pdf. Provedu odemčení, malé mass storage zmizí a objeví se velké mass storage s daty.

Jenže k tomu budete potřebovat administrátorská práva. A je dost velké riziko, že to nebude fungovat zrovna ve vaší distribuci, nebo že to přestane fungovat s příští verzí Windows nebo MacOS.

214

Server / Re:[MailCow] - nedoručování mailů po změně ISP

« kdy: 29. 01. 2023, 19:42:45 »

Ten druhý řádek odspodu na obrázku s textem WHITELISTED znamená co?

215

Hardware / Re:Externí šifrovaný disk

« kdy: 29. 01. 2023, 19:40:23 »

Ja bych se na to rovnou uz vytento, pokud je tohle admin nekde tak potes koste.

Není to admin. Má projekt, na kterém vydělá nejmíň stovky milionů. Už mu tu někdo poradil globální platební bránu. Teď řeší šifrované disky pro vývojáře, aby mu ten jedinečný nápad náhodou někdo neukradl. Příště se bude ptát, v čem se má celosvětově úspěšná aplikace napsat, jestli v Rustu nebo Cobolu. A pak bude řešit (pokud to ještě neřešil), který cloud použít, protože Amazon ani Google nestačí předpokládanému zájmu o jeho aplikaci. Takových už tu také pár bylo…

216

Server / Re:[MailCow] - nedoručování mailů po změně ISP

« kdy: 29. 01. 2023, 19:24:32 »

Dorazí vám pravděpodobně e-maily ze serverů, které máte whitelistované. E-maily z jiných serverů pravděpodobně narazí na nějaký váš filtr a jsou odmítnuty. Podezřelé je ve výpisu to, že se nepodařilo získat doménu odesílatele microsoft.com. Funguje vám na tom serveru správně překlad domén?

217

Hardware / Re:Externí šifrovaný disk

« kdy: 29. 01. 2023, 19:08:17 »

chcem aby vyvojari mali ulozene zdrojaky na zasifrovanom disku a pracovali iba na nom.

Že se části kódu v podobě dočasných souborů dostanou mimo šifrovaný disk vám nevadí? Že práce s pomalým externím diskem bude vývojáře pěkně štvát vám nevadí?

A neviem co je nezrozumitelne na otazke.

Tak si přečtěte odpovědi – tam je toho popsaného docela dost, co je na otázce nejasné.

Jasne som napsial ze chcem hardeverove sifrovanie a plug-and-play funkcionalitu.

Takže potřebujete zařízení, které má hardwarovou klávesnici. Odkaz už jsem vám dával. Jakmile to vyžaduje speciální software na používaném počítači, není to plug-and-play.

Ci uz clovek raz pri spusteni zada heslo, alebo naskenuje odtlacok prsta je mi jedno. Ci to ma aplikaciu alebo nie je mi jedno len nech to ide na kazdom OS.

Protiřečíte si. Když to má aplikaci, není to plug-and-play – před použitím musíte nainstalovat tu aplikaci (resp. její ovladače).

opakujem disk, neviem co su stale omielate usb kluce

Bavíme se to o USB flash discích. Protože šifrované USB disky s parametry, které by mohly vašim mlhavým představám odpovídat, se vyrábějí. Šifrovaný velký externí disk je úplně mimo vaše možnosti.

218

Hardware / Re:Externy sifrovany disk

« kdy: 29. 01. 2023, 19:02:48 »

A bude to tak fungovat i s těmi „hardwarově“ šifrovanými disky, které mají speciální ovladač, který po zadání hesla disk odemkne

Nejsem odborník na Windows, ale myslím, že pokud má zařízení správnou USB třídu, například se tváří jako HID nebo jako sériák (CDC ACM), tak by mělo fungovat rovnou i pod uživatelem. (pokud není třeba doménová politika zakazující připojování USB obecně)

To by pak ale nebyl moc dobrý šifrovaný disk, kdyby se jenom připojil do počítače a všechna šifrovaná data by byla dostupná, bez jakéhokoli zadávání hesla nebo PINu. A když chcete zadat PIN/heslo, potřebujete buď hardware, kde to zadáte (např. ta klávesnice přímo na disku) nebo ovladač pro daný operační systém, který si o heslo řekne, pošle ho do hardwaru a pak se ten hardwaru může přepnout do režimu standardního USB disku.

219

Hardware / Re:Externy sifrovany disk

« kdy: 29. 01. 2023, 17:29:30 »

Zadávání hesla myslíte aby se třeba někde nezapsalo omylem do /tmp na perzistentním storage?

Nebo třeba aby to nebylo implementované tak, že klíč k šifrovaným datům bude uložen ve speciálním oddílu, heslo se jen porovná na rovnost a pak se šifrovaný oddíl uloženým klíčem připojí. Když to takhle implementuje výrobce „šifrovaných disků“, proč by to nenapadlo i někoho, kdo si bude chtít „šifrovaný disk“ postavit sám?

VeraCrypt zmiňoval samotný tazatel. Jediné, co proti němu měl, bylo to, že ho nezkoušel. Multiplatformní pro Windows, Linux a MacOS je. To, že pro zpřístupnění souborového systému ve Windows je potřeba ovladač zařízení a ten může nainstalovat jenom administrátor, je celkem logické. A bude to tak fungovat i s těmi „hardwarově“ šifrovanými disky, které mají speciální ovladač, který po zadání hesla disk odemkne. Aby to fungovalo bez speciálních oprávnění, musí si odemknutí řešit samotné externí zařízení, bez nějakého ovladače – obvykle buď otiskem prstu (to bývá dost nespolehlivé) nebo právě HW klávesnicí a zadáním PINu.

Ale jak jsem psal, nevíme, co vlastně tazatel chce. Zda skutečnou ochranu, která obstojí třeba i z právního hlediska, nebo mu stačí, aby se do dat nedostal pubertální synek, který je ochotný maximálně 5 minut něco googlit. Jestli to chce používat na zařízeních, kde může instalovat software, nebo jestli to má fungovat i v internetové kavárně na Bali. Jestli tam bude ukládat pár klíčů, takže stačí i ta nejmenší flashka, nebo jestli tím chce stěhovat nemocniční IS s osobními údaji, rentgeny a naskenovanými lékařskými zprávami a bude potřebovat terabajtové úložiště.

220

Hardware / Re:Externy sifrovany disk

« kdy: 29. 01. 2023, 16:29:04 »

To není samodomo řešení, to je existující dobře prověřený a veřejně zkoumaný software (LUKS).

Nikoli, aby se to chovalo jako externí disk, potřebujete tam dost dalších věcí – zadávání hesla, zpřístupnění jako USB OTG. A v těch může být bezpečnostní problém.

A nebo můžete mít heslo dostatečně silné aby ani po fyzické extrakci nešlo vybruteforcovat. Nebo nejlépe samozřejmě kombinaci obojího. Zabránit extrakci je fakt složité (samozřejmě jak píšete záleží jestli na to půjde jenom manželka), třeba lidi kolem Satoshi Labs (Bitcoin Trezor) to dost řeší a píšou o tom. A ti jsou IMHO důvěryhodnější (open-source, zkoumají to nezávislí odborníci) než proprietární kryptografie od nějakého výrobce flashek.

Ovšem to pak znamená, že budete to heslo muset zadávat na počítači, ke kterému ten disk připojujete. A musíte tam mít vhodný software (ovladač disku). No a když už máte počítač, kam jste ochoten zadat heslo k datům a můžete tam mít zvolený software – proč pak nepoužít rovnou VeraCrypt? (Nebo jiné důvěryhodné softwarové šifrování.)

221

Hardware / Re:Externy sifrovany disk

« kdy: 29. 01. 2023, 15:55:59 »

Jde, například si může koupit „Raspberry Pi“ (jiný malinký počítač s Linuxem a podporou USB OTG), vytvořit na něm LUKS svazek a nasdílet ho přes USB OTG jako mass storage.

Jakékoli takovéhle samo-domo řešení na tom bude co do bezpečnosti stejně špatně, jako ty nejhorší komerční věci s ovladačem jen pro Win a bez FIPS certifikace.

Třeba něco takového: https://www.corsair.com/eu/en/Categories/Products/Storage/Portable-Storage/flash-padlock-3-config/p/CMFPLA3B-128GB

I pokud by to bylo implementováno správně (což nelze potvrdit, ale ani vyloučit), tak je problém v tom, že na malinké klávesnici umožňující jen čísla 0-9 (a polovinu z nich nepohodlně) budete těžko zadávat (a pamatovat si) heslo s dostatečnou entropií, a vestavěný HW nebude dost silný pro nějakou dobrou KDF. Takže budete spoléhat na nějaký TPM (v lepším případě; v horším tam bude obyčejný MCU) uvnitř, a že z toho nikdo nedokáže extrahovat data, proti kterým by mohl pin bruteforcovat na výkonném hardwaru.

Princip těchto zařízení spočívá v tom, že to po několikerém zadání špatného PINu klíč smaže. Samozřejmě je také potřeba, aby to bylo odolné proti tomu, že to někdo fyzicky rozebere a ke klíči se dostane jinudy.

Proto tenhle typ zařízení považuju pořád za bezpečenější, než když PIN/heslo zadáváte do SW ovladače – data na úložišti pak vůbec nemusí být šifrovaná a dostanete se k nim jenom softwarově, když obejdete ovladač.

Ale těžko radit, když nevíme, k čemu je to zabezpečení potřeba – jestli tam chce ukrývat výplatní pásky před manželkou, aby nevěděla, kolik doopravdy bere, nebo na to chce ukládat tajný armádní výzkum.

222

Hardware / Re:Externí šifrovaný disk

« kdy: 29. 01. 2023, 11:51:00 »

tie vase odpovede ako to nejde su sice fajn, ale mna zaujima odpoved na ako to ide...

Vy jste nenapsal, jaký problém máte, takže vám těžko někdo může poradit, jak ho vyřešit.

Napsal jste jenom vaši představu o řešení, přičemž ty představy se v různých komentářích navzájem popírají.

Pokud budete chtít skutečně bezpečné řešení, potřebujete něco s FIPS certifikací.

Před pár lety vyšel článek v HN: Test bezpečných flash disků: Slib ochrany dat naplní jen málokterá USB klíčenka.

223

Hardware / Re:Externy sifrovany disk

« kdy: 29. 01. 2023, 09:50:56 »

VeraCrypt je software, vy jste to napsal tak, jako že sháníte hardware. Běžně dostupné šifrované disky potřebují speciální ovladač, přes který zadáte heslo. Pokud byste to chtěl nezávislé na ovladačích, potřebujete disk, který má číselnou klávesnici pro zadání PINu přímo na sobě. Třeba něco takového: https://www.corsair.com/eu/en/Categories/Products/Storage/Portable-Storage/flash-padlock-3-config/p/CMFPLA3B-128GB

224

Software / Re:Doporučte multiplatformního správce hesel

« kdy: 26. 01. 2023, 20:24:08 »

Jestli si to pan Jirsák neplete s tečkou. Protože mujmail@gmail.com je stejny jako muj.mail@gmail nebo m.u.j.mail@gmail.com atd. Odzkoušeno pořád to funguje.

Nepletu. To je něco jiného – GMail v lokální části e-mailové adresy ignoruje tečku, pravděpodobně proto, aby nedocházelo k chybám, kdy někdo tečku vynechá a e-mail přijde někomu jinému.

To s plus je něco jiného, popisoval jsem to nahoře, a je to věc, která je o desítky let starší než GMail.

225

Software / Re:Doporučte multiplatformního správce hesel

« kdy: 26. 01. 2023, 19:15:51 »

v případě, že záznamy v DB mají URL, která se shoduje s navštívenou adresou, nabídnou se primárně vyhovující záznamy, t.j. není potřeba aktivně hledat

Účelem téhle funkce (obecně) není ani tak ulehčit práci uživateli, to je jen příjemný bonus. Důležité je hlavně to, že je to ochrana před phishingem. Uživatel snadno přehlédne, že je jedno písmenko v adrese jinak, nebo že adresa je banka-as.cz místo banka.cz apod. Většině uživatelů je úplně jedno, co je v URL, a heslo by tam zadali, i kdyby byla adresa jsem-zly-hacker-a-vyberu-ti-ucet.cz. Proto je důležité, aby správný záznam podle doménového jména hledal přímo správce hesel, protože ten na „vypadá to podobně“ nehraje.

Takže to, že to KeePassium umí, není jen příjemný bonus, je to klíčová funkce.