Zobrazit příspěvky

Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.


Příspěvky - Radek Zajíc

Stran: 1 ... 31 32 [33] 34
481
Distribuce / Re:Linux/Debian Kaby Lake
« kdy: 17. 01. 2017, 12:32:25 »
Pořídil jsem včera Kaby Lake (i7-7700T) a po výměně CPU zatím (nejspíš) všehchno běží.
Kernel si zahlásil, že mu chybí firmware pro grafiku i s odkazem, odkud jej stáhnout a se slovy, že disabluje runtime power management grafiky (URL pro firmware je https://01.org/linuxgraphics/intel-linux-graphics-firmwares).
Virtuály přes KVM/QEMU běží bez problémů. Aplikace aplikují.

Kernel 4.8.0. Sice provozuju Ubuntu, ale to by snad tolik původního autora otázky nemuselo trápit. :-)
Osobně asi pro Kaby Lake můžu "co-nejnovější-kernel" jen doporučit. (Večer plánuju upgrade na 4.9.)

482
Windows a jiné systémy / Re:Android a IPv6
« kdy: 11. 01. 2017, 19:57:11 »
Jeste je tu moznost, ze tazatel ma pripojeni od O2 bez verejne adresy a na tehle siti Arduino. Ted se chce pripojovat na to Arduino (zvenku pres mobilni sit? Protoze domaci sit i v pripade NATovane pripojky stale je k dispozici) z Androidu a zajima ho, jak na to.
Kazdopadne potrebujeme vic informaci.

483
Sítě / Re:Levné SIM karty pro IoT
« kdy: 03. 01. 2017, 12:56:38 »
Nulový tarif na míru od VF není úplně ideálním řešením, protože:
1. se těžko získává (není oficiálně v nabídce)
2. oficiálně neumožňuje účtování po kB (jde k němu aktivovat Připojení na den, Na týden a Flexidata, příp. balíčky 500+ MB; nic z toho není vhodné pro přenos do 10 MB měsíčně); neoficiálně by možná účtování po kB aktivovat šlo (zkuste otravovat VF infolinku)
3. účtování po kB už ani není v ceníku, takže těžko říct, kolik si účtují dneska, ale kdysi dávno stával kilobyte tuším 0,06 Kč. To je 614,4 Kč za 10 MB.

Docela drahá sranda.

484
Software / Re:TrustedGrub, TPM a autoodemykání LUKS volume
« kdy: 23. 12. 2016, 18:04:37 »
Cold boot nebo zneuziti DMA pomoci firewire a pod. jsou utoky, proti kterym pomuze jen uplne jina uroven zabezpeceni.

485
Software / Re:TrustedGrub, TPM a autoodemykání LUKS volume
« kdy: 23. 12. 2016, 08:06:12 »
S tim sniffovanim je to hodne teoreticky utok. Praktickou realizaci se mi najit nepodarilo, takze bud to nikdo neumi, nebo je to tak slozity, ze to nikdo nedela. (Tady muzou byt tezsi a lehci realizace v zavislosti na tom, kde je TPM - krome samostatnyho odpojitelnyho modulu, mezi kterej a desku muzes zapojit relativne univerzalni odposlouchavaci elektroniku, muze byt tekzy az nerealizovatelny delat odposlech u TPM napajenyho na desce, a pak prakticky nemozny u firmwareTPM, ktery jsou soucasti Intel TXT a TPM je tudiz v procesoru.)
Neco malo materialu k utokum, ovsem bez dukazu, ze z toho nekomu tecou data v podobe, ktera by byla citelna:
https://online.tugraz.at/tug_online/voe_main2.getvolltext?pCurrPk=59565
https://securingtomorrow.mcafee.com/business/security-connected/tpm-undressed/

486
Software / Re:TrustedGrub, TPM a autoodemykání LUKS volume
« kdy: 23. 12. 2016, 00:27:57 »
Stejne jako u Windows je i tohle reseni jen omezene bezpecne. :-) Microsofti k tomu maji pekny diagram na https://technet.microsoft.com/en-us/library/ee706531(v=ws.10).aspx.

Zjednodusene:
1) je to samozrejme nachylne na cold boot attack a tam, kde jsou dost citliva data, je tohle pouziti samozrejme nedostacujici. Paranoici necht zustanou u rucniho zadavani hesla a duvere v to, ze jim dabelska pokojska nepodvrhla initrd.
2) Dal se da TPM teoreticky odposlechnout (je pripojen pres LPC https://en.m.wikipedia.org/wiki/Low_Pin_Count). To se dela hur tam, kde je TPM primo na desce, ale jinak data poputuji po sbernici v cleartextu.
3) Je treba pohlidat, aby pouzivany initrd neskoncil NIKDY v shellu. Proc? No, pokud napr. prepisu LUKS header docasne nulami, selze odemykani. V takovem pripade by me system hodil do shellu, ve kterem si muzu data z tpm vycist. Debiani initramdisky v pripade, ze je kernelu pridan parametr panic=X, rovnou rebootuji a heslo k disku tak neni ohrozeno.
4) V bezicim systemu je treba provest alespon zakladni zabezpeceni (bezny uzivatel nesmi mit moznost cist data z NVRAM TPM; do systemu se nesmi prihlasit guest; a pod.)
5) Sitove sluzby toho taky muzou dost prozradit a dost dat vydat. Nabizi se moznost provest lockdown v okamziku, kdy bude system nabootovan na miste, ktere nebudu znat.

487
Hardware / Re:Je TPM bezpečné? Jak ho bezpečně používat?
« kdy: 23. 12. 2016, 00:10:31 »
Windows si klic z TPM netahaji. Bitlocker funguje v principu takhle:
Disk je zasifrovan klicem pro full disk encryption. Tenhle klic je ulozen na disku a je zasifrovan tzv. Master klicem. Pristup k Master klici hlidaji protectors (jimi je pristup k master klici sifrovan): temi muze byt ciselne heslo (recovery key), usb flashka, tpm+pin, tpm, pripadne tpm+pin+flashka.
Kdyz se pouziva tpm, pozadaji windows o zasifrovani "tpm protectoru" pri "definovanem stavu systemu" tpmkem.
Odemykani pak funguje tak, ze tpm desifruje tento protector key jen tehdy, je-li system opet v predem definovanem stavu. Stav meni i vyber jine polozky z menu bootmanageru. Pokud system neni v definovanem stavu, tom nedesifruje korektne protector key a windows si vyzadaji recovery key od uzivatele, kterym pak odemknou master key a ten odemkne full volume encryption key.

V Linuxu existuje par pokusu o rozchozeni jednodussi varianty desifrovani, ktera se bude chovat podobne jako Bitlocker (tedy za definovaneho stavu odemkne disk). Vetsina z nich je vsak bohuzel uzivatelsky neprivetiva (kompilace) nebo nefunkcni (neaktualni software, nutnost prepsani). Kombinaci TPM+PIN jsem na Linuxu jeste nevidel, podobne TPM+PIN+UsbKey.

Taky mi ale neni uplne jasne, jakou predstavu o cilovem stavu ma puvodni pisatel.

488
Software / Re:TrustedGrub, TPM a autoodemykání LUKS volume
« kdy: 22. 12. 2016, 23:32:27 »
Tak tu mame prvni balicky dostupny pres PPA. Zatim pro Ubuntu 16.10 a 17.04.
Grub2 (i pro UEFI) s podporou TPM a sada skriptu a nastroju pro automatizaci nasazeni jsou na https://launchpad.net/~radek-zajic/+archive/ubuntu/measuredluks

Zatim bez dokumentace. :-)

489
Bazar / Re:Prodám DELL Optiplex 980
« kdy: 12. 12. 2016, 21:32:28 »
Nabizim 1000 Kc.

490
Software / Re:TrustedGrub, TPM a autoodemykání LUKS volume
« kdy: 29. 11. 2016, 23:24:54 »
Kdyby tam žádné šifrování nebylo, tak kdokoli nabootuje livecd (po vymazání hesla v BIOSu resetem CMOS) a k datům se dostane.
Kdyby byl klíč k LUKSu uložen na připojené flashce, tak jej dokáže kdokoli se schopností "číst v initramdisku" zkopírovat, disk si odemknout a k datům se dostat. Podobně (hůř) kdyby byl klíč přímo v initramdisku.

Rozdíl je v tom, že z TPM dostanete data jen tehdy, když bude systém v předem definovaném stavu. A to platí pro BIOS, kompletní zavaděč, linuxové jádro, initramdisk a cmdline.

Změna jakéhokoli byte v kterékoli fázi bootu způsobí odchylku od definovaného stavu a TPM klíč k odšifrování disku nevydá.

Oddíl s LUKSem má víc keyslotů a v jednom z nich je i dlouhé a složité heslo pro recovery, pokud by došlo k poškození TPM nebo rozbití "definovaného stavu systému".

491
Software / Re:TrustedGrub, TPM a autoodemykání LUKS volume
« kdy: 29. 11. 2016, 22:20:30 »
Cilem je full disk encryption na masine, ke ktere potencialne muze mit pristup dost lidi vcetne uklizecek (stroj pobezi v praci) a automaticke odemykani disku, aniz by klic mohl kdokoli vzit a disk si odemknout.
Roli samozrejme hraje i pohodli (automaticke odemceni disku bez nutnosti zadavani dlouheho hesla).

Pokud se k datum v pocitaci nekdo pokusi pristoupit, musel by zajistit pritomnost spravneho bootloaderu (hashe MBR a celeho grubu musi sedet), kernelu, initrd (hashe museji sedet) a kernelove cmdline (opet musi sedet hash).

Uplne jinou kapitolou je nastaveni systemu tak, aby se k datum v PC nikdo nedostal pomoci klavesnice, monitoru a dalsich periferii, pripadne po siti, v okamziku, kdy je uspesne nabootovano. :-)

492
Software / Re:TrustedGrub, TPM a autoodemykání LUKS volume
« kdy: 29. 11. 2016, 00:15:47 »
OK, takze to funguje a docela dobre.
TrustedGrub2 po opatchovani poslusne plni PCR registry sha1 hashem cmdline, vmlinuz a initrd
Luks-tpm po opatchovani funguje dobre s trousers, umi si brat hesla (TPM owner a TPM NVRAM) ze souboru s hesly
Dalsi skripty vycitaji hodnoty z TPM pri bootu a pokud narazi na takovou ulozenou hodnotu, ktera je overena v aktualnim PCR prostredi, tak ji pouzijou pro luksOpen

Jeste mi chybi doplnit do tpm-luks podporu pro checksum trustedgrub2, ale i bez tehle kontroly se pouzity pristup ukazuje jako funkcni...

Co s tim ovsem pak? Udelat fork vsech patricnych nastroju na githubu, udelat patche oproti aktualnim verzim, nebo z toho udelat *.deb baliky, ktere pujdou nejak rozumne nainstalovat?

Napsat clanek na root?

493
Software / Re:TrustedGrub, TPM a autoodemykání LUKS volume
« kdy: 28. 11. 2016, 14:01:25 »
:-)
Zatim jsem musel ohackovat trustedgrub2, aby mi do pcr-15 ukladal hash cmdline a do pcr-14 hash z vmlinuz+initrd, cimz simuluju chovani trustedgrub-legacy. Zvazuju poslat to jako pull request do repozitare trustedgrub2, imho by se to mohlo hodit i jinym.
Ted me ceka hackovani luks-tpm pro podporu trustedgrub2, protoze existujici verze je usita na miru trustedgrub-legacy a fedore/centosu.
Protoze to zkousim na Ubuntu, budu muset upravit/predelat i premount skripty cryptrootu.

Trosku me prekvapilo, jak spatne na tom je v oblasti measured bootu a FDE Linux oproti Windows a jejich Bitlockeru.

494
Software / TrustedGrub, TPM a autoodemykání LUKS volume
« kdy: 28. 11. 2016, 00:14:19 »
Ahoj,
Pouzivate nekdo nejaky loader (TrustedGrub nebo nejakou alternativu), ktery nabizi "measured boot", tedy udelat snimek sama sebe, snimek kernelu a initramdisku, snimek parametru kernelu, a to vse ulozit do TPM?
Rad bych zprovoznil automaticke odemykani LUKS rootfs pri bootu s vyuzitim measured bootu a TPM, coz by mohlo jit pomoci luks-tpm, ale problem je v rozumnem naplneni TPM registru (PCR) bootloaderem.

TrustedGrub (fork grub-legacy) by sice mel delat presne to, co potrebuji, ale nejde zkompilovat (resp. po heavy patchovani jde, ale produkuje >100 MB stage1 a stage2 soubory, coz na disk nejde nainstalovat :-))

TrustedGrub2 jde zkompilovat, nainstalovat a dokonce i nabootuje, ale staci jakakoli udalost v grub menu (stisk libovolne klavesy) a uz jsou hodnoty v PCR jine, nez kdyz grub menu vytimeoutuje a spusti prvni menuitem. To brani predpocitani hodnot PCR z beziciho systemu (nikdo nevi, kdo kolikrat zmackne klavesu...) a tim padem znemoznuje skutecne fungujici a nerozbijejici se boot.

Masina, kde to zkousim, nema EFI, takze jsem se ani nezabyval tim, jestli by pro muj ucel sel znasilnit secure boot.

Za jakoukoli ideu budu rad.

Diky.

495
Server / Re:OpenWRT jako klient OpenVPN
« kdy: 09. 08. 2016, 11:32:50 »
DHCP server by na OpenWRT pro rozhrani br-VPN_CLIENT mel byt vypnuty (DHCP klient muze byt zapnuty, ale staticky pridelena adresa muze byt praktictejsi).

My mame konfiguraci tap+wifi(+bridge s eth VLAN rozhranim) funkcni. Je to proste:
V LuCI v nastaveni br-VPN_CLIENT bych overil:
V General Setup
"No DHCP Server configured for this interface"

V Physical Settings
Bridge Interfaces - zaškrtnuto (zřejmě je, podle obrázku)
Interface - Wireless Network XXX - zaškrtnuto

Výpis bridgů (je vidět bridge wlan0 a tap interface):
root@OpenWrt:~# brctl show
bridge name     bridge id               STP enabled     interfaces
br-Phones_Test  7fff.d4ca6d06e8dc       no              wlan0
                                                        tap_Test

Výpis up-skriptu pro tunel:
root@OpenWrt:~# cat /etc/openvpn/test.up.sh
#!/bin/sh

ip link set tap_Test up
brctl addif br-Phones_Test tap_Test

Použitý konfigurák (až na up-skript tam není nic speciálního):
root@OpenWrt:~# cat /etc/openvpn/<vpn>.conf
client
dev tap_Test
proto udp
remote <hostname> <port> udp
resolv-retry infinite
nobind
persist-key
persist-tun
comp-lzo
ns-cert-type server
ca <ca.crt>
cert <klient.crt>
key <klient.key>
script-security 2
up /etc/openvpn/test.up.sh

Přidejte nám sem výpis
brctl show
ip a s br-VPN_client

Všechno to samozřejmě předpokládá, že wifi je správně nastavená. :-)
Možná by stálo za to, rozdělit eth porty do dvou VLAN/skupin (v LuCI v menu Network-Switch) a část portů přiřadit do br-VPN_client. Pak by bylo možné zkoušet DHCP klienta připojeného pomocí ethernetu.

Stran: 1 ... 31 32 [33] 34