Kompletně zašifrovaný vnitřní mirror

Josef

Re:Kompletne zasifrovany vnitrni mirror
« Odpověď #30 kdy: 14. 07. 2015, 18:46:14 »
Nelze držet klíč jen v registrech/cachi procesoru?

Teoreticky, praktická a ověřená implementace ale AFAIK zatím není. Spíš se to řeší pomocí TPM (OP ale uváděl, že jej nemá).


Jak tohle funguje s šifrovaným filesystémem/blokovým zařízením není náhodou pak ten klíč také v paměti? Přece přes ten TPM nehoním stovky MB/s z/na disk ne? Nebo musím spoléhat na HW šifrování disku?


Re:Kompletne zasifrovany vnitrni mirror
« Odpověď #31 kdy: 14. 07. 2015, 18:51:20 »
Jak tohle funguje s šifrovaným filesystémem/blokovým zařízením není náhodou pak ten klíč také v paměti? Přece přes ten TPM nehoním stovky MB/s z/na disk ne? Nebo musím spoléhat na HW šifrování disku?
U TPM stačí klíč zašifrovat správným stavem systému. Pokud najede kompromitovaný systém, klíč nerozšifruje.

Josef

Re:Kompletne zasifrovany vnitrni mirror
« Odpověď #32 kdy: 14. 07. 2015, 19:26:31 »
Jak tohle funguje s šifrovaným filesystémem/blokovým zařízením není náhodou pak ten klíč také v paměti? Přece přes ten TPM nehoním stovky MB/s z/na disk ne? Nebo musím spoléhat na HW šifrování disku?
U TPM stačí klíč zašifrovat správným stavem systému. Pokud najede kompromitovaný systém, klíč nerozšifruje.

To chápu. Mě zajímá, ale použití TPM při cold boot útoku nebo při dumpu paměti skrz DMA.

Re:Kompletne zasifrovany vnitrni mirror
« Odpověď #33 kdy: 14. 07. 2015, 19:33:28 »
To chápu. Mě zajímá, ale použití TPM při cold boot útoku nebo při dumpu paměti skrz DMA.
Proti tomu TPM nijak nepomůže, není na to designovaný. http://superuser.com/questions/566114/full-disk-encryption-with-tpm-not-subject-to-cold-boot-attack