Šifrování SSD disku

petrik

Šifrování SSD disku
« kdy: 14. 07. 2016, 16:47:18 »
Zdravím,

po několika letech si chci kompletně reinstalovat počítač a udělat si ho alespoň trochu bezpečně.

Rád bych začal šifrováním systémovýho disku, protože když nemůžu věřit svýmu systému, tak je další ochrana asi mimo.
Na systém mám SSD disk, ale četl jsem, že šifrování je pro něj odsouzení k brzké smrti, protože vidí všechen prostor i s nulama jako zašifrovaný. Částečný řešení prý je, že se disk rozdělí na 2 části (např.200GB+50GB), kdy jedna zůstane nealokovaná a disk si to místo managuje sám a vadný bloky pošle na to nealokovaný místo.

Jelikož ale diskům prakticky nerozumím, směřuju svůj dotaz sem :) Dává to smysl? Je to vůbec pravda? Na šifrování bych asi šel do VeraCryptu, protože na doma mám Win7 Home (tam bitlocker není) a vyšší verze už mám jen upirátěný.

Díky


tomasfuk

Re:Šifrování SSD disku
« Odpověď #1 kdy: 14. 07. 2016, 17:22:20 »
By ses měl rozhodnout, před kým/čím se chceš vlastně chránit.


source

Re:Šifrování SSD disku
« Odpověď #2 kdy: 14. 07. 2016, 17:49:58 »
VeraCrypt má mód pro SSD, který nechá prázdné místo prázdným. Oslabuje to šifrování, respektive je vidět, jak moc je disk zaplněn a kde. Ale pro tvé účely si myslím není problém. Se silným heslem stále těžko prolomitelné. Vzhledem k životnosti a pokroku v oblasti SSD bych to stejně vůbec neřešil...

Re:Šifrování SSD disku
« Odpověď #3 kdy: 14. 07. 2016, 18:12:19 »
Začněte šifrováním dat a na šifrování systému se vykašlete. Když někdo získá váš počítač, budou ho zajímat vaše data, systém nepotřebuje, ten získá kdekoli jinde. "Nemůžu věřit svýmu systému" znamená, že byste nemohl věřit tomu, že váš systém nedělá něco nekalého, třeba neobchází šifrování nebo si bokem neukládá rozšifrovaná data. Jenže aby něco takového ten systém dělal, musel by takovou funkci mít už "z výroby", nebo by ho musel někdo napadnout. Ani proti jednomu vás šifrování systému nijak neochrání.

j

Re:Šifrování SSD disku
« Odpověď #4 kdy: 14. 07. 2016, 18:16:07 »
Ignoruj jirsaka, system je dira jak do rite a snadno se z nej da zjistit znacna cast obsahu dat ... neres ssd, bud umre hned, nebo ho vyhodis daleko driv proto, ze uz bude maly.


Re:Šifrování SSD disku
« Odpověď #5 kdy: 14. 07. 2016, 18:37:55 »
SSD uz mas? Ja jen, ze stale existuji SSD ktery jsou sifrovanym interne pres SATA pass...
Děkuji za možnost editace příspěvku.

j

Re:Šifrování SSD disku
« Odpověď #6 kdy: 14. 07. 2016, 18:48:27 »
SSD uz mas? Ja jen, ze stale existuji SSD ktery jsou sifrovanym interne pres SATA pass...
A vyrobce je kdykoli rozsifruje. Neco jako sifrovani disku v lenovu ...

Sten

Re:Šifrování SSD disku
« Odpověď #7 kdy: 14. 07. 2016, 20:14:53 »
Rád bych začal šifrováním systémovýho disku, protože když nemůžu věřit svýmu systému, tak je další ochrana asi mimo.

Šifrování systému důvěru v systém nepřinese. Šifrování slouží pro případ, kdy útočník získá obraz (disk) a chce jej vytěžit. Pokud může zasáhnout do HW, který potom spustíte, šifrování vám nepomůže, protože jednoduše může zavádění (či samotný hardware) upravit tak, že odposlechne šifrovací klíč při jeho zadávání.

Na systém mám SSD disk, ale četl jsem, že šifrování je pro něj odsouzení k brzké smrti, protože vidí všechen prostor i s nulama jako zašifrovaný. Částečný řešení prý je, že se disk rozdělí na 2 části (např.200GB+50GB), kdy jedna zůstane nealokovaná a disk si to místo managuje sám a vadný bloky pošle na to nealokovaný místo.

To záleží na nastavení. U dm_crypt lze povolit TRIM, takže disk má pak stejnou životnost, jako bez šifrování, ale ví, které části obsahují data a které ne. Omezuje to plausible deniability, což snižuje bezpečnost za určitých situacích (prakticky ale v takových situacích nejspíš stejně nastoupí kryptoanalýza francouzákem), protože je možné získat nějaká metadata o systému (např. odhadnout, kolik tam máte dat, u některých souborových systémů i trochu historie používání*), ale prolomení šifry (a získání samotných dat) to nijak nezjednodušuje, tudíž hlavní účel šifrování to splňuje.

* btrfs by mělo být v tomhle bezpečné, protože zápisy rozhazuje dost nahodile. U ext* je to horší.

Začněte šifrováním dat a na šifrování systému se vykašlete. Když někdo získá váš počítač, budou ho zajímat vaše data, systém nepotřebuje, ten získá kdekoli jinde. "Nemůžu věřit svýmu systému" znamená, že byste nemohl věřit tomu, že váš systém nedělá něco nekalého, třeba neobchází šifrování nebo si bokem neukládá rozšifrovaná data. Jenže aby něco takového ten systém dělal, musel by takovou funkci mít už "z výroby", nebo by ho musel někdo napadnout. Ani proti jednomu vás šifrování systému nijak neochrání.

To se hezky řekne, ale mnohem hůř udělá. Systém běžně odkládá data bokem, protože to zlepšuje jeho výkonnost, např. do /tmp, /var/tmp či /var/spool, a pak se ještě mohou části dat objevit ve /var/log. A než řešit, kam se data dostat mohou a kam ne, je o hodně jednodušší (a bezpečnější) to prostě zašifrovat celé.

JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:Šifrování SSD disku
« Odpověď #8 kdy: 14. 07. 2016, 20:23:59 »
Pokud může zasáhnout do HW, který potom spustíte, šifrování vám nepomůže, protože jednoduše může zavádění (či samotný hardware) upravit tak, že odposlechne šifrovací klíč při jeho zadávání.

Tak to jo, ale zase na druhou stranu ne kazdy utocnik je NSA, ze jo. Oproti tomu pridani keylogeru do nesifrovaneho systemu, kdyz se zrovna nekoukate, neni tak tezke.

Re:Šifrování SSD disku
« Odpověď #9 kdy: 14. 07. 2016, 20:55:17 »
To se hezky řekne, ale mnohem hůř udělá. Systém běžně odkládá data bokem, protože to zlepšuje jeho výkonnost, např. do /tmp, /var/tmp či /var/spool, a pak se ještě mohou části dat objevit ve /var/log. A než řešit, kam se data dostat mohou a kam ne, je o hodně jednodušší (a bezpečnější) to prostě zašifrovat celé.
Ano. Ale šifrování systému nemusí být tak jednoduché, jako šifrování samotných uživatelských dat. Pokud chce něčím začít a nechce hned řešit to nejsložitější, je lepší šifrovat alespoň uživatelská data. Ostatně, když se takhle ptá, stejně to nebude mít bůhvíjak zabezpečené, takže jde hlavně o to, aby se případný zloděj, který mu ukradne notebook, nedostal ke všem jeho osobním datům. Logy takový zloděj určitě procházet nebude. Navíc psal o Windows, a ty mají adresář pro dočasné soubory v domovské složce uživatele (samozřejmě pokud se nějaká aplikace nerozhodne, že to stejně bude cpát do C:\Temp).

Tedy šifrovat vše je samozřejmě lepší, než šifrovat jen uživatelská data, ale šifrovat jen systém a uživatelská data ne je nesmysl.

Re:Šifrování SSD disku
« Odpověď #10 kdy: 14. 07. 2016, 21:05:14 »
SSD uz mas? Ja jen, ze stale existuji SSD ktery jsou sifrovanym interne pres SATA pass...
A vyrobce je kdykoli rozsifruje. Neco jako sifrovani disku v lenovu...
Mym "souperem" v tomto neni vyrobce ani NSA ani dalsi podobne agentury. Sifruju to kvuli typkovi ve frcu kterymu to prijde pod ruky.

Krom toho francouzak uz tady byl zmineny.
Děkuji za možnost editace příspěvku.

petrik

Re:Šifrování SSD disku
« Odpověď #11 kdy: 14. 07. 2016, 21:31:08 »
Díky zatím všem za odpovědi :)

VeraCrypt má mód pro SSD, který nechá prázdné místo prázdným. Oslabuje to šifrování, respektive je vidět, jak moc je disk zaplněn a kde. Ale pro tvé účely si myslím není problém. Se silným heslem stále těžko prolomitelné. Vzhledem k životnosti a pokroku v oblasti SSD bych to stejně vůbec neřešil...

Určitě se na to podívám, díky. To by mi asi mohlo "stačit"

Začněte šifrováním dat a na šifrování systému se vykašlete......

Samotná data samozřejmě taky hodlám šifrovat. Pro ně ale už nemám SSD disk. Tady mi šlo hlavně o to ověření životnosti SSD disku při šifrování

Ignoruj jirsaka, system je dira jak do rite a snadno se z nej da zjistit znacna cast obsahu dat ... neres ssd, bud umre hned, nebo ho vyhodis daleko driv proto, ze uz bude maly.

Taky přístup :) Je pravda, že disk už pomalu začíná být malý, ale stejně bych ho nechtěl předčasně odrovnat

SSD uz mas? Ja jen, ze stale existuji SSD ktery jsou sifrovanym interne pres SATA pass...

Disk už mám, trochu o něm pogooglím



Re:Šifrování SSD disku
« Odpověď #12 kdy: 14. 07. 2016, 21:41:53 »
Disk už mám, trochu o něm pogooglím
napis nam jakej a budem vedet. idealne pridej i typ a kod notebooku
Děkuji za možnost editace příspěvku.

petrik

Re:Šifrování SSD disku
« Odpověď #13 kdy: 14. 07. 2016, 22:04:13 »
napis nam jakej a budem vedet. idealne pridej i typ a kod notebooku

Musím přiznat, že je to už stařeček, ale před těmi 4ma lety moc na výběr nebylo :D

Jde o Kingston HyperX 240GB, 2,5", SATAIII, SH103S3/240G

Sten

Re:Šifrování SSD disku
« Odpověď #14 kdy: 14. 07. 2016, 22:25:22 »
Tak to jo, ale zase na druhou stranu ne kazdy utocnik je NSA, ze jo. Oproti tomu pridani keylogeru do nesifrovaneho systemu, kdyz se zrovna nekoukate, neni tak tezke.

Přidání keyloggeru na USB kabel, když se zrovna nedíváte, je ještě jednodušší ;)