Paranoidní šifrování disku

Paranoidní šifrování disku
« kdy: 23. 11. 2016, 06:48:40 »
Zdravím Vás :-)

před nedávnem jsem začal být trošku více paranoidní a tak se snažím vše maximálně zabezpečit, přistupy do netu, proxy atd.

Nyní mám na TODO listu kompletně šifrovat disk svého notebooku ... :-)

Pročítám různé články atd, ale jak se v tom déle vrtám, tím méně o tom vím.

Rád bych se proto zeptal, které šifrování je podle vás nejbezpečnější (kompletně celý HDD) a proč právě toto řešení?

Děkuji
« Poslední změna: 23. 11. 2016, 21:09:34 od Petr Krčmář »
Když chceš, dokážeš vše!


noef

  • *****
  • 897
    • Zobrazit profil
    • E-mail
Re:Paranoidní šifrování
« Odpověď #1 kdy: 23. 11. 2016, 07:41:27 »
Pro Widle pouzivam VeraCrypt, ktery si myslim je celkem dobry. Ma opravene nedostatky, ktere odhalil profi audit u TrueCryptu. Te M$ veci bych neveril, pravdepodobne ma zadni vratka.

Pod Tuxem pouzivam luks (klasicke Ubunti auto-nastaveni, vypadalo rozumne - aes 512 v xts). Ale netusim, jestli to proslo nekdy nejakym auditem.

U obou reseni je mozne podstrcit jiny zavadec/boot partisnu a zaznamenat tak heslo (tomu se nevyhnete ani u full-disk enc, neco to proste musi rozsifrovavat za behu). VeraCrypt tusim neco proti tomuto typu utoku ma (nebo planoval), Tux netusim. Nejbezpecnejsi na me zatim pusobi nosit si zavadec/boot oddil s sebou na usb flash disku a pripadne si napsat i nejake automaticke kontrolovani jeji integrity. Pokud jdete jeste dal, tak by se musela resit i nejaka ochrana proti zmrazeni pameti; tusim nejaky bezp. soft si klice nechaval primo v CPU (myslim nejake hacky, ale nektere CPU to i primo podporovaly). Urcite toho bude jeste kupa, co vsechno by se muselo resit. Je jen otazka, jak moc paranoidni jste :).

muzeum

Re:Paranoidní šifrování
« Odpověď #2 kdy: 23. 11. 2016, 07:50:32 »
Silná šifra žere hodně výkon procesoru potažmo baterku u notebooku. Nejlepší máš zvolit kompromis. Uplně stačí data zašifrovat tak, aby se ti v nich nehrabala každá opice když notebook ztratíš nebo ti ho ukradou. Hodně záleží co používáš za systém. Tím se ti volby docela zůží většinou na maximálně 2-3 možnosti. Osobně mám nejradši truectypt protože umí při bootu skrýt výzvu na heslo, nebo si tam můžeš vymyslet libovolnou hlášku takže náhodný zloděj ani nezjistí že je to zašifrovaný.
https://en.wikipedia.org/wiki/Disk_encryption_theory

noef

  • *****
  • 897
    • Zobrazit profil
    • E-mail
Re:Paranoidní šifrování
« Odpověď #3 kdy: 23. 11. 2016, 08:00:56 »
Nove procesory podporuji akceleraci treba AESu. Nevim, jak je to se spotrebou, ale tipoval bych, ze to bude zrat mene, nez neakcelerovana verze, kdyz to procesor take mene zatezuje.

Ale zase je to o urovni paranoe - pokud je vyssi, pak treba VeraCrypt umoznuje kaskadove sifrovani - vice sifer za sebou.

yxz

Re:Paranoidní šifrování
« Odpověď #4 kdy: 23. 11. 2016, 08:29:50 »
A co nějaký ransomware?? Ten šifruje celkem spolehlivě ;D ;D ;D


Re:Paranoidní šifrování
« Odpověď #5 kdy: 23. 11. 2016, 09:30:01 »
Děkuji za odpovědi,

trochu uprěsnění :-)

Distribuce - Linux Mint 18 (posledni dobou si ale pohrávám že vyzkouším Arch, láká mě i Gentoo, ale kvůli náročnosti bych zatím asi zakotvil u Archu)
Ntb - Lenovo T420 - i7 (4 jadro) + nvidia + 16GB RAM

Jde mi o větší šifrování než pro běžného zlodějíčka, notebook mě živí, projekty co na něm vyvíjím také, a není přípůstné aby veškerá data, ktará na HDD jsou, někdo zkušenější rozlouskl ...

Děkuji :-)
Když chceš, dokážeš vše!

Re:Paranoidní šifrování
« Odpověď #6 kdy: 23. 11. 2016, 09:37:15 »
Děkuji za odpovědi,

trochu uprěsnění :-)

Distribuce - Linux Mint 18 (posledni dobou si ale pohrávám že vyzkouším Arch, láká mě i Gentoo, ale kvůli náročnosti bych zatím asi zakotvil u Archu)
Ntb - Lenovo T420 - i7 (4 jadro) + nvidia + 16GB RAM

Jde mi o větší šifrování než pro běžného zlodějíčka, notebook mě živí, projekty co na něm vyvíjím také, a není přípůstné aby veškerá data, ktará na HDD jsou, někdo zkušenější rozlouskl ...

Děkuji :-)

T420 AFAIK nikdy ctyrjadra nedostavala.

Kazdoapdne to moc neres, "nekdo zkusenejsi" ti nelouskne ani defaultne nastaveny LUKS, pokud pouzijes rozumne heslo. Porad tu zbyva misto trebas pro zlou pokojskou, ale tam muzes omezit riziko pouzitim navic FDE na disku (zkontroluj si, zda tva kombinace disku a konkratniho notebooku to podporuje).

Re:Paranoidní šifrování
« Odpověď #7 kdy: 23. 11. 2016, 10:48:44 »
Jelikož jak jsem zjistil, stejně budu muset přeinstalovat systém kvůli LUKSu, přemýšlím, že zrovna nasadím Arch Linux ...

Máte někdo zkušenosti Arch + LUKS (rád bych LVM) a celkově základní instalaci?

Doteď jsem používal jen "klikací" Mint a rád bych to posunul krapet dál ...

Děkuji
Když chceš, dokážeš vše!

Re:Paranoidní šifrování
« Odpověď #8 kdy: 23. 11. 2016, 11:13:01 »
Jelikož jak jsem zjistil, stejně budu muset přeinstalovat systém kvůli LUKSu, přemýšlím, že zrovna nasadím Arch Linux ...

Máte někdo zkušenosti Arch + LUKS (rád bych LVM) a celkově základní instalaci?

Doteď jsem používal jen "klikací" Mint a rád bych to posunul krapet dál ...

Děkuji

Arch s LUKSem (bez LVM) byl naprosto bezproblemova instalace podle Arch wiki. Navod na LUKS s LVM tam, pokud se nepletu, byl taky, takze s chuti do toho.

Trochu problematicke muze byt jenom nastavovani hibernace, ja se na to vykaslal.

muzeum

Re:Paranoidní šifrování
« Odpověď #9 kdy: 23. 11. 2016, 11:16:59 »
Jelikož jak jsem zjistil, stejně budu muset přeinstalovat systém
Když už se chceš posunout někam dál a jsi trochu paranoidni proč nezkusit zrovna OpenBSD?
šifrování disku je tam řešený softraidem
http://www.openbsd.org/faq/faq14.html#softraidFDE
a toho klikání si tam taky moc neužiješ (aspoň zezačátku). V portech máš programů habakuk. Dokumentace luxusní. Jediný problém který mě teď napadá by mohla být Nvidia nebo nějaký speciální software.

Re:Paranoidní šifrování
« Odpověď #10 kdy: 23. 11. 2016, 11:34:11 »
Jelikož jak jsem zjistil, stejně budu muset přeinstalovat systém
Když už se chceš posunout někam dál a jsi trochu paranoidni proč nezkusit zrovna OpenBSD?
šifrování disku je tam řešený softraidem
http://www.openbsd.org/faq/faq14.html#softraidFDE
a toho klikání si tam taky moc neužiješ (aspoň zezačátku). V portech máš programů habakuk. Dokumentace luxusní. Jediný problém který mě teď napadá by mohla být Nvidia nebo nějaký speciální software.

FreeBSD není moje cílovka ... Ten systém se mě nijak nedotkl a rád bych zůstal u Linuxu, proto přemýšlím pouze nad Arch či Gentoo, ale vítezí zatím Arch, přijde mě na začátek daleko jednodušší než Gentoo

Jelikož jak jsem zjistil, stejně budu muset přeinstalovat systém kvůli LUKSu, přemýšlím, že zrovna nasadím Arch Linux ...

Máte někdo zkušenosti Arch + LUKS (rád bych LVM) a celkově základní instalaci?

Doteď jsem používal jen "klikací" Mint a rád bych to posunul krapet dál ...

Děkuji

Arch s LUKSem (bez LVM) byl naprosto bezproblemova instalace podle Arch wiki. Navod na LUKS s LVM tam, pokud se nepletu, byl taky, takze s chuti do toho.

Trochu problematicke muze byt jenom nastavovani hibernace, ja se na to vykaslal.

Zkusím pohledat přímo na Archwiki, jen mě napadá, není někde nějaký zádrhel, nenapadá Vás něco? NVIDIA, 3G modem, fingerprint, etc? Kromě té hybernace, to by mě asi až tolik nevadilo ..

Děkuji
Když chceš, dokážeš vše!

Re:Paranoidní šifrování
« Odpověď #11 kdy: 23. 11. 2016, 11:43:00 »

Zkusím pohledat přímo na Archwiki, jen mě napadá, není někde nějaký zádrhel, nenapadá Vás něco? NVIDIA, 3G modem, fingerprint, etc? Kromě té hybernace, to by mě asi až tolik nevadilo ..

Na zadnou past jsem nenarazil (ale 3G modem nemam a fingerprint scanner mi nestalo za to resit). Stacilo procist navod a pak podle nej jet a odskrtavat si...

Re:Paranoidní šifrování
« Odpověď #12 kdy: 23. 11. 2016, 11:57:52 »
Ještě mě napadlo, když čtu specifikaci nového SSD (přemýšlím nad koupí) zda není tohle taky možnost jak šifrování ulehčit?
https://www.alza.cz/samsung-850-evo?dq=2288264

Ze specifikace:
Chraňte hardware a citlivé osobní údaje, když budete mít notebook na cestách. Proto obsahuje 256bitové AES šifrování na hardwarové bázi. Plně zabezpečí obsah disku bez snížení výkonu. Součástí jsou bezpečnostní prvky v souladu s normami TCG Opal v2.0, a Microsoft EDrive IEEE 1667. Další vychytávkou je ochrana počítače před přehřátím dynamickou tepelnou ochranou. Neustále sleduje hodnoty a udržuje optimální provozní teplotu. Automaticky přiškrtí SSD, je-li to nezbytné pro ochranu vašich dat.
Když chceš, dokážeš vše!

JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:Paranoidní šifrování
« Odpověď #13 kdy: 23. 11. 2016, 12:48:40 »
Chraňte hardware a citlivé osobní údaje, když budete mít notebook na cestách. Proto obsahuje 256bitové AES šifrování na hardwarové bázi. Plně zabezpečí obsah disku bez snížení výkonu. Součástí jsou bezpečnostní prvky v souladu s normami TCG Opal v2.0, a Microsoft EDrive IEEE 1667. Další vychytávkou je ochrana počítače před přehřátím dynamickou tepelnou ochranou. Neustále sleduje hodnoty a udržuje optimální provozní teplotu. Automaticky přiškrtí SSD, je-li to nezbytné pro ochranu vašich dat.

A jak a kdy a kde se do toho pri bootu zada heslo?

BTW, jedna se o dalsi sifrovaci nastroj upeceny nekde doma, ktery neproveril zadny kryptograf. Pro vetsinu pouziti to staci, ale jestli chcete sifrovat paranoidne, tak to asi neni to, co chcete. Zalezi na tom, jestli sifrujete proti tchyni nebo proti NSA.

BTW, nestaci vam sifrovany home? S tim neni moc prace a zabezpeceni neni az tak moc odlisne od sifrovaneho celeho disku. Kdyz se vam nekdo dostane fyzicky k notebooku, tak uz je jedno, jestli vam modifikuje nejakou systemovou binarku nebo bootloader. Tomu zabranite jen tak, ze bootloader bude na vyse zminenem USB flash, ktery budete nosit zasunuty v riti.

JSH

Re:Paranoidní šifrování
« Odpověď #14 kdy: 23. 11. 2016, 13:07:45 »
Zalezi na tom, jestli sifrujete proti tchyni nebo proti NSA.
Schválně, kolik lidí tady by proti NSA doopravdy obstálo. Zvolit dobrou šifru je jedna věc. Použít ji tak, aby ji zkušený kryptolog neobešel s prstem v nose po nějakém vedlejším kanále je řádově složitější problém.