Paranoidní šifrování disku

Re:Paranoidní šifrování
« Odpověď #15 kdy: 23. 11. 2016, 13:56:00 »
Chraňte hardware a citlivé osobní údaje, když budete mít notebook na cestách. Proto obsahuje 256bitové AES šifrování na hardwarové bázi. Plně zabezpečí obsah disku bez snížení výkonu. Součástí jsou bezpečnostní prvky v souladu s normami TCG Opal v2.0, a Microsoft EDrive IEEE 1667. Další vychytávkou je ochrana počítače před přehřátím dynamickou tepelnou ochranou. Neustále sleduje hodnoty a udržuje optimální provozní teplotu. Automaticky přiškrtí SSD, je-li to nezbytné pro ochranu vašich dat.

A jak a kdy a kde se do toho pri bootu zada heslo?

BTW, jedna se o dalsi sifrovaci nastroj upeceny nekde doma, ktery neproveril zadny kryptograf. Pro vetsinu pouziti to staci, ale jestli chcete sifrovat paranoidne, tak to asi neni to, co chcete. Zalezi na tom, jestli sifrujete proti tchyni nebo proti NSA.

BTW, nestaci vam sifrovany home? S tim neni moc prace a zabezpeceni neni az tak moc odlisne od sifrovaneho celeho disku. Kdyz se vam nekdo dostane fyzicky k notebooku, tak uz je jedno, jestli vam modifikuje nejakou systemovou binarku nebo bootloader. Tomu zabranite jen tak, ze bootloader bude na vyse zminenem USB flash, ktery budete nosit zasunuty v riti.

Ideálně bych rád šifroval proti tchýni v NSA :-) :-) :-)

Nad částečným šifrováním jsem také přemýšlel, ale celý disk se mi líbí více ... šel bych i do takového extremu, jakože po 3x neuspěšném hesle dd zero celého disku atd ... do 3g modemu strcit simku a na dalku udelat zmine dd .... fakt pres noc se mi asi neco paranoidne stalo ....

Zatim se mi nejvice libi arch + luks + lvm + boot na externim flashdisku ...
Když chceš, dokážeš vše!


.

Re:Paranoidní šifrování
« Odpověď #16 kdy: 23. 11. 2016, 13:59:45 »
Zalezi na tom, jestli sifrujete proti tchyni nebo proti NSA.
Schválně, kolik lidí tady by proti NSA doopravdy obstálo. Zvolit dobrou šifru je jedna věc. Použít ji tak, aby ji zkušený kryptolog neobešel s prstem v nose po nějakém vedlejším kanále je řádově složitější problém.
Jen jestli jste to s tím jedním řádem nepodcenil...

Re:Paranoidní šifrování
« Odpověď #17 kdy: 23. 11. 2016, 14:04:31 »
Nad částečným šifrováním jsem také přemýšlel, ale celý disk se mi líbí více ... šel bych i do takového extremu, jakože po 3x neuspěšném hesle dd zero celého disku atd ... do 3g modemu strcit simku a na dalku udelat zmine dd .... fakt pres noc se mi asi neco paranoidne stalo ....

A co tim chces ziskat? Kdyz ti nekdo notebook ukradne, tak vynda simku a disk si vynda do USB ramecku a  zkopiruje...

noef

  • *****
  • 897
    • Zobrazit profil
    • E-mail
Re:Paranoidní šifrování
« Odpověď #18 kdy: 23. 11. 2016, 14:19:24 »
Nad částečným šifrováním jsem také přemýšlel, ale celý disk se mi líbí více ... šel bych i do takového extremu, jakože po 3x neuspěšném hesle dd zero celého disku atd ... do 3g modemu strcit simku a na dalku udelat zmine dd .... fakt pres noc se mi asi neco paranoidne stalo ....

A co tim chces ziskat? Kdyz ti nekdo notebook ukradne, tak vynda simku a disk si vynda do USB ramecku a  zkopiruje...

Presne tak, nikdo kdo by opravdu stal o ta data, nebude bootovat ten stroj a minimalne si udela image disku, pokud to bude vubec bootovat.

Proti tomuto se branit leda nejakymi senzory rozdelani notebooku, coz me prijde uz celkem extremni. Ale teda uz to smazani po trech failech me prijde dost prisne, protoze chytreho zlodeje to nezastavi a az ti zapadne bordel pod klavesu nebo kdyz se trosku napijes, tak najedou prijdes o vsechna data.

Pipim

Re:Paranoidní šifrování
« Odpověď #19 kdy: 23. 11. 2016, 14:56:37 »
Zalezi na tom, jestli sifrujete proti tchyni nebo proti NSA.
Schválně, kolik lidí tady by proti NSA doopravdy obstálo. Zvolit dobrou šifru je jedna věc. Použít ji tak, aby ji zkušený kryptolog neobešel s prstem v nose po nějakém vedlejším kanále je řádově složitější problém.
Jen jestli jste to s tím jedním řádem nepodcenil...

No je fakt, že bránit se útoku postraním kanálem typu franzouzáku za $5 je opravdu obtížně řešitelné. A btw toho zkušeného kryptologa si představuju jako Arnieho za mlada.


Re:Paranoidní šifrování
« Odpověď #20 kdy: 23. 11. 2016, 15:10:38 »
Nad částečným šifrováním jsem také přemýšlel, ale celý disk se mi líbí více ... šel bych i do takového extremu, jakože po 3x neuspěšném hesle dd zero celého disku atd ... do 3g modemu strcit simku a na dalku udelat zmine dd .... fakt pres noc se mi asi neco paranoidne stalo ....

A co tim chces ziskat? Kdyz ti nekdo notebook ukradne, tak vynda simku a disk si vynda do USB ramecku a  zkopiruje...

Tak T420 má simku hezky schovanou, a nepredpokladam, ze kde kdo by hned resil jestli tam je simka nebo ne :-)

Nad částečným šifrováním jsem také přemýšlel, ale celý disk se mi líbí více ... šel bych i do takového extremu, jakože po 3x neuspěšném hesle dd zero celého disku atd ... do 3g modemu strcit simku a na dalku udelat zmine dd .... fakt pres noc se mi asi neco paranoidne stalo ....

A co tim chces ziskat? Kdyz ti nekdo notebook ukradne, tak vynda simku a disk si vynda do USB ramecku a  zkopiruje...

Presne tak, nikdo kdo by opravdu stal o ta data, nebude bootovat ten stroj a minimalne si udela image disku, pokud to bude vubec bootovat.

Proti tomuto se branit leda nejakymi senzory rozdelani notebooku, coz me prijde uz celkem extremni. Ale teda uz to smazani po trech failech me prijde dost prisne, protoze chytreho zlodeje to nezastavi a az ti zapadne bordel pod klavesu nebo kdyz se trosku napijes, tak najedou prijdes o vsechna data.

Je mi jasné, že pokud o ty data bude 100% stát, obrana je dost složíta, ale "něco" si udělat chci :-)
Když chceš, dokážeš vše!

Re:Paranoidní šifrování
« Odpověď #21 kdy: 23. 11. 2016, 15:21:38 »
Nad částečným šifrováním jsem také přemýšlel, ale celý disk se mi líbí více ... šel bych i do takového extremu, jakože po 3x neuspěšném hesle dd zero celého disku atd ... do 3g modemu strcit simku a na dalku udelat zmine dd .... fakt pres noc se mi asi neco paranoidne stalo ....

A co tim chces ziskat? Kdyz ti nekdo notebook ukradne, tak vynda simku a disk si vynda do USB ramecku a  zkopiruje...

Presne tak, nikdo kdo by opravdu stal o ta data, nebude bootovat ten stroj a minimalne si udela image disku, pokud to bude vubec bootovat.

Proti tomuto se branit leda nejakymi senzory rozdelani notebooku, coz me prijde uz celkem extremni. Ale teda uz to smazani po trech failech me prijde dost prisne, protoze chytreho zlodeje to nezastavi a az ti zapadne bordel pod klavesu nebo kdyz se trosku napijes, tak najedou prijdes o vsechna data.

Je mi jasné, že pokud o ty data bude 100% stát, obrana je dost složíta, ale "něco" si udělat chci :-)

Placat energii ti nikdo branit nemuze. Ale zase necekej, ze dostanes moc podpory...

Re:Paranoidní šifrování
« Odpověď #22 kdy: 23. 11. 2016, 15:24:38 »
Nad částečným šifrováním jsem také přemýšlel, ale celý disk se mi líbí více ... šel bych i do takového extremu, jakože po 3x neuspěšném hesle dd zero celého disku atd ... do 3g modemu strcit simku a na dalku udelat zmine dd .... fakt pres noc se mi asi neco paranoidne stalo ....

A co tim chces ziskat? Kdyz ti nekdo notebook ukradne, tak vynda simku a disk si vynda do USB ramecku a  zkopiruje...

Presne tak, nikdo kdo by opravdu stal o ta data, nebude bootovat ten stroj a minimalne si udela image disku, pokud to bude vubec bootovat.

Proti tomuto se branit leda nejakymi senzory rozdelani notebooku, coz me prijde uz celkem extremni. Ale teda uz to smazani po trech failech me prijde dost prisne, protoze chytreho zlodeje to nezastavi a az ti zapadne bordel pod klavesu nebo kdyz se trosku napijes, tak najedou prijdes o vsechna data.

Je mi jasné, že pokud o ty data bude 100% stát, obrana je dost složíta, ale "něco" si udělat chci :-)

Placat energii ti nikdo branit nemuze. Ale zase necekej, ze dostanes moc podpory...

To já nečekám, jen nahlas přemýšlím a čekám na malé "nakopnutí" :-)

Díky tomuto tématu vím, že jdu do Archu + LVM + LUKS a to mi pro začatek staci :-)
Když chceš, dokážeš vše!

nobody(ten pravej)

Re:Paranoidní šifrování
« Odpověď #23 kdy: 23. 11. 2016, 16:02:50 »
projdi si rozklikavej si i odkazy, protoze casto tam mas dalsi navod kterej musis pri instalaci projit
https://wiki.archlinux.org/index.php/installation_guide
https://wiki.archlinux.org/index.php/Installation_guide_(%C4%8Cesky) (sice cesky, ale je v necem pozadu)

https://wiki.archlinux.org/index.php/Dm-crypt/Encrypting_an_entire_system

pokud se toho leknes, neni asi dobre stavajici produkcni system na T420 nahradit, ale resil bych to nejdir virtualizaci (nebo dualbootem pokud to budes chtit pripravovat na ostro a obcas pulku dne nevadi bejt bez systemu)

oproti zaskrtnuti "sifruj celej disk" je to krapet komplikovanejsi ;) *buntu/Mint pri te volbe NEsifruje /boot oddil, pro takovy pripad (kterej doporucuju)
je potreba take provest sadu kroku pro pripravu disku v nabehlem LiveUSB *buntu/Mint(?) nez pustis instalator v kterem pak uz nerozdelujes/neformatujes disk, ale jen vyberes pripravene oddily, odemknuti pak nedela initrd (jako v pripade te klikaci fajfky) ale primo bootloader Grub
http://www.pavelkogan.com/2015/01/25/linux-mint-encryption/

mas tam i vyresene aby si nemusel zadavat heslo 2x kdy initrd nepocita pri nalezeni crytovaneho disku ze uz je odemcenej, takze by se zbytecne ptal znovu...
v pripade Archu navod od tehoz cloveka: http://www.pavelkogan.com/2014/05/23/luks-full-disk-encryption/


nobody(ten pravej)

Re:Paranoidní šifrování
« Odpověď #24 kdy: 23. 11. 2016, 16:10:50 »
Tak T420 má simku hezky schovanou, a nepredpokladam, ze kde kdo by hned resil jestli tam je simka nebo ne :-)

Pokud to bude cryptolog tak prvni co udela je ze vynda HDD a naklonuje, pak vynda Wifi kartu, WWAN + SIM kartu, pokud by chtel vubec startovat :)

Navic aby jsi pomoci te SIM mohl ty prostoupit, tak by si musel mit nesifovanou cast disku z ktere by se natahl nejaky (treba oklesteny) system co nahodi ovladac na WWAN a prislusne userspace programy.. nefunguje to tam ze zavolas na cislo T420 a reknes "prosimte nahod mi ssh" ;)
jako slo by to udelat pro neznaleho tak ze by se to bez vlozene tvoji USB-GRUB-FLASH nastartovalo pres on-disk Grub do nesifrovane casti treba s Ubuntu, tam by se nahodilo WWAN spojeni, pustilo SSH a provedlo tunel spojeni nekam na tvuj server, zaclo to tam ukladat zaznam z mikrofonu a fotky/video z webcam (upravenej ovladac co neinicializuje webcam led)... atd, atd... ale to je obrana proti neznalemu/uklizece, ne proti crypto-agentovi ktereho na tebe nasadej ;) otazka ceho se mas bat vic a jestli v tom prvnim pripade chces jen chrannit data nebo ziskat info kde je mas ;)

JSH

Re:Paranoidní šifrování
« Odpověď #25 kdy: 23. 11. 2016, 17:04:50 »
Zalezi na tom, jestli sifrujete proti tchyni nebo proti NSA.
Schválně, kolik lidí tady by proti NSA doopravdy obstálo. Zvolit dobrou šifru je jedna věc. Použít ji tak, aby ji zkušený kryptolog neobešel s prstem v nose po nějakém vedlejším kanále je řádově složitější problém.
Jen jestli jste to s tím jedním řádem nepodcenil...

No je fakt, že bránit se útoku postraním kanálem typu franzouzáku za $5 je opravdu obtížně řešitelné. A btw toho zkušeného kryptologa si představuju jako Arnieho za mlada.
No tak francouzák bych čekal spíš od ruské mafie. K NSA by mi víc seděl waterboarding na Guantanámu. Je to takové sofistikovanější. :)

Jinak tím "řádově" jsem myslel jeden a víc řádů. Nevím dost na to, abych zvládl odhadnout počet nul. Moje schopnosti kryptoanalýzy končí u louskání jednoduchých substitučních šifer.

nobody(ten pravej)

Re:Paranoidní šifrování
« Odpověď #26 kdy: 23. 11. 2016, 17:07:59 »
[...]No tak francouzák bych čekal spíš od ruské mafie[...]
predpokladam ze narazel na tohle ;) https://xkcd.com/538/

nobody(ten pravej)

Re:Paranoidní šifrování
« Odpověď #27 kdy: 23. 11. 2016, 17:09:18 »

JSH

Re:Paranoidní šifrování
« Odpověď #28 kdy: 23. 11. 2016, 17:10:51 »
[...]No tak francouzák bych čekal spíš od ruské mafie[...]
predpokladam ze narazel na tohle ;) https://xkcd.com/538/
Mně to došlo. :) Ale k NSA mi to prostě nesedí. ;D

karlik

Re:Paranoidní šifrování
« Odpověď #29 kdy: 23. 11. 2016, 17:59:53 »
Máte dvě volby. Vy nebo váš disk bude eliminován.  ;D