Šifrování s Windows oddíly

DeSade

Šifrování s Windows oddíly
« kdy: 13. 01. 2019, 09:53:25 »
Ahoj

Chtěl bych na novém stroji s TPM 2.0 a SSD Samsung 860 EVO využít možnost šifrování disku a tak studuju možnosti.

Disk bych chtěl mít rozdělený takto:
1.) Oddíly s Windows 10
2.) Oddíl pro data (NTFS)
3.) Oddíl s Linuxem
-oddíl s daty bych chtěl mít přístupný z Linuxu

Možnosti šifrování:
1.) Systémový Win10 a datový oddíl zašifrovat přes jejich Bitlocker s tím, že pro Linux existují 2 utility, který by měli datový oddíl zpřístupnit, což mi nejde moc do hlavy, jelikož bitlocker je od M$ proprietární. Předpokládám, že TPM čip si Bitlocker automaticky nastaví.
2.) Systémový Win10 oddíl zašifrovat přes Bitlocker (+TPM) a datový oddíl zašifrovat přes VeraCrypt, který je opensource.

U těchto dvou variant předpokládám, že pokud bych zapl hardwarovou podporu šifrování (SED) přímo v SSD, tak přístup na datový disk z Linuxu či jeho instalace bude složitější? Dále tiše předpokládám, že v porovnání s AES podporou procesoru, je rozdíl ve výkonu zanedbatelný.

3.) Všechny oddíly zašifrovat přes VeraCrypt
4.) SSD Samsung 860 EVO má možnost šifrování Class 0 (ATA disk password), takže vše řeší heslo v Biosu (mělo by podporovat), čiže nemusím používat jakýkoliv software.

Mohl by mi někdo zkušenější to okomentovat a doporučit nejvhodnější variantu? Nejde mi o největší bezpečnost, jsem si vědom bezpečnostních chyb, které může v sobě obsahovat bitlocker nebo použitý SSD, spíš mi jde o ochranu proti přítelkyni, tchýni a technicky zdatným zlodějům.


phpmistr

Re:Šifrování s Windows oddíly
« Odpověď #1 kdy: 13. 01. 2019, 11:47:42 »
Tady to určitě dopadne jinak protože tu máme jiné experty, ale obecně se na celé disky doporučuje Bitlocker pro Windows 10 profesional a kde nejde použít tak VeraCrypt.
https://www.reddit.com/r/sysadmin/comments/5dmd8k/bitlocker_vs_veracrypt_vs_for_full_disk_encryption/

Kdo je paranoidní tak použije TrueCrypt což je VeraCrypt před zásahem úřadů ... .

JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:Šifrování s Windows oddíly
« Odpověď #2 kdy: 13. 01. 2019, 15:43:33 »
Sifrovani disku samotnym diskem bych neveril, uz se parkrat ukazalo, ze to asi psaly deti z pomocne skoly a o konkretni implemenaci nic nevite. Zadavani sifrovaciho hesla z BIOSu bych se radsi vyhnul, abyste nedopadl jako te chudak, ktery tu pred par lety shanel mobo do notebooku (tusim ACER), aby si rozsifroval disk, protoze soudruzi meli jakousi divnou, nestandardni implementaci. A o konkretni implementaci opet nic nevite.

DeSade

Re:Šifrování s Windows oddíly
« Odpověď #3 kdy: 13. 01. 2019, 16:21:32 »
Sifrovani disku samotnym diskem bych neveril, uz se parkrat ukazalo, ze to asi psaly deti z pomocne skoly a o konkretni implemenaci nic nevite. Zadavani sifrovaciho hesla z BIOSu bych se radsi vyhnul, abyste nedopadl jako te chudak, ktery tu pred par lety shanel mobo do notebooku (tusim ACER), aby si rozsifroval disk, protoze soudruzi meli jakousi divnou, nestandardni implementaci. A o konkretni implementaci opet nic nevite.
Taky jsem to odškrtl, je tam až moc potenciálních problémů

k3dAR

  • *****
  • 2 838
  • porad nemam telo, ale uz mam hlavu... nobody
    • Zobrazit profil
    • E-mail
Re:Šifrování s Windows oddíly
« Odpověď #4 kdy: 13. 01. 2019, 17:58:14 »
1) W10 - nemam zkusenosti se sifrovanim, takze teoreticky:
a) BitLocker a z Linuxu overit dislocker
b) VeraCrypt s tim ze nevim zda je to pro W10 sysdisk jako takove vhodnejsi nez a)

2) DATA NTFS - VeraCrypt

3) Linux - LUKS

* naprosto bych ignoroval nativni bios/disk sifrovani


Pepan

Re:Šifrování s Windows oddíly
« Odpověď #5 kdy: 13. 01. 2019, 19:12:48 »
Tak VeraCryptu bych se zásadně vyhnul. Je to nástupce Truecryptu po tom co ho původní autoři museli ukončit. Nový TC a Veracrypt mají zadní vrata jako od stodoly.

k3dAR

  • *****
  • 2 838
  • porad nemam telo, ale uz mam hlavu... nobody
    • Zobrazit profil
    • E-mail
Re:Šifrování s Windows oddíly
« Odpověď #6 kdy: 13. 01. 2019, 19:31:53 »
Tak VeraCryptu bych se zásadně vyhnul. Je to nástupce Truecryptu po tom co ho původní autoři museli ukončit. Nový TC a Veracrypt mají zadní vrata jako od stodoly.
mas nejake duveryhodne informace? pokud vim tak (closedsource) Truecrypt skoncil protoze byli vyzadovane zadni vratka, proto vzniknul fork (opensource) VeraCrypt kterej zaroven prosel auditem kdy byli nalezeny bezpecnostni chyby (ktere prisli prave z Truecryptu, takze posledni Truecrypt je OBSAHUJE) a ve VeraCrypt byli opravene...
https://ostif.org/the-veracrypt-audit-results/

Pepan

Re:Šifrování s Windows oddíly
« Odpověď #7 kdy: 13. 01. 2019, 21:10:52 »
Tak VeraCryptu bych se zásadně vyhnul. Je to nástupce Truecryptu po tom co ho původní autoři museli ukončit. Nový TC a Veracrypt mají zadní vrata jako od stodoly.
mas nejake duveryhodne informace? pokud vim tak (closedsource) Truecrypt skoncil protoze byli vyzadovane zadni vratka, proto vzniknul fork (opensource) VeraCrypt kterej zaroven prosel auditem kdy byli nalezeny bezpecnostni chyby (ktere prisli prave z Truecryptu, takze posledni Truecrypt je OBSAHUJE) a ve VeraCrypt byli opravene...
https://ostif.org/the-veracrypt-audit-results/

Napsal jsem že bych se vyhnul ale bohužel(bohudík) důvěryhodné informace nemám. Podle mých poznámek jsem četl na tomto foru https://community.spiceworks.com/topic/2098234-truecrypt-or-veracrypt příspěvek který tam již není kde bylo uvedeno že to původní TC zabalil kvůli požadavku zadních vrátek a že poslední verze TC nebyly od původních autorů a backdoor obsahovaly. VeraCrypt že je jejich nástupce pod opensource s tím, že prý zdrojové kody nejsou totožné s binárkami. Nejsem žádný odborník, ale je divné že by se s neprolomitelným šifrováním tajný služby smířily a byl by klid. Z toho jsem si vyhodnotil že to není stoprocentní sw.

MasoxCZ

Re:Šifrování s Windows oddíly
« Odpověď #8 kdy: 13. 01. 2019, 21:48:14 »
A není tenhle Samsung náhodou jeden z těch, co šifrování fixlujou? Tedy že buď nešifrujou vůbec, nebo s klíči pracujou tak blbě, že se tam dá relativně snadno dostat?
Načež se ve Win musí sáhnout do registru a vynutit SW šifrování.

k3dAR

  • *****
  • 2 838
  • porad nemam telo, ale uz mam hlavu... nobody
    • Zobrazit profil
    • E-mail
Re:Šifrování s Windows oddíly
« Odpověď #9 kdy: 13. 01. 2019, 21:51:35 »
pokud se nepletu fork (i ten naslednej audit) VeraCrypt je ze zdrojaku PRED tim nez udelal "unosce homepage" ten poposledni TrueCrypt, tzn ze ty chyby by byli i v tom cistem/od_regulerniho_autora predchozim TrueCrypt...

edit: pokud bych mel byt paranoidni, veril bych vice VeraCrypt nez MS-BitLockeru ;-)

naseptavac

Re:Šifrování s Windows oddíly
« Odpověď #10 kdy: 13. 01. 2019, 21:59:30 »
To je trochu mimoidni logika, ne? Z ni totiz vyplyva, ze backdoors jsou uplne vsude a na zachode navic odposlech.

naseptavac

Re:Šifrování s Windows oddíly
« Odpověď #11 kdy: 13. 01. 2019, 22:01:36 »
Reagoval jsem na Pepana.

wellczech

Re:Šifrování s Windows oddíly
« Odpověď #12 kdy: 14. 01. 2019, 10:29:19 »
Na Computer Chaos Club konferenci byla zajímavá přednáška na téma hardwarové šifrování SSD.

https://www.youtube.com/watch?v=C5hLTk5MyGU&index=68&list=PL_IxoDz1Nq2YUlQqBSg0F2PB5jqXMoNmu

agent

Re:Šifrování s Windows oddíly
« Odpověď #13 kdy: 14. 01. 2019, 10:49:31 »
I kdyby Veracrypt měl nějakou díru pro tajné služby (i když spíš myslím že nemá), tak se mi zdá pro ochranu proti popotahování běžnou policií za nelegální SW a podobné věci dostačující.
Tajná služba nedá najevo že tam má přístup kvůli tomu, že je někdo podezřelý z porušování autorského zákona, natolik s řadovou policií nespolupracuje.