Externí šifrovaný disk

Re:Externy sifrovany disk
« Odpověď #15 kdy: 29. 01. 2023, 16:29:04 »
To není samodomo řešení, to je existující dobře prověřený a veřejně zkoumaný software (LUKS).
Nikoli, aby se to chovalo jako externí disk, potřebujete tam dost dalších věcí – zadávání hesla, zpřístupnění jako USB OTG. A v těch může být bezpečnostní problém.

A nebo můžete mít heslo dostatečně silné aby ani po fyzické extrakci nešlo vybruteforcovat. Nebo nejlépe samozřejmě kombinaci obojího. Zabránit extrakci je fakt složité (samozřejmě jak píšete záleží jestli na to půjde jenom manželka), třeba lidi kolem Satoshi Labs (Bitcoin Trezor) to dost řeší a píšou o tom. A ti jsou IMHO důvěryhodnější (open-source, zkoumají to nezávislí odborníci) než proprietární kryptografie od nějakého výrobce flashek.
Ovšem to pak znamená, že budete to heslo muset zadávat na počítači, ke kterému ten disk připojujete. A musíte tam mít vhodný software (ovladač disku). No a když už máte počítač, kam jste ochoten zadat heslo k datům a můžete tam mít zvolený software – proč pak nepoužít rovnou VeraCrypt? (Nebo jiné důvěryhodné softwarové šifrování.)


Re:Externí šifrovaný disk
« Odpověď #16 kdy: 29. 01. 2023, 16:36:19 »
proc se tyhle diskuse  vzdy takhle arogantne zvrhnou v akademickou masturbaci?

a vzdy to konci stejne, protoze bezne zamky lze specialnim naradim otevrit, nema smysl dvere na ulici ani zavirat.

nez mit ne 100% spolehlive reseni, tak radeji nic, protoze to dava falesny pocit bezpeci??
ja rikam lepsi neco nez nic. pokud ztratim USB cumbrk s excelem mych hypotecnich splatek, tak na fibs certifikaci sere pes, staci, ze to soused neotevre na prvni pokus.

a kazdy doporucuje veracrypt, uz to konecne nevyzaduje na druhem pocitaci admina? diky tomu i portable verze veracryptu je ciste akademicke reseni..

_Jenda

  • *****
  • 1 591
    • Zobrazit profil
    • https://jenda.hrach.eu/
    • E-mail
Re:Externy sifrovany disk
« Odpověď #17 kdy: 29. 01. 2023, 16:58:00 »
To není samodomo řešení, to je existující dobře prověřený a veřejně zkoumaný software (LUKS).
Nikoli, aby se to chovalo jako externí disk, potřebujete tam dost dalších věcí – zadávání hesla, zpřístupnění jako USB OTG. A v těch může být bezpečnostní problém.
Zadávání hesla myslíte aby se třeba někde nezapsalo omylem do /tmp na perzistentním storage?

USB OTG znamená útok z toho připojeného počítače, který ale má přístup k rozšifrovanému disku z definice toho jak se to používá. Jo, může klíče ukrást a pak mít přístup k dalším datům i když si heslo změníte.

Ovšem to pak znamená, že budete to heslo muset zadávat na počítači, ke kterému ten disk připojujete. A musíte tam mít vhodný software (ovladač disku).
Tak teoreticky může driverless řešení fungovat tak, že zpřístupní prázdný mass storage, a očekává vytvoření souboru heslo.txt, kterým to pak odemkne :)  (takhle se konfigurují některé kamery a, um, keyloggery). A i pokud to bude speciální software tak alespoň nebude požadovat admina jak si lidi stěžují v okolních příspěvcích, že zpřístupnění „disku“ vyžaduje (na Linuxu se dá bez admina asi spouštět FUSE).

Samozřejmě pokud má možnost použít Veracrypt (či podobné), tak to je naprosto nejlepší řešení, ale v diskuzi tu opakovaně píšou že ne.

Pak je samozřejmě taky otázka, jak teda vypadá ten use-case. Protože buď si řeší bezpečnost sám (nějaký soukromý/osobní počítač) - a pak má admina, nebo admina nemá a bezpečnost mu tedy řeší někdo jiný - pak je ale podezřelé, že mu tento jiný nedá i tohle řešení.

Re:Externy sifrovany disk
« Odpověď #18 kdy: 29. 01. 2023, 17:29:30 »
Zadávání hesla myslíte aby se třeba někde nezapsalo omylem do /tmp na perzistentním storage?
Nebo třeba aby to nebylo implementované tak, že klíč k šifrovaným datům bude uložen ve speciálním oddílu, heslo se jen porovná na rovnost a pak se šifrovaný oddíl uloženým klíčem připojí. Když to takhle implementuje výrobce „šifrovaných disků“, proč by to nenapadlo i někoho, kdo si bude chtít „šifrovaný disk“ postavit sám?

VeraCrypt zmiňoval samotný tazatel. Jediné, co proti němu měl, bylo to, že ho nezkoušel. Multiplatformní pro Windows, Linux a MacOS je. To, že pro zpřístupnění souborového systému ve Windows je potřeba ovladač zařízení a ten může nainstalovat jenom administrátor, je celkem logické. A bude to tak fungovat i s těmi „hardwarově“ šifrovanými disky, které mají speciální ovladač, který po zadání hesla disk odemkne. Aby to fungovalo bez speciálních oprávnění, musí si odemknutí řešit samotné externí zařízení, bez nějakého ovladače – obvykle buď otiskem prstu (to bývá dost nespolehlivé) nebo právě HW klávesnicí a zadáním PINu.

Ale jak jsem psal, nevíme, co vlastně tazatel chce. Zda skutečnou ochranu, která obstojí třeba i z právního hlediska, nebo mu stačí, aby se do dat nedostal pubertální synek, který je ochotný maximálně 5 minut něco googlit. Jestli to chce používat na zařízeních, kde může instalovat software, nebo jestli to má fungovat i v internetové kavárně na Bali. Jestli tam bude ukládat pár klíčů, takže stačí i ta nejmenší flashka, nebo jestli tím chce stěhovat nemocniční IS s osobními údaji, rentgeny a naskenovanými lékařskými zprávami a bude potřebovat terabajtové úložiště.

_Jenda

  • *****
  • 1 591
    • Zobrazit profil
    • https://jenda.hrach.eu/
    • E-mail
Re:Externy sifrovany disk
« Odpověď #19 kdy: 29. 01. 2023, 17:50:42 »
A bude to tak fungovat i s těmi „hardwarově“ šifrovanými disky, které mají speciální ovladač, který po zadání hesla disk odemkne
Nejsem odborník na Windows, ale myslím, že pokud má zařízení správnou USB třídu, například se tváří jako HID nebo jako sériák (CDC ACM), tak by mělo fungovat rovnou i pod uživatelem. (pokud není třeba doménová politika zakazující připojování USB obecně)


Re:Externí šifrovaný disk
« Odpověď #20 kdy: 29. 01. 2023, 17:52:56 »
Jestliže používáš Windows tak Bitlocker.
Jestliže máš Office 365 tak OneDrive s dvoufaktorovým ověřením a se složkou Osobní sejf.

Ovšem záleží i na tom k čemu to hledáš, protože např. do některých států (Čína, ale třeba i USA) žádný takto šifrovaný média se vozit nesmí, resp. imigrační tě donutí k dešifrování a kontrole dat.

hknmtt

Re:Externí šifrovaný disk
« Odpověď #21 kdy: 29. 01. 2023, 18:21:03 »
proc se tyhle diskuse  vzdy takhle arogantne zvrhnou v akademickou masturbaci?

a vzdy to konci stejne, protoze bezne zamky lze specialnim naradim otevrit, nema smysl dvere na ulici ani zavirat.

Ano, 100000% presne toto je exaktny obraz rootu, pekne si to vystihol :)

Co tu padli otazky na ucel, tak ten je jednoduchy - chcem aby vyvojari mali ulozene zdrojaky na zasifrovanom disku a pracovali iba na nom. Takze nemusia riesi sifrovanie vo svojom systeme ani sa s tym nijako zaoberat. Len si nakonfigurovat cestu v editore/ide na externy disk a to je cele. Keby sa disk pri ceste stratil niekde(v kaviarni, mhd, zlodej na ulici vytrhne tasku s ntb..) tak data su zasifrovane a nic sa nedeje, netreba panikarit a riesit teraz invalidaciu pristupov pre vsetkych ludi a stroje, vygenerovane kluce, tokeny a cojaviem co. Davnejsie v praci po nas chceli zasifrovanie vlastnych pc(ntb) kvoli klientskym kodom, takze tam som videl ze to je nedobre pre ludi takto riesit a zasahovat im do systemu a prostredia a preto externy disk(opakujem disk, neviem co su stale omielate usb kluce). A neviem co je nezrozumitelne na otazke. Jasne som napsial ze chcem hardeverove sifrovanie a plug-and-play funkcionalitu. Ci uz clovek raz pri spusteni zada heslo, alebo naskenuje odtlacok prsta je mi jedno. Ci to ma aplikaciu alebo nie je mi jedno len nech to ide na kazdom OS.

Zopper

  • *****
  • 712
    • Zobrazit profil
Re:Externí šifrovaný disk
« Odpověď #22 kdy: 29. 01. 2023, 19:00:07 »
Ovšem záleží i na tom k čemu to hledáš, protože např. do některých států (Čína, ale třeba i USA) žádný takto šifrovaný média se vozit nesmí, resp. imigrační tě donutí k dešifrování a kontrole dat.
Pokud tě zrovna vyhmátnou. A umí si dělat kopie disků, když se jim něco nezdá, nebo chtějí zrovna buzerovat. V minulé práci byla firemní politika "plně spolupracovat, nechat je dělat, co chtějí, a pak za hraniční kontrolou okamžitě zavolat na firemní security."

Takže řešení pro takovéhle situace je před cestou citlivá data někam nahrát, lokálně je smazat, a za hranicí si to zase stáhnout ze serveru a dešifrovat. Nebo se bez nich po dobu cestování obejít.


proc se tyhle diskuse  vzdy takhle arogantne zvrhnou v akademickou masturbaci?
a vzdy to konci stejne, protoze bezne zamky lze specialnim naradim otevrit, nema smysl dvere na ulici ani zavirat.

Protože otázky zase často jsou ve stylu "chci kouzelné dveře, co nepustí dovnitř nikoho, kromě mě, a lidí, které znám, ale nechci používat žádný klíč a nesmí to nic stát, jo a musí to fungovat bez elektriky a odolat i jadernému výbuchu." A pak se ukáže, že nakonec mu stačí obyčejný korálkový závěs. Ne vždycky, ale často jo.

Co tu padli otazky na ucel, tak ten je jednoduchy - chcem aby vyvojari mali ulozene zdrojaky na zasifrovanom disku a pracovali iba na nom. Takze nemusia riesi sifrovanie vo svojom systeme ani sa s tym nijako zaoberat.
Dole je odkaz na možné řešení, ale... tohle mi nepřijde jako dobrý nápad. Co třeba cache toho IDE? Nebo vývojář, kterému se ten externí disk zdá pomalý, a tak si to zkopíruje lokálně? Co uložené přihlášení do firemních systémů v prohlížeči, nemůže se přes to útočník dostat do repozitáře a ten kód si stáhnout? Nebo udělat mnohem víc škody nějak jinak třeba ukradnutím databáze zákazníků? Atd.

Plus, stejného výsledku dosáhneš i vytvořením jednoho šifrovaného adresáře/kontejneru přímo na systémovém disku, a odpadnou problémy s připojováním něčeho do USB. Pokud máte nějaký set-up skript, co připravuje vývojářské prostředí (instalace závislostí pro vývoj, konfigurace cest...), tak je možné to tam přidat a vývojáři nemusí řešit vůbec nic, kromě hesla.

Mimochodem, je potřeba, aby se firma mohla dostat do toho šifrovaného disku i bez spolupráce toho vývojáře?

Len si nakonfigurovat cestu v editore/ide na externy disk a to je cele. Keby sa disk pri ceste stratil niekde(v kaviarni, mhd, zlodej na ulici vytrhne tasku s ntb..) tak data su zasifrovane a nic sa nedeje, netreba panikarit a riesit teraz invalidaciu pristupov pre vsetkych ludi a stroje, vygenerovane kluce, tokeny a cojaviem co. Davnejsie v praci po nas chceli zasifrovanie vlastnych pc(ntb) kvoli klientskym kodom, takze tam som videl ze to je nedobre pre ludi takto riesit a zasahovat im do systemu a prostredia
Jak píšu nahoře, těch důvodů, proč šifrovat, je hromada. Víc než jen uložené zdrojáky, a platí to i pro osobní stroj. Při instalaci systému je to typicky otázka pár kliknutí (pokud to někdy není už i výchozí volba.) Ale chápu, že je nechceš nutit přeinstalovávat si soukromé stroje.
a preto externy disk(opakujem disk, neviem co su stale omielate usb kluce).
Klíčenka, aka přívěsek na klíče, ne klíč. USB flashdisk s vlastní bezpečností, jako https://www.czc.cz/kingston-usb-datatraveler-dt2000-32gb/184121/produkt - nepřipojí se to jako úložiště, dokud to nedostane správný pin.

A neviem co je nezrozumitelne na otazke. Jasne som napsial ze chcem hardeverove sifrovanie a plug-and-play funkcionalitu. Ci uz clovek raz pri spusteni zada heslo, alebo naskenuje odtlacok prsta je mi jedno. Ci to ma aplikaciu alebo nie je mi jedno len nech to ide na kazdom OS.

Ale pořád nevíme, jestli jde o pár MB, jednotky GB, nebo ta data s databázovými dumpy a podobně mají stovky GB. Je požadavek na velkou propustnost toho úložiště? Pokud je to klasická flashka, ať s vlastním šifrováním, nebo přes aplikaci, tak to bude hodně trpět na časté přepisy a náhodně umírat.

Re:Externy sifrovany disk
« Odpověď #23 kdy: 29. 01. 2023, 19:02:48 »
A bude to tak fungovat i s těmi „hardwarově“ šifrovanými disky, které mají speciální ovladač, který po zadání hesla disk odemkne
Nejsem odborník na Windows, ale myslím, že pokud má zařízení správnou USB třídu, například se tváří jako HID nebo jako sériák (CDC ACM), tak by mělo fungovat rovnou i pod uživatelem. (pokud není třeba doménová politika zakazující připojování USB obecně)
To by pak ale nebyl moc dobrý šifrovaný disk, kdyby se jenom připojil do počítače a všechna šifrovaná data by byla dostupná, bez jakéhokoli zadávání hesla nebo PINu. A když chcete zadat PIN/heslo, potřebujete buď hardware, kde to zadáte (např. ta klávesnice přímo na disku) nebo ovladač pro daný operační systém, který si o heslo řekne, pošle ho do hardwaru a pak se ten hardwaru může přepnout do režimu standardního USB disku.

Re:Externí šifrovaný disk
« Odpověď #24 kdy: 29. 01. 2023, 19:08:17 »
chcem aby vyvojari mali ulozene zdrojaky na zasifrovanom disku a pracovali iba na nom.
Že se části kódu v podobě dočasných souborů dostanou mimo šifrovaný disk vám nevadí? Že práce s pomalým externím diskem bude vývojáře pěkně štvát vám nevadí?

A neviem co je nezrozumitelne na otazke.
Tak si přečtěte odpovědi – tam je toho popsaného docela dost, co je na otázce nejasné.

Jasne som napsial ze chcem hardeverove sifrovanie a plug-and-play funkcionalitu.
Takže potřebujete zařízení, které má hardwarovou klávesnici. Odkaz už jsem vám dával. Jakmile to vyžaduje speciální software na používaném počítači, není to plug-and-play.

Ci uz clovek raz pri spusteni zada heslo, alebo naskenuje odtlacok prsta je mi jedno. Ci to ma aplikaciu alebo nie je mi jedno len nech to ide na kazdom OS.
Protiřečíte si. Když to má aplikaci, není to plug-and-play – před použitím musíte nainstalovat tu aplikaci (resp. její ovladače).

opakujem disk, neviem co su stale omielate usb kluce
Bavíme se to o USB flash discích. Protože šifrované USB disky s parametry, které by mohly vašim mlhavým představám odpovídat, se vyrábějí. Šifrovaný velký externí disk je úplně mimo vaše možnosti.
« Poslední změna: 29. 01. 2023, 19:13:10 od Filip Jirsák »

Re:Externí šifrovaný disk
« Odpověď #25 kdy: 29. 01. 2023, 19:29:35 »
proc se tyhle diskuse  vzdy takhle arogantne zvrhnou v akademickou masturbaci?

a vzdy to konci stejne, protoze bezne zamky lze specialnim naradim otevrit, nema smysl dvere na ulici ani zavirat.

Ano, 100000% presne toto je exaktny obraz rootu, pekne si to vystihol :)

Co tu padli otazky na ucel, tak ten je jednoduchy - chcem aby vyvojari mali ulozene zdrojaky na zasifrovanom disku a pracovali iba na nom. Takze nemusia riesi sifrovanie vo svojom systeme ani sa s tym nijako zaoberat. Len si nakonfigurovat cestu v editore/ide na externy disk a to je cele. Keby sa disk pri ceste stratil niekde(v kaviarni, mhd, zlodej na ulici vytrhne tasku s ntb..) tak data su zasifrovane a nic sa nedeje, netreba panikarit a riesit teraz invalidaciu pristupov pre vsetkych ludi a stroje, vygenerovane kluce, tokeny a cojaviem co. Davnejsie v praci po nas chceli zasifrovanie vlastnych pc(ntb) kvoli klientskym kodom, takze tam som videl ze to je nedobre pre ludi takto riesit a zasahovat im do systemu a prostredia a preto externy disk(opakujem disk, neviem co su stale omielate usb kluce). A neviem co je nezrozumitelne na otazke. Jasne som napsial ze chcem hardeverove sifrovanie a plug-and-play funkcionalitu. Ci uz clovek raz pri spusteni zada heslo, alebo naskenuje odtlacok prsta je mi jedno. Ci to ma aplikaciu alebo nie je mi jedno len nech to ide na kazdom OS.
Tak stacilo napsat ze na bezpecnost sete pes a kazdy ti doporuci at si vyberes kterykoliv z toho co nabizi alza. Nerozumim tomu ale proc se pak chodis ptat sem kdyz je ti to vlastne uplne jedno. Ujasni si co chces, v prvnim prispevku pises o disku se cteckou a ted pises ze nechces nic instalovat. Nechces nic instalovat? Pak si ale treba samsung nekoupis protoze ten potrebuje nainstalovat ovladace a aplikaci. Chces neco instalovat? Pak jsme zase u toho ze jsou bezpecnejsi alternativy nez nejaka tamtung aplikace.
A diskuse se zvrhnou vzdy v nejakou akademickou debatu jenom proto ze tazatel se neumi ptat a neumi v uvodnim dotazu napsat vsechny sve pozadavky. Misto toho napise neco, pak placne zase neco co je klidne v rozporu s tim co placnul prvne. Ja bych se na to rovnou uz vytento, pokud je tohle admin nekde tak potes koste. Za me - vyber si co chces.

Re:Externí šifrovaný disk
« Odpověď #26 kdy: 29. 01. 2023, 19:40:23 »
Ja bych se na to rovnou uz vytento, pokud je tohle admin nekde tak potes koste.
Není to admin. Má projekt, na kterém vydělá nejmíň stovky milionů. Už mu tu někdo poradil globální platební bránu. Teď řeší šifrované disky pro vývojáře, aby mu ten jedinečný nápad náhodou někdo neukradl. Příště se bude ptát, v čem se má celosvětově úspěšná aplikace napsat, jestli v Rustu nebo Cobolu. A pak bude řešit (pokud to ještě neřešil), který cloud použít, protože Amazon ani Google nestačí předpokládanému zájmu o jeho aplikaci. Takových už tu také pár bylo…

Zopper

  • *****
  • 712
    • Zobrazit profil
Re:Externí šifrovaný disk
« Odpověď #27 kdy: 29. 01. 2023, 19:57:23 »
Takových už tu také pár bylo…
Jééé, já si právě vzpomněl na Hlodač. Až mi nostalgická slza ukápla.

Re:Externí šifrovaný disk
« Odpověď #28 kdy: 29. 01. 2023, 20:58:28 »
Používám Kingston Ironkey externí SSD, uvádějí u něj:
56-bit AES hardware-based encryption, in XTS mode, and FIPS 140-2 Level 3 validation with on-device Cryptochip Encryption Key management
Má dotykový displej na správu zabezpečení a odemčení, nic není třeba instalovat (doprovodný SW na správu ale k dispozici je).
https://www.kingston.com/en/ssd/ironkey-vp80es-encrypted-external-ssd

_Jenda

  • *****
  • 1 591
    • Zobrazit profil
    • https://jenda.hrach.eu/
    • E-mail
Re:Externy sifrovany disk
« Odpověď #29 kdy: 29. 01. 2023, 21:04:44 »
A bude to tak fungovat i s těmi „hardwarově“ šifrovanými disky, které mají speciální ovladač, který po zadání hesla disk odemkne
Nejsem odborník na Windows, ale myslím, že pokud má zařízení správnou USB třídu, například se tváří jako HID nebo jako sériák (CDC ACM), tak by mělo fungovat rovnou i pod uživatelem. (pokud není třeba doménová politika zakazující připojování USB obecně)
To by pak ale nebyl moc dobrý šifrovaný disk, kdyby se jenom připojil do počítače a všechna šifrovaná data by byla dostupná, bez jakéhokoli zadávání hesla nebo PINu. A když chcete zadat PIN/heslo, potřebujete buď hardware, kde to zadáte (např. ta klávesnice přímo na disku) nebo ovladač pro daný operační systém, který si o heslo řekne, pošle ho do hardwaru a pak se ten hardwaru může přepnout do režimu standardního USB disku.
Připojím disk, objeví se malé mass storage zařízení se soubory unlock.exe, unlock.sh a třeba dokumentace.pdf. Provedu odemčení, malé mass storage zmizí a objeví se velké mass storage s daty.

Co tu padli otazky na ucel, tak ten je jednoduchy - chcem aby vyvojari mali ulozene zdrojaky na zasifrovanom disku a pracovali iba na nom. Takze nemusia riesi sifrovanie vo svojom systeme ani sa s tym nijako zaoberat. Len si nakonfigurovat cestu v editore/ide na externy disk a to je cele.
LOL takže fakt. A vývojář ani ty nemáte admina nebo kdo to adminuje?

Očekávám dotazy, jak přesunout na externí disk trvale trčící z notebooku :D soubory správce balíčků daného jazyka (npm, pip, cargo…), a jak zařídit, aby žádné IDE nemělo indexované zdrojáky, dočasné soubory a cache kompilátoru v tempu na disku :D

56-bit AES hardware-based encryption
(pro ostatní, je to špatně zkopírované, na webu píšou 256bit ;) )