Externí šifrovaný disk

Re:Externí šifrovaný disk
« Odpověď #30 kdy: 29. 01. 2023, 21:24:19 »
Používám Kingston Ironkey externí SSD, uvádějí u něj:
56-bit AES hardware-based encryption, in XTS mode, and FIPS 140-2 Level 3 validation with on-device Cryptochip Encryption Key management
Má dotykový displej na správu zabezpečení a odemčení, nic není třeba instalovat (doprovodný SW na správu ale k dispozici je).
https://www.kingston.com/en/ssd/ironkey-vp80es-encrypted-external-ssd

Tohle je takova marketingova zalezitost jako u Vodafone. To zarizeni je fips197 certified, to v praxi neznamena nic jineho ze se vyrobce zavazal pouzit bezpecne algoritmy. Na to aby byli data na disku bezpecna je zapotrebi fips140-2 ktery resi i ten hardver. V prvnim pripade sice budete pouzivat aes256 ale secret muzete klidne ukladat nekam v citelne forme v pameti, v tom druhem pripade certifikace overuje i ten hardver samotny. Jednoduse receno: pokud chcete neco fips certified tak fips197 nebrat ale vzit fips140-2 nebo lepsi. Za me kingston nebrat vubec, bezpecnostni pruser meli, maji a budou mit, kvalita taky nic moc. Muj nazor.


Re:Externy sifrovany disk
« Odpověď #31 kdy: 29. 01. 2023, 21:30:46 »
Připojím disk, objeví se malé mass storage zařízení se soubory unlock.exe, unlock.sh a třeba dokumentace.pdf. Provedu odemčení, malé mass storage zmizí a objeví se velké mass storage s daty.
Jenže k tomu budete potřebovat administrátorská práva. A je dost velké riziko, že to nebude fungovat zrovna ve vaší distribuci, nebo že to přestane fungovat s příští verzí Windows nebo MacOS.

Re:Externí šifrovaný disk
« Odpověď #32 kdy: 29. 01. 2023, 21:58:08 »
Jestliže používáš Windows tak Bitlocker.
Jestliže máš Office 365 tak OneDrive s dvoufaktorovým ověřením a se složkou Osobní sejf.

Ovšem záleží i na tom k čemu to hledáš, protože např. do některých států (Čína, ale třeba i USA) žádný takto šifrovaný média se vozit nesmí, resp. imigrační tě donutí k dešifrování a kontrole dat.
Nekoukejte furt na ty americky serialy nebo zblbnete… sifrovane disky se normalne pres hranice nosi a imigracni te nebude nutit k nejakemu desifrovani dat pokud nejsi na nejakem seznamu nebo pokud nema nejake podezreni. Normalne se to nedeje. V US muzete odmitnout disk desifrovat a imigracni vas v nejhorsim nepusti do zeme, v UK v pripade nejakych vaznejsich podezreni u kterych jsou i nejake dukazy hrozi za neposkytnuti hesla trest stejny jako za mareni spoluprace s policii. V Cine se vas nebudou ptat, tam si disk klidne skopiruji pokud jste nejaka zajmova osoba a heslo z vas dostanou vyhruzkami. V takovem Izraeli si nechaji rovnou cely notas a heslo taky z vas dostanou pokud chteji. Mohl bych vypravet zazitky z ruznych krajin…

_Jenda

  • *****
  • 1 550
    • Zobrazit profil
    • https://jenda.hrach.eu/
    • E-mail
Re:Externy sifrovany disk
« Odpověď #33 kdy: 29. 01. 2023, 22:06:52 »
Připojím disk, objeví se malé mass storage zařízení se soubory unlock.exe, unlock.sh a třeba dokumentace.pdf. Provedu odemčení, malé mass storage zmizí a objeví se velké mass storage s daty.
Jenže k tomu budete potřebovat administrátorská práva. A je dost velké riziko, že to nebude fungovat zrovna ve vaší distribuci, nebo že to přestane fungovat s příští verzí Windows nebo MacOS.
Nejsem odborník na Windows, ale myslím, že pokud má zařízení správnou USB třídu, například se tváří jako HID nebo jako sériák (CDC ACM), tak by mělo fungovat rovnou i pod uživatelem. (pokud není třeba doménová politika zakazující připojování USB obecně)

Navíc tohle může komunikovat i „hloupě“ přes ten mass storage, takhle fungují updaty firmwaru v některých procesorech, typicky rodiny STM32 (náhodný odkaz 1 a 2).

Na linuxových distribucích je typicky uživatel třeba ve skupině dialout (sériák) defaultně, HID nejspíš taky, minimálně třeba dokumentace trezoru se o nutnosti sudo nezmiňuje, ale osobně jsem to nezkoušel.

Jestliže používáš Windows tak Bitlocker.
U BitLockeru pozor že měl u některých nastavení tendenci ukládat klíče nešifrovaně do TPM, a to i když to bylo separátní TPM na desce, které udělalo unsealing na základě securebootu a poslalo klíč nešifrovaně po sběrnici. A pak to taky má tendenci zálohovat klíče do MS cloudu. Obecně mi vadí věci u kterých není naprosto jasně a jednoduše vidět co který klíč dělá a jak je vytvořen. Pak vznikají průšvihy jako tohle nebo třeba nekonečný příběh pass-the-hash.

Re:Externy sifrovany disk
« Odpověď #34 kdy: 30. 01. 2023, 09:01:28 »
Nejsem odborník na Windows, ale myslím, že pokud má zařízení správnou USB třídu, například se tváří jako HID nebo jako sériák (CDC ACM), tak by mělo fungovat rovnou i pod uživatelem. (pokud není třeba doménová politika zakazující připojování USB obecně)
HID vám asi moc nepomůže (heslo asi nebudete přenášet blikáním diod na klávesnici), sériový port by možná šel použít, otázka je, jak by to bylo komplikované a spolehlivé.

Navíc tohle může komunikovat i „hloupě“ přes ten mass storage, takhle fungují updaty firmwaru v některých procesorech, typicky rodiny STM32 (náhodný odkaz 1 a 2).
Což znamená implementovat ve firmware FAT nebo exFAT, budou vám do toho kecat antiviry, potřebujete obou směrnou komunikaci… Tyhle šifrované disky se často dělají tak, že mají malý oddíl, kde jsou uložené ovládací aplikace – ale to je reálný oddíl, ne jeho simulace firmwarem.


Re:Externí šifrovaný disk
« Odpověď #35 kdy: 30. 01. 2023, 09:24:34 »
Uz teraz vidim ake zalagovane to bude a aka radost pre vyvojarov bude pracovat na projekte kde mas zdrojaky niekde v tramtarii na sifrovanom disku.

Kedze odmieta riesit sifrovanie na PC vyvojaroch, predpokladam ze to bude firma kde si kazdy donesie vlastny hw.
Ocakavam teda onedlho dalsiu temu: "Ako zakazat na sukromnych PC mojich vyvojarov aby tam nemohli vkladat USB, aby nemohli robit screenshoty, a ani kopirovat texty z IDEcka."

Som zvedavy na priemernu dobu zotrvania vyvojara na takomto projekte :D

Cele mi to pripomina tuto fotku:

//nah, nedari sa mi tu vlozit obrazok, tak aspon odkaz
https://www.meme-arsenal.com/en/create/template/94341
« Poslední změna: 30. 01. 2023, 09:27:16 od kanoe22 »

_Jenda

  • *****
  • 1 550
    • Zobrazit profil
    • https://jenda.hrach.eu/
    • E-mail
Re:Externy sifrovany disk
« Odpověď #36 kdy: 31. 01. 2023, 14:03:36 »
Nejsem odborník na Windows, ale myslím, že pokud má zařízení správnou USB třídu, například se tváří jako HID nebo jako sériák (CDC ACM), tak by mělo fungovat rovnou i pod uživatelem. (pokud není třeba doménová politika zakazující připojování USB obecně)
HID vám asi moc nepomůže (heslo asi nebudete přenášet blikáním diod na klávesnici)
HID se používá (zneužívá?) pro přenos obecných dat, nedávno jsem třeba reverzoval kity od Texas Instruments které takto nastavují registry SPI zařízení. Původní, možná i současný Trezor je taky HID.

Re:Externí šifrovaný disk
« Odpověď #37 kdy: 01. 02. 2023, 09:46:47 »
Tak hknmtt radsej zrusil ucet, ocakavajte onedlho obdobne otazky od niekoho noveho :D

Re:Externí šifrovaný disk
« Odpověď #38 kdy: 03. 02. 2023, 18:35:38 »
To je skoda, tesil jsem se na reseni problemu a zadne uspokojeni neprislo… ;)

Re:Externí šifrovaný disk
« Odpověď #39 kdy: 04. 02. 2023, 11:34:19 »
Co tu padli otazky na ucel, tak ten je jednoduchy - chcem aby vyvojari mali ulozene zdrojaky na zasifrovanom disku a pracovali iba na nom. Takze nemusia riesi sifrovanie vo svojom systeme ani sa s tym nijako zaoberat. Len si nakonfigurovat cestu v editore/ide na externy disk a to je cele. Keby sa disk pri ceste stratil niekde(v kaviarni, mhd, zlodej na ulici vytrhne tasku s ntb..) tak data su zasifrovane a nic sa nedeje, netreba panikarit a riesit teraz invalidaciu pristupov pre vsetkych ludi a stroje, vygenerovane kluce, tokeny a cojaviem co. Davnejsie v praci po nas chceli zasifrovanie vlastnych pc(ntb) kvoli klientskym kodom, takze tam som videl ze to je nedobre pre ludi takto riesit a zasahovat im do systemu a prostredia a preto externy disk(opakujem disk, neviem co su stale omielate usb kluce). A neviem co je nezrozumitelne na otazke. Jasne som napsial ze chcem hardeverove sifrovanie a plug-and-play funkcionalitu.

Vřele pochybuju,že to skutečně budou používat. Pokud ti skutečně jde o bezpečnost toho,co se ve firmě vyvíjí,máš lepší to mít fyzicky pouze ve firmě,a vývoj na cestách dělat přes VPN připojením k desktopu (ať fyzickému nebo virtuálnímu) ve firmě.
Pak nebudeš muset řešit tyhle nesmysly.

Re:Externí šifrovaný disk
« Odpověď #40 kdy: 04. 02. 2023, 11:36:51 »
Tak hknmtt radsej zrusil ucet, ocakavajte onedlho obdobne otazky od niekoho noveho :D

Takže jsem to psal zbytečně. Některý lidi mě fakt dokážou nas***.

Re:Externí šifrovaný disk
« Odpověď #41 kdy: 04. 02. 2023, 20:15:33 »
Co presne myslis, co bylo tak hodnotnyho,  tvuj komentar ze resi nesmysly?
To je mi lito, ze si na tomhle vyjadreni tak intelektualne makal.

Tazatele odchazeji kvuli aroganci podobnejch konzultantu.

Tak hknmtt radsej zrusil ucet, ocakavajte onedlho obdobne otazky od niekoho noveho :D

Takže jsem to psal zbytečně. Některý lidi mě fakt dokážou nas***.

Re:Externí šifrovaný disk
« Odpověď #42 kdy: 04. 02. 2023, 20:25:22 »
Co presne myslis, co bylo tak hodnotnyho,  tvuj komentar ze resi nesmysly?
To je mi lito, ze si na tomhle vyjadreni tak intelektualne makal.

Tazatele odchazeji kvuli aroganci podobnejch konzultantu.

Tak hknmtt radsej zrusil ucet, ocakavajte onedlho obdobne otazky od niekoho noveho :D

Takže jsem to psal zbytečně. Některý lidi mě fakt dokážou nas***.
Dojmy nebo fakta?

Re:Externí šifrovaný disk
« Odpověď #43 kdy: 05. 02. 2023, 07:17:29 »
Falešný moralizování,aby vypadal jako ten hodnej snaživej.