Šifrovaná virtuální Windows

[V.]

Zdravím,
měl bych dotaz: na druhém disku, který bude v laptopu, budu mít virtuální firemní Windows, která ale musí být šifrována. Co je lepší (méně náročné na CPU) - šifrovat oddíl, na kterém je uložen obraz Windows nebo šifrovat virtuální disk až ve Windows samotných? Co k tomu použít?

Ten druhý disk bude klasický 2,5" 7200rpm SATA, hostitelský systém bude na SSD

Díky předem za pomoc

[Reklama]

[smoofy]

To záleží na tom, co si od toho slibujes. Pokud budes sifrovat virtualni disk, tak pro desifrovani budou pouzity pouze prostredky, ktere bude mit virtualni stroj k dispozici, coz povede ke spomaleni virtualniho systemu jako takoveho a budes muset resit pridanim prostredku.
  Ja podle toho zadani moc nechapu ten layout, to budes mit SSD s linuxem a ten SATA dedikovanej pro widle? Na jakym zeleze to budes provozovat a k jaky praci?

[V.]

SSD pro Linux a cast HDD pro Windows. Bude to i5 na ~2.6GHz, dvoujadro, 8GB RAM.
Pracovat budu na Linuxu, Windows tam budou jen kvuli toho, abych se dostal na Live meetingy a mel nativniho Office communicatora. Jinak se tam budu snazit zdrzovat co nejmene. A jde mi o to, co bude nejmene narocne pro HDD/CPU ... jestli sifrovany virtualni stroj nebo virtualni disk.

[smoofy]

Bude samozrejme zalezet na pouzite virtualizacni a sifrovaci technologii, nicmene pokud potrebujes ty widle sifrovany, tak je treba si uvedomit, ze budes-li sifrovat na hostitelske vrstve a nekdo dostane pristup k zapnutemu pocitaci a pretahne ten virtual tak si v pr.. jak Bata s drevakama coz se ti pri virtualizaci na hostovi nestane.

[#]

... Windows tam budou jen kvuli toho, abych se dostal na Live meetingy a mel nativniho Office communicatora. Jinak se tam budu snazit zdrzovat co nejmene. A jde mi o to, co bude nejmene narocne pro HDD/CPU ...

Ja jsem toto resil tak, ze narozdil od vsech svych kolegu byl pracovni notas porad v praci a pres RD sem resil tyhle specificky pozadavky. Vyhoda umisteni fyzicky v praci byla samozrejme i v praci s mistni siti, ponevadz tahat vse pres VPN domu byl dost opruz u nekolika gigovych buildu.

[Reklama]

[V.]

Ja jsem toto resil tak, ze narozdil od vsech svych kolegu byl pracovni notas porad v praci a pres RD sem resil tyhle specificky pozadavky. Vyhoda umisteni fyzicky v praci byla samozrejme i v praci s mistni siti, ponevadz tahat vse pres VPN domu byl dost opruz u nekolika gigovych buildu.

To pak muzu misto notasu mit klasickou pracovni stanici, ktera bude vykonem uplne nekde jinde:) Navic u nas se do VPN z jineho, nez firemniho Windows/Linuxu, nedostaneme.

[V.]

Bude samozrejme zalezet na pouzite virtualizacni a sifrovaci technologii, nicmene pokud potrebujes ty widle sifrovany, tak je treba si uvedomit, ze budes-li sifrovat na hostitelske vrstve a nekdo dostane pristup k zapnutemu pocitaci a pretahne ten virtual tak si v pr.. jak Bata s drevakama coz se ti pri virtualizaci na hostovi nestane.

Kurnik to me nenapadlo, ze v pripade sifrovani hostitelskeho disku to muze nekdo vykopirovat :/
Samo, ze bych nezamknuty laptop nikde nenechal, ale cert nikdy nespi. Oukey, takze to asi vypada na sifrovani primo ve virtualnich windows...

[Mirek Prýmek]

budes-li sifrovat na hostitelske vrstve a nekdo dostane pristup k zapnutemu pocitaci a pretahne ten virtual tak si v pr..

Kurnik to me nenapadlo, ze v pripade sifrovani hostitelskeho disku to muze nekdo vykopirovat :/
Samo, ze bych nezamknuty laptop nikde nenechal, ale cert nikdy nespi. Oukey, takze to asi vypada na sifrovani primo ve virtualnich windows...

To nepomuze, ne? Kdyz nekdo ziska pristup k bezicimu pocitaci s bezicim virtualem, tak ten virtual uspi, zkopiruje a ma k nemu pristup tak jako tak. (Minimalne muze z kopie pameti nastartovaneho virtualu ziskat sifrovaci klic)

[V.]

To nepomuze, ne? Kdyz nekdo ziska pristup k bezicimu pocitaci s bezicim virtualem, tak ten virtual uspi, zkopiruje a ma k nemu pristup tak jako tak. (Minimalne muze z kopie pameti nastartovaneho virtualu ziskat sifrovaci klic)

Asi se vzdy najde zpusob, jak se k datum dostat, pokud je system pusteny...
Jde mi o to, aby se nekdo nemohl dostat do firemni site a k mailum a podobne a abych splnil "company policy". To, ze tady existuje teoreticka moznost, ze nejaky uber hacker se k tomu dostane, bych neresil.

Tak jsem hledal reseni, ktere bude co mozna nejvice bezpecne a zaroven co mozna nejmene narocne na provoz.

[smoofy]

To nepomuze, ne? Kdyz nekdo ziska pristup k bezicimu pocitaci s bezicim virtualem, tak ten virtual uspi, zkopiruje a ma k nemu pristup tak jako tak. (Minimalne muze z kopie pameti nastartovaneho virtualu ziskat sifrovaci klic)

Tak mas pravdu, ale to uz je trochu sci-fi a hranici s paranoiou nemyslis? Tahle firemní politika funguje proti fetkam, nenechavejm neprizpusobivejm a pripadne zvedavejm a kolegum a lidem v kategorii script-kiddie. Proti cilenymu utoku ti to stejne nepomuze.

Kurnik to me nenapadlo, ze v pripade sifrovani hostitelskeho disku to muze nekdo vykopirovat :/

ono staci nekoho nechat podivat se na facebook na tvem pocitaci a odskocit si na zachod. Nez budes zpet ma kopii celeho virtualu na flashce a k datum se potom dostat je otazkou natazeni do jineho virtualu a bootu jedny live distro.

S tvym pocitacem bych nad tim vubec nepremyslel a zasifroval ten virtual. Ja na i5ce s 4GB RAM provozoval na Gentoo virtualni Windows 2008 a win 7 na testovani a behalo to bez problemu s pustenym hdd filmem takze bych strach nemel, i kdyz sem sifrovani na virtualu nikdy nezkousel a muze se to chovat vselijak.

[Mirek Prýmek]

Tak mas pravdu, ale to uz je trochu sci-fi a hranici s paranoiou nemyslis?

Vyhledavani toho klice v pameti uspaneho virtualu trochu sci-fi je. Ale uspani beziciho virtualu, jeho zkopirovani a spusteni jinde mi zas takovy scifi neprijde.

Tahle firemní politika funguje proti fetkam, nenechavejm neprizpusobivejm a pripadne zvedavejm a kolegum a lidem v kategorii script-kiddie. Proti cilenymu utoku ti to stejne nepomuze.

To uz musi tazatel posoudit sam, jestli to resi splnuje jejich firemni politiku nebo ne.

[Franta]

budes-li sifrovat na hostitelske vrstve a nekdo dostane pristup k zapnutemu pocitaci a pretahne ten virtual tak si v pr.. jak Bata s drevakama coz se ti pri virtualizaci na hostovi nestane.

Když se někdo dostane k hostiteli, tak je to v háji všechno – může např. odposlouchávat klávesy (a tím heslo, které zadáváš uvnitř toho virtuálu) nebo si udělat dump paměti virtuálu a z něj vytáhnout šifrovací klíč.

Ale je to prašť jako uhoď – když má přístup k hostiteli, má přístup i k virtuálu, ale když má přístup k virtuálu (nabourá se do těch Windows), nemá přístup k hostiteli (že by se mu podařilo „vyskočit“ z virtualizace, je celkem nepravděpodobné). Na druhou stranu, když je útočník ve virtuálu, má k dispozici dešifrovaný disk (tak jako tak) a může tahat soubory rovnou z běžícího systému.

Co se týče výkonu, bude lepší šifrovat na úrovni hostitele – přeci jen virtualizace nějakou režii má.

[PCnity]

Ono nakolko to je notebook, uplne defaultne by som tam dal full disk encryption bud cez dm_crypt alebo tresor a nad to LVM.
Pokial ma CPU Intel Core i5 a vyssie, podporuje instruckcie AES-NI a tympadom sifrovanie len minimlane zatazuje CPU. A pokial je uz hostitelsky disk na aes256 cez dm_crypt, nema zmysel dalsie sifrovanie vo Windows.

Implementacia dm_crypt je navyse v ubuntu uplne easy a podporuje ju aj installator.
Tresor je sice bezpecnejsia varianta ale stoji viac namahy a navyse by oba disky museli mat rovnaky kluc.

[PCnity]

Len tak mimochodom... Vyhladanie kluca z memeory dumpu je hracka. Su na to hotove nastroje a to dokonca aj pre host systemy. Cize efektivne nie je rozdiel medzi tym ci sifrujes pod alebo nad virtualizaciou.

V pripade ze ma niekto pristup k pamati virtualky, ma pristup ku klucu... A mozeme zajst aj dalej. Staci ti na 5 min pristup k fyzickemu stroju a sprej so stlacenym vzduchom za 100 kc. Tych 8 G by som si dumpol a dm_crypt, bitlocker, truecrypt kluce by som mal chvilu na to.

Pokial by sa utocnik dostal k pamati virtualky cez host OS, je uz aj tak vsetko stratene. Cize uplne najbezpecnejsie riesenie je trsor nakolko je odolny voci cold boot memory dumpu. A mimochodom je to lahsie nez si vacsina ludi mysli.

https://citp.princeton.edu/research/memory/code/

[V.]

Diky za odpovedi.
takovy snad uz posledni dotaz - da se nejake sifrovani nastavit tak, ze po zamknuti obrazovky/uspani by se musel klic znova zadat?