Šifrování na Intel SSD 520 v USB

PCnity

  • *****
  • 703
    • Zobrazit profil
    • E-mail
Re:Šifrování na Intel SSD 520 v USB
« Odpověď #15 kdy: 08. 12. 2012, 16:53:41 »
Logicky... Nic ine sa ani cakat nedalo.

Ked uz HW sifrovanie, tak potrebujes externy box s vlastnym Microcontrollerom ktory sifruje data. Cize napriklad externy box na HDD ktory ma bud klavesnicku na zadanie PIN kodu, alebo ma citacku odtlacku prostov. Tieto srandy vsak uz stoja o dost viac...
Pozor, pokud se něco rozšifrovává *jen* otiskem prstu, musí to mít nutně ten dešifrovací klíč někde vevnitř uloženo, protože otisk nejde jako klíč použít. Pak už je jenom otázka, jak složité je ten uložený klíč extrahovat.

Nemusi... Stacilo by ak by to malo ulozenu sumu kluca. Ale prave o tom pisem :) Proste aj tomu HW sifrovaciemu zariadeniu sa neda verit kym nie je open source.


PCnity

  • *****
  • 703
    • Zobrazit profil
    • E-mail
Re:Šifrování na Intel SSD 520 v USB
« Odpověď #16 kdy: 08. 12. 2012, 17:00:41 »
Ten navod je onicom. Sifrovat len /home nie je dostatocne.
Rozdel si disk na 1 boot particiu, pripadne jednu nesifrovanu windows particiu a zbytok do jedej ktora bude niest cely system.

sda1 /boot
sda2 /mnt/windows
sda3 -- physical volume for encryption

Nad sda3 sprav dm_crypt - sda3-encrypted

Nad sda3-encrypted sprav LVM - vg-encrypted a nad tym VG sprav lv-root, lv-swap, lv-co_len_chches

A az do tych LV nahod system.



vsetky tieto kroky sa daju spravit priamo cez installator Debianu, do Ubunntu 12.04 - alternate install, Nove ubuntu to ma snad tiez. Tympadom je vsetko za bootloaderom sifrovane. Aj swap. Nepotrebujes tolko ramdiskov a aj tak je to bezpecnejsie.
Aj dm_crypt aj LVM si rozumeju s dicard prikazom.

Jenda

Re:Šifrování na Intel SSD 520 v USB
« Odpověď #17 kdy: 09. 12. 2012, 06:36:29 »
Nemusi... Stacilo by ak by to malo ulozenu sumu kluca.
Povídej, přeháněj. Nedokážu si představit, jak bych něco takového implementoval (a co je vlastně „suma klíče“).

Papilární linie nemůžeš použít jako vstup pro vygenerování klíčového materiálu. Umíš je jenom srovnat s předem naučenými vzorky a říct, jak moc jsou si podobné. Derivovat z nich alespoň 80 !vždy stejných! bitů entropie pro symetrický klíč nejde…

pepak

Re:Šifrování na Intel SSD 520 v USB
« Odpověď #18 kdy: 09. 12. 2012, 07:15:01 »
Ak je tam nejaký timeout po zadaní zlého hesla , tak je to ok.
Ovšem pouze za dvou předpokladů:
1) že se nedá ten flashdisk otevřít a ta kontrola vyřadit, a
2) že šifrovací klíč je náhodně generovaný a uložený tak, že se nedá ze zařízení žádným způsobem dostat.
Oba tyto předpoklady jsou u Padlocku vzhledem k ceně i vzhledem k historii bezpečnosti v Corsairu krajně nepravděpodobné.

Nemusi... Stacilo by ak by to malo ulozenu sumu kluca.
Až na to, že se to nedá implementovat. Problém je v tom, že u žádné mě známé biometrie nedokážeš udělat bit-by-bit stejný výstup v různých časech (pokaždé je prst jinak natočený, jinak silně přitlačený na podklad atd.). Musíš udělat nějaký přepočet, nejspíš srovnání se vzorem ("podobnost je 96 procent, to uznám jako shodu"), ale to se nedá použít pro přímé generování klíče.

johnny

Re:Šifrování na Intel SSD 520 v USB
« Odpověď #19 kdy: 09. 12. 2012, 10:49:12 »
Diskusia kryptografov :D

Ako vás tak počúvam, pomaly sa dopracujeme k tomu, že si mám počítač vyskladať z materiálov z nízkym vyžarovaním a pre istotu celú izbu odtieniť olovom.
Spraviť si live DVD zo všetkými softvérom ktorý potrebujem, dočasné súbory dať na ramdisk a použiť pre istotu naraz viac druhov šifrovaní: Bios-U-key, hw aes od intelu, pre istotu nejaký dmcrypt celej partície a nakoniec to zapeckovať tým, že si vygenerujem nejaký pekný 8k RSA kľúč a pekne krásne to celé GPGčkom celé zašifrujem. S dešifrovanými dátam pracovať len na ramdisku. Pred vypnutím PC ten ramdisk pre istotu kombináciou ddčka a randu celý prepísať. Zabudol som žiadne bezdrátové pripojenia a ani pripojenie k internetu. Napájanie počítača len cez konvertor z batérii, aby sa náhodou nedostalo šumenie do siete. Pre istotu do miestnosti nikdy nevstupovať, zaliať ju betónom a v prípade otrasov aktivovať výbušniny. Dosť bolo, srandy, aj tak to potom uvolním ako opensource :D