Ten bitlocker vypadá dobře, ale neumím si moc představit, že to MS implementoval bez nějakýho vládou posvěcenýho backdooru. Takže stejně zůstává TC...
Nikde neegistuje žádný zákon, který by podobný backdoor vynucoval a nikdo ze stoupenců konspiracenikdy nebyl schopen podobný zákon předložit. V době, kdy jsem pracoval pro společnost vyvíjející šifrovací produkty, nikdo z vlády nepřišel a backdoor po nás nechtěl. A to ani přesto, že se prodávalo i do USA.Proti konspiraci hovoří i fakt, že MS by v případě prozrazení backdooru riskoval mezi korporátními zákazníky totální smršť a apoklalypsu v podobě soudů o ohromné peníze. A věřte tomu, že jakmile by u nějakého procesu vytáhli dekryptovaný disk, věděl by o tom během několika minut celý svět...
bitlocker fakt je kvalita pry neprolomitelne je ale jen v enterprise a ultimate to je taky jen jedna ze dvou veci kteryma se tyto verze lisi
Pěkný článek 🙂 Jednou jsem si tak "dokonale" zašifroval fotky, že se k nim doteď nemůžu dostat :)Jinak, to zaheslování disku v BIOSu funguje, i když disk někdo dá do jiného PC?Díky 🙂
Známej jednou při prvním přihlášení do Win odpověděl na otázku "chcete označit vaše složky jako soukromé?" ANO. Když potom windows přeinstalovával, tak si ty svoje složky zazálohoval a ikdyž si pak vytvořil stejnej účet, tak na ty svý starý data neviděl. Neumím si představit, jak by to bylo se starými daty při nějakým z tady popsanejch způsobů...
No jsem sice začátečník, ale v ubuntu je taky možnost "šifrovat domácí složku" a nikdy to nezaklikávám.. jednou jsem se přihlásil a už jsem nikdy z těch souborů ve složce /home žádný nenašel.. jenom nějaký zástupce na odšifrování který házel nějakou chybu asi že myš je laserová a ne optická... a tak jsem přestal používat ubuntu a je mi skvěle :)
Linux si ještě nezažil svoje Visty, až klesne užívání Linuxu z 1% na 0.098, tak se to možná trochu sjednotí a začnou brát uživatele jinak než bezprávného blba, co má být vděčný.
No jo, profíci, oba dva. Co si asi myslí, že účet Pavel a Pavel je vlastně stejný účet ne ?
Stačí exportova certifikát a po reinstalu win ho zase importovat.Logika -> sifrovana data dekryptuju tak, ze je zkopiruju je na hlavu postavena
nove disky uz maji cip s on-the-fly AES sifrovanim ...jen jsem neprisel na to, jestli se to pak vaze na heslo disku (pri startu pc),to uz nikde nenapisou :(
Pokud dobře rozumím tomu, na co jste nepřišel, tak ano, heslo je vázáno na disk. Při startu systému musíte prostě zadat heslo disku a vymazání BIOSU nebo vložení do jiného PC nepomůže. Moje otázka spíš směřuje k tomu, nakolik se na toto šifrování můžu spolehnout? U TrueCryptu, který je opensource, je docela velká pravděpodobnost, že zde nebudou "nedopatřením" nechaná zadní vrátka. Co ale výrobci disků, kteří jsou v tomto prakticky nekontrolovatelní? Co si myslíte?
no o tom, ze heslo je potreba vzdy zadat, jsem vedel ...vyrobce ale uz neupresnuje, jestli to heslo je spojeno pak s danym sifrovanim,tj. hardwarovou vymenou radice a zrusenim hesla niceho nikdo nedocilizadni vratka tam zrejme nebudou, sifrovani je spolehlive a hlavne bez ovlivnenisystemu
Záleží na disku. Někde je heslo jen v elektronice, někde se používá ke generování klíče. Z toho, co jsem testoval, asi nejlépe vychází Intel 320 - psal jsem o něm kdysi článek: http://notebook.cz/clanky/prislusenstvi/2012... ...
zajimave, u Intelu je to teda vetsi jistota,skoda jen toho 128-bit AES, ale mrknu na jine modely :)
"U TrueCryptu, který je opensource, je docela velká pravděpodobnost, že zde nebudou "nedopatřením" nechaná zadní vrátka." - s tim bych byl velice opatrny: http://www.pepak.net/bezpecnost/open-source-a-... ... Doporucuju i dalsi Pepakovo ctivo, na nektere otazky tam najdete odpovedi a k necemu najdete zase nove otazky 🙂
jo, to nikdo nikdy nevi, jestli tam neni bug 😃ale preci jen, kdyz uz by byla takova moznost primo hardwarovehosifrovani, tak by to bylo nejlepsiz. ;)
Jetšě jedna taková drobnost - procesory AMD neměly donedávna vestavěné šifrovací instrukce. Na takovém stroji šifrovat systémový disk je sebevražda - je to póóómááálééé...
Dobrý den pane Čížku,rád bych Vám v prvé řadě touto cestou pogratuloval. Nejsem zvyklý na vysokou úroveň článků na žive.cz, čtu žive velmi sporadicky více méně pouze z patriotismu a téměř vůbec od Té doby, co ze mě udělal blbce jeden z Vašich kolegů, který zpětně opravil článek, když jsem jej v diskuzi (tehdy ještě nanonymní) upozornil na zjevný nesmysl, aniž by tuto zpětnou editaci přiznal - jak je u profesionálních novinářů zvykem. Nicméně Váš příspěvek všechny ostatní předčil a přesvědčil mě, abych se zaregistroval a napsal Vám sem komentář.V prvé řadě bych Vás chtěl požádat, abyste si o věci o které píšete alespoň něco málo přečetl. Vím, že možnost všechno si pohodleně vykliknout svádí ve Windows k tomu, že má člověk pocit, že lecčemu rozumí, ale není tomu tak. Tak tedy... změna práv na souborech a adresářích je zcela bezpředmětná, protože průměrně inteligentní středoškolák s přístupem na Internet Vám nastavení práv obejde a administrátorské heslo ze systému vydoluje za půl hodiny. A nemusí se ani moc snažit, pokud budu mít přístup k Administrátorskému účtu, tak se k Vašim datům dostanu, i kdybyste do security descriptoru na příslušném objektu napsal třeba pohádku o Sněhurce. Blbnete lidem hlavu.Pokud jde o ESF, tak Vám pouze položím otázku... Kde si myslíte, že jsou uloženy šifrovací klíče k ESF v případě, že nepoužijete smart karty či tokeny?Doporučujete TrueCrypt, s tím souhlasím - ovšem pokud si uživatel zvolí opravdu silné heslo. BitLocker, totéž, ovšem riskovat, že použijete jako bootovací klíč USB disk, který poměrně snadno podléhá skáze...Atp.S pozdravem nepište mi a pokud možno... no škoda mluvit.Ondřej Krajíček
Jeste doplnim: EFS i Bitlocker ochrani vas system mozna tak pred maminkou, ale nikoli pred Velkym bratrem. Toto omezeni je treba mit na pameti.
Nedivte se žalostné úrovni článků na Živě. Autoři totiž nemají potřebné vzdělání ve výpočetní technice a jen kopírují cizí články, aniž by tomu vůbec rozuměli.
to spis vy nepiste nam kdo to ma cist tak dlouhe prospevky bitlocker je neprolomitelny pro nikoho wiki According to Microsoft sources,[16][17] BitLocker does not contain an intentionally built-in backdoor; there is no way for law enforcement to have a guaranteed passage to the data...http://en.wikipedia.org/wiki/BitLocker_Drive_Encr... ... nezalezi na slozitosti hesla je vzdy dopocitano na 128bitu jedina moznost jak prolomit je cold bott atackhttp://en.wikipedia.org/wiki/Cold_boot_attack... probiralo se to tu nedavno
Jako problematickou bych videl tu cast "According to Microsoft sources"... 😝
Když jsem si přečetl, že ve Win8 bych musel při každém ukládání souboru zadávat administrátorské heslo, tak jsem získal další silný argument, proč se w8 vyhnout širokým obloukem.
Ale nelže nám pan redaktor? neplatí to jen pro ukládání do rootu céčka?
Viš co je root?A viš o tom že podobně elevaci prav chtěly už seven?A víš o tom že pokud budeš ukladat do mojezoofilnniporno na G tak chtěji prd?Jo ja zapomněl kdo zas komentuje 🙂Komentator co pravidelně komentuje ale nema tucha jak to funguje,nicmeně ma vždy a zasadně jasno že jsou to win takže je to špatně.Članky zdejšich redaktorů je nutno brat s rezervou,mam silnej pocit že nikdo z nich nema ani zakladni vzdělani v oboru.
Vzhledem k tomu, že používám svůj komp jenom já, tak na skupiny zabezpečení a práva uživatelů celkem kašlu a mám nastavený přístup všude kam potřebuju.Na druhou stranu mám ale celý komp kryptovaný truecryptem s naprosto šílenou délkou hesla a všemi možnými i nemožnými symboly, takže bych řekl, že základní zabezpečení dostatečné
Ako je super vzdelavat ludi, ale:1. Nastavení práv: administrátor zde nemá co čmuchat! - ma, preto ze je spravca pocitaca. Pokial nechcem aby mi niekto do dokumentov isiel pouzijem sifrovanie alebo aspon zaheslujem dokument aj pred pozeranim 2. Na Windows 8 platí staré dobré unixové pravidlo, že prostí uživatelé mohou zapisovat pouze do svých vlastních profilů a profily ostatních ani neuvidí. - netreba ale zabudnut dat zlozky na iny nez systemovy disk 🙂
Přiznám se, že jsem zvyklý nepoužívat nic - tzn. pokud můžu, mám pouze jeden administrátorský účet a to bez hesla. Zabezpečuju se pouze na úrovni internetu = antivir+antispyware+hodně nepropustný firewall+nonIE prohlížeč+vypnuté "nebezpečné" síťové služby Windows a to vše před prvním připojením systému na internet.
admin bez hesla je imho úplná sebevražda, i pokud používáš "hodně nepropustný firewall a nonIE browser" (tohle mě dost pobavilo)
A můžu se zeptat proč?na to aby jsi se mohl vzdáleně připojit na libovolný účet potřebuješ ho mít ve skupině Remote Desktop Users a mít povolený remote access, nebo mít povolenou jinou službu pro vzdálený přístup (telnet nebo cokoli)Pokud žádná služba není zapnutá, na PC se vzdáleně standardně nedostaneš.Pokud se pletu informujte mě, děkuji
standartně ne..
Jsem na to tak prostě zvyklý, je to komfort na úkor bezpečnosti.
Od verze 8 je IE nejbezpečnější browser, jestli jste o tom neslyšel.
Já jsem v něj ztratil důvěru při verzi 6, a to nejen co se týče bezpečnosti. Od té doby jej nepoužívám, takže věřím, že se od té doby se zlepšil.
Ahoj,Clanek je fajn. Jen par poznamek.1) Tohle nema smysl, administrator si vzdycky muze prevzit ownership. Doma jste admin vy, takze bych to neresil a ve firme mate smulu.2) EFS - admin ve firme ma vzdy "master" certifikat (teda v rozumnych firmach :).3) Jo to uz je lepsi :). Nezapomente na bitlocker to go - kdyz neco chcete kopirovat na flashku, muzete ji taky zasiftrovat - stejne jako disk.4) TPM je nutnost. Bez TPM to nema smysl (pak je to komplikovane). Pokud ale mate TPM, tak je to naprosto jedonuche. Ale zde je potreba zazalohovat klic napr. na skydrive. (pokud locknete pin, zmeni se hw a PCR registr nesedi). Ve firmach je moznost zalohovat do AD pripadne pomoci MBAM do sifrovane SQL database.my 2 cents - vsimli jste si, ze win8 ma jen 2 moznosti kryptovani? AES128 a AES256 (bez diffuzeru). Je to kvuli offloading decryptingu na instrukce procesoru a FIPS compliancy. A mame tu jeste novy scenar - Encrypted HDD - ale vyzaduje UEFI 2.3.1 v native modu a TPM 2.0Kaspik
LOL zalohovat na skydrive 🙂 tomu rikam bezmezna duvera ...
TPM ma jeste jeden problem - pri pouziti na systemovem disku neskutecne pada vykon :-/
To neni o TPM - TPM jen uvolni desifrovaci certifikat na zaklade pinu/mereni a porovnani s PCR zaznamy. Vykon muze padnout - ale zalezi na stroji. core i5 a i7 maji instrukce na offloading (kdyz nepouzijete diffuser, tak vykon "teoreticky" nepadne). Nemam po ruce bohuzel zadny whitepaper.Pokud pouzijete Encrypted HDD (specialni hdd + UEFI 2.3.1 + TPM 2.0) a win 8, tak sifrovani je kompletne zalezitost hardware - tedy disku.kaspik
Mám necelé 2 roky starou základní desku, byla dost drahá a TPM čip nemá 🙁A dokoupit TPM čip na přídavné kartě nelze 🙁 Teda v žádném e-shopu jsem to neviděl 🙁Teď ať mi Microsoft poradí co dělat, když nedokáže dupnout na výrobce hardwaru, aby více spolupracovali.Šifrování považuji za nutnost.Dneska různé "vyúčtování" a faktury chodí elektronicky tak je potřeba je někde ukládat a "zašifrovat", aby si je nepřečetl někdo, cizí.Např. dítě moc na PC neumí, přivede si domů kamaráda zkušenějšího a kámoš "prohledá" složky rodičů ...nebo v PC servisech. Na opravu PC má živnost každý druhý.
Tak presne proto windows 8 compatible HW by TPM cip obsahovat mel.. Jen si nejsem jisty zda to je povinne. http://msdn.microsoft.com/en-us/library/windows/har... ... Pokud ovsem budete mit TPM 1.2 nebo 2.0, tak system bude vyuzivat measured boot. - tedy zaznamy o bootovani se budou ukladat do PCR registru (v TPM) a antimalware/pripadne system je bude moct poslat na vzdaleny server pro vyhodnoceni a pripadne nelazeni rootkitu...Pokud bude system mit zaroven uefi 2.3.1 a aktivovany secure boot, pouze specialnim certifikatem podepsane OS komponenty budou spusteny.kaspik
No jestli dítě používá (obvykle ke hraní, že?) stejný počítač na kterém máte citlivá data, tak si průšvih asi zasloužíte.
Problem je v komunikaci mezi procesorem a TPM, empiricky overeno u i5/7, ale bez UEFI. To mozna dokaze pomoci, ocerim, az se ke mne dostane prislusne vybaveny stroj.
vyborny clanok
Až na to, že každá druhá věc je lež 🙂
a co brání administrátorovi v tom, přidat si práva ke složkám ostatních uživatelů dodatečně?
Administrátor maximálně jednoduše získá práva zpět. 🙂
Souhlas - nic - převezme vlastnictví souboru - čímž získá plná práva - odkopíruje, popř. modifikuje soubor a vlastnictví vrátí zpět uživateli a své práva odebere - user má pocit totálního soukromí. Prosil bych autori živě, když už smolí článek tak alespoň pravdivý - neutvrzujte uživatele ve falešném pocitu bezpečí.
Ale od toho admin je. Ten má mít přístup ke všemu. K čemu by byl kdyby uživatelé byly v některých věcech nad ním? Admin má být schopnej udělat naprosto cokoli. To jestli je to zmetek co se hrabe lidem v účtech jak se mu zlíbí podle mě není problém MS. To už si musí pořešit např. organizace.
Jenže článek píše o tom, že lze Adminovi zakázat přístup, což je mylná informace. Viz text článku:"Pokud nechcete, aby měl administrátor rodinného počítače přístup do vašeho profilu, budete muset nad vybranými složkami pozměnit práva. Může to být třeba jen vybraná složka „Tajné“, nebo klidně celý adresář profilu, u kterého odstraníte právo pro přístup administrátorů. Případně jim můžete povolit třeba jen procházení složkou, ale v žádném případě zobrazování obsahu souborů."
Aha, omlouvám se, špatně jsem pochopil povahu xkaliho příspěvku.
pokud je admin mamka 😀
Potvrďte prosím přezdívku, kterou jsme náhodně vygenerovali, nebo si zvolte jinou. Zajistí, že váš profil bude unikátní.
Tato přezdívka je už obsazená, zvolte prosím jinou.