a složil rubikovu kostku za 6 sekund?
Tyhle legrace jsme delali uz asi pred deseti lety. Jen nam to trvalo asi den. Nacist dokumentaci k LPC a napsat na to v Jave dekoder. Jiste, pak uz kazde dalsi cteni trva asi sekundu, ale ta priprava neco zabere.
Bitlocker má zadní vrátka a klíč u Microsoftu “na požádání”.Poslední neprůstřelný soft na kryptování disku byl TrueCrypt, který byl zakázán, stránky produktu zlikvidovány a po autorech se slehla zem. Tento soft pil FBI krev, protože se do počítačů s TrueCryptem nikdy nedostali.VeraCrypt vychází z TrueCryptu, ale je již “hlídaný”.
Názor byl 1× upraven, naposled 14. 2. 2024 22:05
Tak si muzes stahnout zdrojaky, a toho skritka z FBI, co to hlida, odstranit.
To nemusí být tak jednoduché. Jedna věc je nějak rozumět kódu, druhé té problematice šifrování a poznat, jestli to třeba není nějak oslabené, aby to někdo zvládl prolomit.
"ale je již “hlídaný”Nějaká reference na Vámi podanou informaci??? ... Jinako je to sazmořejmě nesmysl. Je auditovaný a mimo jiné volně k dispozici - můžete se sám přesvědčit.
Referenci asi těžko najdete oficiálně na netu, musel byste do neveřejných diskuzí. Musíte pracovat s informací, proč FBI Truecrypt zakázala a VeraCrypt jim nevadí 😉
Jako ze tripismenny agentury vynakladaji obrovksy usili, aby jakoukoliv verejnou zminku, co je spatne s VeraCryptem, mazaly, a pak nechaji zdrojaky jen tak na strance toho programu, aby si je kdokoliv mohl prohlizet? A stary "nehlidany" verze TrueCryptu nechaji jen tak volne lezet na internetu, aby si je lidi mohli stahnout? To jak vysvetlis 😀
Truecrypt už nejde od Windows 7 a určitého service packu resp. aktualizace vůbec nainstalovat (resp. nefunguje). To Microsoft (zřejmě na žádost vysší moci) zařídil.A vzhledem k tomu, že skupina lidí, kteří jedou na Windows 7 do sp2 a mají vyplé aktualizace je tak mizivá, že je to netrápí.Co se týká VeraCryptu, tak zdroják je k dispozici, ale: Kdo si ho sám zkompiluje a použivá svůj vlastní build? Nikdo. Každý stáhne binár. A i kdyby to bylo přimo ve zdrojáku tak, číst takový zdroják je velice komplikované. Něco tam vyštourat umí opravdu jen pár lidí a ty jsou pod kontrolou. A jakékoliv zjištění by stejně bylo rychle zameteno a ututláno nebo diskreditováno jinými “audity”.
Skoda ze TC 7.1a porad normalne funguje, overeno na nejnovejsich W11 (asi mam verzi bez vyssiho zasahu). A ten zbytek asi nema cenu resit, protoze vy konspiratori si vzdycky neco dokazete vymyslet...
Tak určitě 😁 Příjemnou zábavu s TC na W11. Tvoje data jsou neprůstřelná, idiote.
a toto je prosím pěkně nádherná ukázka toho, co se s vámi stane když se moc koukáte na filmy
ty jsi typicky konspirator. predpokladam rusak, co si mysli, ze americani zerou indianske deti. naprosty TUPEC
peosim te, nezvan uz…
zakázat by se měly takové lžizakázaný = přístup je odepřen nebo trestnýna stránce https://truecrypt.sourceforge.net/ je stále ke stažení, ale není udržován a obsahuje chyby, mimo jiné možnost vyčtení klíče z paměti jiným procesem.na win 10 i win 11 funguje.
Bohužel i lidi co očividně vi kulovy dneska maji možnost ty svoje vymysly šířit a bohužel se najde dostatek hlupáků co jim uvěří a nic si neověří... Opravdu divná doba.
co lzes?
Bitlocker nikdy, jedine sw a sifrovany kontejner (treba veracrypt), heslo a pripadne usb klic, pripojit jako disk kdyz ta data potrebuju, odpojit, kdyz ne.Jednoho to nauci organizovat si lepe data, a pokud odejde pc nebo zlobi OS, disk strcim jinam, a problem snadno vyresim.
Vsak BitLocker tak funguje taky - normalne je ten klic ulozenej v TPM cipu, abys ho nemusel pokazde zadavat, ale muzes ten disk pripojit jinam a recovery klic zadat rucne.
To je ale právě ten problém. Ztráta NB (krádež) s diskem zašifrovaným přes BitLocker je téměř totéž, jako nezašifrovaný. Takže je lepší mít citlivá data v zašifrovaném kontejneru, jehož heslo mám uložené jen v hlavě.
no, to neni :)ono totiz ta data z toho tpm ka dostat neni vubec easy. a bitlocker s tpm je normalne uznavany prumyslovy standard :)
I bitlocker muzes mit pod heslem a tudiz ten klic z tom nedostanes... Ale to se musi nastavit no, defaultne to tak nefunguje
ty si tak maximalne vylezl z kontejneru😁
Jakypak mate k tomu duvod? Bitlocker je uplne stejne dobra technologie, jako kazda jina.
Uložení klíče. Pokud je možné se ke klíči dostat, tak to dobrá technologie není.
a vy se k tomu klici v tom dostanete? nepovidejte.
Nechci se dohadovat, ale celý článek byl právě o tom, že se ke klíči lze dostat. Že to nedokáže on, ani já je irelevantní. Pokud bude motivace se k datům dostat, pravděpodobně se najde i někdo, kdo to dokáže.
tak kdyz si ho napises na papir a das ho do tasky k NB, tak se pak nediv🤦🏿
Pochopitelně. Ovšem to se ví a proto se na ntb používá TPM v kombinaci s PIN. Bez zadání PIN k žádnému přenosu klíče nedojde. A na serverech mám vychytávku, která zablokuje TPM po vniknutí do HW. A fakt to hacker nejak neobejde.
Názor byl 1× upraven, naposled 14. 2. 2024 19:46
Blby je, kdyz mate zarizeni, ktere potrebuje bootovat samo od sebe bez cehokoliv dalsiho. Castecne reseni je pouzit firmwarove TPM nebo sifrovaci kartu, ze ktere ty klice nikdy nevylezou ven.
Jinak pro šifrování disku lze použít přímo funkci hesla disku - při zapnutí se zadá heslo a celý disk je šifrován přimo HW disku. Tam se asi nic nikam neposílá, a funguje to už roky, mě jsem na DELLu 20 let zpátky. PC se při spuštění nejprve zeptá na heslo k disku, jinak nenabootuje, volitelně nevyžaduje při restartu.Nic ale není neprolomitelné.
Jenže spousta disků ukládala data bez šifrování, jen řadič či firmware nedovolil přístup dokud nedostal heslo. Šlo to obejít více způsoby, celkem snadno. I v éře SSD se našli známí a uznávaní výrobci, kteří heslo uložili uvnitř SSD otevřeně, pak stačil lehce upravený firmware a disk šlo najednou používat bez zadání hesla.Pocit, že disk ty data šifruje býval často falešný a dodnes tomu nelze úplně věřit.
Sifruje se jiz vicemene vzdy, jen sifrovaci klic neni vzdy chranena heslem.MP
Tohle u Applu nehrozi, sundal by dekl z Macbooka a jakmile by uvidel ty prace a sroubku, tak by to zase zavrel a rekl slusne uzivateli aby se klasicky prihlasil.
co u Macu nehrozí, že si tam spustíte Bitlocker? We windows zase nemusíte, existují různé alternativy
No to fakt nehrozí. Až Apple dospěje k něčemu, jako je bitlocker, projdu třetí reinkarnací.
Myslíš FileValut? Nějaký problém?
Ehm, ono Apple má security enclave priamo v procesore a všetko je šifrované za chodu. K tomu je systém na vlastnom oddiely (dáta sú zvlášť) a ten je kompletne locknuty voči zápisu. Zapisovať môže len a len kód podpísaný Applom.A k tomu je Filevault, to je dodatočné šifrovanie ktoré zablokuje aj pristup priamo pred štartom systému. Ak ale od toho zabudnete heslo, tak vybavené. Takto za šifrované dáta nikto nikdy zatiaľ neprelomil
Názor byl 1× upraven, naposled 15. 2. 2024 07:18
Prosimvas, od kdy tohle je? Jak je to dlouho, co to takhle maji?
Ciste FileVault maji od roku 2003 (kdy v roce 2011 doslo k vyznamny predelavce na FileVault2, kdy to konecne umelo sifrovat cely disk a ne jen home adresar (coz bylo u FileVault1 reseny formou sifrovanyho disk image)).Ten zbytek nevim, jabko uz nemam.
Elliot Anderson to tym padom musi davat za sekundu a pol a bez pico dosticky
Tohle moje babička zatím nezvládne...
Kdo nedělá nic špatného, dešifrování se nebojí. Když se nad tím zamyslíme, proč má vlastně vláda, potažmo stát, mít cokoliv šifrovaného? 😀
A co firmy a jejich know how?
Jsi naivní dítě, důvěřivý Stuart.
Takže když firma šifruje svoje zařízení aby neunikli interní data, dělá to protože dělá něco špatného?
Nekteri tu nepoznaji sarkazmus, ani kdyby je mlatil klackem po hlave..Teda, doufam, ze to je sarkazmus 🙂
Naopak - jak to, že vláda ve 21. století nemá zašifrované naprosto všechno? Veškerou komunikaci, dokumentaci .. prostě všechno?
Lebo súkromný sektor platí násobky a bezpečnostní špecialisti sa zrovna o prácu pre štát nepretrhnu. Tam idú robiť len úplné luzy.Keď som videl tie platy (tabuľkové ako inak) ani by som nevstal z postele. A to nezarábam tak brutálne ako odborníci na bezpečnosť, proste freelance reactak.
Já byl tak naivní, že jsem si myslel, že tam dojde pomocí asymetrického šifrování, k zabezpečenému přenosu klíče
"V každém případě, pokud se případný útočník dostane až k hardwaru, odposlech přenosu klíče pro BitLocker je to nejmenší. Takový počítačový systém už z principu nelze považovat za důvěryhodný "Pane autore, nezlobte se, ale presne pro tento pripad exituje HW sifrovani disku, cili to co pisete, je nemysl. Prave pro pripad zcizeni vaseho ntb je dobre mit sifrovani disku, protoze pokud system dobre nvrzen, jako napr. u applu, tak se utocnik k datum nedostane ani kdyby se rozkrajel.
Bitlocker je sifrovanie disku ty jelito 😁Ked sa ti niekto dostane k pocitacu tak si ho proste zapne a nemusi nikde odchytavat kluce k desifrovaniu diskuBtw Applia secure enclave bola niekolko krat hacnuta 😀
Bitlocker je jeden ze zpusobu sifrovani disku, nikoli jediny.Je prinejmensim vhodne znat omezeni jednotlivych technologii.
...? vy jste nevidetne nepochopil ani clanek, ani muj prospevek, ani to, jak funguje sifrvoani disku a k cemu slouzi.
no a vzhledem k chybnému designu je zcela zbytečný...logika je taková, že bez hesla k win se člověk nedostane ani k souborům, pokud vymontuje disk a připojí externě, takhle ale stačí nabootvat v originální mašině (asi spíše bude odcizen celý NB) a následně se na data dostane i bez hesla win...
Jen, pokud nemas na Bitlockeru nastaveny PIN.Jinak tohle je znamy problem uz minimalne 10 let, klic Bitlockeru je normalne v pameti, takze treba ve sleep rezimu jde vytahnout a precist.
Blbe. Zkouseli jsme ruzne metody, ale "hardwarove" se nam to na DDR4+ nepodarilo. Jiste, pokud by jsme meli lepsi vybaveni, radove v desitkach milionu korun. Kazdopadne tenhle clanek nehovori o ulozeni klice v pameti a jeho ziskani.
Ak mam pristup k HW kde je TPM bez hesla/PINu tak aky mam problem ten OS nabootovat a dalej ist standardnou cestou cracknutim hesla na Widle? Len pre info, vela dosiek ma volny socket napojeny na zbernicu na ktorej je aj TPM takze staci fakt par sekund a pripojite tento citac, avsak to skutocne nic neriesi, jedine situaciu kedy ten kluc nacita este pred zapnutim hesla/PINu pre TPM a potom by ho vedel simulovat miesto samotneho TPMka ale to je taky okrajovy scenar ze to nie je ani poriadna diera.
Co je to "standardnou cestou cracknutim hesla na Widle" ?
"... vela dosiek ma volny socket napojeny na zbernicu na ktorej je aj TPM ..."Ukažte alespoň jednu konkrétní.
Socket asi úplně ne, ale ta I2C/SPI sběrnice je fakt velice snadno přístupná. Na jakékoliv desce.
Je to vetsionou na LPC.
Co je LPC?
Ukaž alespoň jeden TPM modul s LPC rozhraním.Schválně jsem si nějaké nově ceritikované prošel, jestli se něco neězměnilo, ale s LPC jsem nenašel žáýdný. Všechny mají jen SPI a ty od Nuvotunu ještě I2C.https://trustedcomputinggroup.org/membership/certification/...
Na deskach je obvykle pro TPM vyuzivana LPC sbernice. Jestli je kolem toho TPM chipu jeste nejaky dalsi balast, ktery to na ni prevadi nebo jestli delaji specialni cipy, netusim. Ze jste nasel svaby, ktere maji jen SPI nebo I2C neznamena, ze jsou tak pripojene do chipsetu.EDIT: ve vysledku je ale vlastne uplne jedno, jaka sbernice to je, jen s LPC je trochu vic prace to zdekodovat. Je to 4bit Low Pin Count Bus.Na Wiki pisou, ze si to kazdej vyrobce dela, jak chce. Co jsem realne videl, byly na deskach obvykle infineony nebo microchipy.
Názor byl 2× upraven, naposled 15. 2. 2024 12:31
Základní desky se socketem AM3 to měly hodně často, jak ty levnější, tak i ty dražší. Dřív na TPM platilo omezení exportu, proto tam výrobci dřív dávali jen 20 pinový header a TPM pak šlo dokoupit extra.Ale s nástupem AM4 se TPM začaly dělat uvnitř procesorů a už se to tam dává míň. Já sám mám levnou desku Gigabyte A320M S2H se socketem AM4 a ta slot na TPM má a mám ho tam připojený (a ten v procesoru mám vypnutý ). Ale dneska už je spíš problém koupit ten TPM modul. Dřív je měl kdejaký e-shop, teď už to skoro vymizelo z trhu.
Standardni cesta crackovani hesla ze zasifrovaneho disku?MP
Prosim jak bych hackoval heslo do Windows, pokud budu mit zapnuty secure boot a zaheslovany BIOS?
Uf, ještě že používám VeraCrypt. 🙂
A funguje bez problemu? Pamatuju si, ze driv tam byly nejaky potize s vykonem SSD a nebo ze se musel disk nejak desifrovat pri kazde aktualizaci. VC taky pouzivam, ale na systemovej disk jsem radsi pouzil Bitlocker, protoze proste funguje bez problemu, jenom je potreba pro vyssi bezpecnost zapnout ten PIN.
Funguje bez problemu.
Resp. mas pravdu v tom, ze jsem si ted vzpomnel ze na jednom notebooku blokoval aktualizaci. Ale bylo to uz par let zpatky, v posledni dobe jsem nic podobneho nezaznamenal.
U nás ve firmě jsme od VeraCryptu upustili. Při každé aktualizaci půlka počítačů nefungovala, resp. se obnovovala záloha a velké zdržení. W10 si s ním nerozuměli očividně.
Já používám truecrypt a tam připojuji virtuální disky ze souboru, s tím jsem problém neměl. Na šifrované disky pak dávám to, co má smysl, zbytek věcí neřeším.
Jeste ze mam Linux, ten FS sam o sobe Wydle neprectou a zlodej je tak blbej, ze ho nenapadne ze to je neco jineho nez Wydle, tedy to po 5ti dnech hackovani smaze, nainstaluje Wydle a proda zanovni po dedeckovy co umrel.
https://devblogs.microsoft.com/commandline/access-linux-... https://github.com/maharmstone/btrfsa tak by se dalo pokračovat. Tolik jen k tomu nesmyslu "Jeste ze mam Linux, ten FS sam o sobe Wydle neprectou". Jinak sloh celkově a stavba vět ve Vašem příspěvku o Vás lecos napovídá 😃
Názor byl 2× upraven, naposled 14. 2. 2024 23:39
Staci si predsa zapnut PIN. Asi nikto rozumny nenechat pripadneho utocnika dostat sa az k nabootovanym Windows, aj ked bez prihlaseneho pouzivatela, kde su uz zive v podstate vsetky porty, co ten NB ma.
A co kdyz mam zarizeni, ktery nemuzu zamknout za mrize a potrebuju, aby bootovalo bez PINu? Vy mate vzdycky vsichni tak krasne jednoduchy reseni, ale neuvedomujete si, ze vas domaci notebook neni jedine zarizeni na svete.
tak pouzijes neco jineho🤦🏿 ty nemas ani poneti, k cemu je bitlocker
Hacker za pár sekund překonal šifrování BitLocker. Stačila mu upravená destička Raspberry Pi Pico.----------------------------------------------------------------------------------------------------------------Ten už to musí mít natrénované !
K čemu je HW šifrování, které uvolní privátní klíč bez předchozí autentizace uživatele? Přece vůbec nedává smysl něco takového používat a je jedno jestli je ta trusted enkláva přímo v procesoru nebo čip někde bokem. V tom není žádný rozdíl.
tak alternativa všechny ty gagabajty dat budete posílat po pomalé SPI sběrnici do TPM modulu, ale myslím, že to nechcete.
Jaka SPI sbernice? Je to obvykle LPC. Muzete si poridit sifrovaci kartu na PCIExpress, kdyz na to prijde.
Spatne nastavene politiky. Pre-Autentizace je dobra ale neni nezbytna.Rozumne nastaveny TPM zablokuje klic po- otevreni pocitace (tamper)- nabootovani z jineho nez povoleneho zdroje- zmene nastaveni UEFI/BIOSu ...MP
To bych chtel videt, ktere TPM podporuje tamper proof. Krome toho, kdyz se do toho prorezu flexou, tak mi nejaky tamper muze byt nekde, pokud to teda neni vojensky temper proof notebook / pocitac, obaleny cely do nejake tamper proof folie. Mimo to, pokud se to takhle designuje, tak ne jen, ze ten klic nedostanete, ale nedostanete ho obvykle uz nikdy, protoze se smaze. A ten zbytek je cicovina nemajici nic spolecneho se sifrovanim disku. Jsou to jen dalsi opatreni, nikoliv vsak nezbytna, protoze pokud zmenim nastaveni biosu nebo nabootouju z jineho zarizeni, velmi pravdepodobne (podle nastaveni PCR politik v OS) zadny klic nedostanu.
Vsechny znackovejsi MB maji tamper. Zaklady (ne uplny vycet) viz https://learn.microsoft.com/en-us/windows/security/op... MP
I to "prolomitelne" sifrovani ma smysl. Odejde vam SSD, mate jej v zaruce. Vyrobce bude pozadovat zaslani "vadneho disku". Pokud ten disk nebude zasifrovany a bude obsahovat nejaka citliva data, tak jej nebudu chtit poslat. Pokud bude disk sifrovany, treba bitlockerem, tak jej poslu, nevidim v tom riziko, ze by vyrobce dokazal data na disku obnovit a zneuzit...
Predstava ze se vyrobci sejde mesicne 1000 disku a zrovna ten vas bude chtit vytezit, je usmevna 😃. Maji to na diagnostiku, pripoji draty, vyctou stav NAND, proveri zapisy, cteni, historie teploty, napeti. Proveri komponenty na disku a jde to do srotu. Je videt ze nemate zkusenosti jak to chodi v servisnim stredisku. Je tam tolik prace, ze fakt neni cas zkoumat co tam kdo ma a nema.
Pokud budu hodne paranoidni, je to celkem jednoducha cesta, jak provest prumyslovou spionaz. Nemusim nasadit lidi k vyrobci. Staci nekde po ceste.
Tu a tam, kupodivu docela casto, se najde zarizeni, ktere musi nabootovat i bez pritomnosti uzivatele. Treba po instalaci aktualizaci.
Bitlocker je děravej jak cedník navíc closed source, nikdo soudný by na to nespoléhal když je to bezpečný asi jako heslo do windows... A proč když máme nástroje typu VeraCrypt / LVM šifrování v linuxu? Několikrát prověřené auditované, opensource....
Názor byl 1× upraven, naposled 13. 2. 2024 15:30
Zajímavá myšlenka. Zkus trošku rozvést to nasazení "LVM šifrování v linuxu" ve Windows, kde se ten BitLocker používá. 😉
Tak tam logicky VeraCrypt
LVM není šifrování. Je to Dm-crypt.
Prolomení za pár vteřin... Akorát musel přizpůsobit tu věcičku hardwarově i softwarově přímo na daný pc. V jiném typu by byl v háji...
Vlastně ani nebyl. Ty čipy jsou připojené na společnou sběrnici, buď I2C nebo SPI.Stačí se kdekoliv napojit.
Je to obvykle LPC. Nektere desky maji header, jiny ho nemaji, takze je potreba se nekam prihackovat. U notebooku je to jeste slozitejsi, protoze je vsechno mnohem mensi.
To nejdůležitější nikdo nenapsal. Stačí si zapnout přes GPO vynucení zadání PIN před pre-boot bitlocker loader a je zabezpečeno. Tohle v článku bohužel chybí. Tím je původní klíč jen ve vaší hlavě a nepomůže ani svěcená voda.
Můžeš prosím napsat postup?
ty se do toho radsi VUBEC nepoustej
ten klic, tedy nejaky 4096bit kriptovaci klic, skutecne neni ve vasi hlave ;) ale muze byt zasifrovany tim PINem, to ano
Ne, zadny klic tak absurdni delky tam nefiguruje
Klic se nesfruje PINem. Pin je jen jedna z PCR metrik, ktera musi sedet, aby TPM klic vydalo.
Urcite bych si chtel pamatovat zmet nesmyslnych znaku o delce treba 64 znaku a zadavat pri kazdem bootu 😃
PIN je normalni heslo.
Tak když je v defauftu vypnuté potvrzení PINem, tak se opravdu není čemu divit. Chyba Microsoftu a zároveň výrobce HW, že to nechá takhle jednoduše přístupné zvenčí.
Vyrobce HW dela HW podle specifikace TCG. Tam musite jit brecet. Fakt byste chtel u domaciho pocitace pokazde zadavat PIN pri bootu? Kazda normalni firma si to zmeni v politikach.
"Fakt byste chtel u domaciho pocitace pokazde zadavat PIN pri bootu?"Je smutné, že to tak není. Pak tady čteme jak dítě vyluxovalo v nějaké hře rodičům kreditku. Povědomí o bezpečnosti je u "běžné" populace zoufalé (Počítače bootují bez hesel rovnou "na plochu", všichni členové rodiný sdílejí stejný ůčet atd atd)
Názor byl 1× upraven, naposled 16. 2. 2024 11:53
No ale útočník se samozřejmě může dostat až k hardwaru. Typicky se BitLocker používá k zašifrování disku v notebooku pro případ ztráty či krádeže. Když někdo ukradne či najde notebook tak si samozřejmě může s hardwarem dělat co chce, tomu nikdo nezabrání. Proto se používá to šifrování, a když jde prolomit tak je to špatně.
Právě, po přečtení článku jsem znervoznel. Existuje tedy nějaká alternativa, která prolomit nejde?
Jakekoli dobre implementovane FDE sifrovani, ktere nezavisi jen na TPM? Pak uz je to jen na uzivateli, jak silne heslo si zvoli.
Skús prelomiť mac s nejakým Mx procesorom.
presne tak, tam to je intergovane v cipu a popreji pripadnemu utocnikovo hodne stesti s prolamovanim, bude ho potrebovat opravdu hodne.
A jinde to neni integrovane v cipu?
V PC to je v TPM chipe, ale ak to heslo posiela nezašifrované po zbernici a dá sa zachytiť aj pomocou raspberry, tak to nie je bezpečné. Apple to má uložené v procesore a von to neposiela, takže útočník sa takto k nemu nedostane.
V PC je to taky v obvykle v procesoru.
Až v poslední době. TPM je tady s náma bratru 15 let, fTPM pár posledních let.
Jenže kolik času musel borec věnovat zjišťování jak funguje TPM, bitlocker a všechno kolem, to už tam nepíšou.Alternativa je používat TPM uvnitř procesoru, což se dělá přibližně od roku 2017. Takže článek se týká jen celkem starých počítačů, které ještě mají TPM jako samostatný čip.
Po mně to chce i heslo/PIN. Ten problém z článku se předpokládám vyskytuje, pokud se to nic neptá a použije jenom data z TPM (ve videu taky nic nezadává, čas asi 1:13).Ale je fakt, že jestli to je takhle jednoduché, tak to šifrování jako ochrana před krádeží tak trochu ztrácí smysl. Asi jako data šifrovat a heslo/klíč nechat napsaný vedle.
Názor byl 1× upraven, naposled 13. 2. 2024 14:56
No, "jednoduche". Takhle to jednoduse vypada, ale kdyz bys to chtel provest tak zjistis ze jsou za tim desitky az stovky hodin prace a testovani.
To už záleží na tom, komu ten notebook ukradli, pokud tam jsou cenná data, tak se to vyplatí. A pokud ne, tak to třeba nebude ani šifrované... Ale takhle mi to přijde jako takový falešný pocit bezpečí.
A druhá věc je, že tu práci někdo udělá jednou (třeba pro každou značku/typ notebooku). Ale když se to pak zveřejní nebo to bude prodávat, tak to vlastní použití už pak bude rychlé... Zakládat bezpečnost na tom, že obcházení je trochu pracné, není úplně funkční přístup 🙂.
Jenze to plati u vseho. A ano, pouzivat jako klic zadavany PIN/heslo urcite jde, ale pak pripadna zmena znamena presifrovat cely obsah. Kdyz nekdo bude chtit, tak ten PIN/heslo ziska taky. Proste to jsou vsechno jen komplikace pro "zpomaleni" a porad zustava nejvetsi sance, ze se k datum nedostane z nejakeho duvodu spis jejich vlastnik.
Co je to za nesmysl, ze by se kvuli zmene hesla nebo PINu musel presifrovat cely obsah disku?EDIT: opraven preklep
Názor byl 1× upraven, naposled 13. 2. 2024 22:23
pokud je to heslo pouzito jako doplnkovy klic? Pokud ne, tak to pujde desifrovat i bez nej. Pokud to je jen ke zpristupneni klice ulozeneho ... . Lepsi varianta je klic zasifrovany tim pinem, ale porad to je napadnutelne.
Názor byl 1× upraven, naposled 13. 2. 2024 21:44
Tak obecně to snad funguje tak, že šifrujete klíčem a ten je pak zašifrovaný něcím, co je nějak odvozené od hesla. Pokud chcete změnit heslo, tak přešifrujete ten klíč, ale data jako taková se nemění. Kdyby to mělo při každé změně nebo zapnutí/vypnutí šifrování všechno přepisovat, tak by se člověk nedočkal. Nemluvě o tom, co by se stalo, kdyby v půlce vypadlo napájení...
Jiste, ale s tim pada bezpecnost o rady dolu. Ostatne zasifrovat klic a ulozit heslo hned vedle je dost bezny postup.Jinak pri vypnuti/zapnuti sifrovani se to prepsat musi, jinak to neni zmena. Vypadek napajeni behem procesu nicemu nevadi, pokud ten proces navrhoval nekdo kdo ma aspon jednu mozkovou bunku.
"Jiste, ale s tim pada bezpecnost o rady dolu" - vazne? Jak jsi na tuhle zajimavou myslenku prisel?
>> Vypadek napajeni behem procesu nicemu nevadi, pokud ten proces navrhoval nekdo kdo ma aspon jednu mozkovou bunku..Jak? Když je půlka šifrovaná jedním klíčem a zbytek jiným... Ale třeba tam jsou nějakou dobu uloženy oba.
Zadne dva klice tam nefiguruji, proc by jedna cast disku mela byt sifrovana jednim klicem a druha jinym?
No možná jsem se tu už ztratil, někdo tvrdil, že při změně hesla by musel přepsat celý disk. Tak říkám, co by dělal, kdyby se převedla polovina a pak systém spadl. Polovina by byla šifrovaná nějak a zbytek jinak. Pak by musel mít oba klíče a ještě vědět, kam až to bylo převedené. Ale prakticky se to tak doufám nikde nechová, že by se to muselo celé přepočítávat, to by nebylo moc praktické.
To se nejprve desifruje a pak zase zasifruje, tedy zadne 2 klice tam nefiguruji.
Muzes nam prosim objasnit, kdy se podle tebe disk "nejdriv desifruje a pak zase zasifruje"? V jake situaci nebo situacich to nastane?
Pokud by se menil sifrovaci klic... tedy pokud jsem pochopil to, o cem tu diskutujete. 😉
A ten by se měl měnit proč? Prostě je potřeba to udělat tak, aby změna hesla neznamenala nutnost všechna data přepočítávat.
Ale to ja nevim proc, nekdo to tu zminil v diskusi. 😉
A všechna ta data se dají kam?
Tak tady asi nerozumim otazce ?
>> To se nejprve desifruje a pak zase zasifruje, tedy zadne 2 klice tam nefiguruji. No pokud jsou data na disku a měla by se všechna dešifrovat a pak znovu šifrovat, tak se musí někam odlít. Ale proč by se to prakticky dělalo? Trvalo by to dlouho a uložením dešifrovaných dat někam jinam riskujete, že se k tomu něco dostane...
Ty si jelito, proč by se měla data někam nalívat? Vše se odehrává na úrovni sektorů disku. Načteš sektor, zašifruješ (dešifruješ) a zase zapíšeš na stejné místo. Žadný další prostor není třeba.
Názor byl 1× upraven, naposled 14. 2. 2024 22:15
Takže máš průběžně část disků šifrovanou jedním klíčem a část druhým. Fakt si někdo myslí, že by to fungovalo? Co se stane, když v polovině práce systém spadne nebo třeba vypnou proud - budete mít dva různé klíče a vědět, která část disku jde dešifrovat kterým? Nemluvě o tom, že u dnešních HDD by změna znamenala práci na celý den... Ona roste kapacita, ale rychlost zpracování už tolik ne.
Ale ne, zadne 2 klice. Proste se nejprve cely disk desifruje i s daty a pak se zase, i s daty zasifruje. V prubehu sifrovani i desifrovani se da normalne pracovat, jen je to pochopitelne pomalejsi. A neni problem v prubehu operace ani treba restart kompu, protoze dalsi data se nenactou dokud se predchozi bezpecne nezapisi, takze po restartu proces sifrovani normalne pokracuje dokud operace nedobehne na 100%. Jinak ano, rychlost zalezi na vykonu a kapacite disku.
Aha, no to asi jde, ale pořád je potřeba vědět, co už je zašifrované. Což se asi pozná, když se zapne třeba bitlocker poprvé, tak to taky začne šifrovat a probíhá to postupně. Akorát je riziko v tom, že po nějakou dobu data nebudou šifrovaná.
Ano, po nejakou dobu data nejsou sifrovana, ale zde se predpoklada, ze tuto operaci si clovek spusti v bezpecnem prostredi a ne treba v kavarne, kde si po desifrovani odskoci na WC. 😉
Ach jo, koukam, ze v tom je docela zmatek. Zkusim to objasnit.Pri sifrovani disku necim takovym jako je Bitlocker nebo Veracrypt se nejdriv vygeneruje hlavni "master" sifrovaci klic, ktery je uplne nahodny a dostatecne dlouhy, aby se nedal zjistit hrubou silou. Ten se nekde ulozi (v TPM nebo na disku). Idealne (zvlast v pripade ulozeni na disku je to nutne) se jeste predtim zasifruje nejakymi dalsimi daty (PIN uzivatele, heslo, soubor s dalsim klicem, ...)Data na disku jsou pak sifrovana po blocich a kazdy blok pouziva jiny sifrovaci klic, odvozeny od master klice. Viz treba https://cs.wikipedia.org/wiki/GCM_(kryptografie).Pokud uzivatel zmeni heslo/PIN/... tak neni potreba znovu desifrovat a sifrovat diskove bloky. Jedine co se zmeni je zasifrovana podoba master klice, ktery je nove zasifrovan ve svem ulozisti novym vstupem uzivatele.
Koukam, ze se pletu i ja a AES-GCM se nepouziva, pouziva se XTM-AES. V danem kontextu je to jedno, na principu to nic nemeni
Jo, v pohode, ale o to mi neslo. Ja se jen snazil vysvetlit, ze nedochazi k pouziti dvou klicu soucasne... tedy nedochazi k "presifrovani", ale nejprve se desifruje a pak lze opet zasifrovat... at uz je duvod pro to desifrovani jakykoliv.
V tomhle ma Bespi_ pravdu. Pri zapnuti/vypnuti sifrovani se pochopitelne musi prepsat vsechna data, bud z citelne do sifrovane podoby nebo naopak. Jinak by to sifrovani pochopitelne nemelo smysl.Plete se ale v tom, ze je potreba data prepisovat i pri zmene hesla nebo PINu, to by byla pekne mizerna implementace.
Prečo by niekto vypínal šifrovanie???Aj keď to predávam a budúci majiteľ má svoje heslo, tak je lepšie nechať šifrovanie zapnuté a preinštalovať systém alebo zresetovať do továrenského nastavenia.
Treba kdyz to sifrovani bylo nekompatibilni s OS update (coz se v minulosti stalo). Bylo potreba desifrovat, provest update, zasifrovat.
Nebo kdyz se zjisti, ze pouzity sifrovaci algoritmus uz neni dostatecne silny.
Proč? Už dlouho některé disky umí šifrování samy, zapne se to v BIOSu. Šifrujete vždycky nějakým klíčem. Ale buď je pro systém viditelný, takže data jsou čitelná a nešifrovaná, nebo je klíč šifrovaný a ptá se to na heslo. Zapnutí/vypnutí je pak jenom přepnutí v biosu - se zapnutým jinde přečíst nejde, s vypnutým se připojí jinde a normálně funguje. Není to přepis dat na půl dne...Je možné, že to potřebuje podporu v disku i BIOS, já to nepoužíval.
Názor byl 1× upraven, naposled 14. 2. 2024 13:08
Myslis OPAL? O kterem se pak ukazalo, nektere SSD data vubec nesifruji, prestoze do OS a UEFI reportuji, ze ano? I kdyz to uz je snad vyresene.Jenom si nejak neumim predstavit, ze by nekdo prisel k cizimu PC, nastartoval do UEFI, pak tam prepnul disk na "nesifrovat" a disk si v pohode odnesl domu. To by byla mnohem vetsi dira nez ta popisovana v clanku, ne?
V práci jsme to s někým řešili, asi jim odešel notebook a nešlo mu to jinde přečíst, protože to bylo šifrované. Tak jsme to připojili u nás, někde v biosu se zadalo heslo k tomu disku, přepnulo že má být nešifrovaný a pak to šlo připojit i jinde. Prostě to nějak šifruje pořád, akorát se dá říct, jestli je ten klíč pro systém viditelný (takže z hlediska komunikace se tváří klasicky nešifrovaně) nebo to chce nějaké heslo a bez toho to člověk nepřečte. Ale nevím, co to vyžaduje, možná musí mít nějakou podporu disk i ten počítač...
"někde v biosu se zadalo heslo k tomu disku"Takže jste zadali heslo a vypnuli - tzn. dešifrovali - klíč, kterým je zašifrovaný celý disk. Tedy nic jako vypnuli jsme v BIOSU ale legitimně za použití hesla dešifrovali klíč.
Jo, vypnulo se šifrování (alespoň z hlediska systému, kam je disk připojený). Ale šlo o to, že se člověk může rozhodnout, jestli data mají být viditelná nebo vyžadovat heslo a bez toho nejdou přečíst. A zároveň kvůli tomu nemusí při každé změně přepočítávat celý obsah disku a trávit tím půl dne.
"A zároveň kvůli tomu nemusí při každé změně přepočítávat celý obsah disku a trávit tím půl dne." - to se nemusi nikdy, viz vyse.
No já vím, někdo tu psal, že při změně pinu by se to muselo dělat, tak to byla diskuze k tomu..
Šifrování v rámci disků nepoužívat. Některé kecají a nešifrují, i když tvrdí, že šifrují. Pak jsou disky, ze kterých lze dešifrovací heslo vytáhnout (šlo to před cca 10 lety u několika modelů, kde tu cestu někdo prošlapal, stačilo se píchnout na pár pinů, stáhnout obsah fw, a v přislušné lokaci měly uloženy heslo v plaintextu, i kdyby bylo heslo přelito hashem, tak lze většinou dešifrovat, pokud to není něco hustodémonského).Šifrování v rámci hdd je prostě nespolehlivé / nedůvěryhodné. Nikdo ty algoritmi neauditoval atd. Takový Bitlocker, Luks a další věci prošly hafec audity, opravami návrhu apod.Zdar Max
Odposlechnout heslo z klávesnice je hračka.
Jasne. Zvlast v okamziku, kdy jeste nebezi OS.Nejakou dalsi pohadku bys tam nemel?
Tak v nějakých laboratorníc průzkumech to třeba fakt zvládli i u drátové klávesnice, ale zrovna hračka bych tomu neříkal. Ona každá klávesa bude mít nejspíš nějaký charakteristický zvuk, takže je zvládnete odlišit (ale asi by se to muselo natrénovat na konkrétní typ, nejspíš i kus). Pokud posíláte signály po drátech, tak to zase bude generovat elmg. pole, s dostatečně citlivou technikou by to asi šlo (ale to už by bylo silnější třeba vyzařování od monitoru).Tady byl asi nějaký článek, ale už to nefunguje.https://www.1u.cz/tag/klavesnice/Pak jsem ještě našel nějakou jejich práci, podle abstraktu zvládali odposlouchávat na 20 metrů i přes zeď...https://infoscience.epfl.ch/record/140523
"Zvlast v okamziku, kdy jeste nebezi OS"Pamatuju na chybu AMT u vPro od Intelu - vzdáleně se dalo z BIOSu číst ledacos (takže bych si teoretickou možností voláním v takovém případě INT 0x13h resp. INT 0x16h apod vůbec nebyl tak jistý 😃)
Názor byl 2× upraven, naposled 14. 2. 2024 23:54
Jojo, to presne si predstavim, kdyz nekdo napise 'to je hracka" 😉
😃
Tak kedysi to šlo, keď sa posielal analógový signal na monitor a heslo sa zobrazovalo. Stačilo smerov anténu ale odvtedy sme pokročili 😀
Koukate se pokazde v kancelari na strop, jestli v podhledu nepribyla nejaka dirka? :) Jste si jisty, ze vam nikdo nestoji za zady? :) Nejvtipnejsi jsou treba kamery ve vytahach. Neveril byste, kolik lidi odemkne telefon heslem pod kamerou ve vytahu. Pokud se jedna o PC a ne notebook, neni nic jednodussiho, nez vytahnout USB/PS2 konektor z pocitace a strcit tam nenapadny mezikus a po case si ho vyzvednout. Toho si proste nikdo nevsimne. Reknu to jinak. Kdyz chcete, vsechno jde. Je to jen otazka casu a penez.
Kamara ve vytahu je super vec pro odchytavani hesel nahodnych kolemjdoucich, jenom nevim jak zaridit aby pod ni odemykal notebook zrovna objekt meho zajmu.Ano, ja vim ze odchytit heslo lze. HW keyloggery bezne nasazujeme pri nasich operacich. Jenom bych to nepopsal slovy "odchytit heslo z klavesnice je hracka", protoze to predpoklada, mj. pristup do prostor, kde se muj cil bezne pohybuje a kde ma bud PC nebo dokovaci stanici.
Názor byl 1× upraven, naposled 15. 2. 2024 10:18
Pokud chcete, je to velmi snadno resitelny problem. Ziskat fyzicky pristup nekam zase neni az takovy problem. Zase je to jen otazka casu a penez.
Vyzadovat PIN nebo pouzit jiny typ sifrovani, ktery nepouziva TPM k ulozeni klice ale uklada klic zasifrovany pomoci hesla.
Potvrďte prosím přezdívku, kterou jsme náhodně vygenerovali, nebo si zvolte jinou. Zajistí, že váš profil bude unikátní.
Tato přezdívka je už obsazená, zvolte prosím jinou.