|
|
Closed source, ili security-through-obscurity često znači sigurnosni promašaj. Ovisno što se čuva na disku treba prilagoditi razinu sigurnosti. Ako je smisao da mlađi brat ne može uključiti hard i naći pornjavu onda je to kućište ok. Ako su na njemu Bitcoini ili nešto vrijedno onda bih u širokom luku zaobišao takvo rješenje.
|
Samsung M3 serija USB diskova je imala nekakav software za zaključavanje...
Nisam trenutno doma pa ne mogu pogledati, a i nisam siguran radi li sa ostalim diskovima... |
SSD enkripcija, SED, TCG Opal, BitLocker, sigurnost podataka, TRIM, wear-leveling
Pitanjce.
OPAL diskovi sami po sebi imaju enkripciju. 2 keya, 1. enkriptira 2. authenticira. sve jasno. što se dogodi kad uključiš bitlocker? inače TPM ima key za dekripciju. Što se tu događa sa bitlockerovim keyem kad je OPAL u igri? šema je da imamo bitlocker keyeve u AD-u pa me zanima kako će se to ponašati (kako radi), i kako dekriptirati disk u slučaju riknuča matične. |
Da sam sebi odgovorim nakon kopanja:
OPAL (SED - self encrypting drive) diskovi nemaju nikakve veze sa bitlockerom. Hardware enkripcija je cijelo vrijeme upaljena samo što je pristup dozvoljen svima dok se ne zaključa na jedan od 2 načina: U biosu s ATA lockom sedutil aplikacijom ak se izgubi pass od ata zakljucanog diska, kao i prije, disk se može baciti sedutil zaključanim diskom može se spasiti disk ali ne i podatci. napravit će wipe pošto encrytion key više neće biti isti. Nadalje, bilo mi je sumjivo nakon raspakiravanja OS-a radim backup imagea, hoće mi 400GB image raditi. Bitlocker uključen :?: a nisam ga uključivao. - od Win 10 ver 1803 ako su uvjeti za samo enkripitiranje tu (npr tmp 2.0, uefi secure boot, DMA protection) disk se sam pocne enkriptirati praznim kljucem nakon OOBE-a, ulaskom u sysprepani image jelte. Key se mjenja ak se ulogira microsoft accountom ili ak je enforsan preko AD group policiya pa se zapisuje u comp account. https://docs.microsoft.com/en-us/win.../oem-bitlocker Zakljucak: Prakticki se disk može 2 puta enkriptirati (hard i soft). Pošto postoje brojni članci kako se SED nesiguran, tako da je to rješenje sa SED diskom *đaba si krečio* |
Enkripcija SSD-ova, (ne)sigurnost podataka, TRIM i wear-leveling
Ne znam ni sam gdje otvoriti ovu temu, veže se i za SSD i za OS i za aplikacije pa ajmo zasad staviti ovdje.
Nedavno sam otvorio Samsung Magician da provjerim ima li nova verzija aplikacije i firmwarea za SSD te usput malo detaljnije proučim opcije koje su unutra. Tako sam naletio da je TRIM uključen, ali samo za particije koje nisu kriptirane TrueCryptom (kojeg koristim brat bratu 10 godina, znam ga već u dušu). http://i64.tinypic.com/2mynuqd.png http://i66.tinypic.com/2lj03gk.png http://i67.tinypic.com/2vxi16b.png Sad tu dolazimo da problema gdje u dokumentaciji TrueCrypta jasno piše da TRIM i wear-leveling rade samo kad se koristi system encryption što bi značilo enkripcija cijelog SSD-a. Naravno, to na mom laptopu nije moguće jer ima UEFI BIOS, a TrueCrypt ne zna raditi s UEFI-jem i GPT driveovima. Isto tako piše da se ne preporuča korištenje TrueCrypta s TRIM-om i wear-leveling mehanizmima radi sigurnosti podataka kad ih ti isti mehanizmi krenu raspršivati po driveu radi optimizacije, ali to mi nije toliko bitno. Napominjem čisto da upozorim ostale. Citiraj:
1. ne, ne želim isprobavati VeraCrypt i ostale :) 2. laptop u sebi ima TPM 2.0 3. koristim Windows 10 Pro Build 1809 4. BitLocker od Windows 10 Pro Build 1511 podržava encryption mode XTS-AES kao i TrueCrypt i postaje još sigurniji kad se prebaci na 256-bit AES Ali me muči jedna stvar, a to je odabir hardware ili software enkripcije. Sudeći po ovom i ovom linku, tu postoji problem kad je u pitanju kombinacija hardware enkripcije i SSD-ova jer Windows 10 očekuje da enkripciju odradi SSD, a ovaj ne radi ništa. Vraćam se natrag u Magician i vidim da tu postoji stavka Data Security. http://i64.tinypic.com/znwr4.png http://i63.tinypic.com/29fawwl.png http://i67.tinypic.com/a5c654.png Tražim po internetu i vidim da baš moj jadni Samsung 850 EVO taj posao kljakavo odrađuje odnosno nikako ne odrađuje i da sam prisiljen koristiti software enkripciju. Mene sad zanima nekoliko stvari jer nikad nisam koristio BitLocker na SSD-u i na Windows 10: 1. koliko je softverska enkripcija brža/sporija od hardverske? 2. prepostavljam da je recovery u slučaju neke havarije lakši kad je enkripcija softverska? 3. kako u tom slučaju rade TRIM i wear-leveling? 4. postoji li kakva rupa zvana backdoor i slično? 5. ima li još nekih skrivenih caka? Eto, ako netko ima iskustva s tim stvarima, bilo bi mi drago da ih podijeli. Hvala unaprijed. |
Citiraj:
Softverska je teoretski nešto sporija od hardverske. Teoretski. U praksi, neko usporavanje je teško vidljivo, iako nisam testirao "prije" i "poslije". S recoveryjem nisam imao neka iskustva, no sumnjam da je imalo izvediv na jednostavan način. TRIM i wear levelling rade normalno, BL nema problema s tim. Za backdoorove ne znam, inače dosta pazimo na to, provjerim detalje. |
ja sam se nedavno zezao s tim.
ne znam kako se ponaša trim i wear level u kriptiranju s BL. evo moje pitanje/odgovor http://forum.pcekspert.com/showthread.php?t=296493 |
Što se recoveryja tiče samo ubacite disk u bilo koji komp i unlockate ga keyem iz AD-a ili filea i možete ga čitati, skenirati i što već.
Radi direkt na sata sučelju, sata to USB, m.2, m.2 to USB. To sam probao. edit: Eh, da, bootate live winse i tamo isto samo unlockate keyem. |
Citiraj:
Samo je pitanje koa vrsta enkripcije, koji SSD... Ima previše kombinacija da bi netko sa sigurnošću mogao reći "ovo je ovako i gotovo". |
Citiraj:
Poslije sam još malo istraživao i TrueCrypt na SSD-u je po testovima dosta sporiji od BitLockera, u nekim slučajevima i do 10 puta, baš ga ono zakolje. Svi valjda znamo kako radi SSD, vjerojatno je do toga što za write i najmanjeg filea nekad treba i 30 operacija kad TRIM ne radi pa dok to sve prođe kroz CPU, bla, bla,... Na isti način radi i VeraCrypt i zbog toga ga ne želim za system encryption jer u 5 godina razvoja nisu ništa napravili po pitanju performansi na SSD-u. Prije par mjeseci su ubacili opciju za uključiti/isključiti TRIM, ali performanse su ostale iste. Citiraj:
U odnosu na TrueCrypt i VeraCrypt, BitLocker je ranije krenuo s podrškom za TRIM, valjda su sve ispeglali do sad, ali nigdje ne vidim kako zapravo radi. Ostavlja li i dalje neenkriptirane podatke kao ova dva ili ne. S druge strane, hrpa kompanija ga koristi, pa valjda si ne bi dopustili takvu glupost. Citiraj:
Citiraj:
|
Citiraj:
No problema s BL nakon toga gotovo nikakvih. |
Jučer sam se cijelo popodne zezao backupom sustava. Neki vrag se promijenio, ili u BIOS-u ili u Windowsima, a obje stvari su upgradeane ohoho puta otkad sam nabacio TrueCrypt, i nikako mi nije htio bootati Acronis True Image 2018, stalno pucala provjera EFI filea u secure bootu. Ako isključim secure boot, onda bude samo crn ekran. Na kraju morao skinuti najnoviju verziju Acronisa pa dok sam to instalirao, dodao Windows ADK i WinPE, napravio ISO, pretvorio ISO u UEFI, nabacio sve na USB stick, prošlo vremena ajme. Na kraju konačno napravio image Windowsa, zlu ne trebalo.
Poslije toga prebacio cijeli SSD i pomoćnu SD karticu na BitLocker. Sistemska particija nije bila pod TrueCryptom pa sam nju samo prebacio u BitLocker, a za ostale dvije sam morao napraviti quick format (jer particije poslije TrueCrypta budu u RAW-u), pokrenuo kompletnu enkripciju BitLockerom (opcija za korištene PC-e) i onda vratio podatke. Rezultati testova su više nego pozitivni s tim da ručno nisam pokretao nikakvu optimizaciju SSD-a, pustit ću neka se odradi jednu noć. CrystalDiskMark - sistemska particija - lijevo bez enkripcije, desno BitLocker https://farm8.staticflickr.com/7919/...710519a2_o.png https://farm8.staticflickr.com/7856/...25d94e72_o.png CrystalDiskMark - data particija - lijevo TrueCrypt, desno BitLocker https://farm8.staticflickr.com/7854/...35322e69_o.png https://farm8.staticflickr.com/7841/...3e7526c4_o.png CrystalDiskMark - micro SD kartica - lijevo TrueCrypt, desno BitLocker https://farm8.staticflickr.com/7880/...03c56351_o.png https://farm8.staticflickr.com/7840/...dbd33189_o.png ATTO - sistemska particija - lijevo bez enkripcije, desno BitLocker https://farm8.staticflickr.com/7814/...03a6424b_o.png https://farm8.staticflickr.com/7889/...17c3e0cd_o.png ........ https://farm8.staticflickr.com/7878/...745dbeb9_o.png https://farm8.staticflickr.com/7821/...65f5f337_o.png ATTO - data particija - lijevo TrueCrypt, desno BitLocker https://farm8.staticflickr.com/7900/...20633e00_o.png https://farm8.staticflickr.com/7815/...f7052efc_o.png ........ https://farm8.staticflickr.com/7920/...1f33f301_o.png https://farm8.staticflickr.com/7925/...3f613b22_o.png ATTO - micro SD kartica - lijevo TrueCrypt, desno BitLocker https://farm8.staticflickr.com/7927/...a5d47021_o.png https://farm8.staticflickr.com/7884/...f049abfe_o.png ........ https://farm8.staticflickr.com/7850/...e7ecfae7_o.png https://farm8.staticflickr.com/7901/...ba64b292_o.png BitLocker status iz command linea: Code:
C:\WINDOWS\system32>manage-bde -statushttps://farm8.staticflickr.com/7918/...e7df8f6d_o.png https://farm8.staticflickr.com/7888/...6ee2bdd6_o.png https://farm8.staticflickr.com/7813/...20746a7e_o.png https://farm8.staticflickr.com/7830/...02b007eb_o.png Valjda je to sad to, brzo i sigurno koliko može biti. :) TrueCrypt ću uz BitLocker i dalje koristiti za službene dokumente i vanjske diskove, to mi se ne da mijenjati, ima previše terabajta. |
za externi disk da li je bolja (ili jednostavnija) hardverska ili softverska enkripcija
planiram kupiti vanjski disk koji treba biti zaštićen pa da li je bolje odmah uzeti disk sa hardverskom enc. npr tipa Western Digital My Passport 2tb ili "običan pa instalirati neki softver ili bitlockerom to napraviti.. poželjno je da se taj disk može otključati i na drugim računalima unosom lozinke. |
Bitlocker je closed source i zato mu nemaš razloga ni najmanje vjerovati. Ista stvar je sa hardverskom enkripcijom koja ovisi o tome kako ju je proizvođač implementirao, ne možeš znati je li WD ostavio backdoor ako zatreba.
VeraCrypt je dobro rješenje, open source program, već dosta puta temeljito pročešljan i recenziran. Ako koristiš AES u VeraCryptu, to će na svakom računalu novijem od 10 godina raditi transparentno, nećeš osjetiti nikakva usporavanja. Također možeš staviti portable verziju VeraCrypta na vanjski disk i imati sve što ti treba na samom disku. Radi na Windowsima, Linuxu i Macu. |
Citiraj:
hvala na objašnjenju i savjetu |
acer aspire 5 bitlocker problem
pomoc molim.
acer aspire 5, kupljen sa win10. u meduvremenu automatski napravljen upgrade na win11. zalockao se bitlocker i pita kljuc. https://i.postimg.cc/ZWJbpGzD/bitlocker-for-net.jpg pretpostavka je da je do lockanja doslo nakon zadnjeg win update, tako bar kazu. probao sam iskljuciti "secure boot", ali nije pomoglo naravno. opcije "vracanje sustava" i "oporavak pomocu slike sustava" isto ne rade, baca neki error, pretpostavljam zato sto je sve zalockano? kako tocno funkcionira ta zastita, dali je hdd/SSD zalockan i jedino rjesenje je restore key-a? covjek nema pojma kako doci do toga. ako se ode na navedenu stranicu aka.ms/myrecovery nakon ukucavanja email adrese kceri (to je lap od ucenice) redirektirani smo na: https://i.postimg.cc/ftPyvBfS/srce.jpg daklem neka poveznica ocito postoji. e sad, dali je jedno od rjesenja, ako ne uspijemo otkljucati, izvaditi hdd/ssd, ubost novi i krenuti od 0 ili je esencjalno lap za baciti ca :scratchhead:? lap je malo zeznut, ne uspijevam boot-at pola tool-ova sa usb+ventoy. valja jer nema legacy uopce :hitthewal:. kad pokrenem win10 novu instalaciju vidim da on ne vidi nikakav interni disk. opet pretpostavljam zato sto je zalockano? moze neki savjet kako sta da znam kojim putem krenuti. na netu sam nasao da se nekakav recovery acer-a pokrene drzeci ALT+F10 i turn on, ne dela. hvala. :chears: edit: "deistalacija azuriranja" isto ne radi uopce, samo vraca nazad |
Enkripcija diskova, SED, TCG Opal, BitLocker, (ne)sigurnost podataka,...
Bitlocket traži ključ ako se nešto promijeni kod bootanja recimo EFI boot sekvenca. To je zato da te zaštiti od neovlaštenog pristupa ali puno češće te zaštiti od samog sebe :)
Uđi u BIOS i probaj mijenjati Boot order. Stavi nove Windoze na prvo mjesto. |
sve jasno i sve 5, ali nista od navedenoga nije moguce.
u biosu je samo jedan boot device "windows boot manager". nove win bi stavio da mogu vidjet disk/particiju. ko sto rekoh ne vidim ih, pretpostavljam zato sto je zalockano. kad probam boot-at sa usb-a bilo koji tool, pola ih ne radi (nema bios legacy), a ovi sto i rade isto ne vide disk. |
- run bios
- on "Main" menu press ctrl + s to display "VMD Controller" setting - disable VMD Controller - save changes - run Win10 installer again |
Citiraj:
Ako ne uspiješ i/ili odlučiš instalirat nove win, nemoj tražit disk u biosu, kao što vidiš vidi se samo wbm na disku na kojem je instaliran win. Bootaj win instalaciju pa klikni shift + F10 diskpart lis dis sel disk * (* je broj diska kojim želiš manipulirati) clean con gpt cre par efi size=xxx (željeni broj MB, svakako više od defaultnih 100) exit Zatvori cmd, F5 i dalje normalno instaliraš win. Ako ponovno uključiš bitlocker, isprintaj key i pohrani ga na nekoliko lokacija. |
Znači kći se vjerojatno ulogirala koristeći školski MS account koji je ili dobila od carneta ili je povezan na carnet kad pri logiranju preusmjerava na carnet.
Pošto je uređaj laptop aktivirao se Windows Device Encryption koji danas većina laptopa podržava po defaultu. Citiraj:
A što se tiče toga što se ne vidi disk, što piše kada otvoriš diskpart i upišeš "list disk" i "list volume". Windows konzolu moše otvoriti iz windows setupa tako da pritisneš Shift+F10. Šta piše kada upišeš "manage-bde -status"? |
da, tako nekako i ja to vidim.
probao sam vec diskpart danas sa list disk i kaze da nema nista. nisam probao list volume. probam. ono gore od nino-ta radi u bios-u. pricekat cu da vidim dali ce se mala uspjet ulogirat u to i dal ce bit sta od toga, ako ne onda krecem u "razvaljivanje". edit: nasli smo kome se treba obratiti za problem logiranja u AAI@edu.hr pa cemo to sutra rjesavati sa admin-om u skoli (hopefully) ono sto mene zanima jest da mi netko potvrdi da tamo zaista postoji taj recovery key za bitlocker, da ne prolazimo sve to uzalud. znaci jel netko ikad to vidio/prckao po tome? pretpostavljam da bi trebalo biti nesto obzirom da ms preusmjeri tamo... |
Citiraj:
Kad se ulogira ide na Uređaji>Upravljanje uređajima i onda tamo vidi laptop i onda se pojavi ovaj meni sa slike.https://uploads.tapatalk-cdn.com/202...0e9bd7ce07.jpg Sent from my SM-A715F using Tapatalk |
to govoris za login na AAI@edu.hr?
znaci provjereno je to tamo? jer covjek je poslao jutros meil carnet-u i oni su mu odgovorili: "Ključ za oporavak se kod uključivanja BitLocker opcije može se pohraniti na USB sticku, isprintati na papir ili pohraniti u oblaku (Microsoft račun ili Azure AD u slučaju da ste povezani na takav način). Domena o365.skole.hr ne pohranjuje takvu vrstu podataka." ili je: 1. poslao upit na krivu adresu - probably :nono: 2. pitao na krivi nacin, odnosno nije ni trebao spominjati bitlocker vec traziti samo rjesavanje nemogucnosti logirana na AAI@edu.hr (izgubljen password) - probably :nono: kakav prokleti runaround :hitthewal:. edit: uletio sam sad u taj AAI.edu od svog brata (ide na faks) i nisam nigdje nasao nista slicnoga. pretpostavljam da gore mislite na logiranje u MS? nije mi jasno zasto onda MS preusmjerava na AAI@edu.hr kad se ukuca email adresa (ime.prezime@skole.hr) :hitthewal: |
Odi pješke preko microsoft365.com ili linka:
https://myaccount.microsoft.com/device-list Ali ako s tim accountom nikad nisi bio prijavljen u Windowse, onda se slikaj. |
taj link, kad ukucam email od male me automatski baci na login stranicu:
https://i.postimg.cc/kVR9tf7k/222.jpg i tu je problem sto sad radimo na tome da mala dobije pristup ovome jer kolko sam skuzio to je studentima vazno dosta a ona je ocito izgubila to. iza tog logina je studomat. cudno mi je u cjeloj prici zasto gore spomenuta MS stranica redirektira na ovo, ako tu nema nicega vezano za bitlocker recovery :stoopid:. ludilo. nadam se samo da cu moc iskoristit ovaj disk sto je nutra, da to nije neki lock zesci zbog tog TPM chipa. neznam dovoljno o tome, a iskreno osobno nikad nebi to koristio. trucrypt/veracrypt. drugo me ne zanima. :chears: |
Ako dobro kužim, mala je izgubila login od AAI@EduHr?
Tata je poslao mail na help desk? To neće oni riješiti. Tamo su studenti koji ne mogu puno pomoći. Mala mora otići na fakultet(studira ako sam dobro skužio) i od administratora na faksu zatražiti nove login podatke. Ali ako je na faksu ne bi više trebala imati skole.hr nego domenu faksa npr. foi.hr za FOI. A MS baca na CARNet jer je, vrlo vjerojatno, uključen Office 365 preko CARNeta. Kada mala dobije nove podatke i kada se ulogira na onaj link što je bio prije u postu može doći do one moje slike. Slika je s mog logina u sustavu AAI@EduHr. A kod brata si uletio gdje? Jel na HUSO ili mu je prebačeno na Office 365? I potvrđujem da ako ode na ovaj link što je postao domy i logira se sa *AAI@EduHr će doći do istog menija kao što sam postao ranije. Sent from my SM-A715F using Tapatalk |
ok da pojasnim.
mala je kcer od mog kolege. ide u srednju skolu, zato ima @skole.hr. iskopao sam na carnet stranicama kome se moraju obratiti za reset pass-a i oni su se i obratili toj osobi (profesor u skoli, pretpostavljam IT dept.) medutim isli su spominjat bitlocker pa je ovaj odma odrezo da on nema nista stime. to je krivi pristup, trebali su samo trazit reset pass-a za uletit u AAI@EduHr. nekim ljudima moras sve nacrtat i skicirat, 5 puta najmanje :D. moj brat ide na faks i zato ima isto taj AAI@EduHr. ja tamo nisam nasao nista vezano za bitlocker kad me pustio unutra. valjda cemo iskopat, ako ovi uspiju odradit taj pass reset. javim. office 365 mala ima sigurno da, to su mi potvrdili. :chears: |
Reset passa doslovno traje tri sekunde...
Očito je liku i to bilo preteško. Kada dobije novi pass bez problema će doći do tog menija. GL HF :-) Sent from my SM-A715F using Tapatalk |
ovo je totalno ludilo taj prokleti MS.
znaci reset pass smo odradili. uletim u AAI@EduHr. odem na: https://myaccount.microsoft.com/device-list ukucavanje emaila, verifikacija preko moba. uletim unutra i nadem opciju za bitlocker. kliknem na prikaz kljuceva za bitlocker i dobijem loading u nedogled :hitthewal::hitthewal::hitthewal: jizus f krajst. idem probat sad instalirat chrome da nije do toga. koristio sam Firefox, sa cistim profilom bez add-onova. hosts cist bez blokada. edit: preko chrome-a isto ne radi. samo loading u nedogled. ideje? https://i.postimg.cc/XGghRBcX/Screen...3-15-38-59.jpg |
Kod mene je isto. Stalno vrti.
Ali nisam nikada uključio bitlocker. Možda ključ nije tamo i zato samo vrti? Sent from my SM-A715F using Tapatalk |
tamo je def nesto jer vidis da ima 2 kompa navedena. koja nocna mora.
|
Citiraj:
Vidi ovo https://answers.microsoft.com/en-us/...4-5fb771447e71 Ne zvuči dobro Sent from my SM-A715F using Tapatalk |
ma koma. odustajem. iskljucio u biosu vmd controller (hvala nino), i sad tool-ovi (neki) / instalacije win-a vide disk.
samo sto pola tool-ova nemos pokrenut jer lap nema legacy a napravljen stick sa rufusom/ventoy-em ne dela cesto. probao sam sve opcije (MBR/GPT; NTFS; FAT32,...). :chears: |
Nikakvi toolovi ti neće pomoći ako nemaš Bitlocker recovery key.
Meni jedino Sergei Strelec winpe radi sa secure bootom i to kad ga prebaciš na MS bootloader. Formatiraš stick na FAT32 i kopiraš sve fajlove na stick. Onda tamo u EFI folderu imaš bat da ga prebaci na MS bootloader. Nikakav rufus i ostalo ne treba. Ali to ti ne treba kad nemaš bitlocker recovery key ionako. |
nisam mislio na tool-ove za otkljucat bl. to je uzaludno.
mislim na klasiku, za ostalo sve (disk doctor, thru image, mem test,........). strelec mi radi. thx za info |
Super je kada neka institucija ima recovery key za tvoj enkriptirani laptop. I tko zna tko još…
Čemu onda enkripcija? :) |
bas.
znam da firme to koriste na veliko jer eto oni nikad nebi isli koristiti nesto kao truecrypt/veracrypt. za privatnu upotrebu nebih nikad preporucio BL. sad na novoj instalaciji ide blokada i disable tog s*anja. |
Enkripcija diskova, SED, TCG Opal, BitLocker, (ne)sigurnost podataka,...
Bitlocker recovery key je na domeni pohranjen u Active Directoryju. U kombinaciji sa Secure Bootom i passwordom na BIOSu ima itekako smisla u korporativnom okruženju. Tko ukrade taj lap neće s njim moći ništa pa niti reinstall, a kada djelatnik vrati laptop uvijek možemo do podataka.
|
| Sva vremena su GMT +2. Sada je 04:33. |
Powered by vBulletin®
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
© 1999-2024 PC Ekspert - Sva prava pridržana ISSN 1334-2940
Ad Management by RedTyger