SSD enkripcija, SED, TCG Opal, BitLocker, sigurnost podataka, TRIM, wear-leveling

[Kuzo]

Pitanjce.

OPAL diskovi sami po sebi imaju enkripciju. 2 keya, 1. enkriptira 2. authenticira. sve jasno.

što se dogodi kad uključiš bitlocker?

inače TPM ima key za dekripciju. Što se tu događa sa bitlockerovim keyem kad je OPAL u igri?

šema je da imamo bitlocker keyeve u AD-u pa me zanima kako će se to ponašati (kako radi), i kako dekriptirati disk u slučaju riknuča matične.

[Kuzo]

Da sam sebi odgovorim nakon kopanja:

OPAL (SED - self encrypting drive) diskovi nemaju nikakve veze sa bitlockerom.
Hardware enkripcija je cijelo vrijeme upaljena samo što je pristup dozvoljen svima dok se ne zaključa na jedan od 2 načina:

U biosu s ATA lockom
sedutil aplikacijom

ak se izgubi pass od ata zakljucanog diska, kao i prije, disk se može baciti
sedutil zaključanim diskom može se spasiti disk ali ne i podatci. napravit će wipe pošto encrytion key više neće biti isti.

Nadalje,
bilo mi je sumjivo nakon raspakiravanja OS-a radim backup imagea, hoće mi 400GB image raditi. Bitlocker uključen :?: a nisam ga uključivao.

- od Win 10 ver 1803 ako su uvjeti za samo enkripitiranje tu (npr tmp 2.0, uefi secure boot, DMA protection) disk se sam pocne enkriptirati praznim kljucem nakon OOBE-a, ulaskom u sysprepani image jelte.
Key se mjenja ak se ulogira microsoft accountom ili ak je enforsan preko AD group policiya pa se zapisuje u comp account.

https://docs.microsoft.com/en-us/win.../oem-bitlocker

Zakljucak: Prakticki se disk može 2 puta enkriptirati (hard i soft).
Pošto postoje brojni članci kako se SED nesiguran, tako da je to rješenje sa SED diskom *đaba si krečio*

[domy_os]

Ne znam ni sam gdje otvoriti ovu temu, veže se i za SSD i za OS i za aplikacije pa ajmo zasad staviti ovdje.

Nedavno sam otvorio Samsung Magician da provjerim ima li nova verzija aplikacije i firmwarea za SSD te usput malo detaljnije proučim opcije koje su unutra. Tako sam naletio da je TRIM uključen, ali samo za particije koje nisu kriptirane TrueCryptom (kojeg koristim brat bratu 10 godina, znam ga već u dušu).



Sad tu dolazimo da problema gdje u dokumentaciji TrueCrypta jasno piše da TRIM i wear-leveling rade samo kad se koristi system encryption što bi značilo enkripcija cijelog SSD-a. Naravno, to na mom laptopu nije moguće jer ima UEFI BIOS, a TrueCrypt ne zna raditi s UEFI-jem i GPT driveovima.

Isto tako piše da se ne preporuča korištenje TrueCrypta s TRIM-om i wear-leveling mehanizmima radi sigurnosti podataka kad ih ti isti mehanizmi krenu raspršivati po driveu radi optimizacije, ali to mi nije toliko bitno. Napominjem čisto da upozorim ostale.

Citiraj:

Trim Operation

Some storage devices (e.g., some solid-state drives, including USB flash drives) use so-called ‘trim’ operation to mark drive sectors as free e.g. when a file is deleted. Consequently, such sectors may contain unencrypted zeroes or other undefined data (unencrypted) even if they are located within a part of the drive that is encrypted by TrueCrypt. TrueCrypt does not block the trim operation on partitions that are within the key scope of system encryption (see chapter System Encryption) (unless a hidden operating system is running – see section Hidden Operating System) and under Linux on all volumes that use the Linux native kernel cryptographic services. In those cases, the adversary will be able to tell which sectors contain free space (and may be able to use this information for further analysis and attacks) and plausible deniability (see chapter Plausible Deniability) may be negatively affected. If you want to avoid those issues, do not use system encryption on drives that use the trim operation and, under Linux, either configure TrueCrypt not to use the Linux native kernel cryptographic services or make sure TrueCrypt volumes are not located on drives that use the trim operation. To find out whether a device uses the trim operation, please refer to documentation supplied with the device or contact the vendor/manufacturer.

Wear-Leveling

Some storage devices (e.g., some solid-state drives, including USB flash drives) and some file systems utilize so-called wear-leveling mechanisms to extend the lifetime of the storage device or medium. These mechanisms ensure that even if an application repeatedly writes data to the same logical sector, the data is distributed evenly across the medium (logical sectors are remapped to different physical sectors). Therefore, multiple "versions" of a single sector may be available to an attacker. This may have various security implications. For instance, when you change a volume password/keyfile(s), the volume header is, under normal conditions, overwritten with a reencrypted version of the header. However, when the volume resides on a device that utilizes a wear-leveling mechanism, TrueCrypt cannot ensure that the older header is really overwritten. If an adversary found the old volume header (which was to be overwritten) on the device, he could use it to mount the volume using an old compromised password (and/or using compromised keyfiles that were necessary to mount the volume before the volume header was re-encrypted). Due to security reasons, we recommend that TrueCrypt volumes are not created/stored on devices (or in file systems) that utilize a wear-leveling mechanism (and that TrueCrypt is not used to encrypt any portions of such devices or filesystems)

Kako za svaki problem postoji rješenje ili workaround, tako i ovdje imam nekoliko opcija pa me čisto zanima mišljenje eksperata u tom polju. Budući da se TrueCrypt nažalost odavno više ne razvija, a ja ne mogu i ne želim prelaziti s UEFI/GPT na legacy BIOS/MBR, kao alternativa se predstavlja Microsoftov BitLocker jer:

1. ne, ne želim isprobavati VeraCrypt i ostale
2. laptop u sebi ima TPM 2.0
3. koristim Windows 10 Pro Build 1809
4. BitLocker od Windows 10 Pro Build 1511 podržava encryption mode XTS-AES kao i TrueCrypt i postaje još sigurniji kad se prebaci na 256-bit AES

Ali me muči jedna stvar, a to je odabir hardware ili software enkripcije. Sudeći po ovom i ovom linku, tu postoji problem kad je u pitanju kombinacija hardware enkripcije i SSD-ova jer Windows 10 očekuje da enkripciju odradi SSD, a ovaj ne radi ništa. Vraćam se natrag u Magician i vidim da tu postoji stavka Data Security.



Tražim po internetu i vidim da baš moj jadni Samsung 850 EVO taj posao kljakavo odrađuje odnosno nikako ne odrađuje i da sam prisiljen koristiti software enkripciju.

Mene sad zanima nekoliko stvari jer nikad nisam koristio BitLocker na SSD-u i na Windows 10:

1. koliko je softverska enkripcija brža/sporija od hardverske?
2. prepostavljam da je recovery u slučaju neke havarije lakši kad je enkripcija softverska?
3. kako u tom slučaju rade TRIM i wear-leveling?
4. postoji li kakva rupa zvana backdoor i slično?
5. ima li još nekih skrivenih caka?

Eto, ako netko ima iskustva s tim stvarima, bilo bi mi drago da ih podijeli. Hvala unaprijed.

[Old Iggy]

Citiraj:

Autor domy_os

Mene sad zanima nekoliko stvari jer nikad nisam koristio BitLocker na SSD-u i na Windows 10:

1. koliko je softverska enkripcija brža/sporija od hardverske?
2. prepostavljam da je recovery u slučaju neke havarije lakši kad je enkripcija softverska?
3. kako u tom slučaju rade TRIM i wear-leveling?
4. postoji li kakva rupa zvana backdoor i slično?
5. ima li još nekih skrivenih caka?

Eto, ako netko ima iskustva s tim stvarima, bilo bi mi drago da ih podijeli. Hvala unaprijed.

Mi u cijeloj firmi imamo BL kao standard, softverski (AES 256-bit with Diffuser).
Softverska je teoretski nešto sporija od hardverske. Teoretski. U praksi, neko usporavanje je teško vidljivo, iako nisam testirao "prije" i "poslije".
S recoveryjem nisam imao neka iskustva, no sumnjam da je imalo izvediv na jednostavan način.
TRIM i wear levelling rade normalno, BL nema problema s tim.
Za backdoorove ne znam, inače dosta pazimo na to, provjerim detalje.

[Kuzo]

ja sam se nedavno zezao s tim.
ne znam kako se ponaša trim i wear level u kriptiranju s BL.

evo moje pitanje/odgovor
http://forum.pcekspert.com/showthread.php?t=296493

[Booger]

Što se recoveryja tiče samo ubacite disk u bilo koji komp i unlockate ga keyem iz AD-a ili filea i možete ga čitati, skenirati i što već.

Radi direkt na sata sučelju, sata to USB, m.2, m.2 to USB. To sam probao.




edit: Eh, da, bootate live winse i tamo isto samo unlockate keyem.

[Old Iggy]

Citiraj:

Autor Kuzo

ja sam se nedavno zezao s tim.
ne znam kako se ponaša trim i wear level u kriptiranju s BL.

Normalno. Bar je tako opisano jer je gotovo nemoguće za provjeriti.
Samo je pitanje koa vrsta enkripcije, koji SSD... Ima previše kombinacija da bi netko sa sigurnošću mogao reći "ovo je ovako i gotovo".

[domy_os]

Citiraj:

Autor Old Iggy

Mi u cijeloj firmi imamo BL kao standard, softverski (AES 256-bit with Diffuser).
Softverska je teoretski nešto sporija od hardverske. Teoretski. U praksi, neko usporavanje je teško vidljivo, iako nisam testirao "prije" i "poslije".
S recoveryjem nisam imao neka iskustva, no sumnjam da je imalo izvediv na jednostavan način.
TRIM i wear levelling rade normalno, BL nema problema s tim.
Za backdoorove ne znam, inače dosta pazimo na to, provjerim detalje.

To ste namjestili preko GP-a kao na linku što sam gore stavio?

Poslije sam još malo istraživao i TrueCrypt na SSD-u je po testovima dosta sporiji od BitLockera, u nekim slučajevima i do 10 puta, baš ga ono zakolje. Svi valjda znamo kako radi SSD, vjerojatno je do toga što za write i najmanjeg filea nekad treba i 30 operacija kad TRIM ne radi pa dok to sve prođe kroz CPU, bla, bla,...

Na isti način radi i VeraCrypt i zbog toga ga ne želim za system encryption jer u 5 godina razvoja nisu ništa napravili po pitanju performansi na SSD-u. Prije par mjeseci su ubacili opciju za uključiti/isključiti TRIM, ali performanse su ostale iste.

Citiraj:

Autor Kuzo

ja sam se nedavno zezao s tim.
ne znam kako se ponaša trim i wear level u kriptiranju s BL.

evo moje pitanje/odgovor
http://forum.pcekspert.com/showthread.php?t=296493

Da, zaboravio sam na tu temu pa sam sad ovo prebacio kod tebe da sve imamo na jednom mjestu. Hvala.

U odnosu na TrueCrypt i VeraCrypt, BitLocker je ranije krenuo s podrškom za TRIM, valjda su sve ispeglali do sad, ali nigdje ne vidim kako zapravo radi. Ostavlja li i dalje neenkriptirane podatke kao ova dva ili ne. S druge strane, hrpa kompanija ga koristi, pa valjda si ne bi dopustili takvu glupost.

Citiraj:

Autor Booger

Što se recoveryja tiče samo ubacite disk u bilo koji komp i unlockate ga keyem iz AD-a ili filea i možete ga čitati, skenirati i što već.

Radi direkt na sata sučelju, sata to USB, m.2, m.2 to USB. To sam probao.

edit: Eh, da, bootate live winse i tamo isto samo unlockate keyem.

Odlično, to mi se sviđa, bitno mi je da ne traži certifikate kao za EFS. Ako je i blizu jednostavno kao s TrueCryptom, onda super.

Citiraj:

Autor Old Iggy

Normalno. Bar je tako opisano jer je gotovo nemoguće za provjeriti.
Samo je pitanje koa vrsta enkripcije, koji SSD... Ima previše kombinacija da bi netko sa sigurnošću mogao reći "ovo je ovako i gotovo".

Slažem se, postoji previše vrsta enkripcije, i software i hardware, a SSD tu još više komplicira situaciju.

[Old Iggy]

Citiraj:

Autor domy_os

To ste namjestili preko GP-a kao na linku što sam gore stavio?

Da, plus još neki alati (ne znam točno jer se radi o šesteroznamenkastom broju korisnika).
No problema s BL nakon toga gotovo nikakvih.

[domy_os]

Jučer sam se cijelo popodne zezao backupom sustava. Neki vrag se promijenio, ili u BIOS-u ili u Windowsima, a obje stvari su upgradeane ohoho puta otkad sam nabacio TrueCrypt, i nikako mi nije htio bootati Acronis True Image 2018, stalno pucala provjera EFI filea u secure bootu. Ako isključim secure boot, onda bude samo crn ekran. Na kraju morao skinuti najnoviju verziju Acronisa pa dok sam to instalirao, dodao Windows ADK i WinPE, napravio ISO, pretvorio ISO u UEFI, nabacio sve na USB stick, prošlo vremena ajme. Na kraju konačno napravio image Windowsa, zlu ne trebalo.

Poslije toga prebacio cijeli SSD i pomoćnu SD karticu na BitLocker. Sistemska particija nije bila pod TrueCryptom pa sam nju samo prebacio u BitLocker, a za ostale dvije sam morao napraviti quick format (jer particije poslije TrueCrypta budu u RAW-u), pokrenuo kompletnu enkripciju BitLockerom (opcija za korištene PC-e) i onda vratio podatke.

Rezultati testova su više nego pozitivni s tim da ručno nisam pokretao nikakvu optimizaciju SSD-a, pustit ću neka se odradi jednu noć.

CrystalDiskMark - sistemska particija - lijevo bez enkripcije, desno BitLocker



CrystalDiskMark - data particija - lijevo TrueCrypt, desno BitLocker



CrystalDiskMark - micro SD kartica - lijevo TrueCrypt, desno BitLocker



ATTO - sistemska particija - lijevo bez enkripcije, desno BitLocker

........

ATTO - data particija - lijevo TrueCrypt, desno BitLocker

........

ATTO - micro SD kartica - lijevo TrueCrypt, desno BitLocker

........

BitLocker status iz command linea:

Code:

C:\WINDOWS\system32>manage-bde -status
BitLocker Drive Encryption: Configuration Tool version 10.0.17763
Copyright (C) 2013 Microsoft Corporation. All rights reserved.

Disk volumes that can be protected with
BitLocker Drive Encryption:
Volume C: [System]
[OS Volume]

    Size:                 79,11 GB
    BitLocker Version:    2.0
    Conversion Status:    Fully Encrypted
    Percentage Encrypted: 100,0%
    Encryption Method:    XTS-AES 256
    Protection Status:    Protection On
    Lock Status:          Unlocked
    Identification Field: Unknown
    Key Protectors:
        TPM
        Numerical Password

Volume F: [Games & Maps]
[Data Volume]

    Size:                 50,95 GB
    BitLocker Version:    2.0
    Conversion Status:    Fully Encrypted
    Percentage Encrypted: 100,0%
    Encryption Method:    XTS-AES 256
    Protection Status:    Protection On
    Lock Status:          Unlocked
    Identification Field: Unknown
    Automatic Unlock:     Enabled
    Key Protectors:
        Numerical Password
        External Key (Required for automatic unlock)

Volume D: [Data]
[Data Volume]

    Size:                 800,00 GB
    BitLocker Version:    2.0
    Conversion Status:    Fully Encrypted
    Percentage Encrypted: 100,0%
    Encryption Method:    XTS-AES 256
    Protection Status:    Protection On
    Lock Status:          Unlocked
    Identification Field: Unknown
    Automatic Unlock:     Enabled
    Key Protectors:
        Numerical Password
        External Key (Required for automatic unlock)

Volume E: [SDXC]
[Data Volume]

    Size:                 119,08 GB
    BitLocker Version:    2.0
    Conversion Status:    Fully Encrypted
    Percentage Encrypted: 100,0%
    Encryption Method:    XTS-AES 256
    Protection Status:    Protection On
    Lock Status:          Unlocked
    Identification Field: Unknown
    Automatic Unlock:     Enabled
    Key Protectors:
        Password
        Numerical Password
        External Key (Required for automatic unlock)

I na kraju stanje u Magicianu...



Valjda je to sad to, brzo i sigurno koliko može biti. TrueCrypt ću uz BitLocker i dalje koristiti za službene dokumente i vanjske diskove, to mi se ne da mijenjati, ima previše terabajta.