Enkripcija diskova, SED, TCG Opal, BitLocker, (ne)sigurnost podataka,...

[Bubba]

Citiraj:

Autor inaki

Pozzz
molio bih pomoć po pitanju iz naslova teme,
zanima me da li postoji mogućnost da HDD prilikom spajanja traži nekakav pasword da bi se pristupilo datotekama?

LP

Naravno da postoji, pitanje je koliko zelis biti portabilan s rjesenjem.

BitLocker od Microsofta ti je mozda prva stanica na Googleu, pa vidi kako ti se to cini, a ako nije za tebe, znat ces sto traziti dalje.

[inaki]

Citiraj:

Autor Bubba

Naravno da postoji, pitanje je koliko zelis biti portabilan s rjesenjem.

BitLocker od Microsofta ti je mozda prva stanica na Googleu, pa vidi kako ti se to cini, a ako nije za tebe, znat ces sto traziti dalje.

zahvaljujem...

mislim ipak da nije to to sto trebam, prekomplicirano je za mene i moje poznavanje kako engleskog tako i informatike...
nadao sam se da postoji jednostavnije programsko rjesenje, tipa pokrenem taj program, upisem pasword i externi HDD prilikom svakog ustekavanja na bilo koji komp trazi taj pasword

[Pupo]

Pa kada odradis inicijalno podešavanje, to je upravo to što tražiš. Uštekaš disk u komp i traži te password kad hoćeš pristupit.

[inaki]

koristim win 10 home verziju i kako sam skuzio bitlocker nije dostupan u toj verziji...
mozda netko ima neki drugi prijedlog?

[Pupo]

Može "zaključavanje" odraditi bilo gdje na pro verziji, i onda koristiš bilo gdje.

[inaki]

ock...
hvala

[mradovan]

Možeš pogledati TrueCrypt ili neke njegove derivate - ali je onako malo više posla, nije baš jedan klik...

TrueCrypt se više ne ažurira, ali je prošao dva security audita i nisu mu našli slabu točku. Vjerojatno najbolje skinuti verziju 7.1a, i to sa https://truecrypt.ch/downloads/

Od derivata, najpoznatiji je Veracrypt.

[Cuky]

@inaki - Nekad je bilo za kupit eksternih diskova od wd-a koji su na sebi imali nekakav hw kontroler s pomocu kojeg je disk radio na nacin na koji si opisao. Vadenje diska iz te ladice i stavljanje u bilo koju drugu ladicu nije radilo jer se disku nije moglo pristupit uopce. Mana svega tog je bila sto to nije radilo na linuxu pa ako te to ne smeta provjeri ima li jos takvoh diskova u prodaji.

[inaki]

hvala Vam ekipa...

[Night]

VeraCrypt je sigurno i dobro rješenje, postoji i plugin za KeePassPro koji sve skupa olakšava, a sam KeePassPro se može instalirati i na eksterni disk koji je enkriptiran tako da je all-in-one rješenje.

[trex]

https://www.ebay.co.uk/itm/Zalman-ZM...EIfL:rk:5:pf:0

[Night]

Closed source, ili security-through-obscurity često znači sigurnosni promašaj. Ovisno što se čuva na disku treba prilagoditi razinu sigurnosti. Ako je smisao da mlađi brat ne može uključiti hard i naći pornjavu onda je to kućište ok. Ako su na njemu Bitcoini ili nešto vrijedno onda bih u širokom luku zaobišao takvo rješenje.

[Bodisson]

Samsung M3 serija USB diskova je imala nekakav software za zaključavanje...
Nisam trenutno doma pa ne mogu pogledati, a i nisam siguran radi li sa ostalim diskovima...

[Kuzo]

Pitanjce.

OPAL diskovi sami po sebi imaju enkripciju. 2 keya, 1. enkriptira 2. authenticira. sve jasno.

što se dogodi kad uključiš bitlocker?

inače TPM ima key za dekripciju. Što se tu događa sa bitlockerovim keyem kad je OPAL u igri?

šema je da imamo bitlocker keyeve u AD-u pa me zanima kako će se to ponašati (kako radi), i kako dekriptirati disk u slučaju riknuča matične.

[Kuzo]

Da sam sebi odgovorim nakon kopanja:

OPAL (SED - self encrypting drive) diskovi nemaju nikakve veze sa bitlockerom.
Hardware enkripcija je cijelo vrijeme upaljena samo što je pristup dozvoljen svima dok se ne zaključa na jedan od 2 načina:

U biosu s ATA lockom
sedutil aplikacijom

ak se izgubi pass od ata zakljucanog diska, kao i prije, disk se može baciti
sedutil zaključanim diskom može se spasiti disk ali ne i podatci. napravit će wipe pošto encrytion key više neće biti isti.

Nadalje,
bilo mi je sumjivo nakon raspakiravanja OS-a radim backup imagea, hoće mi 400GB image raditi. Bitlocker uključen :?: a nisam ga uključivao.

- od Win 10 ver 1803 ako su uvjeti za samo enkripitiranje tu (npr tmp 2.0, uefi secure boot, DMA protection) disk se sam pocne enkriptirati praznim kljucem nakon OOBE-a, ulaskom u sysprepani image jelte.
Key se mjenja ak se ulogira microsoft accountom ili ak je enforsan preko AD group policiya pa se zapisuje u comp account.

https://docs.microsoft.com/en-us/win.../oem-bitlocker

Zakljucak: Prakticki se disk može 2 puta enkriptirati (hard i soft).
Pošto postoje brojni članci kako se SED nesiguran, tako da je to rješenje sa SED diskom *đaba si krečio*

[domy_os]

Ne znam ni sam gdje otvoriti ovu temu, veže se i za SSD i za OS i za aplikacije pa ajmo zasad staviti ovdje.

Nedavno sam otvorio Samsung Magician da provjerim ima li nova verzija aplikacije i firmwarea za SSD te usput malo detaljnije proučim opcije koje su unutra. Tako sam naletio da je TRIM uključen, ali samo za particije koje nisu kriptirane TrueCryptom (kojeg koristim brat bratu 10 godina, znam ga već u dušu).



Sad tu dolazimo da problema gdje u dokumentaciji TrueCrypta jasno piše da TRIM i wear-leveling rade samo kad se koristi system encryption što bi značilo enkripcija cijelog SSD-a. Naravno, to na mom laptopu nije moguće jer ima UEFI BIOS, a TrueCrypt ne zna raditi s UEFI-jem i GPT driveovima.

Isto tako piše da se ne preporuča korištenje TrueCrypta s TRIM-om i wear-leveling mehanizmima radi sigurnosti podataka kad ih ti isti mehanizmi krenu raspršivati po driveu radi optimizacije, ali to mi nije toliko bitno. Napominjem čisto da upozorim ostale.

Citiraj:

Trim Operation

Some storage devices (e.g., some solid-state drives, including USB flash drives) use so-called ‘trim’ operation to mark drive sectors as free e.g. when a file is deleted. Consequently, such sectors may contain unencrypted zeroes or other undefined data (unencrypted) even if they are located within a part of the drive that is encrypted by TrueCrypt. TrueCrypt does not block the trim operation on partitions that are within the key scope of system encryption (see chapter System Encryption) (unless a hidden operating system is running – see section Hidden Operating System) and under Linux on all volumes that use the Linux native kernel cryptographic services. In those cases, the adversary will be able to tell which sectors contain free space (and may be able to use this information for further analysis and attacks) and plausible deniability (see chapter Plausible Deniability) may be negatively affected. If you want to avoid those issues, do not use system encryption on drives that use the trim operation and, under Linux, either configure TrueCrypt not to use the Linux native kernel cryptographic services or make sure TrueCrypt volumes are not located on drives that use the trim operation. To find out whether a device uses the trim operation, please refer to documentation supplied with the device or contact the vendor/manufacturer.

Wear-Leveling

Some storage devices (e.g., some solid-state drives, including USB flash drives) and some file systems utilize so-called wear-leveling mechanisms to extend the lifetime of the storage device or medium. These mechanisms ensure that even if an application repeatedly writes data to the same logical sector, the data is distributed evenly across the medium (logical sectors are remapped to different physical sectors). Therefore, multiple "versions" of a single sector may be available to an attacker. This may have various security implications. For instance, when you change a volume password/keyfile(s), the volume header is, under normal conditions, overwritten with a reencrypted version of the header. However, when the volume resides on a device that utilizes a wear-leveling mechanism, TrueCrypt cannot ensure that the older header is really overwritten. If an adversary found the old volume header (which was to be overwritten) on the device, he could use it to mount the volume using an old compromised password (and/or using compromised keyfiles that were necessary to mount the volume before the volume header was re-encrypted). Due to security reasons, we recommend that TrueCrypt volumes are not created/stored on devices (or in file systems) that utilize a wear-leveling mechanism (and that TrueCrypt is not used to encrypt any portions of such devices or filesystems)

Kako za svaki problem postoji rješenje ili workaround, tako i ovdje imam nekoliko opcija pa me čisto zanima mišljenje eksperata u tom polju. Budući da se TrueCrypt nažalost odavno više ne razvija, a ja ne mogu i ne želim prelaziti s UEFI/GPT na legacy BIOS/MBR, kao alternativa se predstavlja Microsoftov BitLocker jer:

1. ne, ne želim isprobavati VeraCrypt i ostale
2. laptop u sebi ima TPM 2.0
3. koristim Windows 10 Pro Build 1809
4. BitLocker od Windows 10 Pro Build 1511 podržava encryption mode XTS-AES kao i TrueCrypt i postaje još sigurniji kad se prebaci na 256-bit AES

Ali me muči jedna stvar, a to je odabir hardware ili software enkripcije. Sudeći po ovom i ovom linku, tu postoji problem kad je u pitanju kombinacija hardware enkripcije i SSD-ova jer Windows 10 očekuje da enkripciju odradi SSD, a ovaj ne radi ništa. Vraćam se natrag u Magician i vidim da tu postoji stavka Data Security.



Tražim po internetu i vidim da baš moj jadni Samsung 850 EVO taj posao kljakavo odrađuje odnosno nikako ne odrađuje i da sam prisiljen koristiti software enkripciju.

Mene sad zanima nekoliko stvari jer nikad nisam koristio BitLocker na SSD-u i na Windows 10:

1. koliko je softverska enkripcija brža/sporija od hardverske?
2. prepostavljam da je recovery u slučaju neke havarije lakši kad je enkripcija softverska?
3. kako u tom slučaju rade TRIM i wear-leveling?
4. postoji li kakva rupa zvana backdoor i slično?
5. ima li još nekih skrivenih caka?

Eto, ako netko ima iskustva s tim stvarima, bilo bi mi drago da ih podijeli. Hvala unaprijed.

[Old Iggy]

Citiraj:

Autor domy_os

Mene sad zanima nekoliko stvari jer nikad nisam koristio BitLocker na SSD-u i na Windows 10:

1. koliko je softverska enkripcija brža/sporija od hardverske?
2. prepostavljam da je recovery u slučaju neke havarije lakši kad je enkripcija softverska?
3. kako u tom slučaju rade TRIM i wear-leveling?
4. postoji li kakva rupa zvana backdoor i slično?
5. ima li još nekih skrivenih caka?

Eto, ako netko ima iskustva s tim stvarima, bilo bi mi drago da ih podijeli. Hvala unaprijed.

Mi u cijeloj firmi imamo BL kao standard, softverski (AES 256-bit with Diffuser).
Softverska je teoretski nešto sporija od hardverske. Teoretski. U praksi, neko usporavanje je teško vidljivo, iako nisam testirao "prije" i "poslije".
S recoveryjem nisam imao neka iskustva, no sumnjam da je imalo izvediv na jednostavan način.
TRIM i wear levelling rade normalno, BL nema problema s tim.
Za backdoorove ne znam, inače dosta pazimo na to, provjerim detalje.

[Kuzo]

ja sam se nedavno zezao s tim.
ne znam kako se ponaša trim i wear level u kriptiranju s BL.

evo moje pitanje/odgovor
http://forum.pcekspert.com/showthread.php?t=296493

[Booger]

Što se recoveryja tiče samo ubacite disk u bilo koji komp i unlockate ga keyem iz AD-a ili filea i možete ga čitati, skenirati i što već.

Radi direkt na sata sučelju, sata to USB, m.2, m.2 to USB. To sam probao.




edit: Eh, da, bootate live winse i tamo isto samo unlockate keyem.

[Old Iggy]

Citiraj:

Autor Kuzo

ja sam se nedavno zezao s tim.
ne znam kako se ponaša trim i wear level u kriptiranju s BL.

Normalno. Bar je tako opisano jer je gotovo nemoguće za provjeriti.
Samo je pitanje koa vrsta enkripcije, koji SSD... Ima previše kombinacija da bi netko sa sigurnošću mogao reći "ovo je ovako i gotovo".