» »

Šifriranje celotnih trdih diskov prihaja v naslednjih 5 letih?

Šifriranje celotnih trdih diskov prihaja v naslednjih 5 letih?

ComputerWorld - Organizacija Trusted Computing Group je pripravila specifikacije za strojno podporo šifriranju vsebine trdih diskov. Gre za Opal Security Subsystem Class Specification for PC clients ter Enterprise Security Subsystem Class Specification for data center storage.

Po napovedih naj bi v petih letih večina trdih, USB in SSD diskov že imela vgrajeno strojno podporo za šifriranje. Ob zagonu računalnika ali priklopu diska bo najprej potrebno vnesti ustrezno geslo, nato pa bo delo z diskom potekalo povsem običajno.

Pobudi so se že pridružili Seagate, Fujitsu in Hitachi ter nekateri proizvajalci programske opreme. Specifikacije predvidevajo uporabo 128-bit ali 256-bit AES-a, o kakšnih stranskih vratih oziroma "tovarniških ključih" pa za zdaj vsaj javno (še) ni govora.

29 komentarjev

pegasus ::

Copy/paste s slashdota:

Q: Why should this be trustable?
A: The drive is "trusted" because the "owner" isn't.

BlueRunner ::

Trusted Computing: ker ne moremo zaupati človeku, bomo računalnik pred njim zavarovali.

Ampak prva misel, ko sem opazil to novico, je bila točno ta: kako lahko sam preverim in zaupam, da moj ključ ne bo nekje na napravi shranjen in dosegljiv različnim "posvečenim" agencijam. Varnostno gledano je obstoj key escrow funkcionalnosti vedno nesporeden napad na varnost celotnega sistema.

kronik ::

Kako je z reševanjem podatkov iz kriptiranih diskov ob okvari?

OmegaBlue ::

Pozabi nanje ;)
Never attribute to malice that which can be adequately explained by stupidity.

SomeOneNew ::

SW rešitev že kar nekaj časa ponuja TrueCrypt:
http://www.truecrypt.org/

Se mi pa ob masovni uporabi enega kriptirnega modula poraja dvom o raznih stranskih vratih, itd...

c3p0 ::

Potem pač uporabiš OS rešitev, npr. linuxov LUKS. http://code.google.com/p/cryptsetup/

poweroff ::

Tole. Nov članek: Šifriranje nosilcev podatkov v okolju Linux in Windows

Ampak prednost hardwerske rešitve je v hitrosti. Idealno bi bilo, če bi si lahko naložil lasten firmware.

Glede reševanja podatkov: če je šifriran vsak sektor posebej (bločno šifriranje), se s pomočjo ključa da kaj narediti.
sudo poweroff

borchi ::

> Glede reševanja podatkov: če je šifriran vsak sektor posebej (bločno šifriranje), se s pomočjo ključa da kaj narediti.

pa je sploh možno kako drugače strojno šifrirati, da stvar ostane popolnoma neodvisna od filesystema?
l'jga

carot ::

Nic ni za verjeti njim, saj disk je treba veckrat sifrirati, poleg tega pa imeti locen disk od omrezja na drugem racunalniku, itd...

BigWhale ::

> Glede reševanja podatkov: če je šifriran vsak sektor posebej (bločno šifriranje), se s pomočjo ključa da kaj narediti.

pa je sploh možno kako drugače strojno šifrirati, da stvar ostane popolnoma neodvisna od filesystema?


Saj ravno zato. :) Ce ti sifriras na nizjem nivoju kot je datotecni sistem potem ob fizicnem branju medija ne dobis nic pametnega, da bi lahko izvajal recovery.

Pyr0Beast ::

Wait, what ?
Kako bo pa sistem potem do diska dostopal ? :/
Some nanoparticles are more equal than others

Good work: Any notion of sanity and critical thought is off-topic in this place

Kron ::

A ni na nekaterih prenosnikih že sedaj, ko je potrebno pred zagonom ("v biosu") vpisat geslo za disk.

Tak disk pa ostane nedostopen tudi tedaj, ko ga priključiš na drug sistem.

Pyr0Beast ::

Jah sej ravno v tem je problem če (starejši) bios tega ne podpira [:D]
HDD ima na platerjih še vedno zapisane relativno nekriptirane podatke.
Some nanoparticles are more equal than others

Good work: Any notion of sanity and critical thought is off-topic in this place

MrStein ::

Kron, tisto samo zavrne dostop, podatki pa niso nič enkriptirani.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Kron ::

Ja res, se mi je zdelo da to ne more biti kriptiranje.

Ampak vseeno ne razumem uporabnosti takšnih "varnostnih" funkcij.

poweroff ::

Čisto preprosto je. Vmes med fizični disk in filesystem vrineš še ne layer. Saj to že cryptsetup počne, le da bo v tem primeru ta layer implementiran strojno.

Kron - načeloma "zaklenjenega" diska ne moreš odkleniti brez menjave firmwarea...
sudo poweroff

Wirko ::

Pri diskovnih poljih bo veselje. Četrt ure vpisovanja gesel pri zagonu.
[:4{#]

MrStein ::

Saj odgovor na to poznamo: "Jaz sem zadnjič rebootal pred tremi leti."

>:D
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

filip007 ::

Saj bo opcija za off v firmware nič se bati...8-)

Za "kriminal" pa, diska se itak ne splača ukrasti se hitreje skopira...


Kitajci že znajo...
http://www.excelstor.com/en/class.asp?n...
Palačinka z Ajvarjem in stopljenim sirom v mikrovalovki.

PrimozR ::

> Glede reševanja podatkov: če je šifriran vsak sektor posebej (bločno šifriranje), se s pomočjo ključa da kaj narediti.

pa je sploh možno kako drugače strojno šifrirati, da stvar ostane popolnoma neodvisna od filesystema?


Saj ravno zato. :) Ce ti sifriras na nizjem nivoju kot je datotecni sistem potem ob fizicnem branju medija ne dobis nic pametnega, da bi lahko izvajal recovery.


Kaj pa če bi pobral dol vse bajte (recimo da crkne samo elektronika, ki jo menjaš), jih skopiraš na drug medij in tam odšifriraš?

poweroff ::

Ja, to bi bilo fino, in bi se v sonovi dalo, če bodo specifikacije javne.
sudo poweroff

Azrael ::

Koliko časa danes traja razbijanje takega šifriranja (prepostavimo, da univerzalnega ključa ni)?

In koliko časa bo potrebno čez 5 let? Verjetno točne cifre ne ve nihče, vsekakor pa manj kot sedaj.

Namreč zadeva me sumljivo spominja na razno razne zaščite prenosnikov pred krajo ali krajo podatkov iz njih (gesla vsepovsod od BIOSa do diskov, čitalci prstnih odtisov itd), na koncu pa je bila izvedba zelo slaba in je bila upoabnikom v napoto, zlikovcev pa ni ovirala.
Nekoč je bil Slo-tech.

ender ::

Če bo šifriranje AES256 (in v njem ne odkrijejo kakšne zelo resne pomankljivosti), potem tudi v petih letih še ne bo dovolj hitrih računalnikov, da bi šifriranje razbili v doglednem času.
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.

Pyr0Beast ::

Če bo šifriranje AES256 (in v njem ne odkrijejo kakšne zelo resne pomankljivosti), potem tudi v petih letih še ne bo dovolj hitrih računalnikov, da bi šifriranje razbili v doglednem času.
In CPU-jev kateri bi sproti to odkordirali tudi ne ?
Some nanoparticles are more equal than others

Good work: Any notion of sanity and critical thought is off-topic in this place

ender ::

Moderni x86 procesorji zmorejo nekje od 50-100MB/s pri (de)kodiranju AES256, namenski procesorji so pa lahko še precej hitrejši (AES je bil narejen na tak način, da ga je kolikor toliko preprosto implementirati v strojni opremi).
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.

BlueRunner ::

Danes sem se s kolegi pogovarjal in smo ugotovili to, kar so ugotovili tudi pri The Register: za trakove še nimamo takšnega standarda. Če pomislim, da se velika večina komercialnih varnostnih kopij izdeluje na trakovih zna biti tečno, če druge tehnologije prej dobijo takšne uporabne standarde.

Za ceno tveganja, da bo tudi tukaj prišlo do kakšne svete vojne...

Varno izdelvanje varnostnih kopij podatkov pa je tako ali tako vedno "zanimiv" izziv. V okolju Microsoft Windows je to rešeno npr. tako, da se uporabi transparentno vgrajeno kodiranje posamičnih datotek, kar omogoči enostavno izdelavo njihovih varnostnih kopij. Druge rešitve, ki pa ne poznajo takšnega transparentnega kodiranja (npr. kodiranje celotnega diska), pa morajo še vedno uporabljati "s kodiranjem opremljene" rešitve za izdelavo varnostnih kopij. To pa mi gre sedaj, ko gledam te nove standarde za diske, malo na jetra.

poweroff ::

Glede namenskih naprav si oglejte COPACOBANO - kljub vsemu za razbijanje AES ni primerna.

Rezervni varianti sta se FPGA in CUDA...
sudo poweroff

PrimozR ::

Če bo šifriranje AES256 (in v njem ne odkrijejo kakšne zelo resne pomankljivosti), potem tudi v petih letih še ne bo dovolj hitrih računalnikov, da bi šifriranje razbili v doglednem času.
In CPU-jev kateri bi sproti to odkordirali tudi ne ?


Če ne bo računalnikov (kjer lahko verjetno uporabiš tudi grafo), CPUjev sploh ne bo. Mogoče par 1000 CPUjev skupaj.

cryptozaver ::

To mi morali že zdavnaj napravit.

Le da se ne bo vmešala kakšna NCSA s kakšnim back doorom za slučaj identifikacije potencialnega terorista... čeprav sumim da se bodo zdaj lotili 'ku-klux-klanovcev' ;)


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Del OpenSSL bo postal LibreSSL

Oddelek: Novice / Varnost
168788 (7345) LightBit
»

Da ne boste vec sprasevali kateri malo drazji laptop se najbolj splaca

Oddelek: Kaj kupiti
161582 (1182) Jackass
»

IBM thinkpad t42 Vs HP compaq nc6000

Oddelek: Kaj kupiti
72095 (1884) PRiMoZ-
»

Kateri PRENOSNIK kupiti ?

Oddelek: Kaj kupiti
222795 (2328) Arthur
»

Poleg Micro$ofta, sedaj se Intel?

Oddelek: Loža
161491 (1283) Thomas

Več podobnih tem