Slo-Tech
Prijavi se z GoogleID

» »

BitLocker tpm VS pin/password

BitLocker tpm VS pin/password

BCSman ::

Laptop, win10.

Koliko večja verjetnost uspešnega "vdora" je pri tpm only (torej avtomatski prihod do logon screena)? Ker se mi ne da vsakič zgubljati 10 sekund za vtipkavanje passworda in bi kriptiral s tpm only. Zamrzovanje rama je bolj znanstvena fantastika?

Katero metodo uporabljate vi?

Karen ::

Veracrypt celotnega SSD-ja na laptopu, pa slabih 10 sekund za vtipkavanje gesla.

BCSman ::

Torej bom na istem, pa še verjetno več mečkanja z Vero, ker ni native. Bojda se lahko bootloader sesuje ob windows updejtih?

Karen ::

Na istem boš, ni pa od Microsofta (kar pomeni da ti teoretično ne more enkrat nekdo potrkat na vrata z nalogom za preiskavo pa s ključem ki mu ga je po nalogu sodišča priskrbel Microsoft - če ti je to vseeno potem branje naprej preskoči). Imamo Veracrypt na nekih 12 mašinah z Win10 in še nikjer se ni sesul (je pa itak fino poskrbet za podatke na mašinah, če se ti sesuje bootloader, crkne disk, ukradejo notebooka ipd.), je pa res da na Samsung 1TB SSD nekaj ob bootu zajoka (ene 3 write errorje javi - se da na netu najt napako) ampak gre čez, samo potem neka 1.24 verzija beta 0 (ki je za klinca ni več gor na Github-u) popravi to - sem ravno zadnjič dal na taki mašini čez 1.24 beta0 dal verzijo 1.24 (končno), pa tudi končno s hotfix1 - kasnejšo, pa spet isto teži kar pri beta 0 ni več... V osnovi pa to enostavno dela, ostalo so finese.
Zakaj nisem pristaš teh TPM-jev? Ker so nastali kot posledica razmišljanj vlad da bodo sistemi imeli čip za enkripcijo, ampak stranska vrata za vlade, da lahko pod pretvezo national secrity, sodne odredbe ipd. še vedno pridejo notri. To je zgodovina - zakaj TPM, ne vem kaj se je potem dejansko zgodilo oz. izcimilo iz tega in me niti ne zanima, pač greš SW šifrirat disk pa se ti TPM sladko j..e.
Aja pozabil povedat, da seveda šifriranje diska konkretno upočasni branje/pisanje po njem (mirno lahko rečem 20% po testih na mašini), ampak to je tradeoff - meni recimo ukradejo prenosnik pa podatkov ne dobijo - to je pač smiselno le če so podatki na računalniku več vredni kot računalnik. Če temu ni tako (bi šifriral svoje seminarske naloge ipd.) potem ne šifriraj sploh ker se ne splača, oz drugače: kdor ne ve kaj bi ščitil realno ne potrebuje šifriranja, oz. če ti je komercialno šifriranje od MS-ja ok potem pač ščitiš podatke samo pred tatvino, ne pa za drge namene (kar je čisto ok, pač vedeti moraš pred kom šifriraš).

BCSman ::

Da, šifriram samo zaradi zaščite podatkov (zasebnosti) pred tatvino.
Če se država spravi nate, bi jo tej kripto programi še bolj razdražili in bi ti podtaknili še kakšno x umazano obtožbo.
Bom naredil test hitrosti, ko bo disk šifriran in ko ne bo, ker 20% upočasnitev zveni kar precej.

T743 ::

Yubikey ne pride v poštev? Res da ne šifrira močno pa oteži login...

Karen ::

Po mojem ne: če disk ni šifriran ga odšraufaš iz notebooka, ga daš na sata konektor in prebereš podatke na drugem računalniku, ali ba zbootaš notebooka iz USB live linuxa pa imaš podatke.

mat xxl ::

Ne razumem zakaj Vera... zakaj ne originala in nekomprimitiranega True.... - pred zadnja verzija..... ?

LeQuack ::

Če ti disk ukrade ti lahko tudi računalnik a ne? V tem primeri ti TPM ne pomaga.
Quack !

BCSman ::

Mora se prebiti skozi windows logon geslo.

Karen ::

BCSman je izjavil:

Mora se prebiti skozi windows logon geslo.

1. usb ključek s poljubno live distribucijo Linuxa zaženeš na mašini
2. zmountaš disk na notebooku
3. pobereš dol kar te zanima (logon pozabi)
ali
1. vzameš ven iz notebooka disk, ga priključiš na sata priključek navadnega PC-ja kot drugi disk in iz windowsov pogledaš kaj je na priključenem disku

Zakaj Vera? Za začetek recimo, ker podpira GPT particije, pa ima kar nekaj TC pomanjkljivosti odpravljenih. TC gre samo na MBR, je pa 7.1a zadnja ok verzija.

Lonsarg ::

Meni je žalostno da se noben ne zmisli imlementirat PIN odklepanja (oziroma PIN + TMP) kar preko Windows PIN. Torej da bi samo enkrat vtipkal geslo in bi to bilo tako za login v windows kot za dekripcijo diska. Tako bi imel user experiance TMP enkripcije in varnost PIN ekripcije.

BCSman ::

Karen je izjavil:

BCSman je izjavil:

Mora se prebiti skozi windows logon geslo.

1. usb ključek s poljubno live distribucijo Linuxa zaženeš na mašini
2. zmountaš disk na notebooku
3. pobereš dol kar te zanima (logon pozabi)
ali
1. vzameš ven iz notebooka disk, ga priključiš na sata priključek navadnega PC-ja kot drugi disk in iz windowsov pogledaš kaj je na priključenem disku

Zakaj Vera? Za začetek recimo, ker podpira GPT particije, pa ima kar nekaj TC pomanjkljivosti odpravljenih. TC gre samo na MBR, je pa 7.1a zadnja ok verzija.



Cak mal, podatki na disku so kriptirani, kaj ti bo live linux in te amaterske operacije z menjavo diskov. Sele tpm pred pred login screenom jih dekriptira.

LeQuack ::

BCSman je izjavil:

Karen je izjavil:

BCSman je izjavil:

Mora se prebiti skozi windows logon geslo.

1. usb ključek s poljubno live distribucijo Linuxa zaženeš na mašini
2. zmountaš disk na notebooku
3. pobereš dol kar te zanima (logon pozabi)
ali
1. vzameš ven iz notebooka disk, ga priključiš na sata priključek navadnega PC-ja kot drugi disk in iz windowsov pogledaš kaj je na priključenem disku

Zakaj Vera? Za začetek recimo, ker podpira GPT particije, pa ima kar nekaj TC pomanjkljivosti odpravljenih. TC gre samo na MBR, je pa 7.1a zadnja ok verzija.



Cak mal, podatki na disku so kriptirani, kaj ti bo live linux in te amaterske operacije z menjavo diskov. Sele tpm pred pred login screenom jih dekriptira.


Bitlocker/TPM ti dekriptira disk še preden se kak OS zažene, razen če misliš da so windows tako magični da lahko berejo iz kriptiranega diska brez ključa.
Quack !

Zgodovina sprememb…

  • spremenil: LeQuack ()

Lonsarg ::

To je res ampak TPM pošlje CPUju dekriptirni ključ zgolj če se pravi bootloader zaganja (+ pravi ID mame plate in podobno). Če aktiviraš TPM iz Bitlockerja se ta zaklena na windows bootloader.

Napad na TPM enkripcijo se izvaja drugače, z cold boot napadi kjer najprej pustiš da TPM zažene pravi bootloader, nato pa nahitro ugasneš računalnik in z live linux hack orodji probaš iz vsebina RAMa dobiti ključ do enkripcije ven. Ker TPM ob vsakem zagonu ponovno avtomatsko dekriptira in zapiše v RAM imaš neskončno poskusov in prej ko slej vdreš...

Edina obramba proti temu je da ne uporabljaš sleep + da imaš dodatno še PIN enkripcijo. Ekripcijski ključ se v tem primeru v RAM ne napiše dokler se PIN ne vtipka.

MrStein ::

Lonsarg je izjavil:

Meni je žalostno da se noben ne zmisli imlementirat PIN odklepanja (oziroma PIN + TMP) kar preko Windows PIN. Torej da bi samo enkrat vtipkal geslo in bi to bilo tako za login v windows kot za dekripcijo diska. Tako bi imel user experiance TMP enkripcije in varnost PIN ekripcije.

To vsaj eni laptopi podpirajo. Po vklopu (v "BIOS") vtipkaš Windows geslo, s tem odkleneš disk, se naloži Windows, in se potem avtomatsko prijavi v Windows s prej vtipkanim geslom.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Mavrik ::

LeQuack je izjavil:


Bitlocker/TPM ti dekriptira disk še preden se kak OS zažene, razen če misliš da so windows tako magični da lahko berejo iz kriptiranega diska brez ključa.


TPM ne bo dekriptiral nič če boš ti zaganjal LiveCD, tako da to ne dela. :) Cela poanta ekripcije je da ti ne more vsak kekec pognat live CDja in pobrat podatkov.
The truth is rarely pure and never simple.

LeQuack ::

Poanta enkripcije je da če ti kdo ukrade disk da ga ni berljiv. Zdaj če imaš nastavljeno ročni vnos gesla, potem je zaščiten tudi na računalniku samem, če pa uporabljaš TPM pa niti ne.
Quack !

MrStein ::

Ravno pred tabo je napisal, da je zaščiten tudi v tem primeru (liveCD, TPM).
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

Karen ::

To jaz razumem - če je disk kriptiran nimaš kaj ven jemat. Predhodnik je govoril o nekem yubi-key-u ki naj bi če ga citiram "otežil login" v Windowse - pa sem mu napisal da če je ovira samo login potem se disk ven vzame (ali zboot-a linux live distro), pa je... ravno to sem mu hotel dopovedat da mu otežen login ne pomaga če podatki na disku niso šifrirani - pač ne moreš zagnat OS-a, ampak to nima veze s podatki, zapisanimi na disku, če ti niso šifrirani. Seveda pa obstajajo ključi ki jih moraš vtaknit da ti disk dešifrira, ampak to je pol isti klinc kot Veracrypt, edino da je USB ključ tvoje geslo (namesto da vtipkaš geslo vtakneš usb ključ - plus je da ni treba klofat geslo, minus da imaš en usb vhod zaseden).

T743 ::

No saj imam tudi vera/true crypt, hkrati mi je pa tudi jasno, da vsaj brez klofanja gesla ne bo šlo karkoli zaščititi.

jukoz ::

Ker je že govora o VeraCrypt, bom izkoristil priliko...

Ima kdo težave z veracrypt particijami in velikimi db datotekam od MS Access?

Nek legacy software rabi to bazo, velika je 10GB (ja, vem) in če je na verycrypt particiji prihaja do okvar.

Oz drugače, če je na veracrypt particiji in win10 prihaja do okvar datoteke. Na win7 dela OK.

Kakšna ideja?

Mašine so OK - min 8GB rama in SSD diski. Isto se obnaša na različnih mašinah z različnim HW in različnih letnikih.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

VeraCrypt ali enostavnejša rešitev

Oddelek: Pomoč in nasveti
10549 (264) techfreak :)
»

Programi za ENKRIPTIRANJE namesto Bitlockerja

Oddelek: Pomoč in nasveti
172851 (1097) Yacked2
»

Razlika med encr. key na USB in uporabo TPM

Oddelek: Informacijska varnost
121490 (890) Mr.B
»

Win7 šifriran USB disk na Win10

Oddelek: Operacijski sistemi
6656 (492) Lonsarg
»

Sifriranje diska ali servis za obvescanje

Oddelek: Informacijska varnost
153492 (2693) Jux

Več podobnih tem