BitLocker tpm VS pin/password

Veracrypt celotnega SSD-ja na laptopu, pa slabih 10 sekund za vtipkavanje gesla.

Na istem boš, ni pa od Microsofta (kar pomeni da ti teoretično ne more enkrat nekdo potrkat na vrata z nalogom za preiskavo pa s ključem ki mu ga je po nalogu sodišča priskrbel Microsoft - če ti je to vseeno potem branje naprej preskoči). Imamo Veracrypt na nekih 12 mašinah z Win10 in še nikjer se ni sesul (je pa itak fino poskrbet za podatke na mašinah, če se ti sesuje bootloader, crkne disk, ukradejo notebooka ipd.), je pa res da na Samsung 1TB SSD nekaj ob bootu zajoka (ene 3 write errorje javi - se da na netu najt napako) ampak gre čez, samo potem neka 1.24 verzija beta 0 (ki je za klinca ni več gor na Github-u) popravi to - sem ravno zadnjič dal na taki mašini čez 1.24 beta0 dal verzijo 1.24 (končno), pa tudi končno s hotfix1 - kasnejšo, pa spet isto teži kar pri beta 0 ni več... V osnovi pa to enostavno dela, ostalo so finese.
Zakaj nisem pristaš teh TPM-jev? Ker so nastali kot posledica razmišljanj vlad da bodo sistemi imeli čip za enkripcijo, ampak stranska vrata za vlade, da lahko pod pretvezo national secrity, sodne odredbe ipd. še vedno pridejo notri. To je zgodovina - zakaj TPM, ne vem kaj se je potem dejansko zgodilo oz. izcimilo iz tega in me niti ne zanima, pač greš SW šifrirat disk pa se ti TPM sladko j..e.
Aja pozabil povedat, da seveda šifriranje diska konkretno upočasni branje/pisanje po njem (mirno lahko rečem 20% po testih na mašini), ampak to je tradeoff - meni recimo ukradejo prenosnik pa podatkov ne dobijo - to je pač smiselno le če so podatki na računalniku več vredni kot računalnik. Če temu ni tako (bi šifriral svoje seminarske naloge ipd.) potem ne šifriraj sploh ker se ne splača, oz drugače: kdor ne ve kaj bi ščitil realno ne potrebuje šifriranja, oz. če ti je komercialno šifriranje od MS-ja ok potem pač ščitiš podatke samo pred tatvino, ne pa za drge namene (kar je čisto ok, pač vedeti moraš pred kom šifriraš).

Yubikey ne pride v poštev? Res da ne šifrira močno pa oteži login...

Ne razumem zakaj Vera... zakaj ne originala in nekomprimitiranega True.... - pred zadnja verzija..... ?

Meni je žalostno da se noben ne zmisli imlementirat PIN odklepanja (oziroma PIN + TMP) kar preko Windows PIN. Torej da bi samo enkrat vtipkal geslo in bi to bilo tako za login v windows kot za dekripcijo diska. Tako bi imel user experiance TMP enkripcije in varnost PIN ekripcije.

BCSman je 17. nov 2019 ob 10:44 izjavil:

Karen je 15. nov 2019 ob 23:49 izjavil:

BCSman je 15. nov 2019 ob 22:25 izjavil:

Mora se prebiti skozi windows logon geslo.

1. usb ključek s poljubno live distribucijo Linuxa zaženeš na mašini
2. zmountaš disk na notebooku
3. pobereš dol kar te zanima (logon pozabi)
ali
1. vzameš ven iz notebooka disk, ga priključiš na sata priključek navadnega PC-ja kot drugi disk in iz windowsov pogledaš kaj je na priključenem disku

Zakaj Vera? Za začetek recimo, ker podpira GPT particije, pa ima kar nekaj TC pomanjkljivosti odpravljenih. TC gre samo na MBR, je pa 7.1a zadnja ok verzija.

Cak mal, podatki na disku so kriptirani, kaj ti bo live linux in te amaterske operacije z menjavo diskov. Sele tpm pred pred login screenom jih dekriptira.

Bitlocker/TPM ti dekriptira disk še preden se kak OS zažene, razen če misliš da so windows tako magični da lahko berejo iz kriptiranega diska brez ključa.

Lonsarg je 16. nov 2019 ob 00:29 izjavil:

Meni je žalostno da se noben ne zmisli imlementirat PIN odklepanja (oziroma PIN + TMP) kar preko Windows PIN. Torej da bi samo enkrat vtipkal geslo in bi to bilo tako za login v windows kot za dekripcijo diska. Tako bi imel user experiance TMP enkripcije in varnost PIN ekripcije.

To vsaj eni laptopi podpirajo. Po vklopu (v "BIOS") vtipkaš Windows geslo, s tem odkleneš disk, se naloži Windows, in se potem avtomatsko prijavi v Windows s prej vtipkanim geslom.

Poanta enkripcije je da če ti kdo ukrade disk da ga ni berljiv. Zdaj če imaš nastavljeno ročni vnos gesla, potem je zaščiten tudi na računalniku samem, če pa uporabljaš TPM pa niti ne.

To jaz razumem - če je disk kriptiran nimaš kaj ven jemat. Predhodnik je govoril o nekem yubi-key-u ki naj bi če ga citiram "otežil login" v Windowse - pa sem mu napisal da če je ovira samo login potem se disk ven vzame (ali zboot-a linux live distro), pa je... ravno to sem mu hotel dopovedat da mu otežen login ne pomaga če podatki na disku niso šifrirani - pač ne moreš zagnat OS-a, ampak to nima veze s podatki, zapisanimi na disku, če ti niso šifrirani. Seveda pa obstajajo ključi ki jih moraš vtaknit da ti disk dešifrira, ampak to je pol isti klinc kot Veracrypt, edino da je USB ključ tvoje geslo (namesto da vtipkaš geslo vtakneš usb ključ - plus je da ni treba klofat geslo, minus da imaš en usb vhod zaseden).

Ker je že govora o VeraCrypt, bom izkoristil priliko...

Ima kdo težave z veracrypt particijami in velikimi db datotekam od MS Access?

Nek legacy software rabi to bazo, velika je 10GB (ja, vem) in če je na verycrypt particiji prihaja do okvar.

Oz drugače, če je na veracrypt particiji in win10 prihaja do okvar datoteke. Na win7 dela OK.

Kakšna ideja?

Mašine so OK - min 8GB rama in SSD diski. Isto se obnaša na različnih mašinah z različnim HW in različnih letnikih.