» »

Vlada ZDA bo uporabljala polno kriptiranje vseh diskov

Vlada ZDA bo uporabljala polno kriptiranje vseh diskov

Slashdot - Zaradi precejšnjega števila pobeglih podatkov s trdih diskov različnih vladnih organizacij, so se v ZDA odločili da bodo diski vseh njihovih vladnih računalnikov od zdaj naprej uporabljali polno enkripcijo diskov. V dokumentih na straneh ameriške vlade so tudi omenjene zahteve in spisek podjetij, katerih izdelki se potegujejo za mesto na diskih vladnih računalnikov.

Namestitev zmagovalnega izdelka bi naj bila največja implementacija katerekoli programske opreme do zdaj, saj naj bi zadevo namestili na več milijonov računalnikov.

Izvorna novica.

73 komentarjev

«
1
2

Thomas ::

Matthai še ni izrazil zaskrbljenosti, nad potencialnimi negativnimi platmi tega ukrepa?
Man muss immer generalisieren - Carl Jacobi

@LOL ::

Zanimivo. Prvi post pa hkrati NI kritika.:D
Hippy: The Doors?
Geek: The Windows!

Brane2 ::

Verjetno zato, ker čaka na to, kaj bo Bruce Schneier reku o stvari... :D
On the journey of life, I chose the psycho path.

MrStein ::

To so zahteve ?
Kdo to pise ????

(klik na sliko)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • zavaroval slike: OmegaBlue ()

Poldi112 ::

>Matthai še ni izrazil zaskrbljenosti, nad potencialnimi negativnimi platmi tega ukrepa?

In kakšne naj bi bile negativne posledice?
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

Mavrik ::


Zanimivo. :D
The truth is rarely pure and never simple.

Zgodovina sprememb…

  • zavaroval slike: Mavrik ()

borchi ::

> Matthai še ni izrazil zaskrbljenosti, nad potencialnimi negativnimi platmi tega ukrepa?

kaj ni matthai tisti tip, ki je ZA enkripcijo in ZA zasebnost?

zgleda je thomas mal pomešal slo-techerje.
l'jga

iration ::

Za zasebnost pred vlado ZDA in ne vice versa. Očitno ga slabo poznaš.

@LOL ::

Vidim da nas veliko čaka na prvo opažanje t.i. borcev za pravice....
Hippy: The Doors?
Geek: The Windows!

borchi ::

@iration: aja, jaz sem bolj naivne sorte in mislim, da morajo pravila veljat za VSE. ni važno na kateri strani si.

je pa res, da sem spregledal kje je matthai bentil na kriptiranjem vladnih diskov. se pozna, da ne spremljam več kaj prida slo-techa.
l'jga

veteran ::

Aja, diske bi kriptirali? Zakaj pa to? A imajo kaj za skrivat? :D
Podatke o korupciji, razne vladne zarote, pedofilsko gradivo, načrte o selitvi romskih družin na vodovarstvena območja, bogve kaj vse je na diskih, če jih morajo tko fejst zaščitit! >:D

Ziher so barabe, ker sicer ne bi takole skrivali podatkov, zato ameriškim državljanom predlagam, da takoj ustanovijo vaške straže, organizirajo preglede avtomobilov, če ni slučajno kakšen prenosnik s takim sumljivo zaščitenim diskom noter. Presneti lopovi, mi njim davke, oni pa takole. >:D

Izi ::

Zadeva je popolnoma vredu, do točke, ko bodo politiki imeli vse svoje diske kriptirane, hkrati pa bodo svojim državljanom prepovedali uporabo kriptiranja na osebnih računalnikih.

Oblast nikoli ni bila navdušena nad dejstvom, da si lahko tudi navadni državljani kriptirajo diske. Kako pa nas bodo potem nadzirali.
Nekaj poskusov v smeri prepovedi kriptiranja za navadne državljane je že bilo.
Zaenkrat še ni panike, ker kriptiranje uporablja zanemarljiv del ljudi, če pa se bo to preveč razširilo pa lahko ob omembi teroristov in pedofilov, kriptiranje naredijo kaznjivo.

Zaenkrat naj bi bilo menda tako, da naj bi osumljenec moral na poziv sodišča svoje podatke dekriptirati, v nasprotnem primeru se šteje kot da je priznal očitano mu dejanje.

sverde21 ::

@izi: nekaj nadzora mora država ohranit, ker drugače je vseeno, če je ni... če je pa ni pa noben ne bo kontroliral kriminala in bo zmeda...

Sicer podatki pa podatki na računalniku so stvar vsakega posameznika, tako da bi moral dostop do računala bit zaščiten v vsakem primeru. Kar se pa tiče zaščite državnih računalnikov... morte vedit da so tam podatki o NAS in da s tem država zaščiti tudi NAS... čeprav se strinjam, da bi morala država malce bolj odprto delovati, pa odpreti kakšne podatke javnosti, seveda tiste neosebne podatke...
<?php echo `w`; ?>

Kostko ::

@Izi:
Zaenkrat naj bi bilo menda tako, da naj bi osumljenec moral na poziv sodišča svoje podatke dekriptirati, v nasprotnem primeru se šteje kot da je priznal očitano mu dejanje.


Kaj pa če so zakriptirani z naključno zgeneriranim ključem ? Tako imam recimo jaz kriptirane kar nekaj podatkov - me torej lahko sodišče obsodi zaradi tega ker si ne morem zapomniti naključnega 45 bajtov dolgega seed niza za generiranje AES ključa ? 8-O
Human stupidity is not convergent, it has no limit!

Looooooka ::

"pozabil sem geslo"

ALTbla ::

kostko, torej ti pravis da sam nimas dostopa do lastnih podatkov ki jih skusas zascititi? si pa pametno zdj povedu.. tko kot jih lahko odkodiras ko jih rabis jih moras odkodirat ko dobis sodni nalog..
kaj je pa res ce reces da si pozabil geslo? da ze dolgo nisi uporablju te kriptirane particije in se ti ne sanja kaksen je kj kljuc? ceprav po moje to se vedno potem steje kot da noces in da si "priznal" krivdo.. bi se vsakdo na to zgovarjal :D

darkolord ::

Zaenkrat naj bi bilo menda tako, da naj bi osumljenec moral na poziv sodišča svoje podatke dekriptirati, v nasprotnem primeru se šteje kot da je priznal očitano mu dejanje.

Torej v tem primeru lahko rečejo, da je navaden text fajl, ki ga imaš na disku, z neznanim algoritmom enkriptiran teroristični načrt? 8-)
spamtrap@hokej.si
spamtrap@gettymobile.si

Matevžk ::

Hm. Na disku imaš fajl, v njem pa garbage; zaradi napake softvera ali hardvera, recimo. In oni potem lahko trdijo, da je to kriptiran fajl in da si kriv (česarkoli te obtožijo), če ga "ne znaš" dekriptirat ?!?!
lp, Matevžk

ALTbla ::

ja v teoriji.. ne morejo te pa kr tko obtozit necesa brez kaksne podlage ane? morajo met se kj drugega kot pa sam to..

Poldi112 ::

In kako boš razložil, da imaš nameščen software za enkripcijo, ki ga redno uporabljaš?
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

Zgodovina sprememb…

  • spremenil: Poldi112 ()

Kostko ::

kostko, torej ti pravis da sam nimas dostopa do lastnih podatkov ki jih skusas zascititi? si pa pametno zdj povedu.. tko kot jih lahko odkodiras ko jih rabis jih moras odkodirat ko dobis sodni nalog..


Točno to pravim (tak policy dejansko uporabljam) - jaz sam ne vem ključa za dekripcijo nekaj TB podatkov ki se nahajajo na mojem fileserverju. V kolikor ti uspe uganit kaj je moj random generator izpljunil in dekriptirat zadevo kar... Kako mi lahko torej ti dokažeš da jaz vem ključ za dekripcijo ? Trdiš torej, da samo zato ker je računalnik pri meni doma moram znati napovedati katere številke bo moj psevdorandom generator ob naslednjem ciklu zgeneriral ? Kako lahko sploh dokažeš da vsi diski niso polni naključno generiranih podatkov ?

Vsaki random podatki lahko izgledajo kot kriptirani z one time padom - kdorkoli lahko vedno zgenerira OTP ključ ki ti bo podatke "dekriptiral" v karkoli hoče. Tko da prosim razloži kako lahko oni od mene zahtevajo kriptografske ključe katerih sam ne morem nikakor poznati (jih nisem nikoli niti videl, kaj šele da bi si jih zapomnil) ?

In kako boš razložil, da imaš nameščen software za enkripcijo, ki ga redno uporabljaš?


Če so vsi diski kriptirani (tudi root!) - kako bo pa kdo lahko potrdil da imaš tak software nameščen ? Da bi to storili, bi morali najprej dekriptirati vsebino.
Human stupidity is not convergent, it has no limit!

ALTbla ::

daj beri ka sm napisu, nism reku da ce pravis da nimas kljuca ampak ce pravis da nimas dostopa? boli njih za tvoj kljuc, glavno da jim das dostop do podatkov..

Kostko ::

daj beri ka sm napisu, nism reku da ce pravis da nimas kljuca ampak ce pravis da nimas dostopa? boli njih za tvoj kljuc, glavno da jim das dostop do podatkov..


Jaz jim dam poln dostop do vseh nosilcev v moji lasti. Torej imajo dostop do kopice naključno zgeneriranih podatkov. Kje je kakšen kriptografski ključ, ki ga oni potrebujejo za dostop do mojih podatkov ? :\
Human stupidity is not convergent, it has no limit!

Zgodovina sprememb…

  • spremenil: Kostko ()

Kostko ::

Aja, še to - potemtakem lahko vsakogar zaprejo zato ker ma na disku bloke naključnih binarnih podatkov in jim ne da ključa za dekripcijo le-teh ? 8-O
Human stupidity is not convergent, it has no limit!

ALTbla ::

omg, ti pa res sam svoje tupiš...

- koliko ljudi ima po disku kupe nakljucne binarne podatke?
- sigurno potrebujejo nekaj da te lahko sploh obtozijo, nikakor ne morejo na am-bam izbrat zrtve in iz klobuka potegnit obtozbe..
- dostop do odkodirane vsebine, ne do kritiranih particij, kaj ti tu ni jasno? tebi nalozijo nalogo da jih dekriptiraj in jim potem dj dostop.. lahk jim pa probas prodat svojo zgodbo da mas TB pomembnih kodiranih podatkov do katerih niti sam nimas dostopa ... :\

Tarzan ::

omg, ti pa res sam svoje tupiš...

- koliko ljudi ima po disku kupe nakljucne binarne podatke?
- sigurno potrebujejo nekaj da te lahko sploh obtozijo, nikakor ne morejo na am-bam izbrat zrtve in iz klobuka potegnit obtozbe..
- dostop do odkodirane vsebine, ne do kritiranih particij, kaj ti tu ni jasno? tebi nalozijo nalogo da jih dekriptiraj in jim potem dj dostop.. lahk jim pa probas prodat svojo zgodbo da mas TB pomembnih kodiranih podatkov do katerih niti sam nimas dostopa ... :\


Gor nimaš podatkov, do katerih nimaš dostopa, gor imaš samo kupe ničel in enic, iz njih lahko dekriptiraš kar hočeš, v večini, brez pravega ključa sicer nič uporabnega, ampak vseeno, podatki, kar se tebe tičejo sploh niso kriptirani.

Kostko ::

No, da v bistvu tupiš ti ne bom rekel, ker to nekako ne predstavlja argumentirane debate. ;)

koliko ljudi ima po disku kupe nakljucne binarne podatke?


Ha, mislim da je pravo vprašanje ravno nasprotno - koliko ljudi nima po disku kupov naključnih binarnih podatkov ? Mi lahko z gotovostjo trdiš, da jih na tvojem disku ne bom našel ?

sigurno potrebujejo nekaj da te lahko sploh obtozijo, nikakor ne morejo na am-bam izbrat zrtve in iz klobuka potegnit obtozbe..


Točno tako in zaradi tega te nikakor ne smejo obtožiti na podlagi tega da ne moreš dekriptirati svojih podatkov, kajne ? Torej ne potrebujejo nobenih ključev če te lahko že itak obtožijo ?

dostop do odkodirane vsebine, ne do kritiranih particij, kaj ti tu ni jasno? tebi nalozijo nalogo da jih dekriptiraj in jim potem dj dostop.. lahk jim pa probas prodat svojo zgodbo da mas TB pomembnih kodiranih podatkov do katerih niti sam nimas dostopa ...


Prvo kot prvo to ni zgodba - kot sem povedal imam podatke dejansko kriptirane na tak način. Reboot mašine in hopla, ključi so za vedno izgubljeni in randomness. Še enkrat torej, ti lahko potemtakem policija postavi pogoj da v kolikor ne pritečeš v tem trenutku na Mt. Everest boš obtožen ker trdiš da nisi zmožen ? Nekdo bi lahko trdil, da je verjetnost za to večja kot pa verjetnost da boš pravilno uganil kaj bi lahko vsak bit psevdonaključnih podatkov na lastnih LVM arrayjih pomenil.
Human stupidity is not convergent, it has no limit!

Mr_Globus ::

Pa sej ni bistvo, da vsaka naključna datoteka deluje kot kriptirana... Pravi problem je koji vrag lahko mene obsodi če nočem dekripirat podatkov? Kot vem ti pričat proti samemu sebi ni treba, oni bi pa celi hotli, da bi jim ti postergu z mrebitnimi dokazi... :\

Kostko ::

@Mr_Globus: Ja sj to je point - to da ne morejo dekriptirat podatkov ne sme vplivati na rezultat preiskave - torej zaradi tega ne sme biti uzakonjeno da v kolikor ne razkriješ kriptografskih ključev si avtomatsko obtožen (neke take fore imajo v Veliki Britaniji).

Nazadnje bo sodišče od mene še zahtevalo da naj faktoriziram 4096 bitna števila.... na pamet! :\
Human stupidity is not convergent, it has no limit!

Matevžk ::

- koliko ljudi ima po disku kupe nakljucne binarne podatke?

Kot so ti že razložili ... vsi jih imamo, tudi ti. Preprosto zato, ker je to najbolj optimalna implementacija, zato vsi datotečni sistemi delajo na ta način: kar ni podatek, nas ne briga in je lahko naključno. Lahko pa seveda pride do napake in en ne-podatek postane podatek. Pri slabih FS-jih že ob nedolžnem hard-rebootu mašine.
sigurno potrebujejo nekaj da te lahko sploh obtozijo, nikakor ne morejo na am-bam izbrat zrtve in iz klobuka potegnit obtozbe..

Ja, ja, vsekakor. Govorim o neki (majhni?) možnosti, da me v demokratični državi zaprejo zato, ker pač niso našli drugega osumljenca, edini dokaz, ki priča proti meni, je pa "zakodiran" podatek na mojem disku, ki ga "ne znam" dekodirat.

Mi lahko z gotovostjo trdiš, da jih na tvojem disku ne bom našel ?

Njegov odgovor bi bil lahko "da" -- ker ti sploh ne bo dovolil brskati po disku. :D :D

edit: terminološki popravki.
lp, Matevžk

Zgodovina sprememb…

  • spremenil: Matevžk ()

Matthai ::

No desničarji, umirite se.
Tole je odlična zadeva. Tudi Microsoftov BitLocket je odlična zadeva. Dokaz več, da je uporaba kriptografije NUJNA in da to ni samo "teroristična" tehnologija, kot ste trdili desničarji.

Dobro je to zato, ker se je s tem odprl ogromen trg - to, da se je odprl tak trg pa bo dalo zagon za raziskave, za rešitve, za to, da tehnologija postane javno dostopna. In - hehe - Debianov Echt (ki bo upam izšel kmalu), bo imel full encyrption support že vgrajen.

Očitno so se iz ChoicePoint afere le nekaj naučli.

Edini problem bodo izgubljeni ključi. Delno tudi okvarjeni diski.Ampak to se da rešiti. Pričakujemo lahko torej tudi razvoj enostavnih backup sistemov. In hm ja... zdaj mi je jasno zakaj je NSA pred par leti patentirala key escrow...

Brane: zadeve pa nisem komentiral preorosto zato, ker sem bil včeraj skoraj cel dan zdoma.

Zaenkrat naj bi bilo menda tako, da naj bi osumljenec moral na poziv sodišča svoje podatke dekriptirati, v nasprotnem primeru se šteje kot da je priznal očitano mu dejanje.
Ni tako. To je eden večjih bullshitov, kar jih kroži po internetu. Za foro si poglej samo 5. člen zakona o kazenskem postopku.
Od tebe nihče ne more zahtevati, da mu daš lastne šifrirne ključe. V zahodni pravni državi že ne, morda v kakšnem Sudanu...
All those moments will be lost in time, like tears in rain...
Time to die.

Matthai ::

Ker sem dobre volje bom napisal nekaj več o tem mitu, da je treba dati svoje šifrirne ključe. Ključe morate dati samo če ste priča v postopku in če sebe s tem ne bi spravili vkazenski postopek ali hudo sramoto. Osumljenec lahko mirno dvigne sredinec in reče, da ključev pač ne bo dal. Pri vladnih uslužbencih je pa zadeva elegantno rešljiva: podatki niso njihovi, pač pa vladni, torej vlada MORA imeti dostop do ključev v vsakem primeru.

Zdaj pa k mitu.

Nekatere države so poizkušale sprejeti določila, ki bi od posameznikov zahtevala, naj na podlagi sodne odredbe preiskovalcem izročijo svoje ključe ali pa dovolijo dostop do nešifriranih podatkov. Šesto načelo kriptografskih smernic OECD govori o zakonitem dostopu do šifrirnih ključev, vendar take rešitve ne zahteva: “Nacionalne kriptografske politike lahko dovolijo zakonit dostop do nešifriranega besedila ali šifrirnih ključev”. Vendar pa so na zasedanju G8 istega leta zapisali priporočilo, da naj vsaka vlada zagotovi zakonit dostop do nešifriranih informacij za potrebe preprečevanja terorizma.

Precej kritik je bila deležna tudi 4. točka 19. člena Konvencije o kibernetski kriminaliteti, v kateri je zapisano, da “pogodbenica sprejme potrebne zakonodajne in druge ukrepe, s katerimi pristojne organe pooblasti, da odredijo vsakomur, ki je seznanjen z načinom delovanja računalniškega sistema ali ukrepi za zavarovanje računalniških podatkov v njem, kadar je primerno, da zagotovi potrebne informacije, ki omogočijo izvajanje ukrepov iz prvega in drugega odstavka.” (4. točka 19. člena Konvencije o kibernetski kriminaliteti). Kritiki so opozarjali, da so takšne določbe v nasprotju z načelom, ki prepoveduje samoobtožbo (ang. self-incrimination), ki je med drugim uveljavljeno v 5. amandmaju ameriške ustave, 6. členu Evropske konvencije o človekovih pravicah (ki govori o pravici do poštenega sojenja) ter 14. (3) (g) členu Mednarodnega pakta o državljanskih in političnih pravicah.

Po navedbah EPIC sta zakonodajo, ki od posameznika zahteva razkritje šifrirnih gesel,
sprejela samo Singapur in Malezija.

Nekoliko drugačno rešitev je sprejela Irska. Junija 1998 je irsko ministrstvo za javno podjetništvo (Department of Public Enterprise) pripravilo dokument Framework for Irelands Policy on Encryption and Electronic Signatures, v katerem so zapisali, da bo “za omogočanje zakonitega dostopa do šifriranih podatkov sprejeta zakonodaja, ki bo od uporabnikov kriptografskih proizvodov zahtevala, naj na podlagi zakonitega pooblastila [preiskovalnim organom] izročijo ali nešifrirano sporočilo, ki je preverljivo povezano s šifriranimi podatki, ali pa ključe ali algoritme, ki omogočajo pridobitev nešifriranega sporočila.”, kar je v bistvu implementacija 6. načela iz Smernic o kriptografski politiki OECD.

V leta 2000 sprejetem zakonu Electronic Commerce Act so v 28. členu zapisali: “Nič v tem zakonu se ne sme tolmačiti kot zahteva za razkritje ali omogočanje zasega edinstvenih podatkov, kot npr. kod, gesel, algoritmov, zasebnih šifrirnih ključev ali drugih podatkov, ki bi bili nujni za povrnitev informacije ali za jasnost komunikacije”, vendar pa 27. (c) člen preiskovalcem omogoča, da “se v primeru, da zasežena stvar vsebuje informacije ali komunikacije v nerazumljivi obliki (torej so zašifrirane, m. op.), lahko zahteva razkritje informacije ali elektronske komunikacije v razumljivi obliki” (27. in 28. člen Electronic Commerce Act). SE PRAVI TA ZAKON ZAHTEVAJO DOSTOP DO PODATKOV, NE PA TUDI DO KLJUČEV. Zadeva je zanimiva zaradi "pausible deniability"). Po navedbah EPIC so o podobnih rešitvah razmišljali tudi v Kanadi, Veliki Britaniji in Indiji.

Vendar so taka načela v nasprotju s pravico do prepovedi samoobtožbe. Kritiki pa opozarjajo tudi na to, da bi bili zaradi takih določil lahko kaznovani nedolžni posamezniki, ki bi gesla izgubili ali pa bi jih nekdo drug naredil v njihovem imenu.

Dokončen odgovor na vprašanje, ali so take določbe v skladu z mednarodnimi pravnimi akti, bodo verjetno dale razsodbe ustavnih sodišč oziroma sodba Evropskega sodišča za človekove pravice, ki je pravico do molka v kazenskem postopku na podlagi 6. člena Evropske konvencije o človekovih pravicah v nekaj razsodbah že podprlo. Zato se bo verjetno bolj uveljavila rešitev, ki so jo uveljavili v ZDA (kjer 5. amandma prepoveduje samoobtožbe), ki predvideva prisilna dejanja za razkritje ključev ali vsebine komunikacije samo za tretje osebe, torej priče, in ne za obtožence.

Zakonodajalec lahko k razkritju šifrirnih ključev prisili posameznike, ki te ključe hranijo za druge osebe, ne more pa prisiliti osumljencev, da izdajo svoje lastne ključe (Mednarodni pakt o državljanskih in političnih pravicah so podpisale tudi Irska, Velika Britanija in Kanada). Delna izjema je primer People proti Price, ki se je zgodil na višjem kalifornijskem sodišču v ZDA, ko je tožilstvo uspešno izsililo šifrirno geslo od obtoženca. Vendar v tem primeru gesla niso uporabili za pridobitev dokazov, temveč za ugotavljanje, ali naj policija obtoženemu vrne zaplenjeni računalnik. V računalniku je bilo namreč več šifriranih datotek, za katere je policija domnevala, da je v njih otroška pornografija (obtoženec je že bil kaznovan zaradi nadlegovanja otrok), to domnevo pa sta potrjevali datoteki “Boys.gif” ter “Boys.pgp”, ki so ju našli v računalniku.
Obtoženec je želel dokazati, da v njegovem računalniku ni otroške pornografije (in s tem pridobiti računalnik nazaj), zato so preiskovalci zagnali šifrirni program PGP do točke, ko je treba vpisati geslo, obtoženec pa je geslo povedal zapriseženemu sodnemu uradniku in ta je geslo vpisal brez navzočnosti preiskovalcev. Preiskovalci so nato dokončali postopek dešifriranja datotek.

Ta postopek pa je bil učinkovit zgolj zato, ker so preiskovalci že pred tem našli nešifrirano datoteko in so torej dokaze pridobili brez dostopa do šifrirnega gesla; v primerih, ko nešifriranih datotek ni v računalniku, pa v demokratični družbi obdolženca ni mogoče prisiliti, da priča proti sebi.

BUSTED! :D
All those moments will be lost in time, like tears in rain...
Time to die.

MrStein ::

Matthai :
In - hehe - Debianov Echt (ki bo upam izšel kmalu), bo imel full encyrption support že vgrajen.

"bo imel" ?
Nima ze zdaj ?
Ali mislis "bo", ker uradno se ni izsel ?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Matthai ::

Ja ima, ampak uradno še ni izšel. To sem mislil.
All those moments will be lost in time, like tears in rain...
Time to die.

kriko1 ::

Ali ima tole kriptiranje podatkov kakšen vpliv na performance (kopiranje datotek, poraba cpu...)?

Brane2 ::

Seveda. Bistven.
On the journey of life, I chose the psycho path.

Poldi112 ::

No, jaz v praksi nisem opazil da bi kaj počasneje delovalo. Imam pa enkriptirano samo home particijo.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

Brane2 ::

Pa saj v home particiji najbrž nimaš nič takega. Probaj recimo tja počit vsebino kakega dvdja recimo in naredi njeno kopijo.

Pri en/de/kripciji pač DMA kanali ne delajo ampak CPU sam premetava vse, poleg tega da sevedfa opravlja razmeroma zahteven kripto zraven.

To pomeni, da tudi če bi stvar laufala razmeroma hitro, še vedno bistveno zaseda CPU.
On the journey of life, I chose the psycho path.

Matevžk ::

Saj če bi kam počil kopijo DVDja (neki podatki ali film), bi bila to prav gotovo home particija, mar ne? Saj so tam podatki.
Kakorkoli, hiter Google je med komentarji kar nekje razkril tole (nekdo je doma na hitro benchmarkal bonnie++):
It's a pretty big difference. Character reads/writes are about 2x faster when unencrypted. Block reads/writes are about 3x faster when unencrypted. Seeks and creates are roughly the same. 50% and 66% performance hits are nothing to sneeze at.

Torej, ja ... čakamo še na poseben hardver za enkripcijo :)).
lp, Matevžk

kekz ::

Točno, rabimo cryptoDMA. Saj namenski šifrirni procesorji obstajajo že zelo dolgo časa.
Lahko bi pa imeli tudi podatke v memoriji šifrirane in bi imeli pred procesorjem en šifrirni predprocesor, ki bi pri poseganju v memorijo izvajal (od)šifriranje :D.

Matthai ::

V bistvu poseben hardwer že obstaja... neka firma ponuja AES kriptirane diske, vendar je njihov firmware seveda closed source (kar je iz varnostnega stališča zelo slabo).

Drugače pa ima Brane prav - zadeva se pozna. Vendar je treba vedeti nekaj. Diski pred nekaj leti so bili bistveno počasnejši. Pa smo vseeno nekako preživeli z njimi. Danes so diski precej hitri. In če se minimalno upočasnijo, večina povprečnih uporabnikov pri branju e-pošte, surfanju in pisanju dokumentov tega ne bo opazila. Še pri ogledovanju filmov ne. Itak je danes povprečni disk in povprečni CPU bistveno prehiter za povprečnega uporabnika. Pa ne mislim, da je to kaj slabega, ampak slabših karakteristih računalnika povprečen uporabnik ne bi bistveno opazil. Nekateri še tega ne opazijo, da imajo zasvinjano kišto s spywerom. :D
All those moments will be lost in time, like tears in rain...
Time to die.

Matthai ::

kekz: približno tako deluje cryotsetup oz. DM crypt. Pod Linuxom imaš namreč virtualne kontejnerje, kjer "ležijo" particije in nad kontejnerjem je file system. Na kontejnerju pa je lahko kripto vmesnik.

V bistvu bi rabil samo diske, kjer bi na firmware lahko naložil poljuben rypto software. Podjetje bi moralo prodajati samo diske s takim vmesnikom in zraven priložiti en beden crypto firmware, ki bil opensource, skupnost pa bi ga v par mesecih razvila v ful hud crypto software. Firma bi si s tem prihrnila stroške razvoja, hkrati pa bi še vedno služili kot majmuni. 8-)
All those moments will be lost in time, like tears in rain...
Time to die.

kekz ::

Diskmapper crypt sem že testiral (pa tudi crypto-loop, ali kakosemužereče, ko šifrirano particijo napelješ skozi loop device), za produkcijo pa trenutno nimam časa. Ampak šifrirni postopki gredo še vedno skozi centralni procesor. Pa nisem se poglabljal, ali je memorija, kjer je diskovni cache, že šifrirana ali se šifriranje izvaja med cache in diskom.

Zgodovina sprememb…

  • spremenilo: kekz ()

Izi ::

Ne sanjajte. Za današnje računalnike je kriptiranje mala malca, izvaja se hitreje kot pa je sistem zmožen brati podatke iz nekriptiranega diska. Odvisno je seveda kakšen algoritem uporabiš.
TrueCrypt, za moje pojme naj programček za kriptiranje, ima vgrajem benchmark za preizkus hitrosti enkripcije in dekripcije za vse vgrajene algoritme.

Na moji mašini se kot najhitrejši algoritem izkaže Blowfish, ki enkripcijo izvaja z 60 MB/s in dekripcijo z 61 MB/s, kar je že blizu zmogljivosti mojega Raptorja, ki bere z 70 do 80 MB/s.
Povprečni diski pa zmorejo brati podatke z okoli 55 MB/s, in dekripcija skoraj nič ne vpliva na zmanjšanje hitrosti dostopa do podatkov.

Twofish, CAST5, Serpent in AES se izvajajo z okoli 50MB/s, kar je še vedno nič ne zmanjša normalne hitrosti.
Izogibati pa se je treba kakšnega starega Triple DES in podobno, katerega hitrost je komaj okoli 16 MB/s, tu pa se hitrost že opazno zmanjša. Pa pri dvojnem ali trojnem hkratmen kodiranju z različnimi algoritmi se hitrost zmanjša na okoli 25 MB/s

Opazi se samo če je celotni OS instaliran na kriptiranem disku, kjer se bo sistem nekaj sekund dalj zaganjal, največja upočasnitev bo zaradi Pagefile datoteke, ki edina nujno rabi največjo hitrost.

Zgodovina sprememb…

  • spremenil: Izi ()

kekz ::

Mislim, da je hitrost šifriranja dokaj konstantna ne glede na število diskov.
Moje ta hudo diskovno polje ima praktično prepustnost 800 Mbytov/s v vsako smer (full duplex). Šifriranje bi se najbrž zelo poznalo.

Matek ::

Izi, preberi, kar je napisal Brane2. Tudi, ce se zadeva ne pozna pri sami hitrosti prenosa, kriptiranje se vedno porabi obilico CPUja, kar se lahko posredno prav tako izkaze kot ogromen padec performans. Ce ti recimo beres en velik kos filma z diska in nadenj obenem spustis nek kompliciran efekt, hitrost branja ne bo padla direktno zaradi enkripcije, bo pa ostalo dosti manj procesorske moci za izvajanje efekta, tako da bo celotna operacija v koncni fazi se vedno trajala dlje.

To je point.
Bolje ispasti glup nego iz aviona.

Matthai ::

Vse to je res, ampak po drugi strani so procesorji danes (v primerjavi z nekaj leti nazaj) že tako hitri, da za povprečnega uporabnika predstavljajo neke vrste overkill. In hitrost procesorjev le narašča, potrebe povprečnih uporabnikov pa ne toliko.

Se je pa seveda treba odločiti ali boš za nekoliko slabše performance dobil večjo varnost, ali pač ne. Valjda na gamerski mašini ne bom uporabljal šifriranih diskov. Po drugi strani pa je to zelo smiselno na kakšnem poslovnem laptopu. Trg za enkripcijo seveda ni 100%, ampak velik delež uporabnikov bi tako enkripcijo potreboval.
All those moments will be lost in time, like tears in rain...
Time to die.

Izi ::

Matek, saj smo vendar v dobi večjedrnikov.
Enkripcija in dekripcija si zase vzame vedno samo eno nit, ki jo porabi v celoti, kar zadošča v mojem primeru za obdelavo 61 MB podatkov na sekundo.
Druga nit je vedno prosta in na razpolago imaš še celih 100% procesorskega časa za izvajanje programov.

Tako, da se razliko v hitrosti lahko opazi samo pri izvajanju večnitnih programov, ki pa so danes še precej redki, mogoče med izvajanjem kakšnega kompliciranega filtra v Photoshopu, ki bi v celoti zaposlila tudi 4-jedrnika, tam se bo res poznalo nakaj dodatnih sekund, drugače pa ne.
Tudi če bi igral eno nitne igre, ki so dandanes večinoma edini programi, ki vedno zasedejo nit do 100%, ne bi bilo razlike, ker je pač ena nit popolnoma posvečena izvajanju igre.

Ko pa bomo prešli na 4 jedrne procesorje pa bomo tudi večnitne programe lahko izvajali brez kakršnihkoli razlik v hitrosti.
Koliko se pa pozna, če eno nit izmed mnogih nameniš za kriptiranje? >:D

Trdi ::

Ja, upam, da bojo izbrali moj projekt, mam kredit za mikrovalovko za odplačat. :D

Ker sem dobre volje bom napisal nekaj več o tem mitu, da je treba dati svoje šifrirne ključe. Ključe morate dati samo če ste priča v postopku in če sebe s tem ne bi spravili vkazenski postopek ali hudo sramoto. Osumljenec lahko mirno dvigne sredinec in reče, da ključev pač ne bo dal. Pri vladnih uslužbencih je pa zadeva elegantno rešljiva: podatki niso njihovi, pač pa vladni, torej vlada MORA imeti dostop do ključev v vsakem primeru.

Ja, seveda, ne. Dajte malo razmišljat, ljudje. :D Konec koncev kriminalci v nobeni državi ne izpolnjujejo davčnih napovedi tako vestno kot v ZDA, a nismo ravno na tem forumu enkrat to omenjali? Famozni "sebe ne bom zajebal" člen ustave jim pač omogoči, da v davčno napoved vržejo par milijončkov, ki so jih zaslužili z uvozom kokaina iz Srednje Amerike, zraven pa samo napišejo "ne povem, kje sem dobil". V bistvu mislim, da bi celo vsak mulc že znal pokazati sodišču sredinec v taki situaciji.
Trdota d.o.o.
«
1
2


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Slovenski 'heker' vdiral v računalnike ameriške vlade?

Oddelek: Novice / Varnost
234840 (830) opeter
»

PC in LCD eno ohišje

Oddelek: Strojna oprema
8817 (679) kljucavnicar
»

Kako zaobiti kitajsko cenzuro

Oddelek: Novice / Zasebnost
173865 (2673) Matthai
»

Ali Severna Koreja uporablja hekanje v vojaške in obveščevalne namene?

Oddelek: Novice / Varnost
184143 (4143) iro
»

Angleščina - govorna vaja

Oddelek: Šola
63505 (3422) VuLc4n0

Več podobnih tem