Šifrování hdd pomocí BitLockeru nebo Truecrypt

[olda02]

Ahoj, potřebuju mít data na disku chráněná. Ovažoval jsem o šifrování pomocí Bitlockeru nebo Truecryptu. Chtěl bych, aby byl šifrovaný fyzický disk (v četně systémového) a asi heslo by se mělo zadávat při bootu (a pak samozřejmě ve Win), mělo by to celé fungovat bezproblémově pod Win 7 a na dvoujádře. Uvažoval jsem o Bitlockeru, ale bez čipu TPM, jestli jsem to správně pochopil, je na prd, protože veškeré klíče se musí uložit na nezašifrovanou fleshku a pokud se někdo dostane k flashce, tak má i přístup k disku. Nebo se mýlím? Prý po Service packu 1 by si systém měl poradit i s klíči na šifrované flashce....Jde mi o maximální bezpečnost dat (v rámci možností). Jaké máte z kušenosti a jaký sw byste mi doporučili - jestli výše dva zmíněné nebo jiný? Jinak jsem zjišťoval bezpečnost dat šifrovaných těmito sw a je bezpečná. Žádná mnou oslovená firma si s tím neuměla poradit ). díky

[Flegy]

pouzij truecrypt. nejlepe v kombinaci s intel cpu podporujici aes sadu (ale neni to nutne). osobne ho pouzivam uz dlouho a nikdy zadny problem. umi vse co potrebujes. jinak je lepsi mit os a data sifrovane oddelene s jinymi klici (co nejlepsimi, existuji i ruzne generatory hesel na netu). sifrovani vydrzelo bez poruseni i kdyz mi odesel jeden disk z RAID5 pole. co se tyce bezpecnosti, je to to nej co je pro smrtelnika dostupne. navic je kod TC otevreny, takze je velice nerealny nejaky backdoor.

[olda02]

jinak je lepsi mit os a data sifrovane oddelene s jinymi klici

Asi myslíš mít OS na jiný partition než zbytek, že? To mám. Mám tu celkem 3 hdd.

[Flegy]

ne nutne. truecrypt umi sifrovat jak partition tak sifrovat do jednoho souboru. myslim to tak, ze je jistejsi, kdyz ma clovek jedno heslo k sifrovanemu systemu a po lognuti si mountne v truecryptu dalsi svazek sifrovany s jinym heslem.

[olda02]

ne nutne. truecrypt umi sifrovat jak partition tak sifrovat do jednoho souboru. myslim to tak, ze je jistejsi, kdyz ma clovek jedno heslo k sifrovanemu systemu a po lognuti si mountne v truecryptu dalsi svazek sifrovany s jinym heslem.

Tak to zase chce mít dobrou paměť:-))
Jak to fungue. Při bootu se tě to zeptá na heslo a pak další můžeš nastavit ve Win?

[Flegy]

presne. pri bootu zadas heslo k nabootovani os, potom treba jeste heslo v os loginu a po nabootovani windows v truecryptu nactes sifrovany svazek s daty. osobne takto jedu na pc, nb a serveru.

jinak co se tyce ochrany soukromi a predchazeni nejakemu vniknuti je dobre mit kvalitni firewall a hlavne dobre nastaveny, jinak ti bude k nicemu. navic, neni dobre, aby si mel kratka hesla jen z pismen nebo jen z cislic. nejlepsi je mit napr. neco jako: gIE79lImOs70TeL?HAIk50aim#HOTS%eel

jinak dobre je pouzivat vice nez 8mi mistne hesla, nikde je nepsat atd. nevychazet ze jmen,prezdivek,adres,crodnejch cisel atd... to je prvni po cem dotycni jdou "najisto"

[N_o_c_l_a_f]

Dlouhe heslo jenom z pismen bohate staci. 13ti mistny heslo klidne i z malych pismen je fakticky necracknutelny hrubou silou.

[olda02]

Dlouhe heslo jenom z pismen bohate staci. 13ti mistny heslo klidne i z malych pismen je fakticky necracknutelny hrubou silou.

Myslím, že heslo do OS dlouhé 14-15 znaků není problém prolomit do pár sekund. Takže jedině delší heslo.

[olda02]

nejlepsi je mit napr. neco jako: gIE79lImOs70TeL?HAIk50aim#HOTS%eel

jinak dobre je pouzivat vice nez 8mi mistne hesla, nikde je nepsat atd. nevychazet ze jmen,prezdivek,adres,crodnejch cisel atd... to je prvni po cem dotycni jdou "najisto"

Ted si taky takový heslo pamatovat:-)). Jinak si myslím, že by stačilo heslo o delce třeba 16-20 znaků a mohlo by být složené z více slov spojenými třeba číslicemi.

[N_o_c_l_a_f]

Dlouhe heslo jenom z pismen bohate staci. 13ti mistny heslo klidne i z malych pismen je fakticky necracknutelny hrubou silou.

Myslím, že heslo do OS dlouhé 14-15 znaků není problém prolomit do pár sekund. Takže jedině delší heslo.

Ale to neni crackovani pomoci bruteforce. To byva chyba ty metody sifrovani. A kdyz je chyba v metode, tak te nezachrani ani vDF34$#%fsrfWIQ680

13 pismen slozenych z anglicke abecedy ti dava 2'481'152'873'203'736'576 kombinaci. To uz je hrubou silou neprolomitelny.

[olda02]

Ale to neni crackovani pomoci bruteforce. To byva chyba ty metody sifrovani. A kdyz je chyba v metode, tak te nezachrani ani vDF34$#%fsrfWIQ680

13 pismen slozenych z anglicke abecedy ti dava 2'481'152'873'203'736'576 kombinaci. To uz je hrubou silou neprolomitelny.

Hrubou silou ne, ale pomocí rainbow tables ano. A je to opravdu jednoduchý jako facka, dostupný i pro laika...

[N_o_c_l_a_f]

Ty lepsi algoritmy ( napr u Truecryptu ) pridavaji do hashe sul, takze rainbow tables nemuzes pouzit. Takze vazne smula.

[olda02]

Ty lepsi algoritmy ( napr u Truecryptu ) pridavaji do hashe sul, takze rainbow tables nemuzes pouzit. Takze vazne smula.

Já jsem psal o hesle do OS, prostě login do Win...

[pepak.net]

13 pismen slozenych z anglicke abecedy ti dava 2'481'152'873'203'736'576 kombinaci. To uz je hrubou silou neprolomitelny.

13 písmen anglické abecedy má 26**13 kombinací, to je přibližně 2**61. To je už pár let prolomitelné, i když ne snadno ani rychle. Dá se očekávat, že do deseti let už to bude buď snadno nebo rychle. Rozhodně bych doporučoval buď ještě pár písmenek přidat nebo připustit aspoň jeden znak z jiné skupiny (velká písmena, číslice, symboly...) - to se pořád dá zapamatovat a přitom to výrazně ztíží brute force (pokud ten znak nebude na začátku ani na konci).

Jo, a to celé za předpokladu, že to heslo je tvořené náhodně. Jestli to je slovo, tak prolomitelné je zcela určitě.

[Flegy]

jak bylo psano vyse, obejit login do windows je jednoduche, staci trosku googlit

osobne nemam problem se svymi dvemi 32 mistnymi hesly, je to to same jako se naucit adresu,tel. cisla nebo cislo obcanky...

co se tyce truecryptu, je jeho sila prave hlavne v tom, ze jeho kod je pod GNU/GPL. Kdyby totiz nekdo prisel na to, ze ma jakykoli backdoor ci chybu v algoritmu, velice rychle by se to dostalo na verejnost a bylo opraveno. navic po implementaci AES funkci do core procesoru je sifrovani dostatecne rychle i pro NASy pro x klientu po gigovy siti

[N_o_c_l_a_f]

13 písmen anglické abecedy má 26**13 kombinací, to je přibližně 2**61. To je už pár let prolomitelné, i když ne snadno ani rychle.

Kdo to kdy zatim realne prolomil? Rychlosti 1 miliarda (sic!!!!) pokusu za vterinu to bude trvat vic nez 78 let.

Navic ten louskajici musi vedet, ze pouzivam jenom mala pismena - coz jaksi predem nevi. Takze i kdyby se spolehl na to, ze pouzivam jenom pismena, tak bude mit razem 2^13krat delsi praci. A to uz se dostavame asi na 644 tisic let louskani.

Chyba ve woknech je chybou wokenniho algoritmu, ne slabosti hesla jako takoveho. Zasifrovanim celeho systemu tenhle problem obejdeme, protoze bez hesla k TC se nikdo ani nedostane k tem W hashum, co se daji prolomit.

V praci taky mame wokna, ale nikdo je nerozlouskne, protoze cely disk je sifrovany a bez hesla si zlodej precte leda tak prd...

[pepak.net]

co se tyce truecryptu, je jeho sila prave hlavne v tom, ze jeho kod je pod GNU/GPL.

TrueCrypt nemá s GNU/GPL nic společného.

Kdyby totiz nekdo prisel na to, ze ma jakykoli backdoor

"Kdyby". Open-source je z hlediska back-doorů jen minimálně bezpečnější než closed-source. http://www.pepak.net/bezpecnost/open-so ... backdoory/

[pepak.net]

13 písmen anglické abecedy má 26**13 kombinací, to je přibližně 2**61. To je už pár let prolomitelné, i když ne snadno ani rychle.

Kdo to kdy zatim realne prolomil? Rychlosti 1 miliarda (sic!!!!) pokusu za vterinu to bude trvat vic nez 78 let.

http://www.distributed.net/images/9/92/ ... solved.pdf

Navic ten louskajici musi vedet, ze pouzivam jenom mala pismena - coz jaksi predem nevi.

To samozřejmě neví. Na tom také stojí a padá většina argumentů založených na entropii hesla.

Na druhou stranu, vzhledem k pravděpodobnostnímu rozložení hesel to útočník může považovat za daný fakt. (Když se splete, stejně by to heslo neprolomil, takže žádná velká škoda...)

Chyba ve woknech je chybou wokenniho algoritmu, ne slabosti hesla jako takoveho. Zasifrovanim celeho systemu tenhle problem obejdeme, protoze bez hesla k TC se nikdo ani nedostane k tem W hashum, co se daji prolomit.

Souhlas.

V praci taky mame wokna, ale nikdo je nerozlouskne, protoze cely disk je sifrovany a bez hesla si zlodej precte leda tak prd...

Klíč k šifrovanému disku je v paměti a na vytáhnutí klíče z ní existuje celá řada postupů, některé z nich jsou dokonce i prakticky použitelné.

[N_o_c_l_a_f]

http://www.distributed.net/images/9/92/ ... solved.pdf

OK, takze distribuovany siti specialne sestaveny za timto ucelem se za 4 roky podarilo rozlousknout +- stejne silny heslo jako je to moje. Takze furt plati muj predpoklad - realne je to nedesifrovatelny. Muj osobni pocitac nikdy nebude tak dulezity, aby se na nej plytvalo distribuovanymi vypocty, nebo ho louskala cela vypocetni sila NSA - a nic jineho to v nejblizsi dobe za rozumnou dobu nespocita ( ani kdyz pocitam s narustem vypocetni sily na jeden stroj ).
Plany k jadernym zbranim v nem nemam.

Navic ten louskajici musi vedet, ze pouzivam jenom mala pismena - coz jaksi predem nevi.
To samozřejmě neví. Na tom také stojí a padá většina argumentů založených na entropii hesla.

Na druhou stranu, vzhledem k pravděpodobnostnímu rozložení hesel to útočník může považovat za daný fakt. (Když se splete, stejně by to heslo neprolomil, takže žádná velká škoda...)

Jenze tady pozna ze se spletl az za moooc dlouhou dobu. Kdo pusti louskani hesla, aby az po roce vzdal, ze to nema smysl? Pokud ty data clovek "nechce", tak to vzda driv.

Klíč k šifrovanému disku je v paměti a na vytáhnutí klíče z ní existuje celá řada postupů, některé z nich jsou dokonce i prakticky použitelné.

Pokud se dostanes k pustenymu a odemcenymu PC. U nas v podstate nemozny, notebook se zamyka pote co od nej clovek odejde. A jeste k tomu nemame admin prava, takze spousta dumperu a systemovych utilit nefunguje ( a admin heslo nerozlousknes ).

[pepak.net]

OK, takze distribuovany siti specialne sestaveny za timto ucelem se za 4 roky podarilo rozlousknout +- stejne silny heslo jako je to moje.

Skoro před deseti roky se podařilo síti dobrovolníků za 4 roky prolomit 8x slabší heslo než je to tvoje. Pokud to chceš brát jako důkaz toho, že je tvoje heslo dostatečně silné, nebudu ti to vyvracet - každý je svého štěstí strůjce.

Jenze tady pozna ze se spletl az za moooc dlouhou dobu. Kdo pusti louskani hesla, aby az po roce vzdal, ze to nema smysl? Pokud ty data clovek "nechce", tak to vzda driv.

Bohužel asi nenajdu odkaz, protože si nevzpomínám na detaily, ale není to ani rok, co FBI po půl roce vzdala pokus o prolomení hesla nějakého drogového dealera (nebo co to ten člověk dělal). Respektive, možná to nevzdali, ale po téhle době neúspěšného louskání začali dost tvrdě tlačit na to, aby soud dotyčnému přikázal to heslo prozradit.

Pokud se dostanes k pustenymu a odemcenymu PC. U nas v podstate nemozny, notebook se zamyka pote co od nej clovek odejde.

Zamknutí (pokud jím tedy myslíš Lock Workstation, Win+L) nic neřeší - právě tohle ty postupy dokážou překonat. Podívej se na Firewire DMA Attack (pro který existují uživatelsky příjemné aplikace, které ho celý provedou), pokud už nechceš jít až na kost a bavit se o Cold Boot Attacku...

A jeste k tomu nemame admin prava, takze spousta dumperu a systemovych utilit nefunguje ( a admin heslo nerozlousknes ).

Taky ta adminovská práva nejsou potřeba.

Fakt miluju, když někdo autoritativně tvrdí věci, které si neověřil a o kterých skoro nic neví.