Messages

To už je deset let, a za druhé - Klíma tuším není právník specializovaný na US právo...

S tým že to už je 10 rokov súhlasím, mohlo sa odvtedy niečo zmeniť a taký zákon mohol byť zrušený už len kvôli existencii Truecryptu (čiže kto chcel mohol šifrovať aj bezpečne) a teda PGP by bola v konkurenčnej nevýhode. S druhým ale nesúhlasím, znie to síce pekne takto odpísať niekoho, pretože nemá potrebné vzdelanie, ale povedz mi, máš ty vyštudovanú informatiku zo špeciálnym zameraním na počítačovú bezpečnosť? Predpokladám že nie, napriek tomu sa k týmto témam vyjadruješ a myslím si, že po prečítaní tvojich článkov ťa dosť ľudí môže považovať za bernú mincu, pretože je jasné že vieš o čom píšeš. Ten zákon sa priamo dotýkal hlavnej Klímovej pracovnej činnosti a preto si myslím, že by o ňom mal vedieť, aj keď neni právnik. Tak isto ja poznám niekoľko zákonov priamo súvisiacich s tým čo robím ja a tiež nie som právnik.

Možná, ale můj protiargument platí i proti této možnosti.

Ono keď si to spätne prečítaš, tak si nenapísal protiargument.
Ja: Podľa mňa má Bitlocker backdoor
Ty: Aj keby ho mal, tak by ho v bežnom prípade nepoužili

Ja som nikdy netvrdil že áno, ja s tebou súhlasím, že kvôli niekomu čo ilegálne sťahuje software a má disk s tým softwarom zašifrovaný by to NSA nerobila. Mne išlo o samotnú existenciu či neexistenciu backdooru.

1) Neviděl jsem zatím ani jeden důvěryhodný zdroj, který by existenci takového zákona potvrdil.

2) I kdyby takový zákon existoval a i kdyby ho výrobci skutečně implementovali, jsem si naprosto jistý, že nikdy nebude použit proti běžnému člověku - bylo by naprosto neefektivní potvrdit, že NSA může číst "silné" šifry, kvůli málo významnému případu, protože všichni nebezpeční protivníci by docela jistě ihned přešli na jiné algoritmy (které zadní vrátka zřejmě nemají).

1) Tak neviem čo berieš ako dôveryhodný zdroj, ale článok s ešte bývalými vyjadreniami (keď to bolo aktuálne) PGP som čítal myslím že v súvislosti zo štandardizáciou AES (Rijndael vs Twofish vs Serpent vs Mars vs RC6) čo písal Klíma - sú to teda články z obdobia tesne predtým, než Rijndael vyhral.

2) Ja predsa nehovorím že ten backdoor musí byť v samotnej šifre, ale v šifrovacom nástroji - že do disku/kontajneru zašifrovanom povedzme skrz PGP by sa vedeli dostať (a tým nemyslím slovníkovým/brute force útokom, či niečim podobným).

Nebo možná nechtějí mít další problémy s antitrustovými zákony. Těžko říct. Každopádně za situace, kdy funguje BCVE, nemám moc chuť experimentovat s BitLockerem.

Neverím, že im ide o Antitrust, keby sa chceli brániť tomuto, tak by tam celý Bitlocker vôbec nebol... teraz tam je, takže žalovateľní (tým netvrdím, že právom) sú zaň rovnako ako za IE, WMP a podobne. Inak zaujímalo by ma, kedže v USA je ten divný zákon o zadných vrátkach pre NSA pri šifrovacích softwaroch, či je toto aplikované aj v Bitlockeri, alebo to urobili ako produkt "nevyvíjaný v USA". Teda celkom by som veril tomu, že v Bitlockeri nejaké sú. Best Crypt (Jetico) je vlastne z akého štátu? Tiež USA? A ešte ma udivuje, že taký expert na skúšanie šifrovacích softov (myslené v dobrom), ktorý skúša v našich končinách relatívne "neznáme" produkty, ešte nič nenapísal o PGP.

Takže som skúsil zašifrovať notebook (ktorý má TPM) Bitlockerom. Zaujímavé je, že okrem štandardných možností TPM/TPM + PIN/TPM + USB KEY sa dá Bitlocker zašifrovať aj TPM + PIN + USB KEY (táto možnosť je málokde spomínaná), potrebné príkazy je možné nájsť cez príkazovú riadku (je nutné ju spustiť pravým pravým tlačítkom "spustiť ako správca") a zadať >manage-bde -protectors -add -?

Nakoniec som to spojazdnil, funguje to ale o to je zaujímavejšie, že ani cez príkazovú riadku sa nedá použiť možnosť USB KEY + PIN... podľa mňa to schválne odložili do nejakého ďalšieho Windowsu, nech môžu prísť s novinkou.

S tokenem máš ten základní problém, že šifrovací software musí ten konkrétní token podporovat. Nestačí, že software podporuje "tokeny". Vím, že BCVE podporuje tokeny od Aladdinu, i když s těmi mými to při bootu nějak nefungovalo (ale to může být vším možným, včetně nějaké mé chyby - každopádně jsem v tu chvíli byl rád, že jsem byl opatrný a systémový disk si předem zazálohoval). Co dělá a nedělá Radek Hulán nebudu komentovat, protože nemám nejmenší chuť jeho výplody číst, ať už jsou sebegeniálnější.

Ale když si pár dní počkáš, chystám článek, který by pro tebe zajímavý být mohl.

Vidíš, tak ja som myslel že stačí nech podporuje tú normu PKCS #11 a že sa nejako nainštaluje nejaká univerzálna knižnica. Tvoju teóriu ale podporuje fakt, že včera som na skúšku inštaloval thebat emailový klient a ako možnosť zabezpečenie mi ponúkol

1) heslo
2) Token Ikey3000
3) nejaký token od Alladinu.

Odkaz na Myego som dal iba preto, že je to asi jediný článok, ktorý sa zaoberá použitím tokenov na Windowse. Nebudem predsa nečítať niekoho blog len preto, že s niektorými jeho názormi nesúhlasím, keď popritom mi iné články môžu prísť užitočné. Povedzme že by som bol nejaký ochranca papierových kníh a nečítal tvoje, pre mňa veľmi zaujímavé články o bezpečností, len preto, že si s nejakou čítačkou kopíruješ knihy. Na druhej strane ty ho možno nečítaš preto, že jeho články sú na teba príliš "lamerské", rovnako z toho dôvodu ja už nečítam zive.cz

Dobre, kedže máš ale aspoň nejaké znalosti tak prosím skús povedať na uloženie pár certifikátov a prípadne používanie tokenu pri šifrovaní pevného disku ako to napríklad robí Radek Hulan http://myego.cz/item/aladdin-etoken-64k-pro-startovaci-klic-pro-pocitac/category/bezpecnost/group/pc-windows  stačí aj takýto lacnejší token http://www.alza.sk/sifrovaci-token-ikey-1032-d54550.htm  alebo je treba aby to splňalo nejakú normu, inak tie programy nebudú pracovať. Viem že Truecrypt to neumožňuje (u systémového) a Bitlocker tiež nie, ale čo napríklad PGP alebo Bestcrypt a šifrovanie systémového disku - išlo by to s pomocou tohto tokenu? Problémom je, že o tomto neni v češtine ani slovenčine písané skoro nič a ani sa mi nezdá, že by niekto tieto tokeny moc ponúkal.. akurát alza tieto Ikeye a Alladin na slovensko asi dováža jedine tá firma Atlas, ktorá tam má nejaký veľmi starý cenník - kde si ich nakupoval ty?

Bohužel o ničem nevím. Kdyby to existovalo, také bych o to měl zájem.

No včera som si prečítal niekde, že Corsair plánuje uviesť nový model, ktorý bude dáta rovno aj šifrovať. Ale to len písal nejaký užívateľ nejakého fóra, takže tak.

Inak v súvislosti s tým kľúčom som spomínal stolný komp a nie notebook.

Dobre napadá ma ešte jedna možnosť ako zlepšiť bezpečnosť Bitlockeru bez TPM. Na ochranu bitlocker kľúča (súboru .bek) použiť zašifrovaný USB kľúč. Problémom u takýchto zariadení je fakt, že či už v prípade hardwarovej implementácie šifrovania alebo softwarovej potrebujú prostredie Windows, pod ktorým spustia program do ktorého možno zadať heslo. To je v prípade pre boot autentifikácie ale nežiadúce. Takže čo takto využiť niečo ako Corsair Padlock? Viem že Corsair Padlock dáta nešifruje, ale predsa len to o dosť zvýši bezpečnosť, nie? Zadávanie hesla je priamo na klávesnici kľúča a teda nepotrebuje prostredia žiadného OS alebo sa mýlim (nemal som tento usb kľúč v ruke, tak si nie som istý)? Prípadne existuje niečo ako Corsair Padlock, ktorý ale zároveň dáta šifruje?

Čo si myslíš o tomto - http://www.extrahardware.cz/hitachi-uvadi-svuj-2tb-pevny-disk , konkrétne o tej časti s tým hardwarovým šifrovaním? Aká to bude šifra? Bude ten disk mať nejaký vlastný šifrovací procesor alebo to bude fungovať nejako inak?

Čo som tak zbežne googlil tak okrem pár nudne písaných vysokoškolských prác neni na túto tému v slovenčine/češtine žiadny poriadny článok. Neviem do akej miery sa ty do toho vyznáš, ale aspoň nejaké tokeny máš, takže niečo o tom vieš.

Zbežná predstava je napísať na čo všetko sa tokeny používajú (digitálny podpis, skladisko certifikátov), aké algoritmy používajú a potom aký token je vhodný pre koho, aspoň s tých bežne dostupných aladdinov/ikeyov, prípadne napísať ešte niečo o bezpečnostných normách FIPS 140 a tak ďalej. Sám si nie som všetkým úplne istý a možno by taký článok privítalo viac ľudí.

A teraz by si ich mohol poslať zas mne, aby som ich funkčnosť otestoval ja. Beztak ich nepoužívaš.

Upřímně si nedovedu funkční řešení představit jako dodatečný čip - IMHO to musí být natvrdo přidělané k desce tak, aby to z ní nešlo oddělat.

Proč vlastně chceš ten TPM? Kvůli Bitlockeru?

Asi takto: momentálne na systémovom disku nemám tak extrémne citlivé dáta. Nič nejako neuveriteľne výnimočné. Naskytá sa otázka prečo teda šifrujem všetko. Odpoveď je celkom jednoduchá, baví ma skoro všetko čo sa týka pc bezpečnosti. TPM čip som chcel aby som mohol odskúšať plnú funkčnosť Bitlockeru - to neznamená že ho budem používať. Ale mne funkcia odmontovateľný TPM plus pin príde lepšia ako usb kľúč. Totiž útočník mne konkrétne určite ľahšie ukradne usb kľúč ako že ma napadne slovník/brute force útokom na moje heslo. Čip tpm stál iba 8 eur a to bola príliš malá suma  na to aby som strávil čas tým, aby som dešifroval dáta na notebooku z truecryptu a zas ich spätne zašifroval Bitlockerom (notebook má TPM), prípadne (keby sa mi nepáčil bitlocker) tak zas dešifroval z bitlockeru a zas šifroval truecryptom.

Včera som kúpil toto - http://www.alza.sk/asus-tpm-modul-hardwarove-d72778.htm  Je to výrobok ktorý zrejme nikdo nevyrába

Alzasoft o něm docela kecá. "Zabezpečuje veľmi silné hardwarovým šifrovanie dát ukladaných na pevný disk."

Ako je mi v podstate jedno čo napíše Alza, pretože technické informácie neberiem od nich (inak pravda, že hento čo napísali je blbosť). Peniaze mi dnes vrátili, ale aký čip je skutočne kompatibilný s mojou doskou, to povedať nevedeli.

Ak by to niekoho zaujímalo:

Včera som kúpil toto - http://www.alza.sk/asus-tpm-modul-hardwarove-d72778.htm  Je to výrobok ktorý zrejme nikdo nevyrába (včítane infineonu a Asusu), Alza na ňom nemá ani odkaz na web výrobcu. Jediné normálne čo som ešte našiel bolo toto - http://www.lan-shop.cz/asus-90-c1be80-00xbnz-tpm-infineon-62867 kde je napísané, že je to aj pre dosku Asus p5q-e

Výrobné číslo bolo to isté čo na Alze, tak som to z alzy objednal. Môžem ubezpečiť, že na tej doske nie je nič, kde by sa tento daný čip dal len čo i náznakom použiť. Je tam síce miesto pre umiestnenie nejakého čipu - http://idg.bg/test/pcw/2008/8/1/7027-ASUS_P5Q-E.JPG  (z pohľadu ako sa pozeráme na fotografiu je to hneď nad tlačítkom power na doske). Vidieť tam aj nápis TPM. Bohužiaľ sú to samčekovia a ten čip sú rovnež samčekovia. Ak by sa našiel niekto kto by vedel o tpm čipe čo by tam pasoval, bol by som celkom vďačný.

Rozhodol som sa po dlhšej dobe na desktope reinštalovať operačný systém a nahodiť Windows 7. Aj keď notebook mám zašifrovaný truecryptom, tak po nepríjemných Synopsiho zážitkoch z kombinácie Windows 7 a truecrypt (http://blog.synopsi.com/2009-07-21/windows-7-a-truecrypt), som sa rozhodol vyskúšať bitlocker. Inštalácia nebola zrovna jednoduchá, windows furt hlásil že chýba tpm modul (základná doska je asus P5Q-E) ale nakoniec sa mi vďaka tomuto Hulanovmu článku http://myego.cz/item/bitlocker-snadne-sifrovani-disku-ve-windows-vista podarilo povoliť nech to ide aj cez usb kľúč (Windows 7 to má samozrejme celé inak, takže som to musel hľadať, navyše to ešte nebolo lokalizované a bola to dosť zložitá angličtina). Neviem či som to správne pochopil ale bitlocker vo Windows Vista umožňoval 4 varianty autentifikácie:

only TPM
TPM plus pin
TPM plus USB
only USB
To som sa dozvedel až po nainštalovaní a chcem sa spýtať, či takto je to aj pri Windows 7, alebo to už rozšírili? Pretože mne to teda nepríde zrovna bezpečné, USB kľúč môže niekto ukradnúť, nemá ho človek vždy zo sebou, môže byť v blízkosti PC a tak ďalej. Buď som to nenašiel alebo to tam vážne nie je - možnosť používať USB kľúč plus pin ešte nikoho v Microsofte nenapadla? Navyše kvôli autentifikácii tam to heslo musí byť v nešifrovanej podobe, je tam nebezpečenstvo že si ho niekto v nepozorovanej chvíli skopíruje...

No skrátka nie je dostatočné riešenie podľa mňa. Jediné čo ma trocha ukľudňuje je dodatočné heslo do Windows. Teoreticky má útočník dve možnosti ak sa nemýlim

1: prísť k počítaču a pokúsiť sa nabootovať z iného média nejaký prenosný linux. (Síce je bios na heslo ale baterka sa zo základnej dosky dá vybrať a bios resetovať)
2: prísť k počítaču, mať potrebný usb kľúč... ale potom sa mu zobrazí správa na zadanie hesla do Windowsu a tá sa hádam nedá obísť (v zmysle po nabootovaní systému)?

Alebo je tam ešte niečo čo mi uniká? Je ten usb kľúč možné použiť aj na dekryptovanie toho disku ak niekto priamo z toho disku nebootuje?