otázky od petos

[petos]

Dobrý deň,

po 2 dňoch štúdií som sa obohatil o určité informácie, a zrodili sa mi hlave konkrétne otázky, ak by ste mohli a vedeli na ne odpovedať, alebo ma aspoň odkázať kde by som našiel dané odpovede pomohlo by mi to:

1. Kde ukladá TrueCrypt heslo, keď šifrujem  celý disk?

2. Existuje nejaká možnosť získania dát zo zašifrovaného disku pomocou TrueCryptu, z vypnutého počítača? (nie cez keylogeri).

3. Je podľa Vás schopné dnešnými technológiami získať dáta zašifrované Bitlockerom (TPM+PIN+USB kľúč)?

4. Aké je podľa Vás najefektívnejšie riešenie zabezpečenia disku? (jeden používateľ pc, ochrana v prípade odcudzenia disku)

5. Je možné skombinovať zabezpečenie Bitlockerom a aj TrueCryptom?, nehrozí prípadná nesúladnosť? (ako prípade anti-vírusových SW)

[pepak]

1. Kde ukladá TrueCrypt heslo, keď šifrujem  celý disk?

Nikde. Heslo je určitým transofrmačním procesem přeměněné na header key, který následně slouží k dešifrování hlavičky kontejneru. Z toho, že dešifrovaná hlavička obsahuje smysluplné pdaje, se pak pozná, že to heslo bylo správné.

2. Existuje nejaká možnosť získania dát zo zašifrovaného disku pomocou TrueCryptu, z vypnutého počítača? (nie cez keylogeri).

Bez znalosti hesla ne.

3. Je podľa Vás schopné dnešnými technológiami získať dáta zašifrované Bitlockerom (TPM+PIN+USB kľúč)?

Nejsem přesvědčen o tom, že je TPM dostatečná ochrana. Klíč uložený na USB by v zásadě stačil, pokud by byl bezpečně šifrován, aby útočníkovi nestačilo vzít flashdisk a tím získat přístup.

4. Aké je podľa Vás najefektívnejšie riešenie zabezpečenia disku? (jeden používateľ pc, ochrana v prípade odcudzenia disku)

Zašifrovat.

5. Je možné skombinovať zabezpečenie Bitlockerom a aj TrueCryptom?, nehrozí prípadná nesúladnosť? (ako prípade anti-vírusových SW)

Rozhodně bych to nezkoušel na datech, která nemám zazálohovaná. Podle mě to spíš fungovat nebude, kromě případu, kdy aspoň jeden program poběží v režimu "šifrování kontejnerů" a ne "šifrování systému".

[petos]

Ahoj, minule som zabudol, že ti môžem tikať, tak ak sa nenahneváš mohol by si mi pomôcť s týmito otázkami:

1. Je možné skombinovať TrueCrypt s nejakým HW zariadením na zvýšenie bezpečnosti? (napr: token, čítačka prstov...)

2. Je podľa teba takáto možnosť vhodná pre zvýšenie bezpečnosti, ale je úplne zbytočná?

3. Môže byť keyfile uložený aj ba disku pc, do ktorého sa prihlasujem cez pass+keyfile?, Ak áno je vhodné?, alebo je lepšie použiť USB, token alebo čipovú kartu..?

4. Ak nastavím v programe "ukladanie hesiel", kde a ako by sa mali tieto heslá uchovávať?, viem, že minule si mi povedal, že TC si neukladá heslá....mohol by si mi to prosimťa objasniť...

[pepak]

1. Je možné skombinovať TrueCrypt s nejakým HW zariadením na zvýšenie bezpečnosti? (napr: token, čítačka prstov...)

Pokud vím, TrueCrypt nic takového nepodporuje. Komerční programy mnohdy umí použít tokeny. Čtečka otisků prstů bezpečnost (v tomto druhu použití) nijak nezvýší.

2. Je podľa teba takáto možnosť vhodná pre zvýšenie bezpečnosti, ale je úplne zbytočná?

Token může být vhodný, pokud věříš výrobci tokenu a/nebo si nechceš pamatovat dobrá hesla. Biometrické nástroje jsou úplně na nic (dají se akorát porovnat s databází, nelze z nich vygenerovat nějakou konstantní unikátní informaci) a čtečky otisků obzvlášť (otisky prstů necháváme úplně všude, dají se snadno sebrat a zfalšovat).

3. Môže byť keyfile uložený aj ba disku pc, do ktorého sa prihlasujem cez pass+keyfile?

Asi stejně, jako může být klíč od trezoru zamknutý v tom trezoru. Jde to, ale není to zrovna dvakrát použitelné.

4. Ak nastavím v programe "ukladanie hesiel", kde a ako by sa mali tieto heslá uchovávať?, viem, že minule si mi povedal, že TC si neukladá heslá....mohol by si mi to prosimťa objasniť...

V paměti. Předpokládá se, že máš počítač fyzicky i softwarově zabezpečený, takže z jeho paměti nedokáže útočník ta hesla dostat.

[petos]

Ahoj, pisem s odstupom casu a mam jednu otazku:

Nevies nahodou o nejakom spolahlivom zdroji, kde by som nasiel cas potrebny pri brute force utokoch? (nieco v tom zmysle: na prelomenie 4 zankoveho hesla treba X kombinacii a zaberie to Y casu...nieco podobne)

[pepak]

Na to nepotřebuješ žádný zdroj, na to ti stačí matematika:

Nechť:
1) a = velikost abecedy (počet různých možností, které může mít každý znak hesla). Např. pro heslo jen z malých písmen je a=26.
2) n = délka hesla
3) k = počet hesel, které jsi schopen za sekundu vyzkoušet

Pak:
N = počet možných hesel = a^n
t = průměrná doba luštění = 0.5*N/k sekund

a a n si volíš, k odhadneš. Nebo si místo k zvolíš t a dopočítáš k (jakým výkonem by musel útočník disponovat, aby heslo prolomil v době t).

Vše za předpokladu čistého brute-force, bez slovníkových útoků a bez dodatečných znalostí kromě a a n (přičemž útočník obvykle ani a ani n nezná, taky je jenom odhaduje).

[petos]

dakujem pomohla mi do istej miery aj taka odpoved, len som myslel, ze ci nahodou nevies konkretne vysledky (pocitac/server/pracovna stanica s urcitym vykonom (parametrami), je schopny za sekundu vyskusat X hesiel), alebo nejake clanky,info o obycajnych notabookoch kolko by im trvalo zlomit  10 a viac znakove heslo...skusim este riadne pohladat na nete, ak nieco najdem a mal by niekto zaujem tak to spracujem

[pepak]

ci nahodou nevies konkretne vysledky (pocitac/server/pracovna stanica s urcitym vykonom (parametrami), je schopny za sekundu vyskusat X hesiel),

To se nedá takhle říct. Záleží na implementaci. Pokud je práce s heslem udělaná blbě, tak jde na běžném počítači klidně vyzkoušet řádově stamiliony hesel za sekundu. Pokud je udělaná dobře, budou to desítky až stovky hesel.
http://3.14.by/en/read/md5_benchmark

Ale nijak zvlášť na tom nezáleží - prostě zvolíš k absurdně vysoké (řekněme v řádu bilionů) a sleduješ, aby potřebný čas byl taky nesmyslně vysoký (miliardy let) - tím máš prakticky zaručenou neprolomitelnost.

[petos]

ahoj, mam otazku:

Existuje HW zariadenie (karta), ktoru ked "strcim" do pc mi zaisti sifrorovanie disku. Ked ju "vytiahnem" z pc, tak k datam sa nik nedostane....existuje podobne riesenie?

[pepak]

Existuje několik takových řešení, na různých principech. Zatím jsem nenašel ani jedno, které by netrpělo evidentními vadami.

Koukni se třeba sem: http://www.addonics.com/products/Encryption_CC/

[petos]

dakujem presne nieco podobne som hladal...nevyhoda je jedine v tom, ze ak niekto ukradne ten USB kluc tak ma pristup k datam

[pepak]

No, ano. Vždyť píšu, "evidentními vadami" :-)

[petos]

akosi neviem pochopit:

"If one of the two keys is lost, be sure to make a back up of all the data stored inside the encrypted hard drive prior to sending the sole key to Addonics"

to ako ked stratim jeden USB kluc (zasielaju vzdy 2 na zaciatku) musim poslat disk aj s druhym klucom im nazad?, aby mi disk aj kluc nanovo presifrovali a dali novu dvojicu USB?

[pepak]

Ne. Výrobce ti nabízí možnost, že jim můžeš poslat svůj klíč a oni ti z něj udělají kopii. Ale doporučují ti, aby sis ta data napřed zazálohoval, pro případ, že by se ten klíč ztratil v poště (jeden už jsi ztratil dřív, druhý ti ztratí pošta, a data jsou v pytli).

[petos]

ved to. zalohovanie zasifrovanych dat by bolo k nicomu ak by som stratil obydva kluce.

dalsia vec moc dobre druhej casti vety:

"If the CipherChain encrypted drive is stolen and then is connected to another system, the drive will appear as a brand new drive with no trace of any data."

ako to funguje?