Bitlocker - pri absencii TPM modulu iba usb kľúč?

Started by Danoboss, August 10, 2009, 06:46:40 AM

Previous topic - Next topic

Danoboss

Rozhodol som sa po dlhšej dobe na desktope reinštalovať operačný systém a nahodiť Windows 7. Aj keď notebook mám zašifrovaný truecryptom, tak po nepríjemných Synopsiho zážitkoch z kombinácie Windows 7 a truecrypt (http://blog.synopsi.com/2009-07-21/windows-7-a-truecrypt), som sa rozhodol vyskúšať bitlocker. Inštalácia nebola zrovna jednoduchá, windows furt hlásil že chýba tpm modul (základná doska je asus P5Q-E) ale nakoniec sa mi vďaka tomuto Hulanovmu článku http://myego.cz/item/bitlocker-snadne-sifrovani-disku-ve-windows-vista podarilo povoliť nech to ide aj cez usb kľúč (Windows 7 to má samozrejme celé inak, takže som to musel hľadať, navyše to ešte nebolo lokalizované a bola to dosť zložitá angličtina). Neviem či som to správne pochopil ale bitlocker vo Windows Vista umožňoval 4 varianty autentifikácie:

only TPM
TPM plus pin
TPM plus USB
only USB
To som sa dozvedel až po nainštalovaní a chcem sa spýtať, či takto je to aj pri Windows 7, alebo to už rozšírili? Pretože mne to teda nepríde zrovna bezpečné, USB kľúč môže niekto ukradnúť, nemá ho človek vždy zo sebou, môže byť v blízkosti PC a tak ďalej. Buď som to nenašiel alebo to tam vážne nie je - možnosť používať USB kľúč plus pin ešte nikoho v Microsofte nenapadla? Navyše kvôli autentifikácii tam to heslo musí byť v nešifrovanej podobe, je tam nebezpečenstvo že si ho niekto v nepozorovanej chvíli skopíruje...

No skrátka nie je dostatočné riešenie podľa mňa. Jediné čo ma trocha ukľudňuje je dodatočné heslo do Windows. Teoreticky má útočník dve možnosti ak sa nemýlim

1: prísť k počítaču a pokúsiť sa nabootovať z iného média nejaký prenosný linux. (Síce je bios na heslo ale baterka sa zo základnej dosky dá vybrať a bios resetovať)
2: prísť k počítaču, mať potrebný usb kľúč... ale potom sa mu zobrazí správa na zadanie hesla do Windowsu a tá sa hádam nedá obísť (v zmysle po nabootovaní systému)?

Alebo je tam ešte niečo čo mi uniká? Je ten usb kľúč možné použiť aj na dekryptovanie toho disku ak niekto priamo z toho disku nebootuje?

pepak

Quote from: DanobossNeviem či som to správne pochopil ale bitlocker vo Windows Vista umožňoval 4 varianty autentifikácie:
only TPM
TPM plus pin
TPM plus USB
only USB
Něco takového jsem se dozvěděl na přednášce WUG o BitLockeru, takže snad ano. Ale mám dojem, že při použití USB tam snad taky bylo nějaké heslo (ruku do ohně za to nedám, Visty nemám a ta přednáška byla už dost dávno).

QuoteNavyše kvôli autentifikácii tam to heslo musí byť v nešifrovanej podobe, je tam nebezpečenstvo že si ho niekto v nepozorovanej chvíli skopíruje...
To ano. Taky mě dost zarazilo, že si BitLocker ten klíč vůbec nehlídá.

Když jsem se na to ptal, dozvěděl jsem se, že pro Microsoft je klíčové to TPM a všechny ostatní varianty jsou už jenom rychlé dodělávky, "aby se neřeklo".

Quote2: prísť k počítaču, mať potrebný usb kľúč... ale potom sa mu zobrazí správa na zadanie hesla do Windowsu a tá sa hádam nedá obísť (v zmysle po nabootovaní systému)?
Přesně tohle dělá ten Stoned Bootkit, o kterém jsem psal nedávno.

QuoteAlebo je tam ešte niečo čo mi uniká? Je ten usb kľúč možné použiť aj na dekryptovanie toho disku ak niekto priamo z toho disku nebootuje?
Ano. Ale nevím jak :-)

pepak

Hmm, tak podle všeho Bitlocker neumí jiné heslo než PIN k TPM.

Čím dál víc si upevňuju pocit, že Bitlocker je úmyslně zmrzačen tak, aby Microsoft mohl říkat, že myslí na bezpečnost a dává tedy uživatelům možnost šifrovat, ale současně aby to nebylo napadnutelné jako zneužívání dominantního postavení na trhu.

Danoboss

Ak by to niekoho zaujímalo:

Včera som kúpil toto - http://www.alza.sk/asus-tpm-modul-hardwarove-d72778.htm  Je to výrobok ktorý zrejme nikdo nevyrába (včítane infineonu a Asusu), Alza na ňom nemá ani odkaz na web výrobcu. Jediné normálne čo som ešte našiel bolo toto - http://www.lan-shop.cz/asus-90-c1be80-00xbnz-tpm-infineon-62867 kde je napísané, že je to aj pre dosku Asus p5q-e

Výrobné číslo bolo to isté čo na Alze, tak som to z alzy objednal. Môžem ubezpečiť, že na tej doske nie je nič, kde by sa tento daný čip dal len čo i náznakom použiť. Je tam síce miesto pre umiestnenie nejakého čipu - http://idg.bg/test/pcw/2008/8/1/7027-ASUS_P5Q-E.JPG  (z pohľadu ako sa pozeráme na fotografiu je to hneď nad tlačítkom power na doske). Vidieť tam aj nápis TPM. Bohužiaľ sú to samčekovia a ten čip sú rovnež samčekovia. Ak by sa našiel niekto kto by vedel o tpm čipe čo by tam pasoval, bol by som celkom vďačný.

pepak

Quote from: DanobossVčera som kúpil toto - http://www.alza.sk/asus-tpm-modul-hardwarove-d72778.htm  Je to výrobok ktorý zrejme nikdo nevyrába
Alzasoft o něm docela kecá. "Zabezpečuje veľmi silné hardwarovým šifrovanie dát ukladaných na pevný disk."

Danoboss

Quote from: pepak
Quote from: DanobossVčera som kúpil toto - http://www.alza.sk/asus-tpm-modul-hardwarove-d72778.htm  Je to výrobok ktorý zrejme nikdo nevyrába
Alzasoft o něm docela kecá. "Zabezpečuje veľmi silné hardwarovým šifrovanie dát ukladaných na pevný disk."

Ako je mi v podstate jedno čo napíše Alza, pretože technické informácie neberiem od nich (inak pravda, že hento čo napísali je blbosť). Peniaze mi dnes vrátili, ale aký čip je skutočne kompatibilný s mojou doskou, to povedať nevedeli.

pepak

Upřímně si nedovedu funkční řešení představit jako dodatečný čip - IMHO to musí být natvrdo přidělané k desce tak, aby to z ní nešlo oddělat.

Proč vlastně chceš ten TPM? Kvůli Bitlockeru?

Danoboss

Quote from: pepakUpřímně si nedovedu funkční řešení představit jako dodatečný čip - IMHO to musí být natvrdo přidělané k desce tak, aby to z ní nešlo oddělat.

Proč vlastně chceš ten TPM? Kvůli Bitlockeru?

Asi takto: momentálne na systémovom disku nemám tak extrémne citlivé dáta. Nič nejako neuveriteľne výnimočné. Naskytá sa otázka prečo teda šifrujem všetko. Odpoveď je celkom jednoduchá, baví ma skoro všetko čo sa týka pc bezpečnosti. TPM čip som chcel aby som mohol odskúšať plnú funkčnosť Bitlockeru - to neznamená že ho budem používať. Ale mne funkcia odmontovateľný TPM plus pin príde lepšia ako usb kľúč. Totiž útočník mne konkrétne určite ľahšie ukradne usb kľúč ako že ma napadne slovník/brute force útokom na moje heslo. Čip tpm stál iba 8 eur a to bola príliš malá suma  na to aby som strávil čas tým, aby som dešifroval dáta na notebooku z truecryptu a zas ich spätne zašifroval Bitlockerom (notebook má TPM), prípadne (keby sa mi nepáčil bitlocker) tak zas dešifroval z bitlockeru a zas šifroval truecryptom.

pepak

Jo, to dovedu pochopit. Vicemene ze stejneho duvodu jsem kupoval ty tokeny - je to pro me spis takove cviceni nez ze bych to opravdu potreboval.

Danoboss

A teraz by si ich mohol poslať zas mne, aby som ich funkčnosť otestoval ja. :D Beztak ich nepoužívaš. :)

pepak

Ještě mě napadlo jedno možné použití, ale s tím počkám až na přeinstalaci systému...

Danoboss

Dobre napadá ma ešte jedna možnosť ako zlepšiť bezpečnosť Bitlockeru bez TPM. Na ochranu bitlocker kľúča (súboru .bek) použiť zašifrovaný USB kľúč. Problémom u takýchto zariadení je fakt, že či už v prípade hardwarovej implementácie šifrovania alebo softwarovej potrebujú prostredie Windows, pod ktorým spustia program do ktorého možno zadať heslo. To je v prípade pre boot autentifikácie ale nežiadúce. Takže čo takto využiť niečo ako Corsair Padlock? Viem že Corsair Padlock dáta nešifruje, ale predsa len to o dosť zvýši bezpečnosť, nie? Zadávanie hesla je priamo na klávesnici kľúča a teda nepotrebuje prostredia žiadného OS alebo sa mýlim (nemal som tento usb kľúč v ruke, tak si nie som istý)? Prípadne existuje niečo ako Corsair Padlock, ktorý ale zároveň dáta šifruje?

pepak

Quote from: Danobossakže čo takto využiť niečo ako Corsair Padlock? Viem že Corsair Padlock dáta nešifruje, ale predsa len to o dosť zvýši bezpečnosť, nie?
Jak se to vezme. Proti jakému útočníkovi se chceš chránit? Proti zlodějovi, který ti ukradne notebook, ti s největší pravděpodobností postačí i Bitlocker jen s TPM, a docela jistě Bitlocker s USB klíčem (pokud ten USB klíč nemáš přibalený u notebooku - jde o to, že takový útočník nemá prostředky, jak z tebe ten USB klíč dostat), takže Padlock už je zbytečný. Stát nebo mafie z tebe ten USB klíč dostat dokáže a bude také mít prostředky na to, ho rozebrat a vytáhnout obsah paměti bez znalosti PINu, takže proti nim také Padlock nepomůže.

QuoteZadávanie hesla je priamo na klávesnici kľúča a teda nepotrebuje prostredia žiadného OS alebo sa mýlim (nemal som tento usb kľúč v ruke, tak si nie som istý)?
Je to tak.

QuotePrípadne existuje niečo ako Corsair Padlock, ktorý ale zároveň dáta šifruje?
Bohužel o ničem nevím. Kdyby to existovalo, také bych o to měl zájem.

Danoboss

Quote from: pepakBohužel o ničem nevím. Kdyby to existovalo, také bych o to měl zájem.

No včera som si prečítal niekde, že Corsair plánuje uviesť nový model, ktorý bude dáta rovno aj šifrovať. Ale to len písal nejaký užívateľ nejakého fóra, takže tak.

Inak v súvislosti s tým kľúčom som spomínal stolný komp a nie notebook.

Danoboss

Takže som skúsil zašifrovať notebook (ktorý má TPM) Bitlockerom. Zaujímavé je, že okrem štandardných možností TPM/TPM + PIN/TPM + USB KEY sa dá Bitlocker zašifrovať aj TPM + PIN + USB KEY (táto možnosť je málokde spomínaná), potrebné príkazy je možné nájsť cez príkazovú riadku (je nutné ju spustiť pravým pravým tlačítkom "spustiť ako správca") a zadať >manage-bde -protectors -add -?

Nakoniec som to spojazdnil, funguje to ale o to je zaujímavejšie, že ani cez príkazovú riadku sa nedá použiť možnosť USB KEY + PIN... podľa mňa to schválne odložili do nejakého ďalšieho Windowsu, nech môžu prísť s novinkou.

Quick Reply

Note: this post will not display until it has been approved by a moderator.

Name:
Email:
Verification:
Please leave this box empty:
Type the letters shown in the picture
Listen to the letters / Request another image

Type the letters shown in the picture:
Shortcuts: ALT+S post or ALT+P preview