Szyfrowanie dysków twardych

[Runiczny Wibrator 0]

jak nie ma hasła to tortury, tortury...od naszych zza oceanu partnerów one są

[kanon7 1662]

Złamanie TC, teoretycznie nie, praktycznie tak, ale to już zależy od "jakości" hasła które to może przedłużyć czas łamanie do kilku tysięcy / milionów lat, mamy czas Więc przy dobrym haśle (~ 20 znaków, mały / duże litery, spacje, znaki specjalne) zajmuje to za dużo czasu, a oto mała próbka

Używasz TrueCrypta? Jesteś bezpieczny, nawet FBI nie udało się go złamać

Amerykańskie Federalne Biuro Śledcze poświęciło ponad rok na próbę złamania zabezpieczeń zawartości twardych dysków, chronionych oprogramowaniem TrueCrypt i szyfrem AES. Dyski zostały zarekwirowane w 2008 roku w Rio de Janeiro.

 

Brazylijczycy zorganizowali wtedy akcję znaną jako Operacja Satyagraha. Przejęto komputery należące do bankiera Daniela Dantasa. Po niemal dwóch latach prób Biuro poddało się i w kwietniu 2010 roku zwróciło zarekwirowane dyski do Brazylii.

 

Początkowo problemem zajmowali się specjaliści z lokalnego Narodowego Instytutu Kryminalistyki (INC). Na początku 2009 roku o pomoc poproszono FBI. Dyski trafiły do USA. Zgodnie z brazylijskim prawem podejrzanego nie można było zmusić do ujawnienia haseł – wyciągnięcie z niego informacji za pomocą tortur unieważniłoby całe śledztwo.

 

Zarówno INC, jak i FBI próbowały swoich sił z atakiem słownikowym. Tandem AES / TrueCrypt okazał się być jednak odporny. AES, czyli Advanced Encryption Standard, to symetryczny szyfr blokowy, który został stworzony w 1997 roku. Zastąpił on DES (Data Encryption Standard) – który okazał się zbyt łatwy do złamania – Electronic Frontier Foundation w 1997 roku odszyfrowała zabezpieczoną nim wiadomość w ciągu trzech dni, korzystając ze sprzętu wartego wówczas 250 tys. dolarów. Dzisiaj taką operację można wykonać setki razy szybkiej, korzystając ze sprzętu kilkadziesiąt razy tańszego.

 

Tymczasem AES wykonuje na przemian kilkanaście (14 przy kluczu 256 bitów) rund szyfrujących, składających się z takich operacji jak substytucja, permutacja macierzowa i modyfikacje za pomocą klucza i jest odporny na klasyczne ataki kryptograficzne, za pomocą analizy różnicowej i liniowej. Warto podkreślić, że do tej pory nie znaleziono skutecznego ataku przeciwko AES-owi – najlepszy dostępny to atak z użyciem kluczy pokrewnych (Biryukov-Khovratovich), redukujący w pewnym stopniu złożoność szyfru.

[Gość Thorns]

Wiec skoro bitlocker używa AES'a to tez jest bezpieczny

[de99ial 0]

O ile sam w kodzie nie ma jakichś backdoorów.

[Slyther_47 0]

Czy będzie się dało normalnie grać z takiego szyfrowanego dysku ? Czy za każdym razem gdy gra będzie potrzebowała pliku zapyta o hasło ?

[Andree 324]

Chyba raczej nie bo nawet szyfrowanie jest krótsze,

sejf w TC robił mi się ponad godzine a bitlockerem zrobiłem przez ten czas 3 partycje.

Aha właśnie i nie mogę bitlockerem zabezpieczyć partycji systemowej....

Bitlockerem można zaszyfrować partycję systemową, o ile komputer jest wyposażony w moduł TPM (mają go m. in. biznesowe laptopy), albo nie masz nic przeciwko uruchamianiu go z klucza USB (tzn. zwykłego pendrive'a). No i z tego co pisze na wikipedii, jak komp nie ma TPM, to nie można zabezpieczyć dysku hasłem (tylko i wyłącznie obecnością klucza USB). Dla mnie było to nieakceptowalne.

[pawe song 0]

Czy będzie się dało normalnie grać z takiego szyfrowanego dysku ? Czy za każdym razem gdy gra będzie potrzebowała pliku zapyta o hasło ?

Hasło podajesz raz przy uruchamianiu systemu.

[spring 0]

Jak tworzyć bezpieczne i łatwe do zapamiętania hasła, piszą w wielu miejscach w sieci.

Przykład. Wojtek sam świetnie gotuje od 5 lat, dzięki 238 przepisom, dziś już 78 letniej babci!

Ws$go5l,d238p,dj78lb!

[de99ial 0]

Czy będzie się dało normalnie grać z takiego szyfrowanego dysku ? Czy za każdym razem gdy gra będzie potrzebowała pliku zapyta o hasło ?

 

Po wpisaniu hasła system uruchamia się dalej i wszystkie aplikacje pracują normalnie. Gry działają bez problemów i nie zaliczają dodatkowych dropów fpsów czy spadków wydajności.

 

Innymi słowy - hula aż miło.

 

Co ciekawe ja TC zainstalowałem z ciekawości. Rozmawiałem z jednym klientem, który pracuje tylko na zaszyfrowanych dyskach i zapytałem go o wydajność. Poiwedział mi to i owo i sam chciałem potwoerdzić. Więc sobie zaszyfrowałem cały dysk (trwało to kilka godzin; ważne - trzeba pilnowac aby w czasie tego procesu nie doszło do przerwy prądu czy czegoś w tym stylu; proces można zapauzować i w dowolnej chwili wrócić do niego). A potem zaczeły się dziwne pogłoski, ustawy itd. To stwierdziłem, że już odszyfrowywać nie będę. Tylko hasło sobie bardziej skomplikowałem.

[5hogun 230]

Odkopie troszku.

Mogłby ktos mi łopatologicznie napisac jak wygladałoby użytkownie kompa mając 1 dysk fizyczny z trzema partycjami w tym jedna systemową, i drugi dysk fizyczna (jedna partycja). Jest opcja, że zaszyfruję to wszystko true cryptem tak, że wystarczy podanie hasła przy starcie, czy to jest tylko hasło do parycji systemowej a reszte partycji będę musiał po odpaleniu windowsa jakos montpwac i odblokowywac hasłem. Czy może hasło na starcie będzie dla jednego dysku a drugi bede musiał "odblokowywać" po aładowaniu windy?

[de99ial 0]

Jeśli wybierzesz szyfrowanie wszystkich dysków to tylko przed startem systemu wpisujesz jedno hasło i nic więcej. Nie czujesz różnicy w użytkowaniu.

 

Jeśli zrobisz z jakiejś partycji "kontener" będziesz musiał odblokowywać go. IMHO jak szyfrować to całość. AES wystarczy, przestrzeń uniwersalną zostaw niezaszyfrowaną. Musisz zadbać o to aby komp w czasie szyfrowania się nie wyłączył bo grozi to utratą danych. Możesz szyfrowanie zastopować kiedy tylko chcesz i wrócić do niego później, ale jak już zaszyfruje to działasz i nie czujesz.

[Colicab 3]

Odkopie troszku.

Mogłby ktos mi łopatologicznie napisac jak wygladałoby użytkownie kompa mając 1 dysk fizyczny z trzema partycjami w tym jedna systemową, i drugi dysk fizyczna (jedna partycja). Jest opcja, że zaszyfruję to wszystko true cryptem tak, że wystarczy podanie hasła przy starcie, czy to jest tylko hasło do parycji systemowej a reszte partycji będę musiał po odpaleniu windowsa jakos montpwac i odblokowywac hasłem. Czy może hasło na starcie będzie dla jednego dysku a drugi bede musiał "odblokowywać" po aładowaniu windy?

Jak szyfrujesz calosc to wlaczasz komputer i podajesz haslo. Jak jedna partycje (inna niz systemowa), to musisz ja zamontowac po wlaczeniu windowsa

[Camis 9717]

czasami zawiesza komputer gdy chce odblokowac dysk

 

Cos masz namieszane, używam TC (wszystkie dyski zaszyfrowane) od lat 4 i nigdy nie miałem z nim problemów. Nigdy nie straciłem choćby jednego pliku z winy TC.

 

 

Chociaż i tak backup mam w 3 lokalizacjach.

 

Ma on też ciekawe własności, hasło autodestrukcji boot-sectora podawane przy logowaniu pre-boot authentication i ukrywanie klucza w pliku graficznym BMP.

 

No i na co ta opcja ?, przed organami państwowymi nie chroni, bo oni nigdy nie działają na dysku bezpośrednio tylko najpierw zakładają bloker i robią kopie 1:1.

 

 

Tak wiec to nie zadziała.

 

' date='28 Styczeń 2012 - 15:08' timestamp='1327756130' post='10176443']

Jak policja wparuje, to i tak będziesz musiał podać hasło inaczej będzie to utrudnianie w śledztwie czy coś podobnego.

 

BZDURA, nic nie trzeba im podawać i nic za to nie grozi.

[5hogun 230]

Ok, dzięki panowie. Bo się własnie obawiałem, że mając dwa dyski będę musiał ten drugi odblokowywac każdorazowo spod windy, a tak to spoko, jedno hasło przed startem to wygodne (pomijając stopień skomplikownaia ) rozwiązanie.

[Camis 9717]

' date='28 Styczeń 2012 - 17:31' timestamp='1327764717' post='10176983']

http://forumprawne.org/prawo-karne/154109-zaszyfrowany-dysk-komputerowy-sledztwo.html

Na jedno, jak będą chcieli to odkodują dane.

 

BZDURA, nic nie odkodują, u mnie dyski w sprawie trzymają od 7 lat i do tej pory się nie dostali do zawartości.

 

A szyfr był zdecydowanie słabszy AES-128 vs AES-256 teraz który mam.

 

AES jest na razie nie złamany.

 

czyszczcenie dysków metoda guttmana

 

W teraźniejszych dyskach wystarczy raz nadpisać losowymi danymi - nie do odzyskania.

[5hogun 230]

Jeśli wybierzesz szyfrowanie wszystkich dysków to tylko przed startem systemu wpisujesz jedno hasło i nic więcej. Nie czujesz różnicy w użytkowaniu.

 

Jeśli zrobisz z jakiejś partycji "kontener" będziesz musiał odblokowywać go. IMHO jak szyfrować to całość. AES wystarczy, przestrzeń uniwersalną zostaw niezaszyfrowaną. Musisz zadbać o to aby komp w czasie szyfrowania się nie wyłączył bo grozi to utratą danych. Możesz szyfrowanie zastopować kiedy tylko chcesz i wrócić do niego później, ale jak już zaszyfruje to działasz i nie czujesz.

 

To jeszcze dwa pytanka. Co to jest przestrzeń uniwersalna? Jakiś obszar nieprzypsiany? Ukryte partycje do odzyskiwanie czy co? A drugie ile tak pi razy drzwi zajeloby szyfrowanie dwóch dysków (320 i 80) zajętych tak w mniej niż połowie ?

I jeszcze jedno. Tych AESów to jest chyba parę rodzaji, którym szyfrować?

[Andree 324]

Ma on też ciekawe własności, hasło autodestrukcji boot-sectora podawane przy logowaniu pre-boot authentication i ukrywanie klucza w pliku graficznym BMP.

No i na co ta opcja ?, przed organami państwowymi ukrywanie klucza w pliku graficznym BMP.i nie chroni, bo oni nigdy nie działają na dysku bezpośrednio tylko najpierw zakładają bloker i robią kopie 1:1.

 

 

Tak wiec to nie zadziała.

 

Klucz AES zapisany w MBR i następnych sektorach ma złożoność kryptograficzną 256 bitów, natomiast hasło wpisywane przez użytkownika chroniące ten klucz może mieć znacznie mniejszą złożoność kryptograficzną.

Zatem kasując pierwsze sektory dysku przed jego skonfiskowaniem praktycznie uniemożliwisz odzyskanie z niego danych, nawet późniejsze ujawnienie lub złamanie hasła nic nie da.

Oczywiście zakładając brak dostępu do dyskietki ratunkowej DriveCrypta (która też wymaga podania hasła).

Usunięcie MBR trwa tyle co wciśnięcie przycisku reset, przejście planszy startowej BIOSu i wpisanie hasła autodestrukcji. To czy jest to wykonalne zależy od okoliczności.

A co do tego pliku BMP, to może on się znajdować w otchłani internetu i umożliwić późniejsze odzyskanie danych.

[Andree 324]

To jeszcze dwa pytanka. Co to jest przestrzeń uniwersalna? Jakiś obszar nieprzypsiany? Ukryte partycje do odzyskiwanie czy co? A drugie ile tak pi razy drzwi zajeloby szyfrowanie dwóch dysków (320 i 80)  zajętych tak w mniej niż połowie ?

I jeszcze jedno. Tych AESów to jest chyba parę rodzaji, którym szyfrować?

 

To proste - Truecrypt ma poważną wadę polegającą na niemożliwości zastosowania tego samego klucza szyfrującego dyski systemowe na kilku dyskach, z których każdy zawiera jeden system operacyjny - nawet pisze podczas konfiguracji szyfrowania jak się kliknie przycisk że ta opcja jeszcze nie jest zaimplementowana.

Wskutek tego system zainstalowany na pierwszym dysku nie będzie w stanie zamontować partycji z drugiego dysku, a system zainstalowany na drugim dysku nie zobaczy plików z pierwszego dysku.

Z tego powodu jest potrzebne niezaszyfrowane miejsce do wymiany plików między tymi systemami, uczenie nazwane "przestrzenią uniwersalną".

 

Nie da się także zaszyfrować po kolei kilku partycji systemowych na tym samym dysku - gdy zaszyfruje się pierwszą, będzie ok, ale jak się zaszyfruje drugą spod drugiego systemu operacyjnego drugim kluczem to zaktualizowany system logowania teraz nie zamontuje pierwszej partycji systemowej!

 

Z tego powodu używam DriveCrypt Plus Pack który pozwala używać zapisanych kluczy do szyfrowania kolejnych partycji systemowych, jest już wersja 5.0 kompatybilna z następcą BIOS o nazwie EFI mogącą obsługiwać dyski systemowe większe niż 2 TB.

 

Wystarczy sam AES, mieszanie go z innym systemem szyfrowania bardzo spowalnia działanie.

[Camis 9717]

Wskutek tego system zainstalowany na pierwszym dysku nie będzie w stanie zamontować partycji z drugiego dysku, a system zainstalowany na drugim dysku nie zobaczy plików z pierwszego dysku.

Z tego powodu jest potrzebne niezaszyfrowane miejsce do wymiany plików między tymi systemami, uczenie nazwane "przestrzenią uniwersalną".

 

Ze co?, mozesz podac link do oficjalnej dokumentacji gdzie to jest napisane ?.

 

Bez problemu mozna podmontowac inne partycje (nawet systemowe z uzytym szyfrowaniem).

[Andree 324]

Zastanów się - skąd system operacyjny z pierwszego dysku ma znać klucz którym został zaszyfrowany system operacyjny na drugim dysku, zwłaszcza że także hasła sprawdzane systemem pre-boot authentication zainstalowanym w MBR każdego z tych dysków, chroniące te klucze mogą być różne?

Bo to że tych kluczy nie da się wczytać z pliku podczas szyfrowania systemowego jest niezaprzeczalnym faktem - są one losowane podczas konfiguracji przez zaszyfrowaniem dysku systemowego.

[Camis 9717]

Proste, zeby to dzialo to nalezy ustawic takie samo haslo na 2 dyskach. Ja mam tak od 2 lat u siebie zrobione i bez problemu dziala.

 

 

 

Poza tym nawet jak masz inne haslo ustawione to masz opcje:

 

 

 

I mozesz sobie ten dysk podmontowac...

 

 

//Tzn ja mam tak ze na 1 dysku mam 2 partycje (system i data) i caly dysk jest zaszyfrowany, oraz 2 dysk (2 partycje) tez caly zaszyfrowany tym samym haslem.

 

I przy starcie podaje haslo i jak system sie zaladuje to mam wszystko juz zamontowane, rowniez 2 dysk..