id: Гость   вход   регистрация
текущее время 06:39 11/12/2019
создать
просмотр
ссылки

Секретный ноутбук :)


Как можно обезопаситься (с точки зрения предотвращения учечки информации) пользуясь ноутбуком?
Понятно, что видеокамеру на крышке перед носом заклеить черной бумагой :)
Блютуз/вайфай отключить – как? Если есть выключатели на корпусе, этого достаточно или специальным шпионским софтом они все-равно включаются? А если выключателей нет, то как???
По поводу винчестера. В идеале хотелось бы иметь систему, которая при загрузке спрашивала бы ключ и при 2-3 неправильных ответах прибивала бы
всю информацию на винче. Ясно, что за короткий промежуток уничтожить всю информацию трудно, поэтому видится два решения:
1) Убивать ее в порядке приоритетов, а не тупо все подряд.
2) Продолжать отвлекать юзера надписями "подождите, пожалуйста", повторными запросами ключа, "тормозами" и т.п. производить уничтожение информации.


Но как можно реализовать шифрование данных? Так, чтобы подгрузчик для дешифровки позволял в процессе работать под любыми операционками
и разумеется с дисками любых объемов и в процессе работы с ОС не выдавал свое наличие?
Есть такой софт? Где его можно взять? Главное, чтобы софт был надежный (чтобы в один прекрасный момент не побил / не потерял информацию)


Аналогичный вопрос по поводу шифрования записанной информации на болванки (сд, двд)
И тут было бы лучше сделать не запрос пароля при вставлении диска в компьютер, а дешифровка по ключу сохраненному в простой файл, хранящийся в определенном месте на винчестере. Т.е., файл с кодами лежит – диск читается/пишется без проблем, файл отсутствует – диск нечитается безо всяких комментариев.
Чем все это можно реализовать?


 
На страницу: 1, 2, 3, 4, 5, 6, 7, 8 След.
Комментарии
— Гость (31/12/2009 14:59)   <#>
Здравый смысл как раз подсказывает, что
если затереть несколько случайных байт из криптоконтейнера
то ничего страшного, кроме как потери нескольких файлов на ФС, не произойдёт. Об этом здесь уже кто-то из спецов писал и как-то связывал это с "блочным шифрованием".
— SATtva (31/12/2009 17:45)   профиль/связь   <#>
комментариев: 11543   документов: 1036   редакций: 4092
В корне не верно. Дисковое шифрование всегда блочное

Я про контейнер независимо от ФС, типа TrueCrypt, там блоки сцепляются.

Нет. Обычные режимы storage-шифрования типа XTS. К невосстановимости зашифрованной ФС приведёт только повреждение/уничтожение криптоключа.
— Гость (31/12/2009 20:28)   <#>
Хотелось бы выяснить, хранит ли bitloker в режиме TPM в оперативной памяти критическую информацию, необходимую для монтирования криптоконтейнера или нет. Разумеется при смонтированном контейнере. В конце концов до оперативной памяти может добраться и внедрённый троян.

Из работы "Implementing BitLocker Drive Encryption for Forensic Analysis" от Jesse D. Kornblum:


The metadata header is followed by a series of meta-
data entries. These entries contain the encrypted
FVEK and encrypted copies of the VMK. Each en-
crypted key is held in a key protector structure de-
scribed in Section 4. Each encrypted copy of the
VMK is encrypted with a different key. These keys,
detailed in [4, 5], can be stored in the metadata, on
an external device, entered by the user, released by
the TPM, or a combination of these. If the system is
configured to unlock the volume using a TPM chip,
it encrypts that copy of the VMK using the RSA
algorithm. For all other types of keys the VMK is
encrypted using 256-bit AES-CCM.
...
The author has hypothesized that during normal
operation, the system only keeps the FVEK in mem-
ory. This hypothesis is based on not seeing key sched-
ules for VMK or the VMK itself in any memory im-
ages captured from the target system during normal
operation [3]. Reverse engineering parts of the BDE
system indicates that the system zeros out sensitive
data as soon as they are no longer needed, consistent
with good security practices. On the other hand,
when the user requests a new key protector for the
volume, the system must not only generate the key,
but perform two operations with the VMK. Namely,
it must encrypt the new key with VMK and encrypt
the VMK with the new key. Where does the operat-
ing system get a copy of the VMK?


Поэтому ответ: да, хранит.
— Гость (31/12/2009 20:32)   <#>
потому что есть возможность проверять открытые исходники

Вот именно, что возможность есть. Но никто этой возможностью не пользуется в полной мере – иначе бы количество сообщений о вскрытии криптоконтейнеров и криптодисков в ходе суд. экспертизы не увеличивалось ;)
— Гость (01/01/2010 02:36)   <#>
Но никто этой возможностью не пользуется в полной мере

Лжёте. Есть люди, которые досконально проверяют исходники по той или иной надобности, или же от пущей паранои. Их очень мало, но важно что они есть. Будучи посетителем этого сайта втечение некоторого времени, могу заметить насущный пример: автор DiskCryptor'а проверял исходники TrueCrypt'а, и, более того, даже нашёл багу, и даже рассказал нам об этом, и в итоге TC-команда её пофиксила.
— SATtva (07/01/2010 15:16)   профиль/связь   <#>
комментариев: 11543   документов: 1036   редакций: 4092
Любителям аргументов о надёжности сертифицированных СКЗИ: Сертифицированные шифрующие USB-накопители оказались с лёгкостью взломаны.
— Гость (08/01/2010 01:25)   <#>
Отсюда выводим идеальные требования на сегодня по TPM. Пользователь должен иметь в своём распоряжении подключаемое по стандартным интерфейсам (например USB, FireWare, SATA) устройство, обеспечивающее следующие действия:
1. Пользователь выбирает тип ПЛИС и вставляет его (т.е. ПЛИС :) в сие устройство
2. Пользователь выбирает и загружает open-прошивку для ПЛИС
3. Пользователь генерит ключи и т.д.
В результате пользователь имеет действительно надёжный модуль доверительной загрузки ака эл.замок :)
З. Ы. Соответственно, должно существовать open source сообщество, которое будет заниматься этими прошивками, иначе никак
— unknown (09/02/2010 10:19, исправлен 09/02/2010 10:19)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Новость о взломе TPM на крипточипах от Infineon подводит вполне закономерный итог дискуссии.

— Гость (09/02/2010 13:17)   <#>
Например, для лидера в производстве TPM – компании Infineon, это является одним из основных производств.
и тут ВНЕЗАПНО, да. Гость (28/12/2009 12:53), ну что вы молчите?
— Гость (11/03/2010 17:11)   <#>
Ну вот взломать TPM как мы видим достаточно сложно. ФСБ обгадится.
— XVilka (11/05/2010 02:42, исправлен 11/05/2010 02:44)   профиль/связь   <#>
комментариев: 13   документов: 0   редакций: 1

Ну по-настоящему защиенным ноут с такой дырой как биос быть не может. Вот http://www.coreboot.org/Welcome_to_coreboot это достаточно удобная замена для него + пароль может требовать на загрузку и шифровать вообще все – от инициализации железа до полного шифрования прошивок других микросхем (сетевая карта, и прочее) и диска конечно. Единственная проблема – он не поддерживает ноутбуки ввиду использования в них дополнительных микросхем EC (Embedded Controller). Поэтому если хотите такую штуку и у себя на ноуте – помогите проекту. http://www.coreboot.org/Laptop


Помощь может быть такой – Посмотрите какое железо используется в ноуте – чипсет + Super I/O чип + EC чип (может быть встроен в Super I/O) + флеш-микросхема. Сделайте дампы:


lscpi -nnvvvxxxx
lspnp
dmesg
dmidecode
biosdecode
superiotool
ectool
inteltool
flashrom -V


Надеюсь на отклик :-)


P. S. Будет конечно очень хорошо если при этом еще и даташиты на super i/o и ec найдете.

— XVilka (11/05/2010 04:27, исправлен 11/05/2010 04:27)   профиль/связь   <#>
комментариев: 13   документов: 0   редакций: 1

Если кто будет делать – можете дампы слать в рассылку coreboot@coreboot.org или (что более предпочтительно) на мою вики http://wiki.xvilka.org/index.php?title=Main_Page – добавите страничку вниз со своим ноутом и по образу и подобию напишете про свой.

— Observer (30/01/2011 21:24)   профиль/связь   <#>
комментариев: 111   документов: 9   редакций: 22
Аналогичный вопрос по поводу шифрования записанной информации на болванки (сд, двд)
И тут было бы лучше сделать не запрос пароля при вставлении диска в компьютер, а дешифровка по ключу сохраненному в простой файл, хранящийся в определенном месте на винчестере. Т.е., файл с кодами лежит – диск читается/пишется без проблем, файл отсутствует – диск нечитается безо всяких комментариев.
Чем все это можно реализовать?
Ищите в Яндексе по ключевому слову "Drivecrypt Plus Pack и Permeo". Мной обсуждался тут, на pgpru.com вопрос о таком ноутбуке. Было найдено решение..., точнее, были найдены решения по многим вопросам защиты бизнес-ноутбука. Могу заявить, что решения работоспособны (актуальны) под Windows 2000 и Windows XP.
Суть в том, что:
1. защита от НСД – осуществляет Drivecrypt Plus Pack (посекторная шифрация всех дисков ДО загрузки ОС). Регулярные автобэкапы делаем Acronis True Image Home – они получаются зашифрованными и читаются лишь при наличии файла-ключа в системе. Полезно бэкапить на внешний винт (ноутбучный)... храним его вдали от рабочего места и подключаем к ноуту лишь в день совершения бэкапа (например, по средам).

2. не оставляем следов. анонимизация инет-соединений – Permeo + TOR. Permeo – воронка, которая широким концом собирает ВСЕ инет-соединения в ноутбуке и транслирует их на свой узкий конец, который подключен к ТОР, что позволяет забыть о настройках прокси в любом софте. Например, банковская программа будет коннектиться ВСЕГДА только через ТОР. В Permeo можно настроить обход воронки для указанных IP/хостов и указанных программ. Почта – Gmail по защищённым протоколам через ТОР. Skype через ТОР.

3. защита от вирусов-троянов – NOD32. Тут всё ясно... и не использовать ИЕ и Аутлук.

Сделано примерно 8 таких ноутбуков, два из них были изъяты во время обыска. Защита устояла, никто не требовал пароль, т.к. запрос пароля замаскирован под аварию диска.

Подробнее я больше ничего не скажу – и так слишком разболтался...
— Гость (31/01/2011 11:46)   <#>
2. не оставляем следов. анонимизация инет-соединений – Permeo + TOR. Permeo – воронка, которая широким концом собирает ВСЕ инет-соединения в ноутбуке и транслирует их на свой узкий конец, который подключен к ТОР, что позволяет забыть о настройках прокси в любом софте. Например, банковская программа будет коннектиться ВСЕГДА только через ТОР. В Permeo можно настроить обход воронки для указанных IP/хостов и указанных программ. Почта – Gmail по защищённым протоколам через ТОР. Skype через ТОР.

Permeo — софт с закрытым кодом (впрочем как и то для чего он написан), он платный (требует регистрации). И главное это всего-лишь системный соксификатор, который только подменяет библиотечные функции при работе с сокетами и никаких "ВСЕ" он собрать не может по определению.
— Observer (31/01/2011 11:54)   профиль/связь   <#>
комментариев: 111   документов: 9   редакций: 22
никаких "ВСЕ" он собрать не может по определению
...но собирает... 8)) Это легко видеть, открыв в Видалии опцию "Просмотреть сеть".
На страницу: 1, 2, 3, 4, 5, 6, 7, 8 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3