hardware alapú titkosító kulcs

Security-all

hello

tud valaki olyan külső eszközt ami úgy viselkedik mint egy HW primary kulcs és nélküle a rendszer nem bootolható mivel a bitlocker/dm-crypt nem tudja a jelszót csekkoli? valami olyanra godolok mint egy USB ami a primary kulcsot tárolja vagy TPM-ként működik.

nézegettem a neten de csak Ironkey találtam de az egy hardwaresen titkosított USB és nekem nem az kell.

előre is köszönöm a válaszokat.

  • 16682 megtekintés

( locsemege v | 2015. 08. 03., h – 14:35 )

Például titkosított fs a gépen, a bootmanager és a kernel a pendrive-on, meg a kulcs is. Lehet, nem elegáns, de akár működhet is.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Ha a fájlrendszer kinyitásához szükséges kulcs jelszavát olvassa be a pendrive-ról, akkor akár használható is lehet... (Tehát nem magát a kulcsot, hogy el lehessen távolítani, illetve hogy vész esetén más módon is megadható legyen a kulcs jelszava).

Ha megfelelő erősségű titkosítással van ellátva a kulcs és a kulcs használatával a diszk, akkor a fizikai hozzáférés nem elég. Gyakorlatilag azt kell elérni, hogy a kulcs jelszavának vagy a titkosított diszk kinyitásához szükséges kulcsnak a megtalálása a védett adatok elévülési idején belül várhatóan ne legyen lehetséges. Ez mondjuk abban az esetben gáz, ha több évtizedre kell garantálni az adatok védettségét - bár ebben az esetben a kicsomagol/erősebb algoritmussal becsomagol a megoldás.

+1
Vagy iKey
Vagy barmilyen usb-be oltott smartcard ami kompatibilis a celrendszerrel.
Oszinten a tobbi hozzaszolast nem is ertem, ha mar egyszer biztonsag a kerdes. Olyan eszkoz johet(ne) csak szoba amibol nem kiolvashato a privat kulcs.

Bar ha ganyolas kell, akkor egy adott usb eszkoz meglete (szeriaszam vagy uuid) is eleg lehet. Mondjuk ez kezimunkat igenyel.

Szia

Mivel te asszem mérnök vagy az MS-nél, így nem vagyunk 1 súlycsoportban
Így vitatkozz inkább ezzel a szakértővel

Jonathan Porta webfejlesztő hívta fel először a figyelmet a Windows 10 aggasztó adatvédelmi beállításaira. Amennyiben az alapértelmezett opciókat fogadjuk el, a Microsoft gyakorlatilag az összes adatunkat megszerzi, sőt, továbbküldi a partnereinek.

(100-ból 98 ember biztos rányom az defailt installra, úgy ahogy kb senki se olvassa a mezei felhasználók közűl a Licenszszerződést)

http://www.origo.hu/techbazis/20150731-windows-10-adatvedelmi-beallitas…

https://jonathan.porta.codes/2015/07/30/windows-10-seems-to-have-some-s…

A Microsoft részéről ez adatvédelmi szempontból tényleg a lovon fordítva ücsörgés esete - a default-nak a "nem adom" kéne legyen. Jogilag persze rendben van (erre vigyáznak), hiszen "ott van a felhasználási feltételek harminckettedik kötetének 1234. oldalán a 123/b lábjegyzetben" az explicit hozzájárulás megszerzését biztosító kitétel.

Mint írtam, jogilag rendben, mert takonygerincű szófacsaró jogászból, (aki meg tudja magyarázni, hogy a 123. kötet 234. oldalának 56. lábjegyzete alapján a dél-bantusztáni törvényeket kell alkalmazni, és azok szerint nekik van igazuk) van bőséggel, de attól, hogy jogilag rendben van valami, attól még nem lesz ügyfél/vásárlóbarát és korrekt a kitalált módszer. Nagyjából olyan a módszerük, mintha az üzleti levelezésben szokásos jogi blabla aláírásba belecsempésznék egy olyan kitételt, hogy ha válaszolsz erre a levélre, akkor vendéged vagyok egy sörre :-P

Látom, azt nem akarod érteni, hogy lényegtelen, mi van leírva, hiszen bármit le lehet írni, abból nem következik, hogy az úgy is van. További probléma, hogy hosszas jogi nyilatkozatokat kell elolvasni, mielőtt bármit használatba venne az ember, ami nem életszerű, roppant kényelmetlen, erre menne az életünk nem elhanyagolható része. Ezen felül gond, hogy amennyiben az ember nem ért egyet a licenccel, akkor nem tudja használni a terméket, alkura nincs lehetőség.

Kicsit off, de én például nem tudom, mi van akkor, ha veszek egy notebook-ot előre telepített Windows-zal, elolvasom az EULA-t, majd azt nem fogadom el. Visszamehetek a boltba azzal, hogy a gép kell, de takarítsák le a Windows-t róla, s adják vissza az árát, hiszen számomra nem elfogadható az EULA?

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Tulajdonképpen miért foglalkozol ezekkel, hogyha bármit csinál-ír-mond a cég, úgysem hiszed el? Ha nincs meg a legalacsonyabb szintű bizalom sem, akkor ez kölcsönös időpocsékolás, nem?
Én eddig nagyjából azt hittem, hogy kíváncsi vagy, mi van a cikkek mögött.
Most olybá tűnik, hogy mondhat bárki bármit, a véleményed már előre be van drótozva.

Üdv,
Marci

A PRISM botrány, a történelem utólagos, korszakonként történő átértelmezése, a demokráciának nevezett viccnek is gyenge szemfényvesztés után, ha így tetszik, történelmi tapasztalatok birtokában azt várod, hogy higgyem el azt, amit egy cég leírt? Nem hiszem el. Ennél többre van szükség. Nyílt forrásra, mérhető adatforgalomra, arra, hogy gyanús bugok ne következzenek be, arra, hogy még a lehetősége se legyen meg a személyes adatokkal történő visszaéléseknek. Az nagyon nem jó, hogy kikapcsolhatom az utánam kémkedést, ha épp észreveszem a lehetőséget, ha épp megértem, miről van szó, ha épp ráérek foglalkozni a kérdéssel, ha épp nem három sör elfogyasztása után telepítek.

A kérdésemre viszont nem válaszoltál, igaz, nem is kötelező. ;)

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Tulajdonképpen miért foglalkozol ezekkel, hogyha bármit csinál-ír-mond a cég, úgysem hiszed el?

Azért, mert ennek nem hit kérdésének kellene lennie, továbbá mind hívőknek, mind világiaknak, minden MS terméket felhasználónak elemi érdeke, hogy ne legyen kiszolgáltatva cégeknek, nem lopják el a személyiségét, ne tegyék zsarolhatóvá, rövidebben szólva megmaradjon az érintett szabadsága.

Ha nincs meg a legalacsonyabb szintű bizalom sem, akkor ez kölcsönös időpocsékolás, nem?

Nem, hiszen jogállamban élünk, nem bizalomállamban, tehát akkor is használhatok MS terméket, ha nem bízom a gyártóban, viszont bizonyíthatónak, ellenőrizhetőnek szeretném tudni, hogy sem szándékosan, sem véletlenül semmilyen személyes adatom nem kerül ki tőlem az MS segítségével. Ennek legkézenfekvőbb eszköze az, hogy nem gyűjt rólam adatot az oprendszer, nem pedig az, hogy gyűjt adatot, s megígéri, azt nem használja fel rossz célra. Nem kell kiadnia harmadik fél számára, én már azt sem szeretném, hogy az MS-hez jusson bármi rólam, akár csak az, hol vagyok éppen.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Kicsit off, de én például nem tudom, mi van akkor, ha veszek egy notebook-ot előre telepített Windows-zal, elolvasom az EULA-t, majd azt nem fogadom el. Visszamehetek a boltba azzal, hogy a gép kell, de takarítsák le a Windows-t róla, s adják vissza az árát, hiszen számomra nem elfogadható az EULA?

En vegigcsinaltam, Toshiba-rol tudok nyilatkozni.
Azt hiszem 12ezer forint a munkadija annak, hogy letoroljek a windows-t a laptoprol, plusz 2 het varakozas, amig a Szlovakiai szervizukbe elkuldik a laptopot, majd onnan visszahozzak neked.

Ez mondjuk mar 4 eves tapasztalat, azota nem csinaltam ilyet.
Mostmar lehet nem is lehet, a BIOS-ba egetet windows key-ek koraban.

Remelem minden felmerulo kerdesedre valaszoltam az eloretelepitett windows-zal kapcsolatban:)

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

UEFI-re gondolsz? Fedora csomagjai rendelkeznek aláírással, így ez szerintem nem gond. A 12000 Ft-os munkadíj szerintem simán megérhet fogyasztóvédelmet vagy pert, ugyanis nem kötelezhetnek arra, hogy elfogadj egy számodra elfogadhatatlan licencet, amelyben egy jogos, reális kimenetel annak el nem fogadása. Miért is érne kár emiatt? Egyetlen dd paranccsal ingyen is leszedem azt a Windows-t.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

> UEFI-re gondolsz?

En evvel szoktam windows alatt a windows licensz kulcsat kiolvasni:
https://github.com/christian-korneck/get_win8key

A 12000 Ft-os munkadíj szerintem simán megérhet fogyasztóvédelmet vagy pert,

Nosza, csinald! (avagy mas f*szaval verni a csalant konnyu:)

Egyetlen dd paranccsal ingyen is leszedem azt a Windows-t.

Meg mit tudsz ingyen megcsinalni? Lehet alkalmaznalak, szerintem tudok munkat adni neked... :)

A lenyeg, meg lehet magyarazni, hogy miert kell fizetned:

Ez egy plusz "egyedi igeny", aminek a teljesitese plusz koltseget jelent, mivel csak az europai szervizkozpontban van meg a szakertelem a feladat megfelelo es professzionalis elvegzesehez, azaz a szoftver specialis es megfelelo modon torteno eltavolitasahoz.

Azt hiszem imigyen magyaraztak meg nekem.

De en ragaszkodtam hozza, nekem ennyit "megert" a procedura, hogy erdemben es tisztan lassak a jovoben torteno nagymennyisegu eszkozbeszerzeseknel is.

De ugyanigy vegicsinaltam office-szal is, CAL-lal, bolti oem-mel, dobozos winnel.
Ha erdekelnek a konkret arak, akkor szerintem eleg sokat ide beirtam a forumra is.

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

Nem céges beszerzésre gondoltam, hanem arra, hogy veszel egy gépet, de meglátva az EULA-t, köszönöd, nem kérsz ebből a szörnyűségből. Értem, hogy mindenért lehetne pénzt kérni, de ha a vevő él a jogával, azért szerintem nem jogos pénzt kérni. Mondjuk ebben az esetben azt mondanám, itt a gép, kérem vissza a pénzem. Ha 12000 Ft-ért szedik le a Windows-t, akár maradhat is, mert szinte semmit sem nyersz vele. Ez végül is azt jelenti, hogy hiába élnél a jogaiddal, mindenképp kifizettetik, legfeljebb nem lesz a tiéd. Ez viszont nagyon nincs rendben.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Nem céges beszerzésre gondoltam, hanem arra, hogy veszel egy gépet, de meglátva az EULA-t, köszönöd, nem kérsz ebből a szörnyűségből.

Ez tortent.

De ugyanakkor volt egy masik motivacio is:
ha egy adott laptopbol van oem nelkuli valtozat, erdemes-e azt valasztani, vagy sem.

Nem cegkent porgettem vegig a fentieket.

Ha 12000 Ft-ért szedik le a Windows-t, akár maradhat is, mert szinte semmit sem nyersz vele.

Egy csomo helyen olvastam, hogy vissza lehet kerni igy-meg-ugy meg ment forumokon a szajkarate, hogy gondoltam megcsinalok egyet vegig. Elsokezbol tudjam, mi fan terem.
Ennyit nekem "megert" :)

Ez viszont nagyon nincs rendben.

A jog es az erkolcs nem esik egybe, na bumm.

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

Nekem az első Lenovóm azt írta ki firstbootnál, hogy a licencszerződést a dobozban találom meg nyomtatva. Még olyasmit is láttam már, hogy a doboz felbontása = EULA elfogadása. (Nem Microsoft, ugyan, de tökmindegy, nem kivételezünk.)

Nincs összefüggés, a consumer vonal ugyan elment abba az irányba, hogy vásárlás után olvasunk szerződést, de jogod van elolvasni vásárlás _előtt_ is. A vendor biztosan tud benne segíteni.

a doboz felbontása = EULA elfogadása

Miközben az EULA a dobozban van. Ugye, nem azt mondod, hogy meg kell sejtenie a vevőnek, hogy egyáltalán van-e EULA, s ha azt megsejti, egyéb forrásból be kell szereznie, elolvasnia, s visszaadnia a bontatlan gépet, ha az abban foglaltakkal nem ért egyet?

Arról nem is beszélve, hogy a gép kell, azért vette, csak a Windows EULA-t nem fogadja el.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Erre gondolom majd a microsoftos kollegak tudnak erdemben valaszolni, de valami oka biztosan lehetett, hogy csak a szlovakiai kozpontjukban tudtak megcsinalni.

En csak arra tudok gondolni, hogy ekkora informatikai feladatra nem lehet minden kis orszagot felkesziteni, vagy talan egesz egyszeruen nem talaltak itthon megfeleloen felkeszult, kello szakertelemmel biro ceget.

Arra mar nem emlekszem, hogy csak Kozep-Europat, vagy egesz Europat fedi le a szlovakiai szervizkozpontjuk.

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

Ez nem Microsoft-issue, hanem logisztika. :)

tl;dr manapság olcsóbb a szállítás, mint a redundáns üzem, így ha a szlovákokhoz kivinni és megcsináltatni mondjuk 12k, de ha itthon is fenn kéne tartani egy szervízt, akkor mondjuk 15k

Az MSDM kulcs kiütése őszintén szólva nem tudom, mekkora feladat. Kreatív megoldás biztos van már rá. :)

Lovon fordítva ülés esete. Van egy masszív jogi szöveg, amiből a személyes adatokra vonatkozó lényeges elemek nincsenek külön kiemelve, a személyes és különleges(!) adatokra vonatkozó hozzájárulás nem választható szét(!), és ahogy olvastam, a hozzájárulás telepítés során történő megtagadása nem lehetséges, a "akkor kapcsolja ki itt, meg itt" az csak az adatgyűjtés lehetőségét szünteti meg, nem követeli meg az adatkezelőtől a már birtokába került valamennyi személyes adat törlését, estébé, estébé, estébé...
És igen, egy jogosulatlan adatkezelési perben gyakorlatilag esélytelen a M$-sel szemben egy átlag polgár...

Tetszik, vagy sem, magyarországon személyes adatot kezelni csak az érintett bármikor visszavonható, explicit hozzájárulásával lehet, és a hozzájárulás visszavonása esetén az adatkezelőnek bizonyítottan törölnie kell az érintett személy adatait.

Ezek szerint Ennyire különbözik a Microsoft személyes adatokra vonatkozó gyakorlata és szabályozása?
Az Azure, Office365 és a Dynamics CRM Online ugyanis a személyes adatok kezelése szempontjából az EU 29-es bizottsága által is elismerten megfelel az EU elvárásoknak. A bizottság taga a magyar adatvédelmi biztos is.

Üdv,
Marci

Nagyrészt elolvastam. Maradjunk annyiban, hogy felülmúlta a képzeletemet. Ez félelmetes! Komolyan mondom. Attól, hogy leírják, nem sokkal jobb a helyzet. Lényegében arról szól a leírás, hogy felejtsd el a szabadságod, vesztettél. Nincs alternatíva. Mindent, szó szerint mindent gyűjtenek, profiloznak, összekapcsolnak. Nem mellesleg cinikus is, erre idézek egy példát:

Bizonyos böngészőben van beépített „Do Not Track" (DNT - nyomonkövetés tiltása) funkció, mely egy jelet tud küldeni az Ön által meglátogatott oldalaknak, jelezvén, hogy nem kívánja, hogy kövessék. Mivel még nincs általános megállapodás a DNT jel értelmezését illetően, a Microsoft jelenleg nem reagál a böngésző DNT jelekre a saját weboldalain vagy online szolgáltatásaiban, vagy harmadik felek weboldalain vagy online szolgáltatásaiban, ahol a Microsoft reklámokat, tartalmat biztosít, vagy egyéb módon képes adatokat gyűjteni.

Nem tartom megfelelőnek azt a gyakorlatot, hogy van link, amely angol nyelvű tartalomra mutat. Képzeljünk el egy magyarországi tanyán élő asszonyt, aki feji a kecskét, majd a frissen vásárolt gépén lévő Windowsán megnézne valamit, de szán rá fél napot, hogy elolvassa, értelmezze az adatvédelmi szabályokat, amelyek az életéről, a szabadságáról szólnak, de azt nem tudja teljes terjedelmében elolvasni, hiszen a linkek egy része angol nyelvű tartalomra mutat.

A Microsoft képes fokozni a cinizmust:

A szolgáltatások változásainak követésére, illetve a felhasználók visszajelzései alapján, amikor szükséges, frissítjük adatvédelmi nyilatkozatainkat. Jelen nyilatkozat módosítását követően átírjuk a nyilatkozat elején látható „utolsó aktualizálás" dátumot is. Ha a nyilatkozatban vagy a személyes adatok Microsoft által történő felhasználásában lényegi változás történik, a módosítások hatályba lépése előtt feltűnő helyen figyelmeztetést teszünk közzé, vagy közvetlenül értesítjük a felhasználót. Javasoljuk, hogy időnként olvassa el ezt az adatvédelmi nyilatkozatot újra, hogy megtudja, hogyan védi a Microsoft az Ön személyes adatait.

Ugye, nem egy A4-es oldalról beszélünk. A szöveg hosszú, bizonyára van erre az embernek mondjuk két havonta fél napja, és ha el is olvassa, mire megy vele? Vagy beletörődsz és használod, vagy nem, más lehetőség nincs. Itt amúgy diff kellene, ha már.

Köszönöm, hogy rámutattál erre az adatkezelési gyakorlatra! Cseppet sem megnyugtató, a helyzet annál is sokkal rosszabb, mint amit erről gondoltam addig, amíg nem olvastam el. Az mindenesetre jól körvonalazódott számomra, hogy személyes adatot, akár csak a nevemet windows-os gépen még a notepad-on sem fogom leírni.

Megérte a beszélgetés, egyáltalán nem volt hiába.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Tehát a M$ nem tudja bizonyítani, hogy az érintett tudta, hogy milyen jogot ad a cégnek. Igen, ezt _is_ szájba kell rágni, nem "tessen elolvasni 1234 oldalnyi jogi szóf0sást még, ha tudni szeretné, hogy mivel szívatjuk meg". Ráadásul olyan nyelven, amilyen nyelvet nem köteles érteni a magyar ember. Viszont a termék eladható itt is... (Párhuzam: a deviza-alapon nyújtott hiteleket azért is támadták, mert nem minden esetben kapott az üf. totálisan szájbahányós tájékoztatást arról, hogy mi ez az egész...)

Kérdés, hogy mi ellen akarod védeni. Mondjuk én pl. biztosan nem szeretném a privát adataimat olyan módon tárolni otthon, hogy egy betörő, vagy uram bocsánat egy hőzöngő hatósági személy hozzáférhessen, ha már titkosításról beszélgetünk... Arról nem is beszélve, hogy offline kell tároljad az egészet, mert ha rajta lóg a neten a rendszer, akkor arra akár be is lehet törni. Így viszont macerás a backup.

> bírósági végzéssel, házkutatási paranccsal hőzöng

Ezeket te honnan veszed? Bors magazinbol?

Hazkutatas eseten a rendornek nem kell semmifele birosagi vegzes,
es hazkutatasi parancs sem.
Egesz egyszeruen a nyomozast "hatraltatna", ha erre varna.
Ezt *utolag* keri meg az ugyeszsegtol, amit megkap.

Tipikusan 9-12 verolegeny jon, akibol tortenetesen nehany rendor,
de civilruhaban ezt nehez megallapitani.
Veled alairatjak a jegyzokonyvet, miutan szetramoltak az egesz lakasodat,
a jegyzokonyvon pedig csak az eljaro rendor neve fog szerepelni.

Eleg egy nevtelen feljelentes egy rosszakarodtol. Tenyleg.

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

Már akkor, ha felelősségre akarnak vonni, mert a szerv egy rossz életű pedofilt lát bennem, vagy akkor, ha saját magamnak felejtem el? Szerintem mindkét esetben sz.pás. Éppen ezért nem tartom jó ötletnek a backup titkosítását. Kérdés, mi a fontosabb. Mindenképp meglegyen az adat, vagy az, hogy illetéktelenek semmiképp se juthassanak hozzá?

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Egy titkositott merevlemezrol a rendorsegnek eloszor is hitelt erdemlo modon meg kell tudni allapitatni igazsagugyi szakertovel, hogy azon adat van, es nem formazatlan.

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

Szerintem lesz azon dm-crypt fejléc, meg ha valaki nem erre bazírozik eleve, akkor lesz egy boot loader meg partíciós tábla. De ezekre azért léteznek megoldások: a boot partíciót simán ki lehet rakni valami külső USB perifériára, akkor partíciós tábla sem kell, lehet az egész diszk egy szál konténer, a dm-crypt kódját meg át lehet írni a kernelben meg a utility-ben, hogy ne úgy nézzen ki, mint a standard, és máris nem fogja felismerni senki.

> Szerintem lesz azon dm-crypt fejléc,
> meg ha valaki nem erre bazírozik eleve,
> akkor lesz egy boot loader meg partíciós tábla.

Nem eszik ilyen forron a kasat.
1. A titkositott adatot tipikusan nem ugyanazon a merevlemezen tarolod, amirol a geped is fut. (pont azert, hogy eltavolitasa eseten is be tudd mutatni, hogy a gep mukodik)
2. Boot loader nincs rajta
3. Particios tabla egy megvasarolt bolti pendrive-on is van. Ez nem indikatora semminek se.

A dm-crypt fejlecben nem vagyok biztos (utana kellene olvasni), idaig mar nem is biztos hogy eljut egy igazsagugyi szakerto.

Tobb lehetoseg is van:
1. a merevlemez tenyleg ures, csak megformaztad
2. eleve formazva vetted
3. tartalekvinyonak hasznalod ezert van megformazva (kb. mint a hot-spare a raid eseteben)
4. tonkrement a merevlemez (csak meg nem vitted el a Kurthoz)
5. titkositott adat van rajta, amivel a kovetkezo terrorcselekmeny tervet, es a pentagon alaprajzait tarolod.

Szerintem az osszes eset pont annyira hiheto es bizonyithato a birosag elott:)

De felre ne ertsetek, sose szabad alabecsulni a rendorseget es a kirendelt igazsagugyi szakertot. Vegulis tanulta a szakmat, valoszinu ert is hozza, es nem a te eseted az elso amibe belefutottak...

Vagy masik szemszogbol nezve, pontosan tudja mekkora kishal vagy, es inkabb megallapitja, hogy ures a vinyo, a szakertoi dija sztem ugyanannyi.

Igy sporolt maganak massziv 2 hetet, ha nem csinalt meg ilyet, akkor legalabb 1 honapot.

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

( mauser1 v | 2015. 08. 03., h – 19:14 )

Csinálsz majd belőle egy leírást blogba? Előre is kösz.

( vl v | 2015. 08. 03., h – 20:47 )

Felrakod egy USB pendrive-ra a jelszót (ami a dm-cryptnek kell), és írsz egy initrd-t (és/vagy módosítod a kedvenc oprendszeredét), ami mondjuk label alapján megkeresi az USB pendrive-ot, felmountolja, kiolvassa róla a kulcsot, és azzal beizzítja a dm-cryptet. Ha eljutsz oda, hogy az initrd-be beletúrsz, akkor már nem egy nehéz dolog.

Ami nyilvánvaló, hogy "igazi" HW kulcsot nem fogsz tudni csinálni, azaz nem tudod megoldani, hogy a kulcs semmilyen módon ne legyen lemásolható az USB pendrive-ról. Annak ugyanis el kell jutnia a dm-crypthez, márpedig akkor a gép le is tudja másolni.

Ami nyilvánvaló, hogy "igazi" HW kulcsot nem fogsz tudni csinálni, azaz nem tudod megoldani, hogy a kulcs semmilyen módon ne legyen lemásolható az USB pendrive-ról. Annak ugyanis el kell jutnia a dm-crypthez, márpedig akkor a gép le is tudja másolni.

Így van. A másolási lehetőségtől függetlenül, attól hogy a kulcsot egy külön hardveren tárolod, még nem lesz 'hardverkulcs' belőle. dm-crypt esetén legalábbis minden esetben akár kézzel is be lehet vinni azt a kulcsot.

Ezt csak az erre felkészített titkosító cucc tudná (én nem tudok ilyen létezéséről sem) megoldani, ott ics csak a valódi (smartcard-os tanúsítványtárolókkal) lenne értelme.

--
zrubi.hu

Hát reálisan az ilyet vagy valami HBA formájában lehet értelmesen megcsinálni, vagy bele kell integrálni a diszkbe. A mai SSD-k elvileg tudnak valami titkosítást a gyors secure törlés érdekében, csak gondolom nincs sehogy kivezetve semmi, amivel ezt ilyen célokra használni lehetne.

Azt írod, hogy "minden esetben akár kézzel is be lehet vinni azt a kulcsot." Nálam a root dm-crypt-tel titkosított partíció, amit egyetlen 1kb-os /dev/random-ból nyert kucsfájllal lehet megnyitni. Nincs hozzá semmilyen egyéb jelszó. A másolhatóságon kívül milyen egyéb gyengesége van ennek a megoldásnak?

Nálam a root dm-crypt-tel titkosított partíció, amit egyetlen 1kb-os /dev/random-ból nyert kucsfájllal lehet megnyitni. Nincs hozzá semmilyen egyéb jelszó.

A dm-crypt nem így működik. Mindenképp van 'jelszó' (key), sőt akár több is lehet:
cryptsetup luksDump /dev/xyz

Ott láthatod hogy van x db key slot. Attól hogy te a dev/random-ból választottad a kulcsot, attól még az csak egy kupac karakter, és a file megléte nélkül is ki lehet nyitni a titkosított partíciót , NEM kell hozzá semmilyen külső eszköz, csak a kulcs maga, ami nálad a file tartalma. Így ez (keyfile) inkább kényelmi funkció, ettől nem lesz biztonságosabb ez a megoldás.

A másolhatóságon kívül milyen egyéb gyengesége van ennek a megoldásnak?

Nincs más, és ez sem gyengeség, hanem tulajdonság.

A több kulcs lehetősége viszont érdekes dolog, több nagy gyártó is kérdés/figyelmeztetés nélkül betolja a saját kulcsát (is) telepítéskor ;) - Szóval azt is érdemes rendszeresen csekkolni, hogy hány key slot van használatban.

--
zrubi.hu

Amennyiben a kis script nem az USB fs-ről olvas ki adatot, hanem a PEN serialt olvassa ki, akkor azt már macerásabb lesz másolni! :-) Ráadásul "formázás álló" lesz a PEN, mert nincs olyan probléma, hogy letörlésre került a jelszót tartalmazó file. :-) Mondjuk az is tény, hogy ebben a felállásban tartalék kulcs sem lesz...

De ezzel nem oldottál meg semmit. A veszélyt az jelenti, hogy a diszk tartalmának dekódolásához elegendő egy lemásolható adat. Márpedig a serialt pont ugyanolyan könnyű kiolvasni, mint az USB stick tartalmát. A diszk tartalmát meg a betörő nem úgy dekódolja, hogy a kis script előtt ácsorog, és próbálgatja az USB pendrive-okat, hanem kiveszi a diszket a gépből, beteszi egy másikba, és leszarja a kis scriptet.

( miska74 (nem ellenőrzött) | 2015. 08. 03., h – 20:54 )

Tedd a Grub-ot a pendrive-ra.Nincs Grub,nem indul a rendszer.

( log69 | 2015. 08. 04., k – 14:55 )

Azért felesleges szerintem ennyire túlbonyolítani, mert ha van fizikai hozzáférés, akkor a boot betöltőt is lehet módosítani úgy, hogy letárolja a kötet feloldásához használt kulcsot vagy jelszót. Illetve mások már megjegyezték, hogy több példányban kell tárolni, mert különben oda az adat. Gondolom nem lesz mellette titkosítás nélküli mentés, mert akkor meg az előbbinek nincs értelme.

Miért ne legyen hosszabb jelszó, ami fel van jegyezve? Miért jobb ha hardverből olvasódik ki? Hogy ne lássák a kezedet mikor begépeled?

( bucko | 2015. 08. 04., k – 15:15 )

Az a kérdés, hogy el szeretnéd-e vinni a kulcsot magaddal?

Ha nem, akkor a diszk beépített security funkciója mindezt tudja.
Ha induláskor nem adod meg a jelszót, akkor a diszk gyakorlatilag elérhetetlen. Nem csak nem bootol, de az interfészen kapott parancsokat sem hajta végre. Így akár el is lehet lopni a gépet/diszket, az adatok elérhetetlenek maradnak.

( olympus | 2015. 08. 05., sze – 18:12 )

SATA HDD-re az Addonics gyárt nem túl drága AES-256 titkosító hardvert Cipher Chain IC-vel. A nem nyilvános kulcs egy mini USB csatlakozóval bedugható - pendrive kinézetű - hardver kulcsban van. Kettő azonos hardver kulcsot adnak hozzá. Ha a kulcs nincs bedugva, a HDD formázatlanként jelenik meg. Ugyanis megformázni is már a hardveren keresztül kell a HDD-t, tehát már format szinten is titkosít. Szerintem nem op. rendszer függő ez a hardveres titkosítás. Más kérdés, hogy RAID vezérlővel is kompatibilis-e. A részletek a honlapjukon olvashatók.

( pink v | 2015. 08. 08., szo – 12:40 )

dm-crypt tud ilyet.
Több unlocking slot van. Bármelyik lehet jelszó vagy kulcsfájl.
Az egyik legyen password unlock vészhelyzet esetére (elveszik a pendrive).
A másik slot-ban legyen a kulcsfájl (luksAddKey asszem).
Initscript-ben ellenőrzöd a fájl elérhetőségét, és ha ott van, nyitod vele a volumét. Ha nincs ott, fallback jelszavas nyitásra.