Bitlocker alternatíva

Security-all

Sziasztok!

Laptop hdd-ket szeretnénk titkosítani. Megnéztük a Bitlockert, de számunkra úgy néz ki nem lesz nyerő, ráadásul a legtöbb Win7-esünk Professional.
Tudnátok ajánlani alternatívákat?

Köszönöm!

  • 2665 megtekintés

( n.balazs v | 2016. 10. 25., k – 21:27 )

Azt nem írtad, hogy miért nem megfelelő. Úgy könnyebben tudnánk segíteni.
Veracryptet is megnézheted.

Főleg amiatt, mert Professional-ek a kliensek, ahhoz meg úgy tudom nincs.
De érdekes módon pár gépen megpróbáltuk bekapcsolni, az eredmény az lett, hogy napok, sőt hetek múlva is csak annyit tudott mondani, hogy Bitlocker titkosítás folyamatban :)

Ja és még fontos lenne, hogy ne kelljen formattálni a lemezeket.

( mrceeka v | 2016. 10. 25., k – 21:59 )

Hány gépről van szó?

Üdv,
Marci
A Microsoftnál dolgozom.

Nyilván a TrueCrypt és a VeraCrypt se tökéletes, hibáktól mentes megoldás - mert olyan nem létezik -, de sokkal nagyobb szinten átlátható a működése. Az átláthatóság ellenben BitLocker vagy más gyártó terméke esetében kevésbé mutatkozik és egészen biztosan van valaki, aki a felhasználón kívül is rendelkezik a mester kulccsal.
A kriptográfiai mint olyan egy valóban nehezen átlátható dolog, nagyon komoly szaktudás szükséges az alapos vizsgálathoz. És persze az se elhanyagolható tény, hogy az alapvető, nemzetközileg elfogadott és használt titkosítási eljárásokba szándékosan épített hátsókapu lehet, továbbá szándékosan gyengítették az algoritmust.
Ez elég szépen kifejti: http://pastebin.com/AdQYivth

Legalább disznóságoktól mentes.
Open source - nincs rejtegetni való.
A kód egyes részei auditáltak is.
Vannak ismert hibái, amik bizonyos use case-ekben kockázatot jelenthetnek. Ezek egy részét a VeraCrypt-ben javították, illetve majd javítják.
Súlyos sebezhetőségre ezidáig nem derült fény. Egyelőre nincs ismert ok, ami miatt ne lehetne bízni benne.

Parszor mar le lett irva hogy a cryptografia olyan bonyi hogy kb ugyanmindegy hogy openszosz vagy nem. Kurvara nem erted mi van a kodban...

Aki nem terrorista annak meg eleve azt kell latni hogy

Egy:

megbizik egy OS-ben (ugye redhatrol is azt mondjak hogy SAM bacsi figyel) ha abban van valami akkor tok mindegy mit telepitesz ra.

Ketto:

ha az adatok kikerulnek mert megiscsak van valami gaz akkor nem baj ha van mogotte egy vallalat amit ezert szejjel lehet perelni. Veracrypt eseteben van x fejleszto max £1-2 millio vagyonnal. Ez mire eleg?

> cryptográfia olyan bonyi
- Ezzel nem értek egyet. A problémák általában az implementációból adódnak. Hardver vagy OS specifikus a nagyrészük.

Az open source nem azért jó, mert ,,bárki megnézheti a kódot''. Úgyse nézi meg bárki. Viszont:
1) lehet auditálni, mint ahogy a TrueCrypt és VeraCrypt alkalomban történt is néhány ízben
2) ha abnormális működést veszel észre, egyből neki tudsz állni kutatni az okát a kódban
3) a felfedezés után gyorsan elkészül a javítás az open source dolgokban felfedezett hibákra

Abban sok igazság van, amit a bizalomról írtál. Nem én terveztem a processzort, nem én írtam az OS-t, stb. Ezekben mind meg kell bízni. De ez nem eljárás, hogy minden mindegy, mert úgyis bármi lehet. A tőlem is függő rizikófaktorokat ettől még igyekszem a minimumra csökkenteni.

A következmények nyilván mindenkinél máshogy manifesztálódnak. Nem feltétlenül lehet vagy kell mindent pénzre váltani. Számomra fontosabb a technikailag jobb vagy jobbnak vélhető megoldás.

szerk.: A closed source megoldásokban minden további nélkül lehet backdoor, amit akár egy esetleges gyanú esetén is simán le lehet tagadni. Open source projektnek az a végét jelentené, ha egy ilyen kiderül.

> A closed source megoldásokban minden további nélkül lehet backdoor, amit akár egy esetleges gyanú esetén is simán le lehet tagadni

Megvannak a módszerek a closed source alkalmazások biztonsági elemzésére is. Elég nehéz olyan backdoort csinálni például, ami úgy kommunikál a külvilággal, hogy azt ne lehessen észrevenni. :)

én azt nem mondtam, hogy nincs benne, csak reagáltam a hozzászólásodra, nem feltétlen látod külső nyomát, hogy van backdoor. akár open, akár closed source.

"Belépés díjtalan, kilépés bizonytalan."
"Vajon mit várok a sorstól, ha hányok az édestől, és izzadok a sóstól."

Persze, hogy vannak módszerek. Csak egy nagyságrenddel több meló, és a bizonyíték is könnyen lehet, hogy közvetett marad. Általában ilyenkor szokták ráfogni, hogy az igazából egy lineárisan független fícsör, csak bugos a megvalósítás / a fejlesztői verzióból véletlenül benne maradt diagnosztikai funkció / stb.

Szinte korlátlan módja van, a kommunikáció nélküli backdoor-nak:

- paraméterek
- időzítés
- környezeti változók

Sőt, nem is kell a publikus kódba backdoor, ha mondjuk speciálisan kiolvashatóan benne lesz a jelszó/kulcs a titkositott volume-ban.
Egy másik app meg ki tudja olvasni, ami nem publikus...

Még sok más módja lehet, hogy be van zárva az ajtó, de el van rejtve a kulcs. Mi a garancia, hogy a bitlocker vagy más closed source nem csinálja ezt?

Ott egy 2TB-os titkosított volume, mindegyik byte-ról tudod, hogy nincs sehol ilyen? :)

Sőt, lehet tömöríthetőt tömöríteni, majd mellé rakni a kulcsot és jelszót, a méret nem változik... Stb, stb... :)

Tudom, bízni kell... Mert más nincs... Azaz van :)

Sakk-matt,
KaTT :)

Open source kódban azért nagyon ügyesnek kell lenni, hogy ne lepleződjön le a backdoor. Integer overrun-okkal meg egyéb trükkökkel talán meg lehetne oldani.
Egyébként vannak olyan megoldások is, amihez még hálózatba kötve se kell lenni a gépnek, mégis kiextrahálható az adat. Pl. a CPU ventillátor fordulatszámának állítgatásával. Lézer-interferométerrel meg leolvassák a szoba ablakáról a frekvenciát! :->

Na ezek kozul az oldalak kozul egyik sem, mert masban ne bizz (sic!). Csak az eredeti oldalrol.

... es szvsz onnan is inkabb a TrueCrypt-et valaszd. Mindketto volt auditalva, a TC-ben igazan komoly serulekenyseg nem volt, a VeraCrypt fejlesztoi viszont akkora baromsagokat csinaltak (ez altalaban kimerult abban, hogy "adjunk hozza meg tobb cryptot, azzal csak jobb lesz"), hogy erosen megkerdojelezheto a hozzaertesuk.

Való igaz, voltak buta glitch-ek. Igaz, ezek többnyire implementáció / OS API related dolgok voltak, nem feltétlenül kriptó hozzáértést megkérdőjelezők.
Az tényleg baromság volt, hogy a 64 bites block size-ú cipherből úgy csináltak 128-ast, hogy kettőt össze-CBC-ztek. De hát Istenem, nem választod ki azt a ciphert. (Az audit után egyébként el is távolították.)
Abba inkább ne gondoljunk bele, hogy kereskedelmi szoftverekben hány ilyen szarság lehet. És soha nem derül ki.

Egyébként ahogy írtad, nyugodtan használhatja a TrueCrypt-et is (magam sem migráltam még VeraCrypt-re). Egyelőre nem ismert kritikus sebezhetősége.

( pink v | 2016. 10. 26., sze – 10:24 )

Meg kell határozni, mi a cél.
- Adekvát biztonsági szint elérése (takarítónő, rossz szándékú kollégák, esetleg a laptop ellopása esetén a tolvajok ne férjenek hozzá az adatokhoz):
ilyenkor kiváló megoldás a bitlocker vagy a többi hozzászólásban említett kereskedelmi cuccok.
- Ha TNO (trust no-one) megoldás kell, akkor VeraCrypt.

( pekob | 2016. 10. 27., cs – 16:33 )

Veracrypt-et tesztelgetjük, köszönöm!

A TrueCrypt kiesett a kalapból mivel mint mindenki tudja egyszercsak azt mondták már nem biztonságos... Na ez jelenthet pár dolgot de ez már az összeesküvés része. Én VeraCryptet használok win10, linux meg Qubes OS, így egyelőre nem aggódok... Bár a mai egyik cikket olvasva mindenki kezdhet gondolkodni...
CIKK