Ochrana PC šifrovacím nástrojem BitLocker DE

Diskuze výhradně o operačním systému Windows 7

Moderátor: Moderátoři Živě.cz

Odeslat příspěvekod rydlo 22. 2. 2010 17:08

Hledal jsem v této sekci a v sekci WindowsVista a nikde jsem nenašel zkušenosti a nějaké info o šifrovacím nástroji BitLocker ToGo Drivw Encryption.
Proč se ptám?
Ze známých důvodů ochrany svých a firemních dat v NB kdybych ho např. ztratil (byl mi ztracen) a jestli existuje taková ochrana, která by vyhověla i potřebě šikovně zašifrovat (zamknout) komp s W7 pro případ, že by se dostal do rukou např. našich beng. Tzn. aby nemohli majitele obvinit z toho co by v NB rádi chtěli najít. (Vždyť současný "hon na čarodejnice" ne nepodobný padesátým letům v zemích pod vlivem SSSR i v USA jen změnil jen důvody honu na: extrémismus, terorismus, rasovou nesnášenlivost, children'sporno, porušení autorských práv a pod.) U kdekoho by se v kompu něco takového našlo! Stačí tam mít nějaké politické diskuse, nějaký špatný slovo k Romům, stažený návod na výrobu třaskaviny, fotky vlastních dětí z pláže v Chorvatsku a samozřejmě nějaký ten soft, film, hru a muziku! A už v tom člověk lítá a nakonec dostane pálku větší než za vraždu! Takže podle mne má smysl z několika důvodů komp takto chránit.
Zkoušel jsem několik nástrojů mj.BestCryptJetico, TrueCrypt a ještě dva další, ale ze známých důvodů se mi párkrát stalo, že komp klek-a data v čudu. :-\
Chtěl bych vědět jestli je integrovaný BitLocker DE v W7ultimate schopný takto posloužit, nebo jestli si prostě "expert" s kulatým razítkem, kterýmu komp v takovém případě benga předají, vytáhne nějaký dešifrátor co dostal od mrkvochvostu a pohodlně si komp odemkne? No a když by ho měl on, tak v Česku potom kdejaký lump-však to znáte!:D
Vyrovná se BitLocker DE alespoň nástroji TrueCrypt?
Koukal jsem na návod a zašifroval jsem na zkoušku jeden partition a vypadá to dost pohodlně a jednoduše. Nenabídlo to ale žádnou tvorbu náhodného šifrovacího klíče i když jsem se dočetll že BitLocker používá AES-128 či AES-256 šifru. Není nakonec šifrovací klíč stabilní a pro všechny stejný?
Také by mne zajímalo s čím se nebude BitLocker snášet (jak se chová při zálohování a obnově, jak snese zašifrovaní složky TrueCryptem, jak se snese s Acronisem a s TuneUp2010?
Díky za rady a zkušenosti. :-)
Naposledy upravil rydlo dne 22. 2. 2010 19:30, celkově upraveno 1
rydlo
Junior
Uživatelský avatar

Odeslat příspěvekod Milanr1 22. 2. 2010 17:28

rydlo píše:Vyrovná se BitLocker ToGo alespoň nástrtoji TrueCrypt?

Ne.
BitLocker integrovaný v OS WNT řady 6 je IMHO lepší a vhodnější, protože optimalizovaný pro dané verze OS.
Ideální je ovšem použití šifrování na hardwarové úrovni, tj. pomocí TPM čipu; většina moderních NB je takto vybavena, resp. všechny profi řady.
Zálohování je základ: v případě poruchy hw a nutnosti výměny např. MB se k dokumentům nedostane nikdo, tj. ani admin daného počítače, pokud nesplnil základní podmínku:
vytvoření hesla pro obnovení nebo obnovovací klíč.
Viz:
http://technet.microsoft.com/en-us/library/dd835565(WS.10).aspx
Milan
Milanr1
Pokročilý
Uživatelský avatar

Odeslat příspěvekod Miroslav Pragl 22. 2. 2010 17:39

BitLocker NEBO BitlockerToGo ?!?!

MP
Miroslav Pragl
Expert
Uživatelský avatar

Odeslat příspěvekod rydlo 22. 2. 2010 19:42

Abych nemotal pojmy:
- BitLocker Drive Encryption = nástroj pro šifrování integrovaný ve W7u (opravil jsem v prvním postu)
- BitlLocker ToGo = způsob použití toho nástroje pro vyměnitelnou jednotku
- TPM (Trusted Platform Module) = integrovaný čip který nástroj BitLocker používá k zapečetění klíčů
- Otevřít zašifrovanou jednotku můžeme pomocí hesla, nebo čipové karty (musí být čtečka), nebo právě tím TMP. Kdo má snímač otisku prstu, může místo hesla použít otisk prstu.

Je tedy možné zašifrovat C:\ kde mám Windows a při bootu mne to požádá o heslo? Když ho zapomenu, tak se tam dostanu pomocí flashky kde budu mít obnovovací klíč?
V nápovědě je, že když TPM v PC není, může správce sítě povolit použít místo TPM flashku a při každém spuštění PC musí být flashka zasunuta do USB.
Jsem správce sítě? Jak to mohu povolit, abych měl místo TMP flashku?
rydlo
Junior
Uživatelský avatar

Odeslat příspěvekod facility 22. 2. 2010 20:01

rydlo píše: nebo jestli si prostě "expert" s kulatým razítkem, kterýmu komp v takovém případě benga předají, vytáhne nějaký dešifrátor co dostal od mrkvochvostu a pohodlně si komp odemkne? No a když by ho měl on, tak v Česku potom kdejaký lump-však to znáte!:D


Neverim ze zadne dvierka niesu "staci gulate razitko" a uz ta maju :D
Abit IP35 pro,e2180@3Ghz,6GB Ram,8800GT 512 MB,Barracuda 11. 500GB,WD 640GB,
Noctua NH-U12F,Coollaboratory Liquid Pro,Corsair VX550W,CM690, LCD Samsung 24"
Win XP SP3 NASA2 & Win7Ultimate 64bit Microsoft World Domination Total Control Edition
facility
Junior
Uživatelský avatar

Odeslat příspěvekod hunter21 22. 2. 2010 20:31

Sifrovanie disku zabrani kompromitacii udajov pri kradezi.
Akonahle bezi system, tak su data pristupne jednoducho cez siet...
Kazdu chvilu je uverejnena nejaka zranitelnost ci uz systemu alebo aplikacii...
hunter21
Pokročilý

Odeslat příspěvekod Milanr1 22. 2. 2010 20:35

facility:
Už jsem na podobné rýpání odpověděl předem:
Milanr1 píše:...se k dokumentům nedostane nikdo, tj. ani admin daného počítače

Prostuduj si základy:
http://technet.microsoft.com/en-us/library/dd835565(WS.10).aspx
hunter21 píše:Sifrovanie disku zabrani kompromitacii udajov pri kradezi.
Akonahle bezi system, tak su data pristupne jednoducho cez siet...

To je bez debaty.
Zabezpečení šifrováním nezabrání krádeži dokumentů po síti v okamžiku, kdy jsou dešifrované.
Precizní nastavení bezpečnostní politiky je základem bezpečného OS.
Šifrování je jen jeden z bezpečnostních prvků.
Milan
Milanr1
Pokročilý
Uživatelský avatar

Odeslat příspěvekod hunter21 22. 2. 2010 20:42

Na konferenci Black Hat byl oznámen hack chipu používaného pro XBox 360, v chytrých kartách a jinde – Black Hat: Researcher claims hack of chip used to secure computers, smartcards. Christopher Tarnovsky vystoupil s tím, že hacknul procesor Infineonu SLE 66 CL PC (je také používaný jako TPM – Trusted Platform Module !).

http://www.h-online.com/security/news/i ... 27077.html

http://www.nzherald.co.nz/technology/ne ... d=10625082
hunter21
Pokročilý

Odeslat příspěvekod facility 22. 2. 2010 21:33

Najlepsie bude asi kombinovat ....

Ďalší spôsob, umiestiť k HDD napernamentný magnet, napr cievku, priletovať káble na disk, napojiť to na baterku a vyviesť pár snímačov / vypínačov. Jeden tlakový umiestniť k otváraniu skrinky a druhý niekde po ruke / nohe, ak by sa vám niekto pokúšal odcudziť dáta stačí zatlačiť gombík alebo otvoriť debnu, baterka dodá prúd a vaše dáta sú na onom svete. :D

Crypt-Security

Crypt - Security by Anonym


Každý z nás má vo svojom PC uložené súkromné údaje, firemné údaje ktoré viac či menej vyžadujú našu ochranu. Asi nikto by nechcel vidieť svoje fotky „po vešané“ na weboch Vašich „priateľov“, firemné zmluvy u Vašej konkurencie alebo stiahnuté pesničky na stole vyšetrovateľa.



Aby sme mohli predísť týmto únikom musíme PC patrične zabezpečiť. Ochrana heslo v systémy Windows zďaleka nestačí, tá sa dá obísť za pár minút. To isté platí o ochrane prostredníctvom BIOS-u i keď tá je bezpečnejšia, no pokiaľ zdieľate počítač s viacerými osobami nebezpečenstvo exponenciálne stúpa.

Jedným zo spôsobov je kryptovanie dát. Ja používam program TrueCrypt, je open surce a umožňuje šifrovanie pomocou AES, Blowfish, DES, Triple Des, Twofish CAST5, Serpent a iných v reálnom čase. Využívam kombináciu AES+Twofish+Serpent. Takisto umožňuje vytvoriť buď šifrovanú patíciu alebo šifrovaný „súbor“ s ktorým sa po načítaní pracuje ako s ďalším HDD. Je samozrejme dôležité vybrať si to správne heslo. Odporúča sa viac ako 20 znakov samozrejme kombinácia písmen, čísel a špeciálnych znakov, ja používam heslá v rozmedzí 13-16 znakov čo myslím plne postačuje. Čím dlhšie heslo tým lepšie /a nieže ho potom zabudnete ako ja :)/ Ak používate iný program, odporúčam používať čo najväčšiu dĺžku kľúča, min 512 bitov, alebo kombináciu šifier. Ak ste veľmi paranoidný vytvorte si disk v disku, ak keď by niekto prekonal prvú ochranu musí ešte preliezť tú druhú a to je imho časovo veľmi náročné.

Ak sa bojíte o ukradnutie/zneužitie dát mimo vášho PC máte viacero možností. Jednou je privariť HDD k vnútornej konštrukcii PC, priletovať káble a následne zatvoriť PC niekam kam má prístup len úzky okruh osôb a vyžaduje autorizáciu.. Ak sa Vám to zdá príliš drastické môžete do HDD vložiť nejakú sklenenú ampulku z chemikáliou a ak niekto otvorí vašu bedňu do HDD sa vyleje kyselina /napr. sírová, fosforečná najlepšie chlorovodíková/ ktoré spôsobí odchod vášho disku na druhý svet. Mne sa páči kombinácia malého množstva trhaviny s kyselinou, malé množstvo trhaviny umiestníme spolu s kyselinou do vnútra disku. Detonátor nastavíme tak aby sa spustil pri otvorení krytu alebo stlačení určitého gombíku. Nálož spôsobí že sa po celom disku rozstrekne kyselina ktorá spôsobí rozleptenie feromagnetickej plochy a tým aj zničenie dát na disku.

Ďalší spôsob, umiestiť k HDD napernamentný magnet, napr cievku, priletovať káble na disk, napojiť to na baterku a vyviesť pár snímačov / vypínačov. Jeden tlakový umiestniť k otváraniu skrinky a druhý niekde po ruke / nohe, ak by sa vám niekto pokúšal odcudziť dáta stačí zatlačiť gombík alebo otvoriť debnu, baterka dodá prúd a vaše dáta sú na onom svete. Obrovská nevýhoda tohto systému je pri „neodbornej“ manipulácii, príde nejaká osoba a stlačí gombík /jé je pekný červený ktovie načo slúži? …. / a ste v *****, pripadne ak zabudnete servisákovi povedať že takýto systém máte v PC. Medzi vylepšenia môže patriť de aktivácia na kód, na odtlačok prsta /neodporúčam pre premenlivosť odtlačkov napr. po aplikácii kyseliny, brúsneho papiera …./ , vzorku krvi … alebo čo vás napadne.

Ak by ste sa rozhodli vyskúšať niektorú z variant, na 70% sa stretnete s problémom nepasujúceho kľúča, osobne som to riešil vŕtačkou, je to rýchle a jednoduché. Zabudnite však na vŕtačku tesco a vrtáky hypernova, bez poriadneho príslušenstva sa nezaobídete, hlavne sa nepokúšajte prevŕtať zliatinu vrtákom na drevo, omietku, … , dbajte na uzatvorenie všetkých dier ktoré ste urobil, trebárs to len prelepte páskov ale spravte s tým niečo, robte to v bezprašnom prostredí, vytiahnite elektroniku a pamätajte disk je ako žena musí sa naňho jemne a keď to pokašlete napravia to peniaze :).

Ako je to možné? Platne na ktoré sa ukladajú dáta bývajú z hliníka na ktorom je nanesená tenká vrstva feromagnetickej látky. Dáta sa na disk zapisujú elektromagneticky, prostredníctvom hlavy. Ak vytvoríme dostatočne silné magnetické pole v blízkosti disku, dáta nenávratne zmažeme. To isté sa stane ak platňami „prebehne“ elektrický prúd. Kyselinou zas dokážeme narušiť vrstvu na ktorej sú uložené dáta.

Najlepšie však je tieto techniky skombinovať, dajte si heslo do BIOSU, povolte bootovanie iba z disku na ktorom je OS, nastavte si heslo do WINDOWSU, aktualizujte systém, šifrujte dáta a samozrejme zabezpečte to mechanicky.
Abit IP35 pro,e2180@3Ghz,6GB Ram,8800GT 512 MB,Barracuda 11. 500GB,WD 640GB,
Noctua NH-U12F,Coollaboratory Liquid Pro,Corsair VX550W,CM690, LCD Samsung 24"
Win XP SP3 NASA2 & Win7Ultimate 64bit Microsoft World Domination Total Control Edition
facility
Junior
Uživatelský avatar

Odeslat příspěvekod rydlo 22. 2. 2010 21:38

To je všechno hezké, ale mně by stačilo, kdyby někdo věděl jak zašifrovat systémový disk v kompu bez TMP?
Tzn. co musím udělat abych měl místo TMP flashku?
V tom návodu od MS na který odkazuje Milanr1 je to pro mne nesrozumitelné.
Local Group Policy Editor: Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Operating System Drives
Kde to najdu?
rydlo
Junior
Uživatelský avatar

Odeslat příspěvekod Miroslav Pragl 22. 2. 2010 21:57

spust gpedit.msc (ZAKLADNI nastroj)

MP
Miroslav Pragl
Expert
Uživatelský avatar

Odeslat příspěvekod rydlo 22. 2. 2010 22:52

Dík MP !! :-)
Funguje skvěle !! :tleskani
Zašifruje systémový disk i bez TMP!! Obrázek
Na flashku to pak vygeneruje
a) spouštěcí klíč *.BEK
b) a podle přání Obnovovací klíč nástroje BitLocker ...txt (mohl jsem rozhodnout zda ho chci vytisknout, nebo umístit jinam)
Spouštěcí klíč *.BEK musí být při každém zapnutí a restartu PC k dispozici v USB. Můžu si ho umístit jako zálohu např. někam na net, na čipovou kartu, na SD kartu - v podstatě kamkoli, kde to "nepřítel" nenajde.
Výhodou mj. je, že jedním kliknutím lze ochranu pozastavit (u systémového disku "pozastavit", u logických disků "spouštět automaticky"). Takže to nezdržuje při opakovaných restaterech a podle potřeby lze pouhým kliknutím ochranu hned aktivovat.
rydlo
Junior
Uživatelský avatar

Odeslat příspěvekod facility 23. 2. 2010 19:16

NJ. Tak som to nejak myslel [SZ].... ale chcelo by to vyskusat tj. zakriptovat a potom sa udat na policii :lol: ci sa skrz BitLocker dostanu ....? Ak tam je "blackdoor" prvy ti to oznami asi Prokurator :-)
Abit IP35 pro,e2180@3Ghz,6GB Ram,8800GT 512 MB,Barracuda 11. 500GB,WD 640GB,
Noctua NH-U12F,Coollaboratory Liquid Pro,Corsair VX550W,CM690, LCD Samsung 24"
Win XP SP3 NASA2 & Win7Ultimate 64bit Microsoft World Domination Total Control Edition
facility
Junior
Uživatelský avatar

Odeslat příspěvekod rydlo 24. 2. 2010 10:16

facility reaguje na soukromou zprávu ve které jsem se ptal jak si mám vysvětlit jeho větu "Neverim ze zadne dvierka niesu "staci gulate razitko" a uz ta maju" a tak píše:NJ. Tak som to nejak myslel [SZ].... ale chcelo by to vyskusat tj. zakriptovat a potom sa udat na policii :lol: ci sa skrz BitLocker dostanu ....? Ak tam je "blackdoor" prvy ti to oznami asi Prokurator :-)

Ještě žádná konkrétní a praktická zkušenost?? :shock:
.......Hledá se dobrovolník ! :lol:
rydlo
Junior
Uživatelský avatar

Odeslat příspěvekod kecinzer 15. 2. 2011 09:07

BitLocker ve Windows 7 je výborné řešení a hlavně rychlé.
Používám ho v kombinaci s TPM na pracovním notebooku a výkonově jsem nezaznamenal žádný rozdíl. Mám ještě nastaveno, aby se při spouštění NB tázal na PIN.
Momentálně se chystám BitLocker aplikovat na domácí PC, kde mám SSD disk na OS a RAID 5 pole na data. Budu muset ovšem použít flashku na uložení klíče, protože deska TPM nemá.
Mám jen strach z výkonu, protože RAID 5 pole je SW (na desce ICH9R řadič).
kecinzer
Junior

Další stránka

Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 0 návštevníků