Stránka 1 z 2

Ochrana PC šifrovacím nástrojem BitLocker DE

Odeslat příspěvekNapsal: 22. 2. 2010 16:08
od rydlo
Hledal jsem v této sekci a v sekci WindowsVista a nikde jsem nenašel zkušenosti a nějaké info o šifrovacím nástroji BitLocker ToGo Drivw Encryption.
Proč se ptám?
Ze známých důvodů ochrany svých a firemních dat v NB kdybych ho např. ztratil (byl mi ztracen) a jestli existuje taková ochrana, která by vyhověla i potřebě šikovně zašifrovat (zamknout) komp s W7 pro případ, že by se dostal do rukou např. našich beng. Tzn. aby nemohli majitele obvinit z toho co by v NB rádi chtěli najít. (Vždyť současný "hon na čarodejnice" ne nepodobný padesátým letům v zemích pod vlivem SSSR i v USA jen změnil jen důvody honu na: extrémismus, terorismus, rasovou nesnášenlivost, children'sporno, porušení autorských práv a pod.) U kdekoho by se v kompu něco takového našlo! Stačí tam mít nějaké politické diskuse, nějaký špatný slovo k Romům, stažený návod na výrobu třaskaviny, fotky vlastních dětí z pláže v Chorvatsku a samozřejmě nějaký ten soft, film, hru a muziku! A už v tom člověk lítá a nakonec dostane pálku větší než za vraždu! Takže podle mne má smysl z několika důvodů komp takto chránit.
Zkoušel jsem několik nástrojů mj.BestCryptJetico, TrueCrypt a ještě dva další, ale ze známých důvodů se mi párkrát stalo, že komp klek-a data v čudu. :-\
Chtěl bych vědět jestli je integrovaný BitLocker DE v W7ultimate schopný takto posloužit, nebo jestli si prostě "expert" s kulatým razítkem, kterýmu komp v takovém případě benga předají, vytáhne nějaký dešifrátor co dostal od mrkvochvostu a pohodlně si komp odemkne? No a když by ho měl on, tak v Česku potom kdejaký lump-však to znáte!:D
Vyrovná se BitLocker DE alespoň nástroji TrueCrypt?
Koukal jsem na návod a zašifroval jsem na zkoušku jeden partition a vypadá to dost pohodlně a jednoduše. Nenabídlo to ale žádnou tvorbu náhodného šifrovacího klíče i když jsem se dočetll že BitLocker používá AES-128 či AES-256 šifru. Není nakonec šifrovací klíč stabilní a pro všechny stejný?
Také by mne zajímalo s čím se nebude BitLocker snášet (jak se chová při zálohování a obnově, jak snese zašifrovaní složky TrueCryptem, jak se snese s Acronisem a s TuneUp2010?
Díky za rady a zkušenosti. :-)

Re: Ochrana PC šifrovacím nástrojem BitLocker ToGo

Odeslat příspěvekNapsal: 22. 2. 2010 16:28
od Milanr1
rydlo píše:Vyrovná se BitLocker ToGo alespoň nástrtoji TrueCrypt?

Ne.
BitLocker integrovaný v OS WNT řady 6 je IMHO lepší a vhodnější, protože optimalizovaný pro dané verze OS.
Ideální je ovšem použití šifrování na hardwarové úrovni, tj. pomocí TPM čipu; většina moderních NB je takto vybavena, resp. všechny profi řady.
Zálohování je základ: v případě poruchy hw a nutnosti výměny např. MB se k dokumentům nedostane nikdo, tj. ani admin daného počítače, pokud nesplnil základní podmínku:
vytvoření hesla pro obnovení nebo obnovovací klíč.
Viz:
http://technet.microsoft.com/en-us/library/dd835565(WS.10).aspx

Re: Ochrana PC šifrovacím nástrojem BitLocker ToGo

Odeslat příspěvekNapsal: 22. 2. 2010 16:39
od Miroslav Pragl
BitLocker NEBO BitlockerToGo ?!?!

MP

Re: Ochrana PC šifrovacím nástrojem BitLocker ToGo

Odeslat příspěvekNapsal: 22. 2. 2010 18:42
od rydlo
Abych nemotal pojmy:
- BitLocker Drive Encryption = nástroj pro šifrování integrovaný ve W7u (opravil jsem v prvním postu)
- BitlLocker ToGo = způsob použití toho nástroje pro vyměnitelnou jednotku
- TPM (Trusted Platform Module) = integrovaný čip který nástroj BitLocker používá k zapečetění klíčů
- Otevřít zašifrovanou jednotku můžeme pomocí hesla, nebo čipové karty (musí být čtečka), nebo právě tím TMP. Kdo má snímač otisku prstu, může místo hesla použít otisk prstu.

Je tedy možné zašifrovat C:\ kde mám Windows a při bootu mne to požádá o heslo? Když ho zapomenu, tak se tam dostanu pomocí flashky kde budu mít obnovovací klíč?
V nápovědě je, že když TPM v PC není, může správce sítě povolit použít místo TPM flashku a při každém spuštění PC musí být flashka zasunuta do USB.
Jsem správce sítě? Jak to mohu povolit, abych měl místo TMP flashku?

Re: Ochrana PC šifrovacím nástrojem BitLocker DE

Odeslat příspěvekNapsal: 22. 2. 2010 19:01
od facility
rydlo píše: nebo jestli si prostě "expert" s kulatým razítkem, kterýmu komp v takovém případě benga předají, vytáhne nějaký dešifrátor co dostal od mrkvochvostu a pohodlně si komp odemkne? No a když by ho měl on, tak v Česku potom kdejaký lump-však to znáte!:D


Neverim ze zadne dvierka niesu "staci gulate razitko" a uz ta maju :D

Re: Ochrana PC šifrovacím nástrojem BitLocker DE

Odeslat příspěvekNapsal: 22. 2. 2010 19:31
od hunter21
Sifrovanie disku zabrani kompromitacii udajov pri kradezi.
Akonahle bezi system, tak su data pristupne jednoducho cez siet...
Kazdu chvilu je uverejnena nejaka zranitelnost ci uz systemu alebo aplikacii...

Re: Ochrana PC šifrovacím nástrojem BitLocker ToGo

Odeslat příspěvekNapsal: 22. 2. 2010 19:35
od Milanr1
facility:
Už jsem na podobné rýpání odpověděl předem:
Milanr1 píše:...se k dokumentům nedostane nikdo, tj. ani admin daného počítače

Prostuduj si základy:
http://technet.microsoft.com/en-us/library/dd835565(WS.10).aspx
hunter21 píše:Sifrovanie disku zabrani kompromitacii udajov pri kradezi.
Akonahle bezi system, tak su data pristupne jednoducho cez siet...

To je bez debaty.
Zabezpečení šifrováním nezabrání krádeži dokumentů po síti v okamžiku, kdy jsou dešifrované.
Precizní nastavení bezpečnostní politiky je základem bezpečného OS.
Šifrování je jen jeden z bezpečnostních prvků.

Re: Ochrana PC šifrovacím nástrojem BitLocker DE

Odeslat příspěvekNapsal: 22. 2. 2010 19:42
od hunter21
Na konferenci Black Hat byl oznámen hack chipu používaného pro XBox 360, v chytrých kartách a jinde – Black Hat: Researcher claims hack of chip used to secure computers, smartcards. Christopher Tarnovsky vystoupil s tím, že hacknul procesor Infineonu SLE 66 CL PC (je také používaný jako TPM – Trusted Platform Module !).

http://www.h-online.com/security/news/i ... 27077.html

http://www.nzherald.co.nz/technology/ne ... d=10625082

Re: Ochrana PC šifrovacím nástrojem BitLocker DE

Odeslat příspěvekNapsal: 22. 2. 2010 20:33
od facility
Najlepsie bude asi kombinovat ....

Ďalší spôsob, umiestiť k HDD napernamentný magnet, napr cievku, priletovať káble na disk, napojiť to na baterku a vyviesť pár snímačov / vypínačov. Jeden tlakový umiestniť k otváraniu skrinky a druhý niekde po ruke / nohe, ak by sa vám niekto pokúšal odcudziť dáta stačí zatlačiť gombík alebo otvoriť debnu, baterka dodá prúd a vaše dáta sú na onom svete. :D

Crypt-Security

Crypt - Security by Anonym


Každý z nás má vo svojom PC uložené súkromné údaje, firemné údaje ktoré viac či menej vyžadujú našu ochranu. Asi nikto by nechcel vidieť svoje fotky „po vešané“ na weboch Vašich „priateľov“, firemné zmluvy u Vašej konkurencie alebo stiahnuté pesničky na stole vyšetrovateľa.



Aby sme mohli predísť týmto únikom musíme PC patrične zabezpečiť. Ochrana heslo v systémy Windows zďaleka nestačí, tá sa dá obísť za pár minút. To isté platí o ochrane prostredníctvom BIOS-u i keď tá je bezpečnejšia, no pokiaľ zdieľate počítač s viacerými osobami nebezpečenstvo exponenciálne stúpa.

Jedným zo spôsobov je kryptovanie dát. Ja používam program TrueCrypt, je open surce a umožňuje šifrovanie pomocou AES, Blowfish, DES, Triple Des, Twofish CAST5, Serpent a iných v reálnom čase. Využívam kombináciu AES+Twofish+Serpent. Takisto umožňuje vytvoriť buď šifrovanú patíciu alebo šifrovaný „súbor“ s ktorým sa po načítaní pracuje ako s ďalším HDD. Je samozrejme dôležité vybrať si to správne heslo. Odporúča sa viac ako 20 znakov samozrejme kombinácia písmen, čísel a špeciálnych znakov, ja používam heslá v rozmedzí 13-16 znakov čo myslím plne postačuje. Čím dlhšie heslo tým lepšie /a nieže ho potom zabudnete ako ja :)/ Ak používate iný program, odporúčam používať čo najväčšiu dĺžku kľúča, min 512 bitov, alebo kombináciu šifier. Ak ste veľmi paranoidný vytvorte si disk v disku, ak keď by niekto prekonal prvú ochranu musí ešte preliezť tú druhú a to je imho časovo veľmi náročné.

Ak sa bojíte o ukradnutie/zneužitie dát mimo vášho PC máte viacero možností. Jednou je privariť HDD k vnútornej konštrukcii PC, priletovať káble a následne zatvoriť PC niekam kam má prístup len úzky okruh osôb a vyžaduje autorizáciu.. Ak sa Vám to zdá príliš drastické môžete do HDD vložiť nejakú sklenenú ampulku z chemikáliou a ak niekto otvorí vašu bedňu do HDD sa vyleje kyselina /napr. sírová, fosforečná najlepšie chlorovodíková/ ktoré spôsobí odchod vášho disku na druhý svet. Mne sa páči kombinácia malého množstva trhaviny s kyselinou, malé množstvo trhaviny umiestníme spolu s kyselinou do vnútra disku. Detonátor nastavíme tak aby sa spustil pri otvorení krytu alebo stlačení určitého gombíku. Nálož spôsobí že sa po celom disku rozstrekne kyselina ktorá spôsobí rozleptenie feromagnetickej plochy a tým aj zničenie dát na disku.

Ďalší spôsob, umiestiť k HDD napernamentný magnet, napr cievku, priletovať káble na disk, napojiť to na baterku a vyviesť pár snímačov / vypínačov. Jeden tlakový umiestniť k otváraniu skrinky a druhý niekde po ruke / nohe, ak by sa vám niekto pokúšal odcudziť dáta stačí zatlačiť gombík alebo otvoriť debnu, baterka dodá prúd a vaše dáta sú na onom svete. Obrovská nevýhoda tohto systému je pri „neodbornej“ manipulácii, príde nejaká osoba a stlačí gombík /jé je pekný červený ktovie načo slúži? …. / a ste v *****, pripadne ak zabudnete servisákovi povedať že takýto systém máte v PC. Medzi vylepšenia môže patriť de aktivácia na kód, na odtlačok prsta /neodporúčam pre premenlivosť odtlačkov napr. po aplikácii kyseliny, brúsneho papiera …./ , vzorku krvi … alebo čo vás napadne.

Ak by ste sa rozhodli vyskúšať niektorú z variant, na 70% sa stretnete s problémom nepasujúceho kľúča, osobne som to riešil vŕtačkou, je to rýchle a jednoduché. Zabudnite však na vŕtačku tesco a vrtáky hypernova, bez poriadneho príslušenstva sa nezaobídete, hlavne sa nepokúšajte prevŕtať zliatinu vrtákom na drevo, omietku, … , dbajte na uzatvorenie všetkých dier ktoré ste urobil, trebárs to len prelepte páskov ale spravte s tým niečo, robte to v bezprašnom prostredí, vytiahnite elektroniku a pamätajte disk je ako žena musí sa naňho jemne a keď to pokašlete napravia to peniaze :).

Ako je to možné? Platne na ktoré sa ukladajú dáta bývajú z hliníka na ktorom je nanesená tenká vrstva feromagnetickej látky. Dáta sa na disk zapisujú elektromagneticky, prostredníctvom hlavy. Ak vytvoríme dostatočne silné magnetické pole v blízkosti disku, dáta nenávratne zmažeme. To isté sa stane ak platňami „prebehne“ elektrický prúd. Kyselinou zas dokážeme narušiť vrstvu na ktorej sú uložené dáta.

Najlepšie však je tieto techniky skombinovať, dajte si heslo do BIOSU, povolte bootovanie iba z disku na ktorom je OS, nastavte si heslo do WINDOWSU, aktualizujte systém, šifrujte dáta a samozrejme zabezpečte to mechanicky.

Re: Ochrana PC šifrovacím nástrojem BitLocker DE

Odeslat příspěvekNapsal: 22. 2. 2010 20:38
od rydlo
To je všechno hezké, ale mně by stačilo, kdyby někdo věděl jak zašifrovat systémový disk v kompu bez TMP?
Tzn. co musím udělat abych měl místo TMP flashku?
V tom návodu od MS na který odkazuje Milanr1 je to pro mne nesrozumitelné.
Local Group Policy Editor: Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Operating System Drives
Kde to najdu?

Re: Ochrana PC šifrovacím nástrojem BitLocker DE

Odeslat příspěvekNapsal: 22. 2. 2010 20:57
od Miroslav Pragl
spust gpedit.msc (ZAKLADNI nastroj)

MP

Re: Ochrana PC šifrovacím nástrojem BitLocker DE

Odeslat příspěvekNapsal: 22. 2. 2010 21:52
od rydlo
Dík MP !! :-)
Funguje skvěle !! :tleskani
Zašifruje systémový disk i bez TMP!! Obrázek
Na flashku to pak vygeneruje
a) spouštěcí klíč *.BEK
b) a podle přání Obnovovací klíč nástroje BitLocker ...txt (mohl jsem rozhodnout zda ho chci vytisknout, nebo umístit jinam)
Spouštěcí klíč *.BEK musí být při každém zapnutí a restartu PC k dispozici v USB. Můžu si ho umístit jako zálohu např. někam na net, na čipovou kartu, na SD kartu - v podstatě kamkoli, kde to "nepřítel" nenajde.
Výhodou mj. je, že jedním kliknutím lze ochranu pozastavit (u systémového disku "pozastavit", u logických disků "spouštět automaticky"). Takže to nezdržuje při opakovaných restaterech a podle potřeby lze pouhým kliknutím ochranu hned aktivovat.

Re: Ochrana PC šifrovacím nástrojem BitLocker DE

Odeslat příspěvekNapsal: 23. 2. 2010 18:16
od facility
NJ. Tak som to nejak myslel [SZ].... ale chcelo by to vyskusat tj. zakriptovat a potom sa udat na policii :lol: ci sa skrz BitLocker dostanu ....? Ak tam je "blackdoor" prvy ti to oznami asi Prokurator :-)

Re: Ochrana PC šifrovacím nástrojem BitLocker DE

Odeslat příspěvekNapsal: 24. 2. 2010 09:16
od rydlo
facility reaguje na soukromou zprávu ve které jsem se ptal jak si mám vysvětlit jeho větu "Neverim ze zadne dvierka niesu "staci gulate razitko" a uz ta maju" a tak píše:NJ. Tak som to nejak myslel [SZ].... ale chcelo by to vyskusat tj. zakriptovat a potom sa udat na policii :lol: ci sa skrz BitLocker dostanu ....? Ak tam je "blackdoor" prvy ti to oznami asi Prokurator :-)

Ještě žádná konkrétní a praktická zkušenost?? :shock:
.......Hledá se dobrovolník ! :lol:

Re: Ochrana PC šifrovacím nástrojem BitLocker DE

Odeslat příspěvekNapsal: 15. 2. 2011 08:07
od kecinzer
BitLocker ve Windows 7 je výborné řešení a hlavně rychlé.
Používám ho v kombinaci s TPM na pracovním notebooku a výkonově jsem nezaznamenal žádný rozdíl. Mám ještě nastaveno, aby se při spouštění NB tázal na PIN.
Momentálně se chystám BitLocker aplikovat na domácí PC, kde mám SSD disk na OS a RAID 5 pole na data. Budu muset ovšem použít flashku na uložení klíče, protože deska TPM nemá.
Mám jen strach z výkonu, protože RAID 5 pole je SW (na desce ICH9R řadič).