cyberkid@chello.pI wrote:
> Podepnę się trochę pod pytanie. Znalazłem taki szyfrator:
> http://www.icomp.pl/produkty.php?action=pokaz_produkt&o=hdd&id=58,
> który używa 3DES jako algorytmu szyfrującego. Ktoś ma może taki sprzęt
> u siebie w komputerze i zechciałby się podzielić wrażeniami?
> Ewentualnie czy ktoś zna jakieś inne tego rodzaju rozwiązania?
Takich urządzeń dostępnych dla "zwykłego śmiertelnika" (non-government,
non-military user) jest kilka - ale łączy je z reguły chipset (Enova
Tech X-wall). Od zabawek bez praktycznego zastosowania typu Abit Secure
(też wpinany na IDE, tyle że oparty na archaicznej odmianie X-Wall LX-40
z 40-bit kluczem DES - AFAIK można to szybko "złamać" pojedynczym
współczesnym PC) po całkiem funkcjonalne modele z mocnym kluczem
Triple-DES >100bit. Enova wypuszcza nawet karty (np. na złączu PCI) pod
własną marką, spotkać też można chińskie "klony" na X-Wall'u. Za
największą słabość tego chipsetu uważa się konieczność przechowywania
klucza w postaci niezaszyfrowanej (na fizycznym "donglu" wpinanym tylko
na czas bootowania - aby komp mógł uzyskać dostęp do danych na
zaszyfrowanym nośniku).
Czyli tak długo jak mamy całkowitą kontrolę nad ww "donglem" dane
powinny być bezpieczne, przynajmniej nie słyszałem o innych słabościach
tego rozwiązania. Bo na pewno _nie_ jest nią algorytm szyfrujący TDES z
mocnymi jak na dzisiejsze czasy kluczami >100bit (tylko pojedynczy
56-bit DES jest już uważany za "słaby" - ale do zastosowań
"government/high-sec", a nie domowych). Jego jedyną wadą jest chyba
"zasobożerność" przy procesie szyfrowania. Dlatego nie używa się go
raczej w czysto software'owych implementacjach szyfrowania
transparentnego (w czasie rzeczywistym) nośników danych - tam zastępuje
go "lżejszy" choć w praktyce równie skuteczny AES/Rijndael (następca
TDES, również zatwierdzony przez NSA).
BTW - można rozważyć jako alternatywę rozwiązania software'owe,
szczególnie bezpłatny Free Compusec (jeśli szukamy czegoś co zaszyfruje
_cały_ HDD). Co prawda darmowa wersja nie wspiera tokenów (co nie jest
wielką wadą dla oszczędnych użytkowników domowych biorąc pod uwagę ich
ceny), ale z _dobrze_ dobranym (AFAIR max. 16-znakowym) hasłem i
szyfrowaniem AES 128-bit to nadal raczej _trudny_ orzech do zgryzienia
dla amatorów cudzych danych, nawet tych dysponujących mocnym sprzętem
łamiącym.
Plusem transparentnych rozwiązań hardware'owych (np. typu przelotki na
X-Wall) jest możliwość bardzo łatwego "operowania" na dysku np.
programami narzędziowymi, partycjonującymi itp. (w zasadzie równie
wygodnie jak na zwyklym nieszyfrowanym nośniku). Ale _nie_ usuwają
raczej największej IMHO wady szyfrowania (również transparentnego) -
wydłużenia czasu dostępu do danych (chodzi AFAIK o fragmentację danych
jako nieuchronne następstwo jakiegokolwiek szyfrowania). Bo np.
zwiększone obciążenie procesora przy programach wykorzystujących
"softowe" AES (szczególnie słabsze klucze 128bit zamiast "enterprise
standart'u" czyli 256bit) jest raczej mało dokuczliwe, developerzy
podają je chyba na poziomie rzędu pojedynczych % przy nowszych CPU.
Oczywiście przy TDES z dłuższymi kluczami nie wyglądałoby to tak
"różowo" - dlatego stosuje się z nim na ogół "wspomaganie" hardware'owe
(jak np. hybrydowe software'owo-sprzętowe Compusec Mobile na PCMCIA albo
czysto sprzętowe jak przejsciówki IDE Elkom HDDKey o których rozmawiamy).
Pozdr.
Received on Tue Nov 21 02:00:12 2006
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Tue 21 Nov 2006 - 02:51:12 MET