Dnia 05.11.2018 Mateusz Viste <mateusz@nie.pamietam> napisał/a:
> Instrukcje jednak trzeba przesłać, rozkodować, wykonać, a wyniki zwrócić.
Trzeba. Ale to narzut znacznie mniejszy, niż taki na przykład
antywirus.
> się da, i wszystko może działać. Ja twierdzę tylko że hasłowanie SSD
> ogranicza się do "ustaw hasło i zapomnij", czego w żaden sposób nie można
> powiedzieć o alternatywach programowych.
Alternatywa w postaci szyfrowanego LVM przy instalacji takiego np. Debiana
(i nie tylko) sprowadza się do "wybierz stosowną opcję, wpisz hasło
i zapomnij".
>>> - w razie cyrku z hardware, przekładka do innego PC jest mało
>>> oczywista
>>
>> Bo? Jakoś nie mogę dostrzec problemu. Wyjmuję, wkładam, pvscan, vgchange
>> -a, lvscan, mount...
>
> Nie potrzeba żadnej dodatkowej wiedzy technicznej mówisz? hmm.
Było "jest mało oczywista". I to wszystko tylko jeśli OS sam z siebie
nie zauważy LVMa.
> Poza tym, twoje wyjmujesz/wkładasz/pvscan działa wyłącznie pod warunkiem
> że system na którym działasz wie czym jest LVM, wie jak wygląda jego
> szyfrowanie w danej wersji FSa itd. Jak ratujesz się jakimś liveCD to
> różnie to może wyglądać.
Chyba tylko w przypadku jeśli ktoś bawi się w archeologa
i zapoda jakieś liveCD sprzed dekady.
>>> - nie szyfruje wszystkiego, działa albo tylko na wybranych katalogach,
>>> albo na wybranych partycjach (nawet w przypadku tzw. rozwiązań "FDE")
>>
>> A to już zależy, co kto sobie wybierze i jak zaimplementuje.
>
> Nie zależy, bo nie ma opcji aby BIOS (a tym bardziej UEFI) wystartował z
> czegoś zaszyfrowanego. Ten obszar może być malutki i np. ograniczać się
Zgoda. Ja się odnosiłem bardziej do tego, że "wybrane katalogi lub partycje".
Można wybrać co, z tym, że nie można wybrać absolutnie wszystkiego.
> musi być. A potem przy każdym update GRUBa należy się modlić by nic się
> nie rozleciało. :)
Co ma się rozlatywać? Przecież sam pisałeś, że partycja /boot jest
nieszyfrowana, więc co ma do tego update GRUBa? :-)
>> Ale co to za siłowanie? Włączasz przy instalacji systemu i zapominasz,
>> że masz (no, hasło trzeba wpisywać).
>
> Kolega żyje, zdaje się, w idealnym świecie. Szczerze zazdroszczę.
Pewnie mój system nie wie, że powinien się sypać, więc się nie sypie.
Może dlatego, że nie jest to Windows ;-)
>> No właśnie dla mnie niekoniecznie. Jaką masz pewność, że producent dysku
>> stosownych tylnych furtek nie zaimplementował?
>
> Algorytmy szyfrowania LVMa też mogą być dziurawe, historia zna takie
> przypadki. No ale pisałem - jak komuś zależy, niech się siłuje. Ja tu
Oczywiście. Ale są jawne, więc jest bardzo duża szansa, że ktoś to odkryje,
opisze, załata. W przypadku hardware musisz ufać producentowi sprzętu.
I czemuż to opcja w BIOS nie jest "siłowaniem", a opcja przy instalacji
systemu jest? Przecież w obu przypadkach średnio inteligentny szympans
(byle tylko czytać umiał) sobie poradzi ;-)
> tylko wyrażam moje bardzo prywatne zdanie w temacie.
Ja też (patrz stopka). Ale wg mnie jeśli dba się o prywatność
(w końcu po coś to szyfrowanie), to powinno się używać otwartego kodu.
Choć oczywiście wolna wola każdemu postępować jak ma życzenie.
--
Dominik Ałaszewski (via raspbianowy slrn)
"W życiu piękne są tylko chwile..." (Ryszard Riedel)
Wyrażam wyłącznie prywatne poglądy zgodnie z Art. 54 Konstytucji RP
Pisząc na priv zmień domenę na gmail.
|