On 2018-11-11, the_foe <the_foe@costamcostam.pl> wrote:
> W dniu 2018-11-09 o 23:36, Marcin Debowski pisze:
>> On 2018-11-09, elmer radi radisson
>> <radi@spam-spam-spam-eggs-bacon-and.spam.wireland.org> wrote:
>>> On 2018-11-09 20:46, the_foe wrote:
>>>
>>>> szyfrowanie w passport jest takie jakby go nie było
>>>> https://www.theregister.co.uk/2015/10/20/western_digital_bad_hard_drive_encryption/
>>
>> To jest art. sprzed ponad 3 lat. Pewnie już to naprawili, bo google nic
>> oczywistego nie pokazuje poza art. właśnie z 2015.
>>
>
> wszystkie dyski z SED które mają wbudowany klucz w firmware a user tylko
> hasłem odblokowuje dostęp do tego klucza są podatne na obejście. Dysk
> musiałby tworzyć każdorazowo klucz z podanego hasła a to wymagałoby
> procedury pełnego szyfrowania na nowo całej powierzchni dysku przy
> zmianie/postawieniu hasła. Na dyskach talerzowych nie spodziewałbym się
> tego.
To jest dysk, urządzenie, które może być użyte w różnych scenariuszach
(nie tylko w laptopie). Z czysto praktycznego p. widzenia umieszczenie
tego klucza w obrebie dysku (fizycznego urządzenia) wydaje się
najrozsądniejsze. Oczywiście można trzymac tez w sejfie na innym
kontynencie, albo mieć dedykowany token z dedykowanym mechanizmem i
wieksze koszty i bardziej skomplikowane procedury (zwykle dodatkowa
podatność), albo jak napisałes, każdorazowo generować, ale kto to wtedy
kupi lub będzie stosował?
Klucz ma słuzyć temu, aby mając goły dysk nie dało się go odczytać
"brutal force". To, że klucz jest zaszyty w elektronice jest dla tej
klasy zastosowań ok, byleby nie było trywialnym jego odczytanie i byle
dostep z hasłem był tak zrobiony, że równiez tu brutal force będzie
niepraktyczne.
MZ jest nieporozumieniem oczekiwanie od tego typu rozwiązań jakiejś
super skutecznej ochrony bo są one obliczone na ochronę przed
przypadkowym dostępem, np. w przypadku utraty. Zauważ, że nawet przy
całym niechlujstwie współczesnych producentów SED, to i tak wymagało to
pracy hakerskiej i sporej wiedzy. Ziutek, jak zarąbie Ci laptopa z
samochodu czy mieszkania, tego nie odczyta a i nie zapłaci komus aby to
odczytał. Jego klient takze. A nie-ziutek, znajdzie inne sposoby aby
dobrać się do Twoich danych, jeśli tylko z jakiegos powodu będzie mu na
tym mocno zależało.
Alternatywą (i status quo) jest nieszyfrowany dostęp do wszystkiego.
--
Marcin
|