W dniu 2018-11-12 o 02:01, Marcin Debowski pisze:
On 2018-11-12, Marcin Debowski <agatek@INVALID.zoho.com> wrote:
On 2018-11-11, the_foe <the_foe@costamcostam.pl> wrote:
W dniu 2018-11-12 o 00:40, Marcin Debowski pisze:
To jest dysk, urządzenie, które może być użyte w różnych scenariuszach
(nie tylko w laptopie). Z czysto praktycznego p. widzenia umieszczenie
tego klucza w obrebie dysku (fizycznego urządzenia) wydaje się
najrozsądniejsze. Oczywiście można trzymac tez w sejfie na innym
kontynencie, albo mieć dedykowany token z dedykowanym mechanizmem i
wieksze koszty i bardziej skomplikowane procedury (zwykle dodatkowa
podatność), albo jak napisałes, każdorazowo generować, ale kto to wtedy
kupi lub będzie stosował?
trzymasz w głowie przecież - hasło. Z hasła jest generowany klucz.
Przecież tak działa VeraCrypt. I to jest najlepsza procedura.
Załapałem o co Ci chodzi. Klucz jest jeden, tylko nie jest wygenerowany
i już tam jest, a generowany ponownie i ponownie każdorazowo, ale i tak
zawsze jest ten sam. Tak?
No ale czy takie coś jest lepsze to kwestia właśnie implementacji. W
końcu mozna zrobić tak, że klucz będzie w postaci niejawnej a hasło
będzie służyło do jego odszyfrowania/lokalizacji i już masz podobne
poziomy bezpieczeństwa.
W VC dysk, partycja czy plik jest dzielony na dwie części - dane i
nagłówek. Nagłówek zawiera informacje potrzebne do rozkodowania danych.
Przede wszystkim główny klucz, ktory jest generowany zupełnie losowo.
Kiedy ustalasz hasło np "klucz" ten wyraz jest hashowany. Kaskadowo by
ograniczyć stosowanie brute-mode. Czyli tworzy kolejny klucz
zdeterminowany. Zdeterminowany hasłem (w przypadku VC jeszcze możemy
ustalić liczbę kaskad hashowania). Tym kluczem jest szyfrowany nagłówek.
Dlatego nie musisz znać żadnych kluczy - nawet ich nie powinienieś mieć.
Co najwyżej powinno się robić kopię nagłówków bo jak się uszkodzą -
kaplica.
WD i jego SED działa następująco. Główny klucz jest zdeterminowany bo
jest już "zaszyty" na stałe. Raczej wątpliwe, ze gdzies "przypadkiem"
nie zapisali sobie par klusz-numer seryjny. Ale jak nie jesteśmy
terrorystami czy nie kolportujemy złośliwych memow na temat Adriana to
raczej mamy to gdzieś ;) Problem jest taki, ze naszym hasłem nie
szyfujemy klucza, hasłem owtieramy/zamykamy tylko bramę z dostępem do
urządzenia. Co gorsza działa to tak, ze ta bramą jest adres w pamięci
RAM urządzenia. zwykłe 1/0. Dlatego to zabezpieczenie omienie KAZDY
technik policyjny.
--
@foe_pl
|