Michal Kawecki wrote:
> W takim razie zadam pytanie - a czym te kontenery różnią się od EFS?
> Czy jesteś absolutnie pewien, że obejmują one *wszystkie* foldery,
> do których mogą pisać uruchomione przez Ciebie aplikacje?
Nie muszą. Te dane i tak są zaszyfrowane. A programy, które działają bez
praw administratora i tak nie dostaną się w trybie RAW do dysku, więc
odzyskiwanie usuniętych plików nie bardzo zadziała. Uruchomienie innego
systemu/livecd z kolei nic nie da, bo się natkniesz na szyfrowanie dysku.
Już nawet nie chce mi się udowadniać, że mając fizyczny dostęp do
komputera, na którym jest EFS, można próbować:
- wyciągnąć bazę SAM (co jest trywialne, jeśli syskey nie jest
skonfigurowany z hasłem bądź kluczem na dysku zewnętrznym),
- złamać hasło użytkownika (co jest trywialne, jeśli istnieje w bazie
SAM hash LM),
- uzyskać dostęp do zaszyfrowanych danych,
Nawet jeśli nie ma hasha LM to złamanie hasha NTLM jest (obliczeniowo)
łatwiejsze w stosunku do złamania tego samego hasła przy PKCS#5 z 512
bitowym saltem i 1000 - 2000 iteracji.
> Czy zabezpieczą one dane przed wyciekaniem poprzez sieć (EFS - tak)?
Doprawdy??? A niby w jaki magiczny sposób? No chyba, że aktualnie nie
jest zalogowany użytkownik, który ma do (rozszyfrowania) tych plików, co
jest analogiczne do stanu, kiedy kontener TC nie jest zamontowany.
> Czy zabezpieczą pliki skopiowane na nośniki wymienne (EFS - bez ich
> uprzedniego rozszyfrowania w systemie dawcy - tak)?
Ponownie - w jaki magiczny sposób? Uwaga jak wyżej.
> Pawle, i ja nie twierdzę, że EFS jest rozwiązaniem bez wad. Uważam
> tylko, że te wady są demonizowane.
EFS nie nadaje się do zabezpieczania danych na urządzeniach przenośnych,
(laptopach), które mogą być utracone i do których intruz będzie miał
dostęp fizyczny. To nie jest demonizowanie, tylko fakt.
Tak więc Twoje pytanie z początku dyskusji:
> W jakim celu? Zawsze mnie to intrygowało...
..uzyskało nader wyczerpującą odpowiedź.
-- Paweł Goleń mailto:p_golen@ks.onet.pl "Wszyscy przecież wiemy, że nikt nie dostaje żadnych spamów" - mój trol UGVybCBTVUNLUw==Received on Sun Jul 20 13:05:07 2008
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Sun 20 Jul 2008 - 13:42:01 MET DST