Michal Kawecki wrote:
> Zwróć uwagę, że nie opierasz się tutaj na skuteczności szyfrowania
> danych w kontenerach, tylko na skuteczności szyfrowania całego dysku.
> Innymi słowy, odpowiadasz, ale nie na moje pytanie. Same kontenery
> nie rozwiązują problemu, bo mają te same wady co EFS.
Michał, czy możesz przestać skakać ze scenariusza na scenariusz? Ja
twierdzę, że EFS nie jest wystarczająco dobry do ochrony danych offline,
dlatego uważam, że szyfrowanie dysków na poziomie dysku/partycji jest
lepsze, niż sam EFS. Nie kwestionuje zalet szyfrowania na warstwie
wyższej, może to być EFS, mogą być kontenery TrueCrypt. Ja używam
konsekwentnie TC, bo mam trochę większą kontrolę nad tym co się dzieje i
kiedy te dane są dostępne dla programów działających w moim kontekście.
Z poglądem, że szyfrowanie dysku to (upraszczając) fanaberia zgodzić się
jednak nie mogę.
> Tych zagrożeń można uniknąć stosując się do zaleceń znajdujących się
> na liście "EFS Best Practices". Do tej listy dodałbym jeszcze tylko
> regularne czyszczenie przestrzeni partycji niezajętej już przez pliki
> poleceniem cipher -W.
...co do którego już pokazałem, że jest mniej skuteczne niż sdelete z
sysinternals, który również zostawia częściowo nienadpisane dane. Akurat
w mojej specyfice pracy większość istotnych plików mieści się w całości
w MFT, więc tego pominąć nie mogę :)
> A jak to się przekłada na czas łamania? Powiedzmy dla ułatwienia, dla
> 10-znakowego hasła. Mierzymy go w miesiącach czy w latach?
Dla pełnego zakresu dostępnych znaków - w tysiącach lat na pojedynczym
komputerze o przeciętnej mocy obliczeniowej. Ale skąd wiesz jaką mocą
obliczeniową dysponują ONI? I nie mam tu na myśli służb specjalnych...
Moce obliczeniowe botenetów mogą być całkiem spore. Do tego możliwość
ataku na NTLM przy pomocy rainbow tables.
> A ponadto, abstrahując już od teorii, nie jestem pewien czy w trakcie
> łamania hasła bez zapisanego w rejestrze hasha nie trzeba czasem
> zapuszczać jakiejś procedury testującej poprawność każdej sprawdzanej
> kombinacji, co znacznie wydłuża czas łamania. Ale ja się na łamaniu
> SAM-a nie znam, więc tylko strzelam.
Mowa o komputerze domenowym? Można próbować dobierać się do cached
credentials, ewentualnie bezpośrednio do DPAPI, ale wówczas jest już
wykorzystywany PKCS#5, więc w tym przypadku jest to zbliżone do TC.
http://msdn.microsoft.com/en-us/library/ms995355.aspx
> Natomiast dla naprawdę krytycznych zastosowań kupuje się napędy z
> wbudowanym szyfrowaniem sprzętowym.
Cóż, do mojej pracy wystarcza w zupełności stary Dell C540. Niestety,
szyfrowanie programowe to wszystko, co ma mi do zaoferowania. A dane mam
czasami dość istotne i nie mogę sobie pozwolić na gdybanie, czy
ewentualnie utracony (ptfu, ptfu) laptop dostał się w ręce kogoś, kto
chce się zabawić w odzyskiwanie danych...
-- Paweł Goleń mailto:p_golen@ks.onet.pl "Wszyscy przecież wiemy, że nikt nie dostaje żadnych spamów" - mój trol UGVybCBTVUNLUw==Received on Mon Jul 21 20:50:04 2008
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Mon 21 Jul 2008 - 21:42:02 MET DST