Пользователи LUKS в опасности

Вот честно,никогда не понимал смысла диски шифровать. От малвари это не защитит в принципе, она на уже расшифрованный диск попадает. А если мы говорим о ганста-ниндзя-хакерах, то любой пароль легко брутиться методом паяльника. Имхо,имеет смысл только для ноутов,на которых хранят крипту. И то сомнительно - во-первых,паяльник никто не отменял, во-вторых,кем вообще надо быть,чтобы таскать с собой ноут с криптой?

Люди вообще много всякого делают, что собакам непонятно.

никогда не понимал смысла диски шифровать

Если у тебя десктоп с 0 полезной информации, то никакого. А на ноуте это обязательное условие.

паяльник

Необязательно паяльник. Ноут можно потерять или его могут украсть. Тогда все твои прекрасные фоточки, истории переписок, ключи и пароли превратятся в тыкву. Прикольно, да?

Зря,скажи им,чтоб заканчивали.

Ноут можно потерять или его могут украсть.

Довольно редкие кейсы,имхо. Но допустим,ты меня убедил)

Вот честно,никогда не понимал смысла диски шифровать.

Это для корпораций надо, у которых с производителями дисков есть соглашение: мы вам диски оптом со скидкой, а вы нам возвращайте неисправные диски в обязательном порядке.

Не понимаю,где и зачем в этой схеме шифрование? Или оно как-то способствует неисправностям?

Неживой не боится паяльника.

Чтобы конфиденциальная информация, принадлежащая корпорации, не досталась производителю дисков.

Он и утечки инфы с ноута не боится)

Так-то звучит логично,но почему-то с трудом верится, что диски они возвращают прям с инфой,не форматируя.

А как ты отформатируешь диск, который даже не определяется в системе? Т.е. контроллер сдох, а за ним инфа-то осталась, и производитель имеет возможность на своем оборудовании ее прочитать.

У других видел, как SSD перешел в режим только для чтения - т.е. вот тебе все данные на блюдечке, и удалить никак нельзя.

P.S. личный опыт: https://patrakov.blogspot.com/2022/02/ssd-failed.html

Убедил,в таком случае смысл есть. Но зачем админы локалхостов шифруют десктопы не пойму,наверное,никогда)

Сплошь и рядом. Сел в самолёт с ноутом - сперли по прилёту или потерял в спешке в новом городе. Зашифровать - 2 минуты, а риски от НСД огромны.

Сел в самолёт с ноутом - сперли по прилёту или потерял в спешке в новом городе.

Не могу представить как такое возможно если человек не конченный раздолбай.

У других видел, как SSD перешел в режим только для чтения

Подтверждаю. Так сдыхает Silicon Power. Его ставлю клиентам, чтобы все их фоточки остались в порядке. :)

у сотрудников тех. сервисов обычное дело копаться в содержимом накопителей с телефонов, ноутов, пк сданных им на ремонт

Шифрование сродни шпингалету на дверце деревенского сортира - просто чтобы любопытствующие не заглядывали. Там, где требуется настоящая безопасность - ее получают оргмерами.

Не хватает подробностей об их PBKDF2 — какая функция использовалась и во сколько итераций.

ЕМНИП, число итераций зависит от производительности железа, на котором создавался том, так что для этого ему придется лаптоп сначала вернуть.

зачем админы локалхостов шифруют десктопы

А здесь у нас человек, подписанный на теги «емакс», «носистемд», «framebuffer», «w3m» и несколько слак-related старательно отыгрывает позу «ах, я никак не могу понять, зачем люди пердолятся с системой».

Звездеж. Мы эти диски сверлом две дырки в блинах и молотком по чипам...

Типичная история: сломался/потерялся ноутбук, жёсткий диск и т. п. А Вы не хотите, чтобы тот кто делает ремонт или нашёл потерянное видел что там внутри.

За тем же самым - сломался у тебя диск на гарантии, и ты просто снимаешь его и несешь в магазин, где купил. В случае шифрованного диска не надо парится, что там что-то осталось, и недобросовестный васян из гарантийки сможет это вытащить.

Никогда не понимал смысла закрывать входную дверь в квартире. От профессиональных взломщиков это не спасет, ведь они умеют любые замки вскрывать. А если мы говорим о обычных бандитах, то любой пароль брутится методом паяльника. ИМХО имеет смысл только для квартир, где есть что-то ценное. Да и то, паяльник никто не отменял, да и какой дурак хранит в квартире что-то ценное?

И то и другое настраивается при создании диска. Можно посмотреть что использовалось по умолчанию…

чтоа? PBKDF2 много где используется, в ssh-ключах например.

Что-то мне подсказывает, что это не функция уязвима, а просто арестованный чудик записал пароль на какой-нибудь бумажке, которую у него потом нашли во время обыска, и забыл об этом.

Мама, зачем нам все это в зоопарке? ©

Может в его емаксе просто нет полнодискового шифрования и искренняя уверенность в его ненужности — это его защитный механизм?

Имеет смысл на ноуте на случай утери или кражи оного.

На десктопе смысла не вижу. Ограбление квартиры достаточно маловероятная вещь, да и шифровать только важные данные, а не весь диск, вполне достаточно.

На сервере имеет смысл, если есть риск изъятия оного спецслужбами (а не получения доступа к уже включенному). Паяльник в этом случае отменяется тем, что для его применения им сперва пришлось бы установить личность владельца сервера (ну точнее арендатора сервера), а если удастся, то ещё и получить к нему доступ, при том, что он может находиться в любом месте планеты, сколь угодно удалённом от самого сервера.

Кража ноутбука. На ноутбуке может быть что-угодно от хоум-порно до ключей от биткойн-кошелька и корпоративных секретов. Ну и пароль от ЛОРа сохранённый в браузере.

Соответственно, владелец шифрованного ноутбука будет только грустить о его потерянной стоимости, а не гадать, форматнёт ли новый владелец устройства диск сразу или сначала заглянет, что там лежит.

Насчёт паяльника тоже не всё так однозначно. Во-первых, носитель пароля может успеть скрыться, а вот комп попасть в цепкие лапы правоохранителей или мафии. Как ни крути, а заполучить 2 объекта сложнее, чем один. Во-вторых, уничтожить мастерблок LUKS (сделав диск недешефруемым сколько ты не ввводи правильный пароль, потому что пароль лишь шифрует настоящий ключ, которым уже пошифрованы данные - без зашифрованного ключа пароль бесполезен) можно в мгновение ока (перезаписать всего лишь один сектор диска), в то время как полная перезапись всего диска - медленная операция (особенно если параноить и делать несколько раз и т. п.). Что полезно для всяких panic button.

В моей практике только я утерял флешку с логинами/паролями... Все остальные случаи - проблема восстановления зашифрованных данных на убитом жёстком диске. И да, про бекапы юзеры не знают

Вот честно,никогда не понимал смысла диски шифровать. От малвари это не защитит в принципе

Интересная закономерность. Если человек луддит и срёт на прогресс, с вероятностью 99 процентов он будет тотально безграмотен. Совпадение? Не думаю.

Один доказывает, что MAC не нужно и UNIX permissions хватит всем. Другой не понимает, от чего спасает шифрование.

IIRC pbkdf в ssh отличается немного от rfc’шного pkcs#5.

bcrypt_pbkdf.c:

/*
 * pbkdf2 deviation: output the key material non-linearly.
 */

Что как бы намекает, что в оригинальном что-то не так.

А если мы говорим о ганста-ниндзя-хакерах, то любой пароль легко брутиться методом паяльника.

Ситуацию с поломанным диском или украденным ноутбуком ты исключаешь в принципе? В случае, если диск шифрован – достаточно удалить заголовок luks. Все. Никто никогда не получит хранившуюся там информацию. А можно и этого не делать. Брутфорсить PBKDF тоже не так-то просто, даже если алгоритм не усточив к брутфорсу на GPU. Ну и погугли разницу между кражей, грабежом и разбоем. Здесь примерно тот же случай. Если ты не предпринимаешь вообще никаких мер по защите от несанкционированного доступа к информации на твоем диске – ее можно получить абсолютно безпалевно. И даже если преступника спалят – срок будет не слишком большой (особенно, если он не успел этой информацией воспользоваться). А если злоумышленнику надо засунуть паяльник тебе в жопу – это уже не безпалевно. И срок будет гораздо больше.

Еще один…

Завязывайте со своим детским садом

Довольно редкие кейсы,имхо. Но допустим,ты меня убедил

Давай ещё про смартфоны поговорим, если недостаточно убедили.

Там можно ставить пароль на телефон, кстати.

В Иркутске прекрасная зона есть, дарагой

Подумайте, какая связь

Подумаешь, кому-то не фартануло.

Меньше копать надо под своих, делов-то )

Вы о чем-то своем, глубоко личном, и поэтому непонятном

Не могу представить как такое возможно если человек не конченный раздолбай.

Ну я, например, конченый раздолбай - постоянно что-то теряю. Ноуты правда еще не терял, но лучше с порога учесть эти риски. Это как гигиена - руки мыть надо, хоть и риск заболеть невысокий.

Да почему. На каждом шагу встречается. Те же подставы через «К» МВДшную. Я думаю, многим истории знакомы. Но не всегда виновные - наказаны.

Все в толк не возьму - о чем вы. Подставы, виновные, зоны, иркутски…

Обычная жизнь системного программиста, чо тут.

Для тебя же это «детский сад» )) Вот и комментирую, немного разворачивая перспективы.

это не функция уязвима

Тогда почему в LUKS её сменили на другую? Не, там именно вопрос в ней.

В Емаксе есть полнодисковое шифрование!

Во устроили... Как будто завести LUKS - это какой-то подвиг 🤦‍♂️

Пару простейших манипуляций и у тебя голова не болит сдать диск в ремонт или возврат, потерять ноут и т.п. Всё просто и прозаично, усилий слегка отлично от нуля, профит говорит сам за себя.

У меня вот на ноуте и hdd для бекапов есть документы, это личная информация. Есть и горяченькое с любимой женой. Зачем придумывать какие-то паяльники и теории заговора? Информационная безопасность и гигиена это в наше время как бытовая, должна быть чем само собой разумеющимся. Руки моете, трусы стираете, дверь в жильё на замок закрываете?

Зоны, иркутски, подставы? Да уж, работа системным программистом точно нелегка, психические расстройства видимо обычное дело.