LINUX.ORG.RU

Linux, Windows на виртуалке и шифрование.

 , ,


0

1

Товарищи, подскажите, пожалуйста, как правильно сделать.

Есть пара задач, которые не получается перетащить из винды в Linux. Так как нужна винда далеко не каждый день, а перезагружаться в нее уже надоело, решил я ее завиртуалить.

Встал вопрос с шифрованием.

Сейчас ситуация такая - в компьютере установлено два SSD, на одном установлена Windows 10 Pro, включен BitLocker.

На втором стоит Manjaro, зашифрован весь диск на этапе установки системы.

Я планирую, что виртуальная винда будет находится на том же SSD, где сейчас установлена винда обычная.

Далее есть варианты:

1) Форматирую этот SSD в ext4, шифрую (т.е. средствами Linux), создаю на нем виртуальную машину и вперед.

2) Форматирую SSD в ext4, создаю на нем виртуальную машину, а уже «внутри» нее, в завиртуаленной винде, опять включаю тот же BitLocker.

Заработает вообще BitLocker в виртуалке? Как правильнее будет сделать в т.ч. с точки зрения производительности? Или все равно?

Зашифровать все весьма хотелось бы, т.к. речь идет о ноутбуке, который периодически таскается туда-сюда (какой-никакой, а риск кражи или утери - есть).

Шифруй реальный диск. Если у тебя в ноуте 2 диска, разумено сделать lvm+luks.

anonymous
()

Битлокер работать будет, но он будет шифровать не физический дик, а раздел, где стоит оффтоп.

Deleted
()

А почему, кстати, пренебрегают ATA-шифрованием? В приличных дисках оно реализовано очень надежно.

anonymous
()

Как правильнее будет сделать в т.ч. с точки зрения производительности?

Зашифруй из под линукса, настрой автоматическую расшифровку через crypttab. Дальше уже как тебе удобней будет, у меня например виртуалки в lvm лежат.

Deleted
()

Я планирую, что виртуальная винда будет находится на том же SSD, где сейчас установлена винда обычная.

зачем тебе две? грузи в виртуалке реальную винду, десяточка так уже научилась. а вот семерка еще бсодилась.

vvviperrr ★★★★★
()
Ответ на: комментарий от vvviperrr

Грузить в вируталке реальную винду - это был бы очень интересный вариант. А что у нее с активацией при этом будет? Не слетит?

Gnom-s-toporom
() автор топика
Ответ на: комментарий от anonymous

Потому что черный ящик. Нет доверия, да и сломаться может, и как тогда данные доставать?

Deleted
()
Ответ на: комментарий от anonymous

Никто на самом деле не знает, кроме производителя, насколько надёжно. Для защиты от кражи ноутбука — нормально, для защиты от кражи данных — несерьёзно.

anonymous
()
Ответ на: комментарий от Gnom-s-toporom

А что у нее с активацией при этом будет? Не слетит?

не знаю. а зачем ее активировать?

vvviperrr ★★★★★
()
Ответ на: комментарий от Deleted

А данные в любом случае зашифрованы, даже если АК не установлен. В случае смерти контроллера вытащить данные, перепаяв NAND-банки на новый контрооллер уже давно невозможно.

Кажется, в этом году была история с массовой потерей данных High Sierra на шифрованных томах. Почему macOS, BitLocker, LUKS доверяем, а, скажем Intel'у — нет?

anonymous
()
Ответ на: комментарий от anonymous

Но шифрование диска только от физического доступа (=кражи) и защищает. От уязвимостей в софте оно все равно никак не поможет.

Как устроено шифрование, например, в HFS+ — тоже никто не знает.

anonymous
()
Ответ на: комментарий от anonymous

А данные в любом случае зашифрованы, даже если АК не установлен.

Неизвестно, как именно они зашифрованы. Может там алгоритм слабый, или ключ есть у кого надо.

В случае смерти контроллера вытащить данные, перепаяв NAND-банки на новый контрооллер уже давно невозможно.

Вот как раз в этом случае данные потеряются безвозвратно. А LUKS'овый контейнер можно будет открыть.

Почему macOS, BitLocker, LUKS доверяем, а, скажем Intel'у — нет?

Про BitLocker и macOS ничего не скажу, а LUKS - открытое ПО, и наверняка его кто-нибудь проверял на ошибки/бэкдоры. Да даже если и не проверяли, то сделать это можно будет в любой момент.

Deleted
()
Ответ на: комментарий от Deleted

Неизвестно, как именно они зашифрованы. Может там алгоритм слабый, или ключ есть у кого надо.

Обычно это в документации четко написано. У intel — AES256.

Вот как раз в этом случае данные потеряются безвозвратно. А LUKS'овый контейнер можно будет открыть.

Нельзя. Везде, где шифрование реализовано в железе, оно неотключаемо. Собственно паролем шифруются сами ключи, поэтому пароли можно менять, не перешифровывая весь диск. Смерть контроллера=> потеря ключей => потеря данных. Так и работает Secure Erase.

anonymous
()
Ответ на: комментарий от anonymous

Обычно это в документации четко написано. У intel — AES256.

Документация это одно, а на самом деле может быть по-другому. По крайней мере, есть такая вероятность. Вряд ли Intel рассчитывает, что кто-то будет разбираться с этой электроникой.

Нельзя. Везде, где шифрование реализовано в железе, оно неотключаемо. Собственно паролем шифруются сами ключи, поэтому пароли можно менять, не перешифровывая весь диск. Смерть контроллера=> потеря ключей => потеря данных. Так и работает Secure Erase.

Если так, то да, данные потеряются навсегда. Но это не отменяет других пунктов.

Deleted
()
Последнее исправление: Deleted (всего исправлений: 1)
Ответ на: комментарий от Deleted

Остальные пункты сводятся к верю/не верю. Хотелось бы техничестки подробностей о том, что не так с ATA/Opal.

anonymous
()
Ответ на: комментарий от anonymous

Лично мне не нужно доказательство наличия бэкдоров/ошибок в хардварных компонентах. Достаточно вероятности, что они могут быть.

Для LUKS такая вероятность меньше, поэтому я выберу его.

Deleted
()
Ответ на: комментарий от Gnom-s-toporom

Спасибо, интересная статья. Уровень халтуры в реализации — просто жесть, сделано «на отвали».=)

По теме: будет работать в обоих вариантах, оверхед на шифрование мал, поэтому почти все равно. Я бы, наверное, зашифровал раздел внутри ВМ, т.к. мы чаще выключаем ВМ, чем хост. Так риск попадания к злоумыленнику включенной машины с ключами в памяти будет меньше.

anonymous
()
Ответ на: комментарий от anonymous

Обычно это в документации четко написано. У intel — AES256.

На заборе тоже написано. У самсунга тоже было написано 256, а после скандала оказалось 128. Опять же никто не мешает им знать часть простых чисел ключа.

anonymous
()
Ответ на: комментарий от anonymous

С TCG OPAL 2.0 всё так, вопрос в доверии таким прохвостам, как Intel и Samsung.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.