Автоматическое разблокирование bitlocker

Но в чем смысл шифровать диск, если любой посторонний может просто включить комп и скопировать файлы?

В линуксе это делает Tang (и нет, goingUp, если у тебя есть доверенная зона, например офисная или домашняя сеть, где исключен захват данных, это нормально не вводить там пароль), в венде - Active Directory. Между прочим, BitLocker очень параноидальная штука и прекрасен, когда у тебя есть TMP (запрещенное в Российской Федерации устройство, упаси вас Бафомет тащить его через границу или заказывать с Алиэкспресса).

TPM, конечно!

А, в линуксе я уже написал свой сервис, который сидит в initrd и отправляет пароли через systemd-reply-password (ну почти). Вопрос про венду. Можно поднять сервер Active Directory, и он будет сам вводить этот пароль?

Ну вводить пароль вообще-то не стоит. Там все ключами ЕМНИП. https://blog.cloudpassage.com/2017/12/21/network-bound-disk-encryption-red-ha... посмотри, думаю, что под капотом AD делает примерно так же.

На случай воровства диска.

Без пароля будет разблокироваться только в домашней сети, и только при определённых условиях, которые я ещё собираюсь придумать (например, всё перестанет работать, если мой телефон или телефон жены долго не будет появляться дома, если кто-то нажмёт тревожную кнопку, и т.д., в этом случае придётся вводить пароль). Идея в том, чтобы не сильно жертвовать удобством ради безопасности. Да, я осознаю, что вводить пароль при каждой загрузке и лочить компьютер после 30 секунд бездействия - более безопасно, но моя модель угроз позволяет этого не делать. Естественно, сам пароль не будет храниться непосредственно на ноутбуке, а будет отдаваться специальным сервером по шифрованному каналу, после проверки клиентского сертификата и других условий. На остальных компьютерах я это уже реализовал, остался лишь вопрос с вендой.

Ого! Всё уже придумано до меня! Спасибо!

TPM (запрещенное в Российской Федерации устройство, упаси вас Бафомет тащить его через границу или заказывать с Алиэкспресса)

Щито?

Уупс! А я притащил нечаянно. Купил Xiaomi Mi Notebook Pro. Bitlocker там без ввода пароля на этапе загрузки. Вход по отпечатку сделал. Про запрещенное... ну на форуме 4pda думаю около 100 владельцев найдется только этой модели. Интересно почему никого из них еще не взяли за жабры?

Все, где есть защита от извлечения секретного ключа не по нраву ФСБ, на сколько я понимаю. Я играл с токеном Райфайзена, с удивлением обнаружил, что там секретный ключ извлекается, что это так и надо (по сути этот токен ничем не отличается от флешки).

Интересно, кстати, как устройства с сесурити анклавами проходят сертификацию, надо посмотреть. Apple Watch тот же самый или новый Макбук с полоской.

Из YubiKey тоже извлекается? В РФ они продаются партнерами Yubico, если что.

Потому что пока в голову не пришло (ну еще надо проверить меня на знание этого вопроса, может только юрлицам нельзя ввозить несертифицированную крипту, а частникам - пофиг. но я бы не стал в любом случае, нафиг надо). За то с GPS-метками для коров народ дичайше неприятно влетал, в инетернете ходят истории. Кто-то еще влетал с желанием заказать «шпионских ручек», чтобы их на запчасти пустить.

Из YubiKey он 1 раз извлекается. Хороший вопрос кстати.

Это как? Везде пишут, что при экспорте вместо ключа получается заглушка вида «этот ключ на смарткарте».

Но возможно все дело в этом - https://geektimes.ru/company/banderolka/blog/296823/

Хотя опять же были люди, которые еще в 2017-м эти ноуты покупали. В общем строгость законов компенсируется.

Это как? Везде пишут, что при экспорте вместо ключа получается заглушка вида «этот ключ на смарткарте».

Вроде можно было, я по диагонали доку читал, отметил этот пункт. 1 раз извлек, распечатал на бумаге, потом он извлекаться не будет, нет?

Нет, если генерировать ключ прямо в токене, он в токене и останется. Для бэкапа надо генерировать ключ на компьютере, бэкапить и потом импортировать его в токен.

Хотя нет, там вроде спрашивают при генерации, хотите ли вы off-card backup. Был неправ.

Может потому и расслабили, что все равно им пофигу было.

А как тогда в России продаются сотни моделей лаптопов с TPM на борту?

А мне уже рассказали: вроде как я отстал от жизни и TPM2 - ОК.

TPM2 - ОК

Именно TPM2? Почему?

У меня, кстати, TPM1.2. Лаптоп легально куплен в России у авторизованного продавца.

Там вроде есть возможность использовать ГОСТ.

А как возможность использовать ГОСТ связана с

Все, где есть защита от извлечения секретного ключа не по нраву ФСБ, на сколько я понимаю.

?

Пока сам не понял.

Короче, коллеги на местах сообщают, что мне все померещилось, не было такого кроме каких-то проблем с TPM 1 пару лет. Требование по неизвлекаемости тоже померещилось.