LINUX.ORG.RU
ФорумTalks

Софтварное vs хардварное шифрование

 


1

1

Чет я не думал о таком преимуществе хардварного шифрования как невозможность получить ключ шифрования данных, в то время как при софтварном его получить несложно, а значит и отправить на серваки АНБ. Собственно, discuss.

Перемещено xaizek из security

★★
Ответ на: комментарий от tz4678

хотя я чушь пишу. шифрованные диски не умеют в суспенд. есть утилита sedutil-sleep вот она может из памяти вытащить хеш, получается что памяти хранится хеш, но что происходит когда мы отключаем этот lockingRange почему при включении компьютера (подачи питания на SSD) пароль не запрашивается? он все-таки где-то хранится для таких слчаев?

tz4678 ★★
() автор топика

У дяди уже есть ключ от хардварнго. Дяде нужно поработать, чтобы получить ключ от софтварного.

anonymous
()
Ответ на: комментарий от tz4678

если у тебя настоящее шифрование то при старте компа тебе нужно ввести пароль, ну и какая хрен разница какое шифрование если ты вводишь пароль в скомпрометированный инпут?

TDrive ★★★★★
()
Ответ на: комментарий от tz4678

мог какие-нибудь пакеты с серверов яндекса скачать, которые пропатчены гебней и сливают все твои данные

Скромное личное многолетнее наблюдение: есть очень много тех, кто уверенно предполагает, что все сливают их данные, но нет никого, кто хотел-бы это реально проверить.
Что мешает потратить совсем немного времени на анализ суточного исходящего трафика?
Или все очень важные данные сливаются компом «куда надо» только один раз в год в рандомно выбранный день и час?

Или тут есть хоть кто-то, кто такое действительно практиковал?

Brillenschlange
()
Ответ на: комментарий от t184256

Серьезно?.

А как конкретно эти по удобству использования? А то ведь основная проблема обычно не в том, что «плохо криптует», а в том, что ну ёптить, опять это воткнуть сюда, тыкнуть туда, потыкать куда-куда, это не совместимо, только это, снова потыкать вон туда.

Brillenschlange
()
Ответ на: комментарий от tz4678

Форматни хард в несколько проходов, поставь новую систему, зобань яндекс в настройках и больше ничего оттуда не качай.

Vier_E ★★★
()
Ответ на: комментарий от Brillenschlange

Скромное личное многолетнее наблюдение: есть очень много тех, кто уверенно предполагает, что все сливают их данные, но нет никого, кто хотел-бы это реально проверить.

напомнило https://habr.com/en/company/ruvds/blog/346442/

TDrive ★★★★★
()
Ответ на: комментарий от Brillenschlange

Оно не криптует быстрее или лучше, оно лишает возможности извлечь приватный ключ. Конкретно этих не имею. Удобство использования и совместимость — задача админа предприятия, который тебе при найме эту штуку выдаёт вместе с ноутом и инструкцией «втыкать вот это вот сюда, а когда попросит, тыкать в него пальцем». Если хочешь применить её сам пёс знает для чего, то хэв фан.

t184256 ★★★★★
()

в то время как при софтварном его получить несложно

Oh, wow. Получили мне сессионные ключи из асы или жунипера.

CaveRat ★★
()
Ответ на: комментарий от TDrive

Спасибо, почитал. Однако это привет фреймворкам и опенсоурсу с гитхабами, а не шифрованию и локалхостам.

@t184256

тебе при найме эту штуку выдаёт

Я сам себе хотел что-нибудь выдать, вот и интересуюсь практикой применения разных тычков.

Brillenschlange
()
Ответ на: комментарий от Brillenschlange

Ну сходи на сайты «тычков» да почитай, авось их маркетологи смогут тебе один впарить даже без юзкейса.

Я лично делю способы их применения на сводящиеся к «gpg с ключом вне компа» и ненужную сомнительность.

t184256 ★★★★★
()
Ответ на: комментарий от t184256

это pass на флешке? накой он нужен? ты пароль о флешки ввел, все эти данные попали в оперативу и далее в какой-нибудь своп, понимаю что маловеротяно их отыскать через какое-то непродолжительное время, но если какой-нибудь вредонос постоянно сканирует память… мне эта вещь кажется бессмысленной

tz4678 ★★
() автор топика
Ответ на: комментарий от tz4678

я думал HWS это что-то типа модуля TPM на флешке

tz4678 ★★
() автор топика
31 августа 2021 г.
Ответ на: комментарий от t184256

я почитал про то как ломали SSD. Они были взломаны через ATA Security

tz4678 ★★
() автор топика
Ответ на: комментарий от tz4678

У хардварного такой проблемы вроде нет, так как у диска есть своя память в которой этот ключ хранится, но дальше темный лес хз как оно работает. Где гарантия что припаяв проволчку между контактами нельзя разблокировать SSD?

Погугли про аппаратные закладки, там целые микрооси внутри отдельно взятых запчастей. Ессно тебе туда вход закрыт ...

sanyo1234
()
Ответ на: комментарий от Harald

Ничего не мешает иметь возможность хардварную шифровалку с открытыми исходниками прошивки.

Legioner ★★★★★
()
Ответ на: комментарий от pfg

Та берем симетричный ключ желательно размером с шифруемое и обычным ксором. В качестве ключа можно использовать войну и мир, если накидать ещё книжек в тот же каталог, то хард с зашифрованным файлом и ключом можно отдавать даже трищь майору.

anc ★★★★★
()
Ответ на: комментарий от tz4678

тупо 512-битный ключ в оперативной памяти ищет.

И последний раз вы этим занимались видимо перед тем как лечь в криокамеру. Добро пожаловать в прекрасный новый мир, на дворе 2021, доса осталось мало, мало.

anc ★★★★★
()
Ответ на: комментарий от peregrine

Вопрос в том, что делают с этим чтобы ключ был бесполезен (например отключение от сети машин с важной инфой).

Ага, именно так. Стоять машинки, в отдельных комнатках, с толстыми дверями, из сетей подключены только к электросети.

anc ★★★★★
()
Ответ на: комментарий от Brillenschlange

Что мешает потратить совсем немного времени на анализ суточного исходящего трафика?

С появлением всяческих облаков и других онлайн апдэйтов туевой кучи софта, это перестало быть проблемой.

anc ★★★★★
()
Ответ на: комментарий от Vier_E

Только не форматни, а забей чем угодно под ноль.

anc ★★★★★
()
Ответ на: комментарий от sanyo1234

я читал уже про intel me и пр. это обычный сопроцессор типа, например, математического. он по идее в инет вылезти все равно не может, а главная цель создания этой хрени сделать невозможным воспроизведения пиратского кино, запуска игр. конечно, это зло и наступление копирастов. то что он в теории позволяет тебя похекать… хотя в tpm все вроде зашифрованное хранится, разве не? и тем более россияния стала страной изгоем типа ирана или северной кореи, интел точно не будет с ней делиться своими технологиями

tz4678 ★★
() автор топика
Ответ на: комментарий от anc

причем тут 21 век… в 21 веке как раз линух позволял в системную память залезть и просканировать ее. эту уязвимость убрали, начиная с версии ядра 2.6, а это середина нулевых… да и всякие проги типа art money по тому же принципу работали

tz4678 ★★
() автор топика
Ответ на: комментарий от tz4678

эту уязвимость убрали, начиная с версии ядра 2.6, а это середина нулевых…

Наверно поэтому только относительно недавно в ядре 5.x появилась опция lockdown=confidentiality

Ушки то троллячие у тебя на аве :)

sanyo1234
()
Ответ на: комментарий от anc

Всегда есть вариант отключить эти облака и прочие апдейты и посмотреть, что куда ходит.
Никак понять не могу, зачем вообще тем, кто хоть что-то понимает в теме темы, пользоваться чужими облаками? Или, как обычно, я очень хорошо думаю о тех, кого не знаю?

Brillenschlange
()
Ответ на: комментарий от Brillenschlange

Вот, видите, вы уже говорите о том, что выключить всё и посмотреть. То есть эксперимент получается не чистый, так как возможно то что сливает вы как раз и выключили.

anc ★★★★★
()
Ответ на: комментарий от anc

Rак говаривал Профессор про облака советские газеты:
И, Боже вас сохрани, не читайте до обеда советских газет!

Так это же как раз и есть результат. Отключить то, что красивое ненужное :)

А вообще, судя по тому, какими методами и каким софтом (инфа из открытых, если чо, источников, типа газет всяких) пользуются джеймсбонды и фбры всех стран, становится понятно, что если соблюдать элементарные правила гигиены, то достать всех присутствующих можно только через ректальный криптоанализ, прочие методы очень маловероятны и слишком затратны.
Да и зачем напрягаться, когда всё и так уже прочитано?

Brillenschlange
()
Ответ на: комментарий от Brillenschlange

Ага. Все эти «взломали, используя хитро сделанные устройства и ещё более хитро написанные программы» исключительно для хомячков. Используемые методы гораздо «интереснее» в смысле проще. Инфа из закрытых источников.

anc ★★★★★
()

Толку от этих ботано-красноглазых шифрований, если в магазинах радиоэлектроники доступны гаджеты для быстрого взлома шифров ?

windows10 ★★★★★
()
Ответ на: комментарий от windows10

если в магазинах радиоэлектроники доступны гаджеты для быстрого взлома шифров

спс, поржал

tz4678 ★★
() автор топика
Ответ на: комментарий от windows10

У них есть существенный недостаток. 1. Нужен доступ к хранителю тайных знаний. 2. Одних тайных знаний из головы хранителя может быть недостаточно и потребуется получить доступ к месту где хранятся недостающие части.

anc ★★★★★
()
Ответ на: комментарий от windows10

то что жля брута нужны две вещи: мощный, многоядерный проц и словарь с паролями. возьмем, какой-нить с авито и начинаем все пароли по очереди шифровать и сравнивать с нашим хешем. не подходит? не беда, попробуем сравнивать с радномным набором из латинских символов (26) + в верхнем регистре(..+26=52) + 10 цифр (52+10=62), допустим у нас пароль минимальной длины (8), значит нам нужно проверить 62^8 степени паролей, но только если мы знаем метод шифрования, количество циклов шифрования (в некоторых случаях)… конечно может произойти чудо и рандомно сгенерированный пароль совпадет с первой попытки, но так не бывает… мы можем усложнить брут, набирая пароль на русской раскладке на татарском языке с намеренными ошибками… очень тебе этот брутер поможет

tz4678 ★★
() автор топика
Ответ на: комментарий от tz4678

да и квантовые компудахтеры не помогут. во-первых там из 100 кубитов эффектиных будет пару, часто бывают ошибки, во-вторых это дорого… ну а еще нужен мощный обычный комп с кучей оперативны, мощным процом, ведь квантовый комптютер это что-то типа диска с которого читаешь данные. вот с помощью это приблуды в теории можно пароль похекать

tz4678 ★★
() автор топика
Ответ на: комментарий от tz4678

то что жля брута нужны две вещи: мощный, многоядерный проц и словарь с паролями.

Ну вот видишь, ты как интернетный красноглазик, сразу представил какие-то бруты, процы, циклы шифрования, опустился в какие-то алгоритмы и т.д. Расслабься.

https://ru.wikipedia.org/wiki/Паяльник

windows10 ★★★★★
()
Ответ на: комментарий от anc

У них есть существенный недостаток. 1. Нужен доступ к хранителю тайных знаний. 2. Одних тайных знаний из головы хранителя может быть недостаточно и потребуется получить доступ к месту где хранятся недостающие части.

Как правило это легче, чем тратить деньги на внедрение закладок, еще и таких, которые помогут выделить нужную информацию в тоннах мусора, особенно если она не plain-text.

Вот у меня свежеустановленный Линукс на 10Гб. Среди этих 10Гб к примеру, хранится небольшой файлик с адресами мест съемок детского порно. При том, ты как тащ-майор, мало того что не знаешь что искать, так еще и не знаешь, ЧТО искать. В том смысле, что не только не знаешь формат файла в котором хранится список, но даже не подозреваешь о наличии такого файла в тех 10 Гб говна, которые тебе прислал условный троян.

А теперь усложним задачу и представим что тебе, как тащ-майору в день прилетает не 10Гб говна, а 10Гб*1000 человек. Нешифрованного. Из которого ты должен выделить педофилов, террористов, овального, и прочих.

Поэтому тебе, если уж стоит реальная задача по поиску педофилов, террористов, овального - проще пойти сразу к провайдеру, Торвальдсу, Куку и прочим, и обязать ИХ стучать обо всем что творится за пределами твоего локалхоста, попутно попросив бешеный принтер распечатать нечто вроде запрета шифрования локалхостов.

Это я все веду к тому, что здесь работает принцип неуловимого Джо: пока ты никому не интересен, шифрование у тебя дома лишнее. Когда ты уже стал интересен - шифрование у тебя дома не поможет, ибо слабое звено в цепи - это не алгоритм как нафантазировал @tz4678, а сам шифрователь.

windows10 ★★★★★
()
Ответ на: комментарий от tz4678

намекаешь, что сообщишь куда следует

Ну ты как не в СНГ живешь. После твоего намека что ты сообщишь куда следует - три раза упадешь на ступеньках в коридоре, и все четыре - смертельно. С таким лучше не шутить.

windows10 ★★★★★
()
Ответ на: комментарий от windows10

путин на своих рабов полицаев уже камеры вешает, а сб тоже палки нужны, поэтому они часто откровенными подставами занимаются… я согласен с тем, что из путирашки лучше валить, потому как в ней при почти равном населении с бангладешем заключенных в 6 раз больше

UPD: ошибся

tz4678 ★★
() автор топика
Последнее исправление: tz4678 (всего исправлений: 1)
Ответ на: комментарий от windows10

Когда ты уже стал интересен - шифрование у тебя дома не поможет,

Бывает, что поможет. Реальный пример: Вломились маски шоу, требуют пароль, чел им выдает «мля, чуваки, вы тут такой шухер навели, я его нах забыл». Проканало.

anc ★★★★★
()
Ответ на: комментарий от tz4678

путин на своих рабов полицаев уже камеры вешает, а сб тоже палки нужны, поэтому они часто откровенными подставами занимаются… я согласен с тем, что из путирашки лучше валить, потому как в ней при почти равном населении с бангладешем заключенных в 5 раз больше

Ты сильно не идеализируй. В других странах плюс минус то же самое, только сроки побольше.

Да, у нас конечно методы пожестче, иногда применяют терморектальный криптоанализатор, если не повезет, и если не повезет, дадут тройбан-пятифан.

В странах эльфов конечно есть видимость закона, но и дать там могут пару сотен лет.

Так или иначе, шифрование не нужно в принципе. Но если бы я выбирал как мне шифровать своих котиков, то выбрал бы мало того, что софтварное шифрование - так еще и какое-нибудь самописное. И дело не в легкости расшифровки, сложности AES бла бла бла, прочей математике на которую ты надрачиваешь. Дело в том, что всего лишь пара незаметных строк в коде дешифровщика - сведет на «нет» все сложности алгоритма, а судя по периодическим срывам покровов, и троллингом на этот счет - такие строки таки появляются, и их никто не ищет, несмотря на попенсорсность.

В общем упрощу сказанное на примере: неважно каким хитрожопым алгоритмом ты зашифровал свою картинку, важно что как только ты сам ее дешифровал для просмотра - твой дешифровщик отправил ее в ФСБ.

windows10 ★★★★★
()
Ответ на: комментарий от windows10

а шифровать данные нужно всегда. я наслышен про подвиги питерских робоков. они все деньги, которые находят при обыске воруют, тож самое с криптой… и это можно просто окуеть, потому как у того же хабенского (привет озону) пропали деньги при обыске

tz4678 ★★
() автор топика
Ответ на: комментарий от anc

Бывает, что поможет. Реальный пример: Вломились маски шоу, требуют пароль, чел им выдает «мля, чуваки, вы тут такой шухер навели, я его нах забыл». Проканало.

Ну это наверное какой-то розыгрыш был. Потому что если реальные маски-шоу с реальной задачей изьять данные - они первым делом опечатывают технику и никого к ней не подпускают. Мало ли, может инфа уничтожается после неправильного ввода пароля.

windows10 ★★★★★
()
Ответ на: комментарий от windows10

нет. в европе средний срок тюремного заключения 2 года, в рахове - 10ю прична в неадекватности закона. в нормальных странах не сажают тех кто шлет дикпики 15-летним девкам или постит мемы про мистера волка (и не дай бог про пынеходы). про большие сроки ты возможно имеешь ввиду, сша, где законодательная система была списана с метрополии. в англии тоже за почти любое умышленное убийство пожизненное дают, а за всякую хрень лет по 30. поэтому в сша 25% мирового тюремного населения, чуть меньше в тоталитарном китае (20%), в родной рашечке более 5% (хотя в мировом населении ее доля менее 2%). но , заметь, я нигде сша не называл идеальной страной. у них кстати законы раньше еще жестче были

tz4678 ★★
() автор топика
Ответ на: комментарий от windows10

про хованского просто пример общеизвестный. показываю мол там настолько отбитые идиоты, что не боятся огласки, засветиться в новостях. а про крипту - это уже случаи из жизни

tz4678 ★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.