Пользователи LUKS в опасности

Шифрование сродни шпингалету на дверце деревенского сортира - просто чтобы любопытствующие не заглядывали. Там, где требуется настоящая безопасность - ее получают оргмерами.

Тем не менее, макос шифрует все диски по дефолту уже давно. В венде это включается одной кнопкой в настройках. Даже дефолтные люниксы для юзеров типа убанты предлагают шифрование при установке.

А чего бы не включить. На внутриквартирные двери тоже замочки или защелки ставят. Я же говорю, основное назначение подобного шифрования - это интим, а не безопасность.

Кому нужен этот хомевидео? что там не видели? А вот при восстановлении информации у хомячков проблемы...

А чего бы не включить. На внутриквартирные двери тоже замочки или защелки ставят. Я же говорю, основное назначение подобного шифрования - это интим, а не безопасность.

Про банальную утерю ноутбука выше тебе уже объяснили. Мне тут больше нечего добавить.

Вы, похоже, принципиально отказываетесь понимать о чем я пишу, а продолжаете спорить с какой-то своей идеей. Вам ведь кажется, будто я возражаю против шифрования дисков, правда?

Вы, похоже, принципиально отказываетесь понимать о чем я пишу, а продолжаете спорить с какой-то своей идеей. Вам ведь кажется, будто я возражаю против шифрования дисков, правда?

Да нет, я понял, что ты пишешь херню и поэтому даже не рассматриваю её как нечто на что стоит обращать внимание.

Так и есть - тупите принципиально.

Так и есть - тупите принципиально.

Скорее, не отвечаю на полный лютый тупняк. Потому что когда я работал в таком «настоящем» месте с «настоящей безопасностью», одним из регламентов было как раз шифрование всех носителей, на которых данные компании могут оказаться за пределами офиса. В том числе и дисков ноутбука, да.

Видите, вы не только не понимаете что я пишу, но даже не пытаетесь прочитать. И сейчас вы, как лев, бьетесь с какой-то вами же придуманной глупостью. Специально для идиотов - я не против шифрования дисков. И еще раз, специально для вас - я не против шифрования дисков. Диски шифровать полезно. Особенно, если вы кретин, способный потерять ноут, на котором зачем-то носите важную информацию.

Ты сам не понимаешь, что ты пишешь. Что-то про интим какой-то вещаешь тут. Сразу видно – девственник!

Вам что, стыдно самому себе признаться, что бились со своими мыслефантомами? Могу еще раз повторить, на всякий случай - диски шифровать полезно. Вдруг поможет и вы пойдете добивать свой глюк тихо в уголочке

А вот это не ты писал?

Шифрование сродни шпингалету на дверце деревенского сортира - просто чтобы любопытствующие не заглядывали. Там, где требуется настоящая безопасность - ее получают оргмерами.

Алсо

я не против шифрования дисков

Что вот это должно значить? Если бы ты был против, то что? Никто бы их не шифровал?

А как ты отформатируешь диск, который даже не определяется в системе?

Микроволновкой.

А вот это не ты писал?

Шифрование сродни шпингалету на дверце деревенского сортира - просто чтобы любопытствующие не заглядывали. Там, где требуется настоящая безопасность - ее получают оргмерами.

Что-то не так? Что именно вас взбудоражило и заставило активно возражать?

я не против шифрования дисков

Что вот это должно значить? Если бы ты был против, то что? Никто бы их не шифровал?

Это должно значить «угомонитесь, выключите режим усиленного воображения, вы бьетесь с призраками, рожаденными какой-то вашей психопатологией». Похоже, так же осталось неуслышанным и непонятым.

Это должно значить «угомонитесь, выключите режим усиленного воображения, вы бьетесь с призраками, рожаденными какой-то вашей психопатологией». Похоже, так же осталось неуслышанным и непонятым.

Это было услышано. Просто это полная хрень, потому что риски от отсутствия шифрования намного превышают затраты на его использование, поэтому не шифровать как минимум ноутбук (со стационарниками – вопрос отдельный) будет очень тупо.

У текущих реализаций полнодискового шифрования дохрена недостатков, так-то. Например, что один и тот же ключ используется для всего диска вообще, потому что более гранулярное шифрование позволило бы избежать некоторых проблем. Но даже в таком виде это лучше чем ничего.

Просто это полная хрень, потому что риски от отсутствия шифрования намного превышают затраты на его использование, поэтому не шифровать как минимум ноутбук (со стационарниками – вопрос отдельный) будет очень тупо.

Четырех раз оказалось недостаточно, чтобы помочь вам развеять созданные вашим воспаленным воображением видения. Ну скажите на милость - где, в какой момент вы придумали, что не надо шифровать? При чем тут я? Зачем вы выбрали именно меня, чтобы озвучивать это натужное кряхтение в борьбе с собственной ахинеей? Может вам пятый раз написать - «я не против шифрования»?

«я не против шифрования»

Ещё бы ты был против. Только и можешь, что ересь на ЛОРе про какие-то оргметоды писать.

А если я не против, то с кем и с чем вы воюете, боец? И главное - зачем вы пишете свои выплески мне?

на случай принималова, чтобы доблестные правоохранители не нашли ничего для них интересного.

в цивилизованных странах даже паяльник в жопу не засовывают при отказе сообщить ключи шифрования, кстати. просто записывают в протокол и усё, даже технику возвращают.

Ещё раз. При массовом выходе из строя шдд или ссд - будут использовать не паяльник, а мясорубку. Нежно и медленно. Особенно за невозможность восстановления важных данных. Поэтому каждое лекарство надо принимать только в прописанных врачом случаях. И тщательно прикрывать все отверстия важной бумажкой.

в цивилизованных странах даже паяльник в жопу не засовывают при отказе сообщить ключи шифрования, кстати. просто записывают в протокол и усё, даже технику возвращают.

Ой! А три года тюрьмы и штраф на 270 штук не хотите?

Раз: https://techunwrapped.com/justice-can-demand-the-unlock-code-of-your-smartphone/

два: https://www.independent.co.uk/news/uk/crime/facebook-password-jail-police-lucy-mchugh-prison-sentence-latest-southampton-a8516471.html

три: https://www.independent.co.uk/tech/cage-muhammad-rabbani-anti-terrorism-law-passwords-refuse-police-london-heathrow-airport-a7742611.html

четыре: https://www.cnet.com/culture/man-charged-for-refusing-to-give-up-phone-passcode-to-canadian-border-agents/?amp%3Bsubj=news&amp%3Btag=link&part=propeller

пять: https://nakedsecurity.sophos.com/2014/07/07/student-jailed-for-refusing-to-hand-over-password-to-police/

шесть: https://www.politicsforum.org/forum/viewtopic.php?t=179452

семь: https://arstechnica.com/tech-policy/2017/02/justice-naps-man-jailed-16-months-for-refusing-to-reveal-passwords/

восемь: http://www.politicalforum.com/index.php?threads/man-jailed-for-refusing-to-give-police-password-to-personal-computer-files.552656/

как страшно жить в странах где нет возможности не свидетельствовать против себя.

хорошо, что мы не там.

Чего-то тему зафлудили. Между тем, куда интереснее все же прикинуть насколько действительно PBKDF2 и вообще LUKS уязвим. Могли ли французские копы просто сбрутфорсить пароль из более 20 символов, содержащий разный регистр, числа, знаки пунктуации?

Чего-то мне кажется, что тотальный брутфорс тут нереален, даже если все хорошо распараллелить на GPU. И даже словарный не особо, хотя более вероятен. Хотя хз, может какие-то особо хитрые варианты есть с учетом даже психологии. Вроде недавно ссылка была на AI брутфорсер, но чего-то забыл ее.

P.S. Собственно в комментариях там о том же было несколькими людьми сказано.

Могли ли французские копы просто сбрутфорсить

Хронический лоровский инфантилизм, оттягощенный параноидальным синдромом неуловимого Джо… Зачем французским копам что-то брутфорсить? Свеженькое:

https://triponoid.com/in-france-refusing-to-disclose-your-phone-password-is-now-criminal/

https://www.fairtrials.org/articles/news/french-court-rules-that-refusing-to-disclose-a-mobile-passcode-to-law-enforcement-is-a-criminal-offence/

а для компаний и их технарей чего-там втихомолку криптующих - так во Франции это уже даже старенькое:

https://www.zdnet.com/article/fines-jail-for-apple-execs-over-iphone-unlocking-refusal-french-bill-clears-next-hurdle/

фраза «французкий брутфорс» заиграла новыми красками

Ох люблю я авторитетные крайности однобокие, прямо ух!

Если ноут стоит у тебя в офисе или дома, и никогда не выносится наружу — тут ты однозначно прав.

Но если ты работаешь удаленно, ходишь с ним по кафешкам, например (очень частая ситуация, кстати, в современном-то мире, особенно хипсторском), то шифрование нужно. Да даже у любого админа есть с собой железка с доступом к инфре компании. Хотел бы ты, чтобы случайно на твои сервера влез Васян, который нашел твой ноут?

Теперь о паяльниках. Если целенаправленно нужно будет взломать/украсть/получить доступ — шифрование не спасет. А вот от кривых рук или собственного идиотизма, когда ты оставил ноут на столе и пошел в толкан, или тупо случайно где-то забыл рюкзак с ним, спасет. Нашедший или укравший его гопник не будет заморачиваться со взломом — максимум потрет все к чертям и перепродаст (если железо это позволяет, современные ноуты и от этого имеют защиту). А вот данные твои или компании ты защитишь.

Поэтому да, в компаниях, где сотрудники работают удаленно, есть требования безопасности. Никто не хочет, чтобы ноут с доступами к кластерам, допустим, Первого Канала попал к левым людям вместе с этими доступами. На ноут-то пофиг, если что это просто материальная ответственность, а вот данные и доступы гораздо важнее.

Небольшой пример на базе авто. Ты можешь оставить тупо штатный центральный замок, вскрываемый где-то за 30 секунд, а можешь поставить охранку (не сигнализацию, а охранный комплекс). От целенаправленного угона это не спасет ни разу, но от мимопроходящих гопов очень даже. Им будет проще зайти в соседний двор и угнать там машину без охранки, чем долбаться с твоей. (сейчас пример из собственного опыта был).

Ты сравниваешь теплое с мягким, но отчасти прав.

В венде это включается одной кнопкой в настройках.

Давно? Она вроде раньше для этого бубна требовала и стороннего софта.

Хронический лоровский инфантилизм, оттягощенный параноидальным синдромом неуловимого Джо…

Хроническое лоровское Ъ-нежелание ходить по ссылкам в теме и спешить отвечать...

Для таких Ъ. По ссылке Мэттью Гаррет в своей уютненькой ЖЖ-шечке расказывает, что ему пожаловался француз, что у него был LUKS и секурный пароль (большой, малый регистр, цифры, знаки препинания) более 20 симоволов (21 что ли?) и тем не менее копы каким-то образом добрались до содержимого и использовали его против него. Это к вопросу у неуловимом Джо также.

Это стало поводом Гаррету написать пост про недостатки PBKDF2 (уязвимость к массовым параллельным переборам на GPU) и дать инструкцию как переходить на замечательный argon2id.

На что люди заметили, что при всех недостатках все же как-то это странно вот так сбрутфорсить.

Свеженькое:

Да, отстает РФ от демократических свобод... У нас хотя бы формально все еще есть право не свидетельствовать против себя. Тем не менее статья не об этом.

Давно? Она вроде раньше для этого бубна требовала и стороннего софта.

Главное даже не это. Винда, если специально не принять меры, где-то заботливо сохранит ключик от битлокера: в облачке аккаунта Microsoft или даже вообще на диске. Причем это мало поможет, если реально понадобится самому восстановить данные.

Да причем тут брутфорс и шифрование, способов проникнуть в зашифрованный диск туча - троянами, кейлоггерами, подглядыванием через плечо, отвлечением человека на десять минут, бэкдором для органом (официально или припрятанной 0-day). Если человек лох и таскает с собой регулярно используемый ноут с криминальным содержиыи, работая с него через общественные сети или случайные точки доступа - его не спасет никакое шифрование дисков, он проколется на чем-то другом, чего множество.

Да причем тут брутфорс и шифрование, способов проникнуть в зашифрованный диск туча - троянами, кейлоггерами, подглядыванием через плечо, отвлечением человека на десять минут,

Это если заранее знать про шифрованный диск и спланировать мероприятие. Как там было дело впрочем без таких подробностей.

бэкдором для органом (официально или припрятанной 0-day).

А вот это интересно в случае LUKS. Если там и есть бэкдор/0-day что-то сомнительно, чтобы он был доступен французским (и даже американским) копам. Разве что во французском участе местный криптохакерогений затесался, а так ведь они наверняка стандартные фоpнсик-средства юзают.

Если человек лох и таскает с собой регулярно используемый ноут с криминальным содержиыи, работая с него через общественные сети или случайные точки доступа - его не спасет никакое шифрование дисков, он проколется на чем-то другом, чего множество.

Опять же, если заранее позаботились, чтобы прокололся, что кстати, тоже не совсем уже тривиально может быть при минимальной инфогигиене. У француза была Ubuntu 18.02 - это которая lts, по идее, там если не пренебрегал апдейтами и никакой сервис голой жопой не выставлял, тоже не так чтобы взяли и просто так залезли. Но этих подробностей нет.

Ну, Макось, например, при настройке шифрования спрашивает, нужно ли разрешить разблокировку через учетку Apple. Хорошо это или нет — я хз. Потому что блокировать ноут/телефон в случае его утери будешь тоже через нее, вплоть до полного вайпа данных, насколько я помню.

Имхо,имеет смысл только для ноутов,на которых хранят крипту.

Для вас критичной информацией является только крипта?

Тоже не понимаю смысл, просрать ноут - это надо ещё суметь. От малвари и паяльника не защититься, а крипту на ноутбуке хранить точно не надо, лучше использовать какую-нибудь флешку, которую уже шифровать. Зато проблем от шифрования овердохрена, самое простое - повреждение диска приведет к потере всех данных.

самое простое - повреждение диска приведет к потере всех данных.

Кто тебе такую херню сказал?

извиняюсь, что врываюсь в тему

praseodim, было дело Вы выбирали ECC и все так взяли, у меня аналогичная ситуация, как и с платой, в плане выбора (или взять i5-12400_H0 + g.skill-3200-cl14_samsung) пара вопросов:

• Нужна она (эта технология/чип) все таки дома, скажем, для той же файлопомойки/ек на HDD + SSD?
• Ecc-reporting заработал у вас?
• И не знаете, по выводу комманд, есть ли какой-то способ не приобретая UDIMM ECC, что бы точно убедиться что материнка может в ECC, пока в ней планки на неECC?

Нужна она (эта технология/чип) все таки дома, скажем, для той же файлопомойки/ек на HDD + SSD?

Ахз. Во всяком случае, тьфу-тьфу, но сбоев на уровне hdd, ssd не было. Очень стабильно в этом смысле. В принципе удорожает вроде несильно (хотя если в РФ и сейчас со всеми ограничениями непонятно, не следил за рынком памяти).

Ecc-reporting заработал у вас?

У меня такое подозрение, что в случае AMD оно заработает только на PRO версиях процессоров, вставленных в специальные платы 570 WS, например. В остальных случаях оно скорее всего работает, но не доходит до нужных MCE регистров. Во всяком случае пока что ни одного сообщения об исправленной ошибке не было. Я правда и мониторить давно перестал.

И не знаете, по выводу комманд, есть ли какой-то способ не приобретая UDIMM ECC, что бы точно убедиться что материнка может в ECC, пока в ней планки на неECC?

Не знаю. Из того, что читал, могу сказать, что AMD-ные Zen 1 - 3 умеют ASrock, Asus, Gigabyte и заблокировано в BIOS у MSI.

Насчет DDR5 из того, что читал получается, что рано радовались тому что там всегда ECC, это ECC да не совсем та, что надо. Она там прозрачным образом для того, чтобы компенсировать ошибки и позволить ей штатно работать на тех частотах, для которых ее проектировали. Но есть и отдельные DDR5 с ECC и Buffered и Unbuffered

просрать ноут - это надо ещё суметь.

Знакомый однажды на минуту оставил ноут в машине, вернулся, а там в двери выбито стекло и ноута нету :) Но это случилось в «бездуховной Европе», у нас такого точно не бывает.

Ну и моя история, у меня вышел из строя SSD Intel 525, с пятилетней гарантией, и из-за данных я его не отнес в сервис. У меня там и сканы документов и разные аккаунты (годади, соцсети, банки). Вдруг его можно в RO вывести сервисными инструментами? Вдруг в сервисе есть человек который за дополнительный деньги просто сливает дампы киберпреступникам? В общем рисковать за возврат 150 баксов я не стал.

Тащемта битлокер встроенный начиная с висты, а бубен нужен чтобы зашифровать системный раздел, если нет TPM.

Знакомый однажды на минуту оставил ноут в машине, вернулся, а там в двери выбито стекло и ноута нету :) Но это случилось в «бездуховной Европе», у нас такого точно не бывает.
у нас такого точно не бывает

Ха-ха три раза. ДС очень раннее утро, народу мало от слова совсем, не на дороге, кидается большой портфель в котором в том числе и ноут на заднее сиденье, пока грузится чумадан в багажник портфель исчезает.

Так и есть - тупите принципиально.

А вы острите! =) Тоже наверное принципиально. =)

Спасибо за ответ, на счет DDR5onECC в курсе, идея в целом непонятна, но хотя бы не выпилили ECC, как отдельным чипом, только это радует

Вы никогда не теряли ноут? Никогда ваш багаж с ноутом не теряла авиакомпания? И да, когда такое происходит, скорее всего старенькая PBKDF2 проканает.

Никогда ваш багаж с ноутом не теряла авиакомпания?

Ноутбук нельзя сдавать в багаж сейчас, потому что батарейки.

Интересно как это выглядит у Победы, которая «ручную кладь» отбирает на регистрации и кладёт в багажное отделение.

Систематическая ошибка погибшего? 🤡

Попросят ноутбук в руки взять, наверное. Я не знаю, не летал ими ни разу. Но возить литиевые батарейки в багаже запретили всем авиакомпаниям после тех самовзрывающихся гнусмасов.

MAC может быть реализован средствами UNIX Permissions, зачем лишняя сущность? Достаточно на каждый файл, где настройки доступа отличаются от дефолта, создавать группу.

Нет, не может. Группы в UNIX не могут в иерархию.