Comments 54
UFO just landed and posted this here
Так их теряют или крадут в аэропортах?
> однако, приобрести в России компьютер со встроенным модулем TPM весьма затруднительно, так как ввоз устройств без нотификации ФСБ в нашу страну запрещен
Возможно, я ошибаюсь, но мне кажется, что это утверждение запаздывает года на три минимум. Добрая треть продаваемых в России ноутбуков (и практически все ценой от ~1500$) сейчас имеет TPM, посмотрите хотя бы через фильтр на Яндекс-маркете.
Нотфикации же фактически подлежат все ноутбуки (как минимум потому что там есть Wi-Fi-модуль и сопутствующее шифрование), с TPM это связано в последнюю очередь.
Возможно, я ошибаюсь, но мне кажется, что это утверждение запаздывает года на три минимум. Добрая треть продаваемых в России ноутбуков (и практически все ценой от ~1500$) сейчас имеет TPM, посмотрите хотя бы через фильтр на Яндекс-маркете.
Нотфикации же фактически подлежат все ноутбуки (как минимум потому что там есть Wi-Fi-модуль и сопутствующее шифрование), с TPM это связано в последнюю очередь.
только в американских аэропортах ежегодно пропадает 637 тысяч ноутбуков.
т.е без малого 200тыс ноутов в сутки? Можно пруф?
Пруфы вылетели с ближайшей планеты с орбитальным периодом 76 часов. Ожидайте.
Всего-то жалких 2 тыс на пассажирооборот более сотни тысяч на каждый из крупных аэропортов и еще десятки тысяч на всякой "мелочи", не говоря уже о совсем мелких аэропортах. Можно сказать, что ни о чем.
Пропускная способность аэропорта в Лос-Анжелесе более 60 млн. человек в год… Это получается чуть больше 1 процента людей теряют ноуты, а это не так много… Статья вот (придется только сложить значения по всем аэропортам Америки))) https://hothardware.com/news/us-airports-lose-over-62400-laptops-per-year
U.S. Airports Lose Over 62,400 Laptops Per Year
Вот и я про валенки. В вашей статье вы приукрасили цифру ровно на 1 порядок. А это довольно много. Даже в URL видно.
13 513 аэропортов в Америке, так, что я даже немного приуменьшила
UFO just landed and posted this here
Статью читали?! Это статистика для одного аэропорта…
На самом деле это журналисты тамошние умножать не умеют)))
Вот нашла аналитический отчет тот самый: www.dell.com/downloads/global/services/dell_lost_laptop_study.pdf
Вот нашла аналитический отчет тот самый: www.dell.com/downloads/global/services/dell_lost_laptop_study.pdf
Немного приоткрою завесу над тем, отчего столько корпоративных ноутбуков теряется. Когда я работал в некоем энтерпрайзе, я был поражен тем, насколько забюрократиизирована процедура обновления рабочего IT-оборудования. Человек, пришедший в корпорацию пять лет назад, прошедший за эти четыре года по карьерной лестнице, по-прежнему использует корпоративный Dell пяти-шестилетней давности, выданный ему эти пять лет назад, при поступлении на работу. При этом только поступившие на работу зеленые бывшие студенты получают новенький ноут, bleeding edge. Просто потому что стандартный срок службы ноута по документам пять-семь лет, а процедура аппрува заявки на замену запросто может растянуться на полгода.
Отсюда вполне логичный выход из такой ситуации это…
Отсюда вполне логичный выход из такой ситуации это…
… вдарить как следует по работающему ноуту, чтобы угробить диск. А не компенсировать потерю железки из ЗП и получать по ушам.
Почему-то мне кажется, что вы никогда не работали в крупном международном энтерпрайзе в США, о котором выше идет речь. ;)
Вот представьте себе продакт-менеджера, или sales representative, с 90K net income который долбит по «работающему ноуту, чтобы угробить диск», у меня не получается. ;)
«Компенсировать потерю железки», oh my pants!
Вот представьте себе продакт-менеджера, или sales representative, с 90K net income который долбит по «работающему ноуту, чтобы угробить диск», у меня не получается. ;)
«Компенсировать потерю железки», oh my pants!
Мы будем использовать токен производства компании «Актив». В частности, токен Рутокен ЭЦП PKI.
А почему именно этот? А другие ваши токены можно использовать для битлокера?
У меня сложилось впечатление, что все более или менее современные подобные токены (не могу ручаться за рутокен, etoken etc, про которые только читал, сам пользовался аладдиновской jacarta) без проблем определяются Windows как смарт-карты, со всеми вытекающими наподобие использования в BitLocker. Возможно, даже не придется устанавливать вручную никаких драйверов и утилит, если требуется только эта функциональность.
однако, именно у этого нет сертификатов фтэк и фсб
Ну и что? Битлокеру все равно, есть у токена означенные сертификаты или нет. :)
Его не сертифицировали по ФСБ намеренно. В тот момент, когда начали выпуск Рутокен ЭП PKI уже нельзя было его сертифицировать в ФСБ, поскольку там не было реализации алгоритмов хеширования и подписи по ГОСТам 2012 года. То есть история бесперспективная была.
А сертификат ФСТЭК есть, мы его получили.
А сертификат ФСТЭК есть, мы его получили.
Не знаю, в списке сертифицированных его нет — www.rutoken.ru/products/certified
Он под вот этот сертификат попадает: www.rutoken.ru/images/licenses/cert_fstek_3753.png
Это правда. Любой токен или смарт-карта, обладающие функциональностью аппаратного RSA 2048 и имеющие поддержку в библиотеке minidriver подходят для BitLocker.
Мы рекомендуем Рутокен ЭЦП, потому что они умеют аппаратно работать с RSA криптографией.
UFO just landed and posted this here
Как много действий :) Проще действующим ключом зашифровать/расшифровать папку:
tar -cjv ./<DIR> | gpg -e -r <KEY> -o backup.tbz2.gpg
gpg -d backup.tbz2.gpg | tar -xj
Есть среди нас специалисты по безопасности? Насколько вообще надежным является использование BitLocker с точки зрения наличия дыр и других лазеек?
Все таки это штатный механизм распространённой ОС, можно ли ему доверять?
Тот же элкомслфт наверняка имеет набор утилит для вскрытия битлокера, к чему тогда все эти токены и т.д.?
Когда закрывался TrueCrypt, один из его разработчиков написал: “Bitlocker is ‘good enough’ and Windows was original ‘goal of the project.’ ”
Наверное можно принимать это как авторитетное мнение специалиста по шифрованию дисков.
Элкомсофт специализируется на реверсинге паролей. В данном случае пароли для шифрования не используются. Если вдруг придет сюда человек из Элкомсофта, он прокомментирует этот момент.
Наверное можно принимать это как авторитетное мнение специалиста по шифрованию дисков.
Элкомсофт специализируется на реверсинге паролей. В данном случае пароли для шифрования не используются. Если вдруг придет сюда человек из Элкомсофта, он прокомментирует этот момент.
UFO just landed and posted this here
UFO just landed and posted this here
Есть среди нас специалисты по безопасности? Насколько вообще надежным является использование BitLocker с точки зрения наличия дыр и других лазеек?
Не специалист по вопросам ИБ, но когда-то тоже заинтересовал вопрос безопасности использования BitLocker. Если коротко, не так сам плох BitLocker, как конкретная реализация в Windows, использующая данный криптоконтейнер. А именно, тот факт, что ключ восстановления BitLocker можно обнаружить в файле гибернации или дампах памяти, например (что и делает Forensic Disk Decryptor от Элкомсофт). Я уж промолчу про те случаи, когда файл, содержащий ключ восстановления, сохраняется прямо на устройстве с шифруемым диском (впрочем, это уже косяк пользователя, а не системы). В источнике ниже можно более подробно прочитать об этом:
cryptoworld.su/vzlom-bitlocker-v-windows-net-nichego-nevozmozhnogo.
конкретная реализация в Windows, использующая данный криптоконтейнер. А именно, тот факт, что ключ восстановления BitLocker можно обнаружить в файле гибернации или дампах памяти, например
Какова бы ни была реализация шифрования диска в любой ОС, ключи так или иначе должны читаться в память и там храниться, что дает очевидный вектор атаки. Windows или не Windows — тут совершенно неважно.
в файле гибернации или дампах памяти
Что особенно актуально в случае зашифрованного системного диска, да. :D
А переносной диск можно зашифровать? Зависит ли расшифровка от системы где зашифровали? Т.е. если переустановить винду, с формат ц, то зашифрованный диск Д можно будет открыть на новой (или на другом компе) системе?
Да, можно. Для этого используется Bitlocker to Go.
Шифрование диска не зависит от того, где именно его зашифровали.
Формат ЦЭ не поможет :)
Шифрование диска не зависит от того, где именно его зашифровали.
Формат ЦЭ не поможет :)
Владею зашифрованным переносным диском, 100 раз переставлял систему, все норм, бумажку с кодом даже не печатал, хватает пароля =) С линуксами если некоторые сложности, но при желании можно открыть.
Более того, если для начального шифрования диска требуется Pro версия Windows, то для работы с ним (и чтения, и записи) хватает и домашних версий.
В случае BitLocker надо только помнить, что если вы настраиваете его параметры (допустим, разрядность ключа шифрования) с помощью групповых политик (а они только там и настраиваются), то можно утерять совместимость с более ранними версиями Windows (до такой степени, что, допустим, Windows 10 1511 не сможет расшифровать том, зашифрованный в Windows 10 1703).
Добавлю, что даже с настройками по умолчанию современные выпуски Windows 10 шифруют том таким образом, что он не может быть расшифрован в ранних выпусках Windows 10, Windows 8 и т.д.
Впрочем, при шифровании предлагается опция, которая делает шифрование совместимым с этими устаревшими системами ценой ослабления стойкости (старые системы используют AES-CBC вместо AES-XTS).
Впрочем, при шифровании предлагается опция, которая делает шифрование совместимым с этими устаревшими системами ценой ослабления стойкости (старые системы используют AES-CBC вместо AES-XTS).
UFO just landed and posted this here
Как минимум с 100-й серии чипсетов даже в чипсетах начального уровня (H110/H310) есть Intel Platform Trust (PTT), представляющая собой программную реализацию TPM 2.0, работающую на базе Intel Management Engine.
Таким образом, не требуется иметь на материнской плате разъём для установки модуля TPM (его иногда не распаивают даже на материнках Z170, чтобы снизить себестоимость) и приобретать сам модуль.
Таким образом, не требуется иметь на материнской плате разъём для установки модуля TPM (его иногда не распаивают даже на материнках Z170, чтобы снизить себестоимость) и приобретать сам модуль.
И вообще шифрование системного диска является плохой идеей.
Вредный совет.
Sign up to leave a comment.
Скрытые возможности Windows. Как BitLocker поможет защитить данные?