Компания Canonical анонсировала появление в осеннем выпуске Ubuntu 23.10 экспериментальной поддержки шифрования дисков, не требующего ввода пароля разблокировки диска при загрузке, благодаря хранению информации для расшифровки ключей в TPM (Trusted Platform Module). Автоматическая разблокировка зашифрованного диска в привязке к аппаратному обеспечению и верифицированной загрузке упрощает внедрение шифрования дисков в корпоративных и совместно используемых системах, а также на удалённых серверах, на которых нет возможности после каждой перезагрузки вручную вводить пароль...Подробнее: https://www.opennet.me/opennews/art.shtml?num=59728
Это какая-то чушь, у тебя в аэропорту Бен-Гуриона отнимут ноут и спокойно залезут внутрь. Пароль нужен всегда.
И как они залезут не зная пароль пользователя при верифицированной загрузке? Если раскололся и свой пароль раскрыл, то и пароль от шифрования диска раскроешь.
А зажимаем enter-enter-enter и мы в режиме восстановления с расшифрованным диском, opennet.ru/59702
СистемД - спасибо что живой?
Оказывается паяльник не настолько востребован.
не устал глупости писать?!
Так это твоя шутка про паяльник?! Вот никогда не утверждал, что он может вообще понадобиться, особенно с такими бэкдорами.
А что тогда мешает использовать пароль для расшифровки диска + автологин? Все равно один раз вводить.
В старом способе не шифруется EFI раздел с загрузчиком. В новом шифруется весь диск.
EFI не шифруется, а подписывается его содержимоеив виде ядра, initramfs.
Держи загрузчик на внешнем носителе
или всю систему
Лучше три раза вводить.
В случае если ноут сопрут, будет на 15 минут больше чтоб пароли на критичных ресурсах сменить.
Действительно, как же спецслужбы получат пароль, хранящийся внутри отдельного чипа с проприетарной немодифицируемой и неинспектируемой прошивкой, к разработке и насильному внедрению которого причастны спецслужбы?
никак!
Заверили нас серы/товарищи майоры всех стран.
у нас в госучреждениях с разным уровнем тайн
пк только российского производства?
а им просто п....й?
> насильному внедрению которого причастны спецслужбызаверили нас люди, клторые уж точно знают что говорят. только им и можно верить
Надуманая проблема
https://www.opennet.me/opennews/art.shtml?num=58758
Погранцы просто могут тебя развернуть обратно если откажешься говорить пароль. Если же речь идёт про тоаврища майора, то тебя могут просто сильно избить если откажешься разблокировать устройство и показать что ты лайкаешь вражеские телеграм каналы. А потом с помощью паяльника и швабры всё равно покажешь и расскажешь, даже если не виновный пойдешь на сделку со следствием.
Ты говоришь про методы социальной инженерии.
Но это не отменяет необходимость шифрования.
Завернуть могут по любому поводу на самом деле. Был у меня коллега (технический директор) который настолько был awkward, что мы с генеральным директором его регулярно теряли на пунктах контроля, т.к. его постоянно уводили на личный обыск. Первый раз вообще было стрёмно. Вроде все вместе стояли на контроле, а потом человечек взял и исчез. А в Греции его вообще посадили в обезьянник, а потом депортировали. Он просто решил клоунаду устроить во время вывоза запчастей, за которыми надо было срочняк сгонять, т.к. в зипе не было. Мораль: не выё..., не выёживайтесь на контроле с этими вашими "я ничего вам не буду показывать", ибо не в том положении вы.
пурга какая то
просто заберут ноут/телефо/планшет
до момента обратного выезда.
пока будешь наслаждать поездкой,
тебе напихают в устройство всякого дерьма
катайся потом и свисти куда надо
Какие котоламповые истории про избиения))). Вот только конкретных пруфов на них не дождешься.)))
Что то ни один котоламповый страдалец объективных доказательств своих страданий не предъявил. Кроме откровенного вранья.
Зачем возить что-то на зашифрованном диске, когда есть VPN до своего домашнего сервера? ССЗБ.
А потом погаснет свет. А ВПН попадёт под лок как протокол. Давай ещё идей.
Вы действительно считаете, что это давно не решено и всё ещё советуете возить секретные данные на дисках по миру? Ну, ОК )))
То есть ты действительно считаешь, что в случае кражи устройства, злоумышленники должны иметь свободный ко всем данным? Меня не перестают удивлять местные эксперты.
Я подверг критике поездки в чужие юрисдикции со своими зашифрованными данными. А ты начинаешь классическую игру балабола, простите, демагога. На котиках тренируйся.
Шансов что у меня УКРАДУТ нубук, телефон, паспорт и все остальные пожитки гораздо выше чем изымут погранцы.
даже если заберут
при выезде отдадут
Максимум имеют право попросить включить чтобы убедиться что рабочий нубук а не бомба замаскированная под нубук. Требовать разблокировать смартфон или нубук могут только по решению СУДА.
так не вези их в пк
- возьми внешний носитель
- загрузи в облако
- подумай как еще их перевезти через границу
Глотаешь флешки и везёшь. :-D
Вроде чтобы обойти ограничения на вывоз PGP, её даже распечатали как книгу и вывезли.
А данные реально секретные?
Можно шифровать на случай утраты устройства.
Это для челиков всегда берущих с собой тайлс и Тор браузер.
это все можно взять
через облако.
слышал о таком?
>Зачем возить что-то на зашифрованном дискебрэдишь... у тебя на ноуте нет ключей (для входа в "домашний сервер по VPN") и рабочих файлов? мобильные устройства обязаны быть зашифрованными
Просто запомни пароль, зачем тебе хранить ключи?
Ставь простую систему на ноут
Запускай нужную систему с внешнего носителя.
В чем проблема?
В каком-нибудь ТПМ 3 такой вариант наверное запретят как небезопасный.
Ага
Каким образом?
Обучат,урежут уефи и будет грузится только с правильного носителя распознаного ТПМ, на который не каждую файлуху и ОС можно будет вкорячить.
Значит сами себе сократят рынки сбыта.
Будут те кто занимается фигней, но будут и те кто будет продавать полноценный ноут и который будут покупать вместо первых. Ну и кто себе продырявил ногу после этого?
Так будет на планете розовых поней.
А на нашей планете одни будут продавать полностью контролируемый ими ноут на основе какого-нибудь ТПМ3, а другие - какого-нибудь ЧайнаТПМ. И все, больше альернатив никто производить не в сосотянии.
Т.е. они всегда смотрят/копируют диск? У каждого, кто въезжает в страну?
Локомотив всего линукса на планете
> Локомотив всего линукса на планетеА причём тут шляпа?
Ubuntu - поезд, на котором ты едешь к разрушенному мосту.
> загрузчик GRUB и ядро Linux поставляются в пакетах в формате snapСмешались в кучу кони, люди...
Умирает материнка и прощай данные - диск в другой комп не переставить, ключи шифрования бэкапить нельзя
данные резервировать надо
У меня нет возможности делать бэкап два раза в день, а данные терять не хочется, даже за пол дня. Желательно максимально уменьшить вероятность этого.
При этом вот эта их секюрность мне не нужна.
господи, да syncthing рабочей папки на любой свой девайс/писюк, если бд - кроном дамп и в ту же папку, тем более если секурность не так важна. в наше время ссдшек и тп - вообще норм, никаких тасканий ноутов/флешек/пересылки - всегда всё под рукой без удалёнки
Не все сидят целый день попой в кресле под WiFi AP.
Если тебе говорят - нет возможности, значит ее нет.
TPM вещь нужная и полезная. Только не панацея.
Подскажите плз, с целью повышения уровня образованности. Что будет, если TPM как внешний модуль снять с платы? В нём все ключи сотрутся? И что будет, если при использовании fTPM сменить процессор (я правильно понял, что в этом случае ключи в нём содержатся?)?
Сменить процессор на рабочем ноуте?
> Сменить процессор на рабочем ноуте?А причём тут собссно ноут? Вы с АМД-железом последние годы не сталкивались? Собирается на ура с Ryzen-ом комп, в БИОСе есть настройки fTPM.
Секурности от fTPM и от TPM вне проца 0.Подключаемся к шине, подсасываем ключи
Что dTPM, что fTPM хранят ключи во флеш-памяти (в случае dTPM - встроенной в чип TPM). Процессор тут ни при чем, он лишь получает доступ к этим ключам.
Умирает материнка и прощай данные - диск в другой комп не переставить, ключи шифрования бэкапить нельзя
> TPM вещь нужная и полезная.Забыл подпись: ваш куратор из АНБ.
Если бы только АНБ ... Но ведь каждая контора связанная с софтом , железом или медиа . Каждый сайт - им так же будет передаваться идентификатор , забудте про торы и анонимайзеры . А уж заблочить неугодные софт или видео ...
и даже это лучше, чем куратор из ФСБ
Расскажите, плиз, что мне конкретно грозит от сотрудника АНБ, как жителю Волгограда? Даже, если я буду киберкриминалом в открытую заниматься? НИ -ЧЕ-ГО!А от своих родных трехбуквенных я прекрасно знаю, что ожидать.
Сама наивность.
> TPM не позволит получить доступ к ключуИ как он это сделает? Как именно вещь, находящаяся в физическом доступе злоумышленника, может избирательно кому-то что-то позволять, а кому-то что-то нет?
так оно скопировать ключ не даст, а так пользуйся для расшифровки на здоровье
> скопировать ключ не дастТопнет ножкой? Шифрование диска -- это защита от злоумышленника с физическим доступом. Который может иметь любое оборудование. Разобрать железку, подключить куда надо и извлечь что надо. Отошел ты в магаз за пивчанским -- шифрование диска не даст злоумышленнику воспользоваться компом. При условии, что пароль ты унес с собой в межушном нерве, а не оставил его где-то там валяться в TPM непосредственно рядом с диском. В этом плане TPM -- это как стикер с паролем, приклеенный к монитору^W^W к жесткому диску.
> защита от злоумышленника с физическим доступомЕсли есть физический доступ к диску, значит есть и физический доступ к хозяину диска. А далее бутылочно-швабральный и терморектальный криптоанализ сделает своё дело. Не забывай в какой стране живёшь.
>Если есть физический доступ к диску, значит есть и физический доступ к хозяину диска.А вот далеко не факт.
Железку могут примитивно стырить...
Это один и тот же аноним пытается убедить что социальная инженерия отменяет необходимость шифрования.
таких анонимов на форумах пруд пруди
вытравить их невозможно. они клонируются почкованием
Это фсбшники под прикрытием убеждают народ не шифровать свои данные.
та а чё под прикрытием убеждать-то)) вон нам, как исполнителем гоЗАборон, прока уведомление прислали - пришлите-ка нам по приложенной табличке эксель - номер, предмет... поставщиков, процент прибыльности и тп лолну мы, как добросовестные граждане, конечно понимаем что им надо следить, чтоб не растаскивали бУджетные, плевать на коммерчтайну, ток вот интересно, табличка эта, с сортировкой по прибыльности, не попадает ли людям более благонадОжным, чтоб бУджет этот не расплывался куда попало хДД
вот скорее всего,
передать дело в надежные руки,
которые еще и отчихлят пенку сверхприбылей
все под полным контролем окажется
Вот как раз от этого TPM защищает. Обнулил TPM - даже если тебя самого запытают до обнуления, к данны им доступ не получить.
кто пытать будет?
Это так при условии, что своим физическим воздействием сможешь обойти anti-tampering protection чипа.
> при условии, что своим физическим воздействием сможешь обойти anti-tampering protection чипаподозреваю все эти закрытые технологии имеют встроенные бэкдоры для спецслужб и достаточно активировать режим бога, не зря же придумали UEFI
ты все время смотришь со стороны шертвы
посмотри с другой стороны. те кто контролирует их родственники),
могут оказаться на стороне котролируемых.
так что может не надо никаких режимов бога?
сын байдена согласно кивает
И чего мне опасаться западных спецслужб и их бэкдоров? Сильно сомневаюсь что их спецслужбы поделятся бэкдорами с нашими.
Ничеси у вас окружение. Кава в бусике не пьется видимо,надо обязательно за столиком и оставить на нем свое устройство без присмотра.
> так оно скопировать ключ не дастГде гарантия что оно только тебе и дяде с улицы не даст, а тот кто в теме наберёт мастер пароль и получит все нужные ему ключи?
ты давно EULA читал? Там все "NO WARRANTY"
"In order to access or use a resource that has an authorisation policy, a policy session is created. The policy is then executed by running a set of policy assertion commands that modify the digest associated with the policy session. When executing a command that uses a resource with an authorisation policy, the TPM will check that the digest associated with the supplied policy session matches the resource’s policy digest." https://link.springer.com/chapter/10.1007/978-1-4302-6584-9_14Насколько я понял, этот policy привязывается к цифровой подписи и выставляется если эта подпись совпала при проверке загружаемого UKI-образа UEFI-прошивкой . Если загружен образ с другой подписью доступ к информации в TPM не открывается. Поэтому для извлечения ключей нужно либо ломать сам TPM или прошивку UEFI, либо ломать разработчиков Ubuntu, чтобы подписать свой образ, либо ломать систему после загрузки или во время неё (типа уязвимости enter-enter-enter).
> доступ к информации в TPM не открываетсяесли TPM -- не черная дыра, то при должном усердии оттуда можно извлечь всё.
> TPM will check
это как надпись "собственность сотрудника Иванова, не открывать!" на контейнере с едой в общем офисном холодильнике.
TPM/Snapd/SecureBoot/Linux. Волшебные чипы безопасности и контейнеры с добром, линукс будущего!
Напиши свой линyпс. Или только комменты строчить умеешь?
> Напиши свой линyпс. Или только комменты строчить умеешь?Смысл писать если TPM/Securboot откажется грузить все неправильные ОС?
TPM на загрузку не влияет, а Secure Boot спроектирован так что бы в него можно было залить свои собственные ключи
Если за обществом нет собственной производственной базы то что может сделать общество если однажды возможность самостоятельной заливки ключей решат удалить или обесценят внедрением явных или замаскированных бекдоров?
Ну или отключат часть функциональности компьютера?
(например на плейстейщине однажды отрезали доступ к ускорению графики)
Линyпсoв уже написано вагон и маленькая тележка, выбирай какой больше нравится, зачем зацикливаться на бубунте?
Напиши фильтр для комментариев, если комент не нравится. Или только комменты строчить умеешь?
Ну раз делают, значит есть запрос в обществе.
Совсем необязательно, это может быть попытка предложить конкурентное преимущество.
Раз РКН запрещает,
значит есть запрос в обществе
Загрузчик GRUB внутри snapd... Мне от этой новости стало плохо
Соре, там всё из одного места, т.е. из снапа.
>Ядро Linux оформлено в виде унифицированного образа ядра UKI (Unified Kernel Image), объединяющего обработчик для загрузки ядра из UEFI (UEFI boot stub), образ ядра Linux и загружаемое в память системное окружение initrd, применяемое для начальной инициализации на стадии до монтирования корневой ФС. UKI-образ скомпонован в виде одного исполняемого файла в формате PE и заверен цифровой подписью.Сразу нафиг DRM-копирастов.
Пора убунту переименовывать в Snapuntu. Даже винда так агрессивно не проталкивает свои говнотехнологии как эти шизы из каноникал.
Думаю, что эпитета "snapанутые" доолжно быть вполне достаточно.
Дистрибутив сам себя закапывает. Сначала заменили юнити на инвалидный гном, потом снапы, а теперь ещё и реклама в терминале! Если 10 лет назад бубунта была похожа на полноценную ОС, то теперь это очередная васяносборка.
Нет. Сначала заменили GNOME2 на Unity. Именно тогда всё началось.
На днях убунту 22.04 обновилась и сеть перестала работать.
Пишешь с холодильника?PS: Сам на 22.04, полет нормальный.
Такое чувство, что пытаются обеспечить основу для DRM, но придумывают, как бы все это так представить, чтобы выглядело в интересах пользователей.
> Такое чувство, что пытаются обеспечить основу для DRM, но придумывают, как бы
> все это так представить, чтобы выглядело в интересах пользователей.А что если подать в AMD, Intel и антимонопольный комитет петицию о создании и выпуске полностью свободного от DRM компьютера, мотивируя это тем что DRM контент на таком компьютере воспроизводится просто не будет.
Можно ли для этого использовать закон о запрете увязывания продажи товара или услуги с покупкой другого товара или услуги или заключения ещё какого договора?
А судьи кто? Ты такой наивный... Антимонопольный комитет...
> мотивируя это тем что DRM контент на таком компьютере воспроизводится просто не будетОтчисления за носители на ум приходят.
можешь заодно подать в суд, что А-70 на заправках не продается и твой пылесос заправлять нечем)
Ну это примерно как коровы подадут петицию фермерам о запрете использования их молока/мяса. В XXI веке ты уже давно не клиент и даже не потребитель, ты - товар.
uefi мало? чего только стоят первы эскизы...
>В Ubuntu появится поддержка полнодискового шифрования, использующего TPMИнтересно, а как быстро появятся компы в которых будет запрещена загрузка ОС без заверки через модуль TPM?
И можно будет подгружать ОС со своими ключами в TPM или запуск ОС будет возможен только если она заверена ключами владельца прав или производителя платформы?(Я не против прогресса, но где гарантия что прогресс не пойдёт именно в такую сторону?)
Єто не прогресс, єто регресс, типа когда коту делать нечего он йяйца лижеть)))
Мущина, проснитись, вы обоcpaлись!Вон, под столом стоит, выбросить жалко, все ж - раритет. Ранний (до возвращения йопса) клон эпл.
Где-то 96й-98й год выпуска, лень смотреть.То что у него вместо биоса - шифрованное, яблозагрузчик на диске - тоже. Свой подсунуть невозможно.
(вроде там в конце срока существования подобных машинок шифрование взломали, и стало таки да, но это неточно. И tpm не взломают, там все надежно и хорошо.)
Вы вот этот псевдоаплодевайс уже второй раз упоминаете :). Можно поподробнее, что за зверь?
лень под стол лазить. Да и что жертвам гугля дадут непонятные им цифры и буквы?
Когда-то давно эпл пошел путем ебеме и разрешил китайцам производить лицензированные клоны. Но запомнил историю с распечаткой биоса в инструкции, и не позволил китайцам и это тоже повторить и за лицензию не платить - биос был шифрованный и предоставлялся за деньги. Ну а заодно загружал только лицензированную ОС.Потом пришел йопс и прекратил этот балаган.
> Потом пришел йопс и прекратил этот балаган.Насколько помню, это были пре-G3 аппараты, похожие на PC форм-фактором?
ну я хз на что они там были похожие (на современные им PC - если только десктопы брендов типа компака, от китайского ширпотреба отличались и размерами и конструкцией), но да, никаких G тогда еще не было и ишмяков тоже.P.S. кому бы продать эту прелесссть? Самовыносом, потому что к ней прилагается 19" монитор.
> ну я хз на что они там были похожие (на современные им
> PC - если только десктопы брендов типа компака, от китайского ширпотреба
> отличались и размерами и конструкцией), но да, никаких G тогда еще
> не было и ишмяков тоже.
> P.S. кому бы продать эту прелесссть? Самовыносом, потому что к ней прилагается
> 19" монитор.На forums.macrumors.com может взяли бы, но с доставкой. Там в основном буржуины, но большинство вменяемые.
ты себе представляешь во что встанет доставка моника весом в 30 кг и размером с тумбочку?
> ты себе представляешь во что встанет доставка моника весом в 30 кг
> и размером с тумбочку?Не, не представляю :). Про монитор я как-то пропустил.
без монитора как-то не по пацански получаетсо.
> Интересно, а как быстро появятся компы в которых будет запрещена загрузка ОС без заверки через модуль TPM?Думаю, нескоро. fTPM, который внутри процов, на самом деле ненастоящий TPM2, а лишь подобный. Условная военщина или ЦРУ такое не засчитывают. Настоящий же TPM2 - отдельный, подключаемый чип. Сам факт существования публичного стандарта и возможности подключения\отключения устройства уже даёт простор для обхода (можно же любые блокировки обходить дешёвой заглушкой, которая всегда будет выдавать - одобрить). Поэтому бояться надо не TPM2, а возможного TPM3 (с "улучшенной" защитой на фоне предшественников) или скорее Msft Pluton. Эта штука может работать и как просто TPM2 (EEE), но как она устроена, и что она на самом деле делает - никто не знает. Но она пока мир не зохавала - AMD и Qualcomm радостно встроили в свежие процы, а Intel к счастью саботирует.
Православный байкал - оплот свободы
> Православный байкал - оплот свободыРазорился ваш оплот, пишут.
так и было задумано!
средствА освоены - проект может быть закрыт!
ждем новый иновационный прорыв и выделение
средств под него.
главное - концепция суверенности имеется,
а пути найдем )
> ждем новый иновационный прорыв и выделение средств под него.Так ведь сейчас бабло за бугор тащить стало сложнее, да и смысла меньше, т.к. его в любой момент отобрать могут. Поэтому есть слабая надежда, что очередная попытка может быть даже не закончится очередным пшиком.
Главное, чтобы не давали деньги носителям всяческих офигительных идей "а давайте мы в мегапрорывное и ни с чем не совместимое чудо-юдо ввалим бесконечность денег, а так же десятилетия вперёд будем за свой счёт поддерживать форки всех известных софтин". Иначе мы лишний раз убедимся, что история учит лишь тому, что она никого и ничему не учит.
>> ждем новый иновационный прорыв и выделение средств под него.
> Так ведь сейчас бабло за бугор тащить стало сложнее, да и смысла
> меньше, т.к. его в любой момент отобрать могут. Поэтому есть слабая
> надежда, что очередная попытка может быть даже не закончится очередным пшиком.
> Главное, чтобы не давали деньги носителям всяческих офигительных идей "а давайте мы
> в мегапрорывное и ни с чем не совместимое чудо-юдо ввалим бесконечность
> денег, а так же десятилетия вперёд будем за свой счёт поддерживать
> форки всех известных софтин". Иначе мы лишний раз убедимся, что история
> учит лишь тому, что она никого и ничему не учит.Думаете персоналии или целеполагание хоть на миллиметр сдвинулись? А деньги в сторону наты могут утекать не только напрямую, но и через прокладки в ОАЭ и Катаре.
>> ждем новый иновационный прорыв и выделение средств под него.
> Так ведь сейчас бабло за бугор тащить стало сложнее, да и смысла
> меньше, т.к. его в любой момент отобрать могут. Поэтому есть слабаяЭто смотря у кого. Товарищмайор Исинбаева вот чиста перед западной цивилизацией, подумаешь, доверенное лицо президента. Может дальше прыгать.
А тебе конечно заблокируем счет, ты им санкции обходил и на амазоне заказал себе кроссовки адидас!Тащить стало сложнее, поэтому ты еще меньше будешь кушать.
Так и есть в госустройстве )
По итогу платит за весь цирк хражданин.
Увеличились издержки по выводу и хранению бабла за бугром?
Увеличим налоги в стране.. делов то
>> Православный байкал - оплот свободы
> Разорился ваш оплот, пишут.свобода достигнута, можно закрывать проект!
рано.
не сделан последний шаг - отрыть ров вокруг страны
> рано.
> не сделан последний шаг - отрыть ров вокруг страныэто очень сложно, поскольку непонятно где рыть - с одной стороны, границы нигде не кончаются, а с другой - "Хеихсиази нас и Шиболя приготовитьса".
> Условная военщина или ЦРУ такое не засчитывают.Так дело не в них, а в том чтобы обычные граждане на свои компы смогли ставить только одобренные ОС.
>> Условная военщина или ЦРУ такое не засчитывают.
> Так дело не в них, а в том чтобы обычные граждане на
> свои компы смогли ставить только одобренные ОС.Во-первых, это - другая теория заговора, про Secure Boot.
Во-вторых, Debian вполне себе одобренная ОС, так что прорвёмся в любом случае.
В-третьих, как раз среди обычных граждан примерно нулевой запрос на все эти TPM штуки. Они нужны спецуре, военщине, некоторым корпорациям и фрикам. При этом только первые и вторые могут замутить общепринятый стандарт.
> В-третьих, как раз среди обычных граждан примерно нулевой запрос на все эти TPM штуки. Они нужны спецуре, военщине, некоторым корпорациям и фрикам.Но разве военщине и спецуре не выгоднее ДЛЯ СЕБЯ сделать пусть и более медленный, но ПОЛНОСТЬЮ безопасный процессор?
Зачем им упорно есть кактус массового процессора с кучей уязвимостей и бекдоров?
Что-то у тебя не сходится, если бы это было так то им было бы проще и дешевле выделится в отдельную продуктовую линейку процессоров, но они по непонятной причине этого не делают.
>> В-третьих, как раз среди обычных граждан примерно нулевой запрос на все эти TPM штуки. Они нужны спецуре, военщине, некоторым корпорациям и фрикам.
> Но разве военщине и спецуре не выгоднее ДЛЯ СЕБЯ сделать пусть и
> более медленный, но ПОЛНОСТЬЮ безопасный процессор?
> Зачем им упорно есть кактус массового процессора с кучей уязвимостей и бекдоров?
> Что-то у тебя не сходится, если бы это было так то им
> было бы проще и дешевле выделится в отдельную продуктовую линейку процессоров,
> но они по непонятной причине этого не делают.Нет, это ваши домыслы сами себе противоречат: "им выгоднее длеать процессор для себя, но они почему-то его не делают".
А у меня как раз всё по факту, не знаю, почему вы ко мне цепляетесь. ЦРУшники пишут selinux, и теперь он в популярнейших Linux по-умолчанию (см. Android, RHEL, CentOS, Fedora), или просто работает и поддерживается (см. Debian) которые разрабатываются не для ЦРУ, а как раз для обычных пользователей.
Минобороны проталкивает TPM https://en.wikipedia.org/wiki/Trusted_Platform_Module#By_org... и вот, он есть во всех 3-х моих компах (хоть в одном и пришлось отключить).
> Во-первых, это - другая теория заговора, про Secure Boot.Я думаю что неправильно разделять теории заговора так как они не то что могут, а уже собраны на одной платформе и дополняют друг друга в деле ограничения возможностей по свободному использованию компьютера.
>> Во-первых, это - другая теория заговора, про Secure Boot.
> Я думаю что неправильно разделять теории заговора так как они не то
> что могут, а уже собраны на одной платформе и дополняют друг
> друга в деле ограничения возможностей по свободному использованию компьютера.А пример какой-то можно ограничения? У меня 3 компа: новенький настольный на Intel, новенький ноут на AMD, старый ноут на Intel. Везде включён Secure Boot, на 2-х из 3-х включён TPM2, везде стоит Linux, в котором я делаю что хочу. Какие ограничения я должен почувствовать?
> в котором я делаю что хочу. Какие ограничения я должен почувствовать?Так я не говорю что ограничения сейчас активированны, я говорю что потихоньку вводится всё необходимое чтобы их ввести, а там конечно кто знает захотят их на практике вводить или нет.
> Интересно, а как быстро появятся компы в которых будет запрещена загрузка ОС без заверки через модуль TPM?Дык уже - Windows 11 требует TPM в обязательном порядке.
Стикер с паролем + XXI век == TPM.
Это сразу после новостей о проблемах с трм и системд при загрузке, тут же вводят эту хрень в бубунте?! До какого же она скатилась...
ты даже не понял сути тех новостей, раз первое, что ты упоминаешь это системд. но для опеннет это норма
> В Ubuntu появится поддержка полнодискового шифрования, использующего TPMЭто тот, что «enter – enter – enter – enter – enter...»? Не, не нужно.
Интересно, что все боящиеся зондов, государства и прочих страшилок-пугалок не могут себе вообразить самый примитивный и жизненный сценарий - банально забыл ноутбук в такси, или украли из рюкзака, а на ноуте много конфиденциальной инфы, состоящей не из того, кого ты там в телеграмме лайкал, или какую порнуху качал, а какие-то данные работодателя, подпадающие под NDA. Неважно какие - документация, исходники, что угодно. После чего ты с волчьим билетом вылетаешь с работы и будешь сильно благодарен, если на тебя еще и уголовку не повесят (у всех работа разная, может быть и гостайна). И вот тут полнодисковое шифрование - вполне себе выход, потому что пофиг, если твой диск может расшифровать "тащмайор" (за это тебе никто и ничего на работе не предъявит), или даже преступники, которые под дулом пистолета заставят тебя ввести пароль (ты за эти данные жизнью рисковать не подписывался), важно чтобы данные не оказались у третьих лиц по твоей беспечности. Потому что, по статистике, именно утерянные/украденные ноутбуки являются одним из основных источников всевозможных утечек данных.
чувак тебе мозги промыли NDA - это рабство. если ты подписал NDA ты мудак по определению. никакой TPM тебе уже не поможет.
> чувак тебе мозги промыли NDA - это рабство. если ты подписал NDA ты мудак по определению. никакой TPM тебе уже не поможет."Не пускайте детей в интернет, интернет от них тупеет" (С)
> чувак тебе мозги промыли NDA - это рабство. если ты подписал NDA ты мудак по определению.Ты не работаешь, тебя всё ещё родители содержат? Или наоборот, ты владелец бизнеса и сам заставляешь работников подписывать NDA?
А ты прочитай статью повнимательней> шифрования дисков, не требующего ввода пароля разблокировки диска при загрузке
> Автоматическая разблокировка зашифрованного дискаЭто от кражи никак не защитит, всё разблокируется само при включении, без паролей. Непонятен вообще смысл такого шифрования
> А ты прочитай статью повнимательнейЭто ты прочитай статью, например, до конца. Там про это пишут. Если у тебя пароль не 12345, и, тем более, используется какой-либо токен для входа, то сам факт разблокировки диска тебе никак не поможет - зайти все равно не сможешь.
Сенсей, поясни как запуск ос зависит от запуска пк?
> Сенсей, поясни как запуск ос зависит от запуска пк?Напрямую: нажимаешь включение ПК - запускается ОС.
о как
а если загрузчика нет на жд?
а если системы нет на жд?
а если система на внешнем диске?
> о как
> а если загрузчика нет на жд?
> а если системы нет на жд?
> а если система на внешнем диске?"А если бы он вёз патроны?!" (С)
ну там есть еще варианты )
- а если на пк вообще нет жд?
> ну там есть еще варианты )
> - а если на пк вообще нет жд?Добавь еще "а если ПК вообще нет?".
Ну, для полноты картины.
> Неважно какие - документация, исходники, что угодно. После чего ты с волчьим билетом вылетаешь
> с работыи идешь в соседний подвал, подумаешь, потеря.
Местные дешовые рабы,если ты не заметил, давно уже ровно из этих.
Даже если бы у них было что-то кроме токена уже и так закомиченого в гитляп и шитхап, и их на самом деле за это уволили а не пожурили.
А гостайну просто нефиг выносить из бункера. Да и не позволит тебе никто.
Да и сценарий на самом-то деле маловероятный. Таксист или просто быстроногий унесун твои пароли искать не будут, как вынимается (даже если вообще) диск из ноута они не знают да и царапки на крышках им ни к чему. Ну, в большинстве случаев. Царапаный на авито дешевле придется выставить.
> Местные дешовые рабы,если ты не заметил, давно уже ровно из этих.Дык, в дешёвые-то идти нехочется.
> А гостайну просто нефиг выносить из бункера. Да и не позволит тебе никто.
В теории - да. А вот на практике... Короче, на практике чуток не так.
> Да и сценарий на самом-то деле маловероятный.
Очень даже вероятный. Погугли что-то вроде "утечка данных украденный ноутбук" - сам убедишься. И это только известные и распиаренные случаи. А по факту - любой коммисионщик компутерный тебе подтвердит, что важную и крайне конфиденциальную информации на чужих девайсах они находят буквально ежедневно. И тут можно лишь рассчитывать, что перепродаван на Савле, или Горбушке окажется благоразумным и сам удалит твои секретные данные, а не перепродаст их кому-либо.
> Таксист или просто быстроногий унесун твои пароли искать не будут, как вынимается (даже если вообще) диск из ноута они не знают да и царапки на крышках им ни к чему.
Так они и не будут ничего вынимать, просто сдадут за копейки на то же Савло, а там ребята уже разберутся.
> В теории - да. А вот на практике... Короче, на практике чуток не так.ну есть всякие странные страны, где замминистра забывает ноут с гостайной на автобусной остановке, потому что ему не дают броневик и шесть ментовских джипов впридачу на дачку ездить.
Но там скорее всего не линукс, потому что помимо шифрования есть еще полиси, не позволяющая подключаться к защищенным сетям если не установлен антивирус правильного образца со свежими сигнатурами, политики не применены в том числе те что для hardening, что-то считающееся небезопасным понаставил юзверек и т д. Теоретически это все конечно можно и в убунте сделать, но жить в эту пору прекрасную мы уже точно не успеем.
> Так они и не будут ничего вынимать, просто сдадут за копейки на то же Савло, а там ребята уже
> разберутся.да ну, разберутся они. Накатят краденую дрисяточку и в продажу.
Один из моих ноутов купленный с горя за неделю до вылета вот такой. В ем есть AMT, и теоретически он управляется ... а хз кем. Продаван не знал ни пароля, ни вообще что это такое.
>забывает ноут с гостайнойфильмов насмотрелись, максимум какие там данные могут быть это U//FOUO
>>забывает ноут с гостайной
> фильмов насмотрелись, максимум какие там данные могут быть это U//FOUOда нет, лет пять назад какой-то сонный замминистра чего-то умудрился таки в родном кэпитол ов зе греатбритн прогадить такой ноут.
Не нашли. (ноут. Замминистра протрезвев к понедельнику сам нашелся)
Был большой скандал - пацаки мол охренели, до чего довел планету этот фигляр пэже. А потом случился брякзит и про эту проблему все забыли. Так что у тебя тоже есть шанс найти такой ноут и убежать.
и впоследствии снять кино про это?
Прости, а как ты вынес с работы ноут, в котором есть конфеденциальная информация?
> Прости, а как ты вынес с работы ноут, в котором есть конфеденциальная информация?Даже не знаю, что тебе на это ответить. В руках.
ст. 283 УК РФ
> И вот тут полнодисковое шифрование - вполне себе выходЧукча не читатель и уж тем более не пониматель. Публика как раз обеспокоена надёжным шифрованием с доступом через пароль, а не через общественный туалет TPM. И откуды вы такие берётесь?..
>> И вот тут полнодисковое шифрование - вполне себе выход
> Чукча не читатель и уж тем более не пониматель.Оно заметно.
> Публика как раз обеспокоена надёжным шифрованием с доступом через пароль, а не через общественный туалет TPM.
Ты вообще за нитью повествования следил? Или, как обычно, смысл мимо тебя прошел?
Там речь шла про необходимость полнодискового шифрования в принципе, а не где конкретно хранится пароль.> И откуды вы такие берётесь?..
У меня вот примерно такой же вопрос.
ХЗ... У меня всё тайное хранится в контейнерах TrueCrypt...
> ХЗ... У меня всё тайное хранится в контейнерах TrueCrypt...А свопом ты тоже не пользуешься? Потому что иначе у меня для тебя плохие новости...
>> ХЗ... У меня всё тайное хранится в контейнерах TrueCrypt...
> А свопом ты тоже не пользуешься? Потому что иначе у меня для
> тебя плохие новости...А у тебя своп не чистится после работы с тайнами?
Ох, как опрометчиво...
> А у тебя своп не чистится после работы с тайнами?Ну вот я, в какой-то момент устав возиться со всякими костылями, перешел на шифрование диска со свопом и firejail для ограничение доступа приложениям. И стало мне хорошо, сухо и комфортно.
Только ключи с паролями остались в вере, но это уже скорее привычка, да и удобнее.
мастер-ключ нужного формата в голове
попробовать?
Есть разные варианты
Например как tails работает.
можно просто в live-режиме запускаться
можно zram откопать
короче, есть решения
тож так работаю, по каждой организации свой контейнер, как маунтишь - syncthing подхватывает, удобно))в вере вроде же это в настройках - шифровать всё что в память падает и вайпать при выходе/дизмаунте, на свопы не распростаняется, фича рекваест надо французику писать?))
Окстись, какой своп в наше время. Я не помню, когда последний раз занималось больше половины оперативки, а так, обычно, 20-30%.
> Окстись, какой своп в наше время. Я не помню, когда последний раз занималось больше половины оперативки, а так, обычно, 20-30%.Ох уж эти гуманитарии... Сходи в гугл и поищи зачем вообще нужен своп и почему его до сих пор используют. Спойлер: далеко не только в случаях нехватки оперативы.
Постоянная шифровка/дешифровка - это дополнительная нагрузка на процессор, на контроллер...
В случае с ноутбуком - довольно неловкая тема для батарейки...
Современный процессоры умеют встроенные блоки шифрования, если цепочку использовать тут уж извините.А так да TrueCrypt
> Современный процессоры умеют встроенные блоки шифрования, если цепочку использовать тут
> уж извините.Угук... Но не думаешь же ты, что эти самые "блоки" работают без электричества?
:)
Как и любые специализированные блоки, электричества они потребляют мизер. Много ли уходит на декодирование видео посредством видеокарты, например?
А что, современные видеокарты потребляют мало электричества? Не зря же отдельная колодка для питания видеокарт есть.
ви видимо необучаемы ничему в принципе, еще раз аппаратные декодеры снимают нагрузку з процессора, и они придуманы для того что бы потреблять мизер. И если включить даже 8к H265\AV1 потребление будет на минимальном уровне. А вот игры это другое, для игор и сделаны радиаторы. Вот там потребление максимальное.
уже veracrypt/zulucrypt
это у любителей трукрипты оно так. Потому что ни оптимизаций ни использования современных фич.У любителей битлокера все в ажуре - а что не в ажуре, шифруется гораздо быстрее чем успевает дешевенький nvme в том ноуте. Там накладные расходы даже в микроскоп не видны.
когда это битлокер стал - хорошо?
чем плох dmcrypt/cryptsetup ?
> чем плох dmcrypt/cryptsetup ?тем, что пишет в заголовок информацию о виде шифрования, что позволяет брутить пароль на порядки быстрее, чем в Veracrypt.
плюс в популярных дистрибутивах по умолчанию установщики используют простое и лёгкое для брута шифрование, нормально LUKS2 настроить можно только при ручном создании раздела.
трукрипт тоже брутабелен, хоть и намного медленнее, чем dmcrypt.
битлохер в принципе рассматривать нельзя.
единственное надёжное полнодисковое шифрование на сегодня - Veracrypt. но оно не умеет в линуксы и вряд ли научится :)
такая штука есть
без заголовков.
не читал?
https://www.pgpru.com/forum/kriptografija/analogpgpsobespech...
> https://www.pgpru.com/forum/kriptografija/analogpgpsobespech...
> cryptsetup -c aes-xts-plain64 -s 512 -h sha512брутится на порядки быстрее, чем Veracrypt
Ну-ну..
Ну сначало надо понять что раздел зашифрован.
А потом тацевать с брутом.
Тот кто нахреначил такое шифрование,
пароль не ставит "12345"
Да даже с сигнатурами, лет 100 будешь брутить
Ну или жди тот самый компутер
> Ну-ну..
> Ну сначало надо понять что раздел зашифрован.
> А потом тацевать с брутом.
> Тот кто нахреначил такое шифрование,
> пароль не ставит "12345"
> Да даже с сигнатурами, лет 100 будешь брутить
> Ну или жди тот самый компутерхозяйке на заметку:
> cryptsetup -c aes-xts-plain64 -s 512 -h sha512
- поддерживается hashcat-ом
> cryptsetup luksFormat --type luks2 --pbkdf argon2id
- НЕ поддерживается hashcat-ом
теперь, надеюсь, понятно, почему не стоит использовать мануалы десятилетней давности.
к чему этот пассаж?
речь шла о бруте пароля длинной ну например более 40 знаков
и что мешает использовать версию, которая подходит под
поставленную задачу?
речь то изначально идет о правдоподобном отрицании,
но чел решил что сбрутит пароль как 2-3 пальца об асфальт!
> не умеет в линуксы и вряд ли научится :)через initrd
>> не умеет в линуксы и вряд ли научится :)
> через initrdможно рабочий мануал по установке? сходу не нагуглил.
> заголовок информацию о виде шифрования, что позволяет брутить пароль на порядки быстрее
> используют простое и лёгкое для брута шифрованиепоздравляю, ты вообще не понимаешь принципы современной криптографии
Уже не помню точный расклад, делал для себя тест-тире-учебу по инитрамфсгода как 2-3 назад - все можно - но жутко руками-деланный-вариант.
Загоняется в инитрд ехешник vc (консолка проходящая по версии глиба) батничек там тривиальный в общем-то стряпается. Кидаешь модули для дмкрипта и луп. Самый гов-й этап - в контейнер спихиваешь ВСЮ систему-на-одном-разделе и всё. Бутишься с флеша\рхе подготовленной своей версией со своим инитрд и вуаля. И хидден-волюмэ там... и винт без-разделов и загрузчика вообще.....
Но обновлять эту систему легкий гемор.
Пс. Тестил и дракут убунтовский и mkinitramfs и по-мойму теКстовую-федору (за компанию).
Псс. Да и вообще - пойми - на ходу придумываю - безсвоповая хост-система с виртуалбоксом - открываешь консольным вс хидден-том - и стартуешь виртуалку с образа в хидден-томе. (Для любителей паяльника - в нормал-томе ТОЧНО ТАКЖЕ НАЗВАННЫЙ подменный образ ; формат образа qcow - чтобы vb не ныл про несовпадение Uuid диска)
Экспертиза о видах шифрования намного хуже популярной опеннетовской по-умолчанию. Повторять чужую чушь на порядки быстрее, думать головой намного медленнее. Аноним не умеет в линуксы и вряд ли научится.P.S. Кому не пофиг с LUKS2 давно Argon2 применяют, а заголовки с большой и толстой парольной фразой хранят раздельно. А Виндой вообще в здравом уме никто не пользуется.
> когда это битлокер стал - хорошо?да в целом и всегда был - неплохо. Проверено итальянскими мафиози и не только.
> чем плох dmcrypt/cryptsetup ?
в дрисяточку как-то кривовато устанавливается.
Ну а по факту - вот например перечитай историю с ентер-ентер-ентер и я еще там подкинул увизгвимостей в grub с тем же постэффектом (эти на самом деле затрахаешься применять, но аппарат-то есть) MS ни на чем таком не попадалась, во всяком случае не каждый второй васян может отпереть такой диск. И никаких паролей при загрузке, только при логине, все расшифрует TPM.
Согласен. В 10-ку если только гвоздями прибивать,
но комп после этого не будет работать.Таки не надо оставлять ОС без присмотра, по-хорошему то
Да и груб можно переместить в не поле доступа
> Таки не надо оставлять ОС без присмотра, по-хорошему тоя не готов ходить с прикованным к ноге ноутбуком. И тем более стационарником.
Приходится оставлять.
Пока мой прон не с-пили (и, главное, не подбросили новый)
Зачем так суррово?
Достаточно приковать флеху с ОС
к карману. Невелика тяжесть
veracrypt? на стандартном aes вообще не заметно потерь
Как назвать человека, который не разбираясь в теме, несёт откровенную чушь с авторитетным видом? Ну, здесь его называют пох.Есть в TrueCrypt поддержка AES-NI, сто лет в обед как. А вот кто будет пользоваться пропиетарным BitLocker'ом от запятнавшей себя компании, про который никто не знает как он шифрует - вот это вопрос.
> не требующего ввода пароля разблокировки диска
> Автоматическая разблокировка
> обеспечивает должную защиту данных в случае кражи устройстваИ каким образом это обеспечивает защиту от кражи, если пароль вводить не требуется и всё автоматом само разблокируется? В чём вообще смысл такого шифрования?
Ну вот разблокировалось оно, загрузилось и перед тобой висит приглашение "login:". Дальше что? Как на полностью обновлённой системе без известных уязвимостей получишь доступ?
init=/bin/bash тут не работает? :)
Нет, UKI же.
> Как на полностью обновлённой системе без известных уязвимостей получишь доступ?покурю с месяц хДДД
> В чём вообще смысл такого шифрования?Если по-простому, смысл у TPM2 такой: чип работает как огромный сложный пароль. Без него расшифровать данные нельзя. Если кто-то украдёт диск из вашего компа и подключит к своему - увидит фигу. А ваш комп запаролен на уровне ОС, и без этого пароля нельзя получить доступ к диску.
Если пользователь сам дополнительно не добавил слот с "ручным" паролем, так как это обычная связка luks + tpm.
Шифровать диск можно и без TPM . Единственное отличие - TPM контролирует "разрешённость свыше" железа , софта и медиа .
Я тоже не понял. Выше кучу всего нафлудили, видимо знают :-)
Доколе это терпеть! Хватит ходить вокруг да около!Ждем: systemd-snap!
>шифрование, не требующее ввода пароляКруто. Можно ещё замок на дверь повесить, который открывается, если потянуть дверь на себя.
Сути не понял, но уже пишешь. Хоть тему для начала изучи.
да эт как на адроиде - пока первый раз пароль после включения не введёшь - юзерспейс прибитый
https://ubuntu.com/security/notices/USN-6355-1
CVE-2021-3695, CVE-2021-3696, CVE-2021-3697, CVE-2021-3981,
CVE-2022-28733, CVE-2022-28734, CVE-2022-28735, CVE-2022-28736,
CVE-2022-28737, CVE-2022-3775,https://launchpad.net/bugs/2029518
это помимо быстро-пробела в системдряни.
вот тебе то же самое без систем_мд
https://www.opennet.me/opennews/art.shtml?num=45492
> вот тебе то же самое без систем_мд
> https://www.opennet.me/opennews/art.shtml?num=45492это обход ручного ввода пароля, если он у тебя отсутствует - ты в безопастносте...пока системдрянь не пустит по нажатию энтеров.
А если присутствует, это все же не настолько фатально - расшифровать ничего в этом режиме уже не получится, только нацарапать какую-нибудь похабень.
так и в системд можно отключить подключение консоли в случае аварийном режиме
> так и в системд можно отключить подключение консоли в случае аварийном режимену и вот ты конечно же это сделал до того как узнал про быстро-ентер?
Всегда ж отключаем, а то вдруг понадобится чинить чего?
так это не проблема системд, иксперд. Или перечитывай. ты, как и любом вопросе, запомнил то, что тебе хочется, а не факты
> так это не проблема системд, иксперд.это проблема systemd.
> вопросе, запомнил то, что тебе хочется, а не факты
отойди от зеркала.
Поправьте меня если я не прав:
Все эти игрища с TPM относительно, например, полнодискового LUKS, кроме кучи проблем, дают только одно теоретическое преимущество - злоумышленники не могут незаметно для меня подменить доверенные ядро и рамдиск на левые, сливающие мой пароль от шифрованного диска.
Это обычное шифрование luks, но по умолчанию вместо пароля будет использоваться tpm. Можешь спокойно добавить свой пароль, а так же узнать ключ для разблокировки.См. https://0pointer.net/blog/unlocking-luks2-volumes-with-tpm2-...
https://0pointer.net/blog/unlocking-luks2-volumes-with-tpm2-...
> злоумышленники не могут незаметно для меня подменить доверенные ядро и рамдиск на левые, сливающие мой пароль от шифрованного диска.Зачем менять твою ОС, если необходимые бэкдоры уже крутятся уровнем ниже, внутри Intel ME/Microsoft Pluton? Фактически твоя ОС запускается на правах гостевой, а недоступный тебе гипервизор уже содержит всё необходимое для доступа "кому надо" в обход твоей ОС.
Злоумышленники даже не согут поменить ОС на внешнем ностиеле,
который должен взять с собой, когда пошел в ближайший магаз
Обновил я как-то Ubuntu с 18.04 до 20.04, так все системные мониторы начали показывать разные показания, как то: LXTask, htop, top, mate-monitor и conky, причём без разницы с кэшем/буферами или без, все в разнобой, до этого они показывали одинаково, вот такое качество современной Ubuntu. GRUB и ядро Linux в snap, ну не кретины?
Причем тут Ubuntu? Дистрибутив - это набор компонентов от разных авторов. То чтотони сделали, то и попало в Ubuntu, Fedora, Arch, NixOS и так далее.
В Debian те же версии программ показания показывают адекватно.
давай прувы (скрины ubuntu/debian в одинаковых условиях) или лжец
Такого не может быть! Версии программ, дистрибутив укажи. Сам проверю.
> шифрования дисков, не требующего ввода пароляДа-да-да, как раз то, что надо.
не требует ввода у простого юзера.
пытливый ум найдет способ обойти это удобство
По-моему, если уж и беспокоиться о безопасности, то ключ с загрузчиком на отдельный диск. Тогда точно никто не выудит, да и пароль можно будет не вводить.
Всё делается для отжатия инфы у пользователя в пользу корпораций.
Рeшето, без полной поддержки шифрования ОЗУ это средство бесполезно перед Passware Kit Forensic.
Зачем шифровать ОЗУ?
Чтобы найти ключ структур LUKS/TPM в памяти открытого сервера.
Опять наличие физического доступа к объекту?
Наличие дырявых процессоров, можно никуда не ходить. VPS арендуем и получаем соседние данные.
Ты на впс-е диски собираешься шифровать с помощью сабжа?
Самый большой недостаток, перегрузка ПК не закрывает диск для шифрования у TPM и TCG Opal 2.0 и много других недостатков технологии когда можно внедриться в шину при передаче.
https://www.logicube.com/shop/writeprotect-bay/
https://security.opentext.com/tableau/hardware/details/tx1https://sumuri.com/product/superimager-plus-8-t3-portable-fo.../
Opal encryption
An unlocked Opal drive will appear as an unencrypted drive to the system and be usable for all supported forensic functions.
Такое решение загрузит безопасно, но данные можно стащить в любой момент просто сервер нужно в скрытом режиме для подключения и доступа к хосту контроллера дисков.
шифрование не защищает данные от уничтожения
шина данных не защищена от передачи с диска в платформу все открытым задом.
Открывается тоже зажатием Enter?
TPM provides zero practical security. The architecture is fundamentally flawed and most existing implementations are completely broke.
The purpose of this article is to dispel the myth around TPM as some sort of general purpose key locker. Significant money and effort has been invested (wasted) in TPM hardware[16] and certification[17], governments[18][19] and organizations require TPM as shorthand for "we are serious about data security," and well-intentioned individuals work on open source projects and academic research to improve TPM security and find new use cases for it. However, the architecture of TPM has flavours of a LLM generated writing: when you look at it from a distance, it seems to hit all the right notes for a security device (strong keys, side channel protections, fault attack mitigation, key hierarchy diagrams, etc) but if you dig deep into the details, you will realize that TPM was not designed in order to protect against real threats that users face.https://gist.github.com/osy/45e612345376a65c56d0678834535166
чего рабочее предлагают, или они ток лозунгами там пушат? ахах
А как зашифровать файл с использованием TPM? Как переставить TPM между компьютерами? Есть ли внешний TPM в USB брелоке?
Умирает материнка и прощай данные - диск в другой комп не переставить, ключи шифрования бэкапить нельзя
Я уверен в будущем будет тулкит для резервного копирования бесполезного и небезопасного TPM чипа внешнего.С такими кривыми реализациями TPM/SecureBoot/CPU/TrustZone(SGX уже прикопали) и другим добром сплошное небезопасное дырявое корыто. Шифрование должно быть аппаратно реализовано между Памятью, ЦПУ, и Диском в режиме защищенных анклавов без дырок от АНБ в этих механизмах. Безсмысленна любая безопасность как реализовано сейчас.
>Шифрование должно быть аппаратно реализовано между Памятью, ЦПУ, и Диском в режиме защищенных анклавовтак вроде серийники везде зашиты - чего не прикрутить-то к уже имеющемуся софту?)) ну или как? по трм во всё это и анлок только если набор совпадает при включении?))
> Умирает материнка и прощай данные - диск в другой комп не переставить,
> ключи шифрования бэкапить нельзяможно просто иметь второй ключ - в смысле, второй слот, с обычным паролем.
(ну при условии что убунта это сделала а не как всегда)Другой вопрос в том, вспомнишь ли ты его через пять лет, и не умрет ли первым - носитель, поскольку это наверняка трех или более уровневый mlc на m2 платке (т.е. вечно перегретой).
Поэтому делай бэкап, делай бэкап, Васян.
Нешифрованые бекапы тебе сильно помогут.
Скопипащу еще раз о шифровании дисков и домашних каталогов:1. https://www.linux.org.ru/forum/security/16348177?cid=16350607
Полнодисковое шифрование жесткого диска с выносом заглавия диска в зашифрованный /boot раздел съемного загрузочного диска (USB флеш). Надежная защита данных при воровстве ноута.
Шифрование домашнего раздела пользователя, для защита данных пользователя от других пользователей включая пользователя root.
Брехня, тебя это не спасет от Cold Boot Attack и дампа памяти.
Т.е. ты бдешь сидеть за дверью с криокамерой? )))
Ржачно
А потом что ты в дампе хочешь найти?
Явки, пароли, списки агентов??? А если там куча мусора?
Мне достаточно взять подготовленную флешку сделать ребут и снять дамп данных которые не очистились из памяти, поиск LUKS структур и указателей к нему не займет много трудностей.
Точно! Что ж я сразу об этом не подумал )))
Да, обязательно напиши разработчикам tails
о своих магических возможностях ))))
Мы всё делаем правильно:
1. Шифруем swap
2. Делаем в системе только гибернацию на диск (шифрованый swap), а гибернацию в память запрещаем.
3. Когда отходим от компа делаем гиберныцию.
4. Загрузка верифицирована, бут с флешек запрещен.
5. Ядро очищает память при освобождении.
Да и ключ LUKS можно в регистрах проца держать, а не в оперативе.
> гибернацию в память запрещаем.Каким образом?
> ключ LUKS можно в регистрах проца держатьКак настраивается?
>> гибернацию в память запрещаем.
> Каким образом?Настройками ядра OS, настройками BIOS.
>> ключ LUKS можно в регистрах проца держать
> Как настраивается?Патчами, настройками ядра OS.
Сильно тебе патчи совтварные помогут, ага.
Да, помогут, ключ LUKS будут хранить в регистрах CPU откуда его достать сложнее чем с оперативы.
в 2023 вайпать при логоффе ещё не научились?))
тэйлс вроде 00000 забивает при выключении
если правильно судо поверофф/ребут? а если мне рубильник дёрнут, и будут ждать там с криокамерой пока я уйду?))
Вайпать надо сразу при освобождении, дополнительно ядро OS должно защищать свои данные и структуры:CONFIG_PAX_MEMORY_SANITIZE=y
CONFIG_PAX_MEMORY_STACKLEAK=y
CONFIG_PAX_MEMORY_STRUCTLEAK=y
CONFIG_GRKERNSEC_KMEM=y
ещё бы своп так зачищать, как тут выше выяснилось, софта-то со всеми плюшками этими нет ессно?)
Оно свап защищает, но диск при очистки свапа жует, да и время на очитку свапа на диске надо заметно больше чем для очистки оперативы.Для всего ПО выше описанные технологии абсолютно прозрачны и всеми давным давно уже используется. Просто убунтологи не в курсе.
Ну если чесно-причесно, то этот мануал и не мануал, а портянка
/boot зашифровать? А кто его при запуске расшифровывать будет?
Ну и если система на внешнем носителе, то шифровать хомяка нет нужды
При той схеме с лора, нужно не хранить критичные данные на диске,
а так же выносить на внешний носитель, например туда же где boot
Чтобы не тягать кучу флэх в кармане... но можно и чутка заморочится
с распределением инфы на разные хранители
Технология полного шифрования диска с выносом заглавия на флешку - очень сильная глобальная защита OS и данных.Загрузка с флешки с шифрованным разделом /boot на котором хранится заглавие для расшифровки диска ноута - очень сильно защищает доступ к мастер ключу при краже ноута с флешкой. Вору сначала надо взлoмать шифрованный /boot, достать с него заглавие шифрованного раздела и взломать сам раздел. Трудоёмкость вырастает в два раза!
Домашний каталог пользователя все равно шифровать надо, чтобы защитить данные пользователя при взломе системы и получении прав root. Или, просто, во многопользовательской системе, где несколько пользователей знают пароли для расшифровки диска и могут его извлечь, присоединить к другому компу с полным доступом и расшифровать диск.
В данной схеме пользователь для входа должен 3 раза вводить пароль:
1. расшифровка /boot на флешке
2. расшифровка диска ноута
3. вход в систему и расшифровка /homeНекоторые в шифрованный /boot на флешке ложат ключ для автоматической расшифровки диска ноута. Тогда пароль №2, для расшифровки диска ноута вводить не надо, но для взлома хватит украсть эту флешку и взломать только /boot.
Другие /boot на флешке не шифруют, только ключ LUKS шифруют и в initrd добавляют скрыпт для его расшифровки по паролю. Вопрос почему шифрование LUKS по ключу предпочтительнее пароля при выносе заглавия LUKS на флешку рыторичен.
А ты не подумал, почему выносят /boot
на внешний носитель? А?
Если ты его шифруешь, какая проблема может быть?
Ну по твоей схеме, у тебя ж он защищен шифрованием (!)
А знаешь почему выносят?
Потому что, если зашифруешь загрузчик, нихрена система не запустится )))
Шифрованный /boot выносят на флешку и хранят в нём заглавие LUKS от шифрованного диска ноута, чтобы:
1. Скрыть методы шифрования диска ноута и крайне затруднить извлечение из него данных.
2. Сам /boot шифруют, чтобы защитить ядро содержащие публичные ключи для верификации модулей ядра и IMA/EVM, initrd, а в нашем случае еще и заглавие LUKS для расшифровки диска ноута. Флеху с заглавием, по очевидной причине необходимо бекапить, а держать на бекапе не шифрованный /boot с ядром, initrd и заглавием LUKS не хорошо. Флеху могут украсть вместе с ноутом.Если использовать загрузчик GNU GRUB, то есть возможность иметь шифрованный /boot раздел и ещё верифицировать при загрузке все модули и настройки GRUB, ядро, initrd по цифровой подписи.
Не шифрованным на флехе есть только файл core.img от GRUB который содержит минимальный набор модулей GRUB необходимый для расшифровки раздела /boot, верификации цифровой подписи и публичный ключ для проверки цифровой подписи. Этот core.img должен быть подписан вашим ключом с UEFI Secure Boot, для его верификации и соблюдения верифицированной цепочки при загрузке системы.
https://www.gnu.org/software/grub/manual/grub/grub.html#Usin...
https://www.gnu.org/software/grub/manual/grub/grub.html#cryp...
https://www.gnu.org/software/grub/manual/grub/grub.html#Devi...https://wiki.archlinux.org/title/Dm-crypt/Encrypting_an_enti...
https://cryptsetup-team.pages.debian.net/cryptsetup/encrypte...
https://wiki.gentoo.org/wiki/Security_Handbook/Boot_Path_Sec...
https://www.unixsheikh.com/tutorials/real-full-disk-encrypti...
https://www.unixsheikh.com/tutorials/real-full-disk-encrypti...
Отвечу сразу как подписать своим ключом с UEFI Secure Boot свой GRUB core.img со своими ключами для верификации всего что в /boot:https://ruderich.org/simon/notes/secure-boot-with-grub-and-s...
https://habr.com/en/articles/273497/
https://www.linux.org.ru/forum/admin/15742224?cid=15742698
хренасе целый огород с UEFI Secure Boot
а если его нет?
купить ноут с ним?
Пост, на который ты ответил не о Secure Boot, а о полнодисковом шифровании, включая шифрованный /boot.Для шифрования и верификации всего что есть в разделе /boot никакой Secure Boot не нужен! Хватает старого ноута или компа с любым обычным BIOS. Но на старом оборудовании с BIOS не будет верифицироватся MBR и core.img от GNU GRUB. Наличие оборудования с UEFI Secure Boot дает возможность верификации файла core.img от GNU GRUB.
Повторю вопрос:
Если boot зашифрован, что будет его расшифровывать
(без всяких там Secure Boot/ uefi and etcТС ставиться в mbr и поэтому возможно полнодискове шифрование.
в случае с dmcrypt, cryptsetup бедут зашиврован. Так что будет расщифровывать?
> Повторю вопрос:
> Если boot зашифрован, что будет его расшифровыватьПовторю ответ:
https://www.opennet.me/openforum/vsluhforumID3/131450.html#298
"Не шифрованным на флехе есть только файл core.img от GRUB который содержит минимальный набор модулей GRUB необходимый для расшифровки раздела /boot, верификации цифровой подписи и публичный ключ для проверки цифровой подписи. Этот core.img должен быть подписан вашим ключом с UEFI Secure Boot, для его верификации и соблюдения верифицированной цепочки при загрузке системы."
Столько писанины ... TPM появился не вчера и все гадости известны с самого начала - просто набрать в поисковике "критика TPM" .
Интересно когда в Стим научится игры из виндовс по КД ставить ?
Уже всё есть. Достаточно включить РН.
Заменили юнити на гном, потом снапы, а теперь ещё и реклама в терминале!
Недаром Steam использует Arch, а не снапбунту
чего они вообще бсд какой не взяли?
БСД сообщество корпораций для тебя пилить не будет. Всё сам.
И как же шифрование полнодисковое, если /boot не зашифрован у них. Хотя можно зашифровать и это несложно. Плохо что-то с Канониклом.