Comments 72
Где купить в России не самовывозом?
Официально в Россию эти устройства не ввезти. По нотификации не проедет. Нужна лицензия. Лицензию не получить, потому что нужно предоставить исходные коды.
Хм, хотите сказать, что Corsair Padlock 2, которая официально продается в России, прошла все это..?
На их страничке есть 2 Российских дилера. istorage-uk.com/wheretobuy.php
А про лицензию не совсем так — чтоб ввозить и продавать — лицензия и исходники не нужны. Продают же Iphone у них тоже встроено шифрование. Короче есть возможность приобрести в России с гарантией и прочими обязательствами. Например у нас из 60 шт флешек оказалось 2 бракованные -доставка в англию и обратно получалась больше стоимости этих флешек. Доставка около 15-20 дней смотря куда.
Да и не скажу, кто но есть в России аналоги и по дешевле и по прикольней.
Corsar и Kingston Travel это все без ГТД
А про лицензию не совсем так — чтоб ввозить и продавать — лицензия и исходники не нужны. Продают же Iphone у них тоже встроено шифрование. Короче есть возможность приобрести в России с гарантией и прочими обязательствами. Например у нас из 60 шт флешек оказалось 2 бракованные -доставка в англию и обратно получалась больше стоимости этих флешек. Доставка около 15-20 дней смотря куда.
Да и не скажу, кто но есть в России аналоги и по дешевле и по прикольней.
Corsar и Kingston Travel это все без ГТД
Посмотрел странички дилеров. Первый вообще пустой. Второй только по Украине.
Но вернемся к законности ввоза этого устройства.
Обратимся к официальной базе зарегистрированных нотификаций: www.eurasiancommission.org/ru/docs/Pages/notif.aspx
Оформленной нотификации на данное устройство нет. Более подробно со всеми положениями можно ознакомиться из документа: www.eurasiancommission.org/ru/act/trade/catr/nontariff/Documents/2.19%20-%20shifrovka%20PR.doc
Исходя из вышеприведенного документа (Приложение №2) данное устройство не соответствует параметрам, на которое нужно оформлять нотификацию. Поэтому для ввоза такой флешки нужно получать именно лицензию.
Ваш аналог мы уже обсуждали на хабре. Только автор топика почему-то предпочел скрыть его от общественности ;)
Но вернемся к законности ввоза этого устройства.
Обратимся к официальной базе зарегистрированных нотификаций: www.eurasiancommission.org/ru/docs/Pages/notif.aspx
Оформленной нотификации на данное устройство нет. Более подробно со всеми положениями можно ознакомиться из документа: www.eurasiancommission.org/ru/act/trade/catr/nontariff/Documents/2.19%20-%20shifrovka%20PR.doc
Исходя из вышеприведенного документа (Приложение №2) данное устройство не соответствует параметрам, на которое нужно оформлять нотификацию. Поэтому для ввоза такой флешки нужно получать именно лицензию.
Ваш аналог мы уже обсуждали на хабре. Только автор топика почему-то предпочел скрыть его от общественности ;)
А какова вероятность, что производитель имеет супер-администраторский пин-код?)
А стирание по десятку попыток можно отключить? Будет крайне досадно, если приятель возьмет, поиграется без особой цели разблокировать и сотрет все.
Нет, к сожалению, такой настройки нет.
Подобные устройства не созданы для того, чтобы с ними игрались приятели. При выборе устройства стоит это учитывать.
Возможно, приятели этого не учтут ;))
Это должен учитывать хозяин устройства, а не его приятели.
Ну там, куда не дотянутся ручки «кого не надо» мне и защита не особо нужна. А вот такая защита хорошо бы подошла именно от случайных любопытных. Но без такого кардинально уничтожения.
А еще можно вспомнить про Zalman ZM-VE400, в которую можно поставить свой SSD/HDD, и купить в обычном DNS за ~2.5Кр.
Класная вещь, кроме шифрования кстати, оно умеет монтировать ISO-шники как виртуальный CD, т.е. можно с него загрузить любую live-cd операционку или «ремонтный» диск и т.д. просто положив несколько ISO на плату.
Причем на usb 3.0 убунту лайв грузит за 4-5 секунды. То же на CD — минута с гаком.
Причем на usb 3.0 убунту лайв грузит за 4-5 секунды. То же на CD — минута с гаком.
Было бы замечательно, если можно было монтировать образы HDD. А если еще и можно было бы подделывать модель винчестера, серийный номер и версию прошивки — был бы офигенный хакерский девайс.
А что с шифрованием у него не так? Real Time 256-Bit AES Hardware Encryption
Кажется, Zalman в этом топике смотрелся бы круче — туда можно воткнуть своего донора (естественно с форматированием...)
Кажется, Zalman в этом топике смотрелся бы круче — туда можно воткнуть своего донора (естественно с форматированием...)
Можете подробнее рассказать про стирание жёстких дисков?
Принцип одинаковый у всей линейки продуктов: если введете код неправильно несколько раз подряд, то устройство просто блокируется. Чтобы продолжить работу с ним, его нужно сбросить, при сбросе стираются все данные и меняется пин-код.
Скорее всего просто стирается ключ шифрования AES, хранящийся в чипе, доступ к которому и закрывается цифровыми пин-кодом. Данные превращаются в кашу. Теоретически.
Были бы очень интересны такие девайсы с open-source прошивкой.
Сам собрал прошивочку, и уверен, что никаких лазеек нет. Жаль, что никто пока не выпускает.
Сам собрал прошивочку, и уверен, что никаких лазеек нет. Жаль, что никто пока не выпускает.
Ну так сделайте контейнер truecrypt внутри такой флешки и думаю можно не переживать.
Ну, контейнер truecrypt можно сделать внутри любой флешки,
тут весь прикол в том, чтобы шифровалось не на компьютере а во флешке.
тут весь прикол в том, чтобы шифровалось не на компьютере а во флешке.
Ну наверное просто люди которым нужна такая защита данных, обычно не умею сами прошивать флешки.
А вообще, если бы не было удаления данных через 10 неудачных попыток, использование вместе с truecrypt было бы замечательным.
А вообще, если бы не было удаления данных через 10 неудачных попыток, использование вместе с truecrypt было бы замечательным.
В России её вообще использовать в качестве системы шифрование конфиденциальной информации нельзя, а какой там менталитет в Европе или Америке мы не знаем, мб их это полностью устраивает, хотя ту же гос.тайну такими игрушками точно не шифруют.
Кстати весь смысл ввода пин-кода с собственной клавиатуры в том, что перехватить его не получится.
А у этих флешек есть пин для стирания ключа в ручную?
Кстати весь смысл ввода пин-кода с собственной клавиатуры в том, что перехватить его не получится.
А у этих флешек есть пин для стирания ключа в ручную?
UFO just landed and posted this here
На какой-то барахолке в описании товара пишут про iStorage datAshur:
Что-то я такого в инструкции не нашел, про разделение доступа. Врет продавец?
Доступ к данным устройства может быть многоступенчатым, содержать гостевой, пользовательский или админский доступ. Например, если от вас начнут требовать пин-код, вы выдаете гостевой пароль, и получается, что недоброжелатели получают данные для общего пользования, а секретные данные автоматически уничтожаются.
Что-то я такого в инструкции не нашел, про разделение доступа. Врет продавец?
Баловство имхо.
Обычная флешка/диск с трукрипотом в десятки раз дешевле, открытый код и неоднократно доказанная надежность.
Обычная флешка/диск с трукрипотом в десятки раз дешевле, открытый код и неоднократно доказанная надежность.
А её можно будет подключить, например, к планшету?
Возможность подключения к планшету стоит закрытого кода, неудобной клавиатуры для ввода пароля, цены в 5-10 раз дороже?
Тут каждый решает сам для себя.
Тут каждый решает сам для себя.
Тут каждый решает сам для себя.
Всё зависит от требований, которые необходимо учитывать владельцу. Если ты хочешь курсовую или диплом защитить (а вдруг?), то конечно хватит и трукрипта, а вот если у тебя какая-то финансовая документация, или нечто подобное, то наверняка переплатить будет не лишним =)
С трукрипта можно загрузится?
Трукрипт-том откроется на машине с ограничениями на запуск/установку ПО?
Трукрипт-том откроется на машине с ограничениями на запуск/установку ПО?
Вот не нравилось мне никогда это «стирание после 10 попыток». Получается первый же любопытный коллега/сотрудник/ребенок, не знающий про эту фичу — и все, сушите весла? Всегда ведь можно дать погулять часок-другой, и все
Ну очевидно, что на такой флешке следует хранить данные, которые лучше потерять, чем отдать кому-то другому. Выбор настоящих параноиков.
UFO just landed and posted this here
Не пойму, если данные на флэшке зашифрованы, как может быть два пароля?
Очень просто. Данные зашифрованы, а ключ сныкан в недрах контроллера. Он их расшифровывает, если введен правильно любой из двух
Тогда появляется возможность получить собственно один из ключей, нет? Ведь они не являются ключом к расшифровке.
Ключ шифрования/дешифровки хранится в контроллере и никоим образом не зависит от пинкода. Просто контроллер соглашается расшифровывать данные только после ввода оного.
Думается, что как-то так:
Два ключа
Кстати при десятикратном неправильном вводе «забываем» соль в железе.
Два ключа
К
(их запоминаем) — для каждого генерится своя соль С
и сохраняется в железе, функция Ф(К, С)
и есть реальный ключь шифрования, т.е. РК = Ф(К1, С1) = Ф(К2, С2)
.Кстати при десятикратном неправильном вводе «забываем» соль в железе.
А как вы добьётесь вот этого — Ф(К1, С1) = Ф(К2, С2)?
Довольно просто, нужно просто знать обратную функцию к
Например функция
Тогда реальный ключь
1) Просим ввести пользователя свой первый пароль
2) Вычисляем реальный ключ по соли
3) Просим ввести второй ключ
4) Вычисляем новую соль
5) Проверка
Конец.
Ф
(назовем ОФ
): Например функция
Ф
это XOR, тогда ОФ
тоже XOR, К1 = 5555555
и случайно сгенерированый С1 = 1234567
.Тогда реальный ключь
РК = 4592612
.1) Просим ввести пользователя свой первый пароль
К1
.2) Вычисляем реальный ключ по соли
(5555555 ^ 1234567) = 4592612
3) Просим ввести второй ключ
К2
, например 99999994) Вычисляем новую соль
С2
используя ОФ(К2, РК) = (9999999 ^ 4592612) = 14583195
5) Проверка
Ф(К2, С2) = (9999999 ^ 14583195) = 4592612
Конец.
«Created in RAM and compared to EEPROM» в таких случаях как правило означает
«В EEPROM лежит что то для сравнения например контрольная сумма».
Подозреваю что «AES Key» без «User PIN» или без «CO PIN» — мертвый груз (ака соль), посему он может хранится в контроллере сколько ему угодно. Иначе зачем Hash-DRBG?
Либо так, либо — решето…
«В EEPROM лежит что то для сравнения например контрольная сумма».
Подозреваю что «AES Key» без «User PIN» или без «CO PIN» — мертвый груз (ака соль), посему он может хранится в контроллере сколько ему угодно. Иначе зачем Hash-DRBG?
Либо так, либо — решето…
Данные зашифрованы ключом A, который дважды (в двух разных областях памяти) зашифрован ключами U1 и U2. Пароли к ключам U1 и U2 — это пин-коды.
При работе проверяется соответствие парооля ключу U1, если не подошел, то U2, если не подошел, то отказ.
При работе проверяется соответствие парооля ключу U1, если не подошел, то U2, если не подошел, то отказ.
UFO just landed and posted this here
И это, конечно, ни разу не реклама.
У меня есть такой винчестер от iStorage (только почему-то логотипа diskAshur на нём нет). Версия USB2 1 GB с классическим винчестером. В принципе работает, но есть и небольшие недостатки:
Во-первых, если подключить его к USB и начать вводить код немедленно, то он не принимается. Надо чуток подождать, пока винчестер внутри раскрутится. Секунд этак три-пять. Иногда достаёт — то ли я неправильно ввёл код, то ли он ещё не готов его принять.
Во-вторых, не все компьютеры способны его запитать — там потребляемый ток на грани порта, иногда надо пользовать Y-кабель (он в комплекте прилагается). Причём, по внешнему виду и звуку не скажешь — хватает ему или нет, просто он код не принимает и всё.
В-третьих, если компьютер с подключённым и разлоченным винтом перегрузить, то система перестаёт винчестер видеть (хотя на нём по-прежнему горит зелёная лампочка). Приходится его отсоединять, затем снова присоединять, снова вводить пин-код, только после этого система его видит.
В-четвёртых — кабель реально короткий (он, правда, удобно прячется в корпус) — в результате винчестер на нём, как правило, висит — у большинства десктопов расстояние от USB до поверхности стола довольно велико. А через удлинитель может и не работать по причине высокого потребляемого тока.
Я это всё к тому, что наверное лучше брать USB3 SSD версию (если средства позволяют) — там эти болячки (ну по крайней мере первые две) могут быть пофиксены.
Ах, да, к нему ещё приятный на ощупь мешочек в комплекте идёт.
Во-первых, если подключить его к USB и начать вводить код немедленно, то он не принимается. Надо чуток подождать, пока винчестер внутри раскрутится. Секунд этак три-пять. Иногда достаёт — то ли я неправильно ввёл код, то ли он ещё не готов его принять.
Во-вторых, не все компьютеры способны его запитать — там потребляемый ток на грани порта, иногда надо пользовать Y-кабель (он в комплекте прилагается). Причём, по внешнему виду и звуку не скажешь — хватает ему или нет, просто он код не принимает и всё.
В-третьих, если компьютер с подключённым и разлоченным винтом перегрузить, то система перестаёт винчестер видеть (хотя на нём по-прежнему горит зелёная лампочка). Приходится его отсоединять, затем снова присоединять, снова вводить пин-код, только после этого система его видит.
В-четвёртых — кабель реально короткий (он, правда, удобно прячется в корпус) — в результате винчестер на нём, как правило, висит — у большинства десктопов расстояние от USB до поверхности стола довольно велико. А через удлинитель может и не работать по причине высокого потребляемого тока.
Я это всё к тому, что наверное лучше брать USB3 SSD версию (если средства позволяют) — там эти болячки (ну по крайней мере первые две) могут быть пофиксены.
Ах, да, к нему ещё приятный на ощупь мешочек в комплекте идёт.
Интересно, что в Украине можно купить без всякой почты, в магазинах.
datawaysecurity.com/ru/products/list.php?SECTION_ID=161
Как у них с сертификацией? Пропускают?
datawaysecurity.com/ru/products/list.php?SECTION_ID=161
Как у них с сертификацией? Пропускают?
Вместо стирания данных после 10 попыток, могли бы сделать экспоненциальное замедление: пусть каждая следующая попытка подобрать код проверяется в 2 раза дольше предыдущей.
решается разбором устройства и отсоединением обесточиванием
А если количество попыток писать в ПЗУ?
Никто не мешает менять ПЗУ в данном случае — ключа не было при неверном вводе, значит хорошо зашифровано данное значение быть не может. Правда и от брутфорса такая атака не спасет, т.к. память всегда можно вернуть к предыдущему состоянию.
Ограничителем может стать только внутреннее шифрование чипа, но при должном умении все равно может быть вскрыто.
Ограничителем может стать только внутреннее шифрование чипа, но при должном умении все равно может быть вскрыто.
Можно сделать экспоненциальное замедление и без хранения счетчика попыток. Пусть внутри процессора хранится ключ, зашифрованный функцией от пинкода. Добавим к нему контрольную информацию и зашифруем еще раз некоторым N-разрядным случайным числом Z. Сразу после этого удалаяем число Z из памяти. Теперь узнать его можно только полным перебором.
Валидация теперь выглядит так:
1) юзер вводит пин
2) процессор начинает подбирать Z. Допустим, это занимает 1 секунду.
3) если при расшифровке контрольная информация совпала, значит перебор закончен
4) процессор расшифровывает ключ при помощи пинкода
5) ключ шифруется новым случайным Z
5.1) если пинкод верный, разрядность Z берется по умолчанию
5.2) если пинкод неверный, разрядность Z берется на единицу больше текущей. Таким образом, следующая попытка займет уже 2 секунды, следующая — 4 и т.д.
Валидация теперь выглядит так:
1) юзер вводит пин
2) процессор начинает подбирать Z. Допустим, это занимает 1 секунду.
3) если при расшифровке контрольная информация совпала, значит перебор закончен
4) процессор расшифровывает ключ при помощи пинкода
5) ключ шифруется новым случайным Z
5.1) если пинкод верный, разрядность Z берется по умолчанию
5.2) если пинкод неверный, разрядность Z берется на единицу больше текущей. Таким образом, следующая попытка займет уже 2 секунды, следующая — 4 и т.д.
Чем бы дитя не маялось…
Если уж так свербит, то не проще ли создать на флешке что-нибудь вроде encfs и т.п., чтобы монтировать с паролем?
Если уж так свербит, то не проще ли создать на флешке что-нибудь вроде encfs и т.п., чтобы монтировать с паролем?
Главные достоинства аппаратного шифрования:
1) Полная независимость от платформы и софта. Если устройство может работать с обычными флешками — сможет и с зашифрованной.
2) Пароль не покидает пределов устройства, можно не бояться кейлоггеров.
encfs, truecrypt и т.п. этого не обеспечивают.
1) Полная независимость от платформы и софта. Если устройство может работать с обычными флешками — сможет и с зашифрованной.
2) Пароль не покидает пределов устройства, можно не бояться кейлоггеров.
encfs, truecrypt и т.п. этого не обеспечивают.
1а) Устройства, не умеющие шифрование, это либо телевизоры какие-нибудь, либо вообще микроволновки. Чего там шифровать — рецепт бабушкиного пирога?
1б) Для бешеных параноиков решение на каком-нибудь дешевом ARM-процессоре + SD-карточке обойдется ощутимо дешевле. А то и не на ARM, а и вообще на PIC…
2) Паранойя такой степени, пожалуй, даже в психушке не лечится…
1б) Для бешеных параноиков решение на каком-нибудь дешевом ARM-процессоре + SD-карточке обойдется ощутимо дешевле. А то и не на ARM, а и вообще на PIC…
2) Паранойя такой степени, пожалуй, даже в психушке не лечится…
Кстати эта флешка выпускается под одной и той же лицензией что и Aegis Secure Key habrahabr.ru/post/138289/
И не буду говорить кто, но одна крупная западная компания выпускает под этой лицензией девайсы и анонсирует что это их разработка хотя все это тупо OEM с подправленным девайсом.
Будьте острожный и не поддавайтесь на маркетинговые ловушки )
И не буду говорить кто, но одна крупная западная компания выпускает под этой лицензией девайсы и анонсирует что это их разработка хотя все это тупо OEM с подправленным девайсом.
Будьте острожный и не поддавайтесь на маркетинговые ловушки )
Sign up to leave a comment.
Суперзащищенные флешки и жесткие диски