Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 46
А может кто-нибудь рассказать как шифрование сказывается на скорости работы? Спасибо
Существуют быстрые алгоритмы, существуют медленные. Не зная какая там именно схема применяется, сложно что-то сказать.
AES в связке с dmcrypt
AES довольно быстрый алгоритм, так что не сильно заметно будет. Особенно если с аппаратной поддержкой.
Я на HTC Sensation XE тестировал пару лет назад, — из просто тормозного телефона (спасибо HTC Sense) при включении шифрования он превращается в еле ползающий. Аппаратной поддержки там нет.
С другой стороны — во всех айфонах уже много лет как все аппаратно шифруется (даже если пользователь не установил скринлоков никаких), и никто не жалуется на тормоза :)
С другой стороны — во всех айфонах уже много лет как все аппаратно шифруется (даже если пользователь не установил скринлоков никаких), и никто не жалуется на тормоза :)
Ну даже простой XOR можно сделать так, что будет шифровать 16 байт в секунду ;-) Скорее всего, узкое место — не сам шифр. Например, процессу шифрования назначен самый низкий приоритет. Или шифрование выбрано не поточное, но с обратной связью. Тогда для получения последнего байта нужно расшифровать все предыдущие и затраты тем больше, чем больше объем файла при случайном доступе…
Если новые устройства будут с аппаратной поддержкой шифрования — то почти никак (имхо все топовые qualcomm-ы уже имеют аппаратный AES).
А без неё, особенно на бюджетниках — будет заметно медленнее работать.
А без неё, особенно на бюджетниках — будет заметно медленнее работать.
Nexus 5, Moto Razr:
«Никак». По крайней мере, визуально разницы нет.
«Никак». По крайней мере, визуально разницы нет.
Я когда шифранул телефон потери скорости не заметил. Правда ввод пароля стал напрягать, раньше можно было жестовый пароль задать, а теперь только цифровой.
Никак.
Ну то есть я шифровал на бюджетном планшете данные и не заметил разницы в производительности, здесь все на 5+.
Проблема была с тем что пароль неожиданно перестал подходить, хотя я уверен что пароль 100% правильный, так как я не менял и ввел простой пароль для теста — в итоге пришлось все удалять на заводские настройки.
Вообщем надо какой-то второй пароль что ли, иначе будет колоссальное количество жалоб или пофиксить все баги.
Ну то есть я шифровал на бюджетном планшете данные и не заметил разницы в производительности, здесь все на 5+.
Проблема была с тем что пароль неожиданно перестал подходить, хотя я уверен что пароль 100% правильный, так как я не менял и ввел простой пароль для теста — в итоге пришлось все удалять на заводские настройки.
Вообщем надо какой-то второй пароль что ли, иначе будет колоссальное количество жалоб или пофиксить все баги.
Ну теперь главное пароль не забыть.
Но наверняка будут не очень сильные места в системе его хранения! ;-)
На телефоне пароль не хранится.
С шифрованием графический пароль не используется. А… да, такой метод…
Кстати, а почему? Ведь можно узлы решетки приравнять к цифрам. В итоге вы соединяете в последовательности цифры. Тот же пароль по сути.
Только очень и очень слабый. Точек-то девять, но в большинстве случаев выбор у вас не так велик — варианта 3-4, иногда чуть больше. То есть графический пароль должен будет содержать где три десятка точек, чтобы быть достаточно безопасным. Рисовать такую колбасу, пожалуй, сложнее, чем ввести алфавитно-цифровой пароль.
Пароль должен храниться на серверах Гугла. Любой пароль. С привязкой само собой.
Разумеется это нужно для улучшения юзер экспиренса!
Разумеется это нужно для улучшения юзер экспиренса!
> Что касается Apple, компания также будет шифровать все данные пользователей в новой iOS 8, обновиться до этой версии ОС можно уже сейчас.
Если мне память не изменяет, то в iOS по умолчанию включено шифрование уже много лет как.
Если мне память не изменяет, то в iOS по умолчанию включено шифрование уже много лет как.
Я очень надеюсь, что эта «фича» будет отключаемой.
В андроиде от шифрования одно название.
Утверждают что там dm-crypt — полное шифрование блочного устройства.
1) Шифрования нет.
Я проделал следующие действия: зашифровал раздел, создал документ, сбросил к заводским настройкам. Теперь телефон начал загружаться без запроса пароля на расшифровку. И файл на месте.
В dm-crypt должно быть невозможно получить доступ к данным без пароля и невозможно преобразовать зашифрованный раздел к незашифрованному — нужно каждый байт переписывать.
Более того, в dm-crypt очень сложно преобразовать незашифрованный раздел к зашифрованному. Поэтому сказочно быстрое преобразование раздела по кнопке «зашифровать мой телефон» очень сомнительно.
2) Пароль обязан быть одинаковым на блокировку телефона и на раздел.
Это полный бред и искусственное огранчение стойкости шифрования. Телефон разблокируется пальцами и четырёхзначное число достаточно надёжно.
Раздел же расшифровывается автоматическим брутфорсером с гигантской скоростью подбора паролей. Надёжным разработчики dm-crypt считают пароль больше 10 символов, с капсом, цифрами, специальными символами. Такой пароль невозможно использовать, так как его придётся вводить каждый раз для разблокировки.
В нормальных системах пароль на раздел спрашивается один раз при загрузке, а для блокировки — другой пароль.
Утверждают что там dm-crypt — полное шифрование блочного устройства.
1) Шифрования нет.
Я проделал следующие действия: зашифровал раздел, создал документ, сбросил к заводским настройкам. Теперь телефон начал загружаться без запроса пароля на расшифровку. И файл на месте.
В dm-crypt должно быть невозможно получить доступ к данным без пароля и невозможно преобразовать зашифрованный раздел к незашифрованному — нужно каждый байт переписывать.
Более того, в dm-crypt очень сложно преобразовать незашифрованный раздел к зашифрованному. Поэтому сказочно быстрое преобразование раздела по кнопке «зашифровать мой телефон» очень сомнительно.
2) Пароль обязан быть одинаковым на блокировку телефона и на раздел.
Это полный бред и искусственное огранчение стойкости шифрования. Телефон разблокируется пальцами и четырёхзначное число достаточно надёжно.
Раздел же расшифровывается автоматическим брутфорсером с гигантской скоростью подбора паролей. Надёжным разработчики dm-crypt считают пароль больше 10 символов, с капсом, цифрами, специальными символами. Такой пароль невозможно использовать, так как его придётся вводить каждый раз для разблокировки.
В нормальных системах пароль на раздел спрашивается один раз при загрузке, а для блокировки — другой пароль.
Про первый пункт — скорее всего кривая реализация в вашем аппарате. В действительности при нажатии «зашифровать» оно должно перезагрузиться и примерно час висит потом надпись «шифрую» (зависит от объема внутренней памяти), и оно таки реально шифрует.
Был топик в песочнице как установить разные пароли на загрузку и разблокировку экрана. Но только для этого требуется права root, а это не всем подходит.
1. Где хранился документ? Что именно было зашифровано? Если зашифровался системный раздел, а документ лежал на незашифрованной карте, то почему бы и нет?
2. В чём смысл иметь сложный пароль на расшифровку и простой на разблокирование? Телефон большую часть времени включен, следовательно ключи шифрования уже расшифрованы (сложным) паролем и находятся в памяти. Простой пароль на разблокирование телефона сводит на нет весь смысл иметь длинный и сложный пароль для шифрования: разблокировал украденный телефон тем же буртфорсом и слил с него всё, что нужно. Защищать паролем заряжание батареи пока ещё всё равно не научились. Правило остаётся всё то же: либо удобно, либо безопасно.
2. В чём смысл иметь сложный пароль на расшифровку и простой на разблокирование? Телефон большую часть времени включен, следовательно ключи шифрования уже расшифрованы (сложным) паролем и находятся в памяти. Простой пароль на разблокирование телефона сводит на нет весь смысл иметь длинный и сложный пароль для шифрования: разблокировал украденный телефон тем же буртфорсом и слил с него всё, что нужно. Защищать паролем заряжание батареи пока ещё всё равно не научились. Правило остаётся всё то же: либо удобно, либо безопасно.
2. Смысл есть. Брутфорсом лок-скрин не обойдёшь, если есть ограничение на число попыток.
Надо делать паузу в N минут после N-ой неуспешной попытки ввода пароля.
Надо делать паузу в N минут после N-ой неуспешной попытки ввода пароля.
А вариант извлечь память напрямую?
А может для расшифровки системой использоваться не просто пароль из 4 символов, а строка состоящая, напимер из device id, этого пароля, еще какой-либо соли уникальной… тогда брутфорс уже не пройдет, если дешифровать отдельно раздел… Хотя в тоже время если использовать брутфорс через систему, где эта соль известна, то да, надежность не высока.
«Сколькисимвольный» пароль?
Нельзя ли его перебрать банальным «брутфорсом»?
Нельзя ли его перебрать банальным «брутфорсом»?
Когда же наконец сделают форк Андроида и выпилят оттуда весь этот гугловский маразм, начиная с MTP.
Какой смысл вообще иметь шифрование телефона как такового? Безопасники (назовем их так) не хранят важные данные на смартфоне, особенно данные, которые могут заинтересовать правительство. А вот оставшиеся 99,99% будут очень громко плеваться, вынужденные вводить каждый раз пароль к своим котикам.
Ну прям ситуация 1 в 1 с MTP. Давайте сделаем плохо всем, но зато телефон сможет иметь доступ ко всем файлам, будучи подключенным к компьютеру.
Какой смысл вообще иметь шифрование телефона как такового? Безопасники (назовем их так) не хранят важные данные на смартфоне, особенно данные, которые могут заинтересовать правительство. А вот оставшиеся 99,99% будут очень громко плеваться, вынужденные вводить каждый раз пароль к своим котикам.
Ну прям ситуация 1 в 1 с MTP. Давайте сделаем плохо всем, но зато телефон сможет иметь доступ ко всем файлам, будучи подключенным к компьютеру.
Не вижу ничего плохого с MTP как я подключал девайс к компу и он работал так и подключаю. В линуксе уже не помню как было, но вроде бы особо не сложно подключалось. Работает и ладно, когда было монтирование как обычной флешкой приходилось отсоединять раздел и приложения переставали работать. MTP же дает очень быстрое подключение без каких либо проблем.
Насчет важных данных — дело скорее всего еще в банковских данных. Тот же Google Wallet надо защищать, насколько я знаю на нексусах нет защищенного хранилища для карт аппаратного, в отличии от того же HTC One. Шифрование позволит гугл уговорить к примеру банки к тому, чтобы данные на девайсе хранить.
К слову на телефоне может быть очень много данных, которые заинтересуют того кто его украл. К примеру какие нибудь личные фотографии которыми можно шантажировать. Кстати при подключении кабеля спрашивает пароль? Шифруется ли эмулярованная карта памяти?
Насчет важных данных — дело скорее всего еще в банковских данных. Тот же Google Wallet надо защищать, насколько я знаю на нексусах нет защищенного хранилища для карт аппаратного, в отличии от того же HTC One. Шифрование позволит гугл уговорить к примеру банки к тому, чтобы данные на девайсе хранить.
К слову на телефоне может быть очень много данных, которые заинтересуют того кто его украл. К примеру какие нибудь личные фотографии которыми можно шантажировать. Кстати при подключении кабеля спрашивает пароль? Шифруется ли эмулярованная карта памяти?
Давно использую Luks Manager для создания шифрованного контейнера под Android, в этот контейнер перемещены базы и конфиги установленных программ, содержащие учетные данные от различных сервисов. От ввода пароля ни разу не плевался )
Для меня смысл в шифровании в том, что это своего рода «соломка на случай падения».
Смартфон часто бывает в местах, где может потеряться/попасть в чужие руки. Кроме того стоимость информации, к которой я регулярно получаю доступ, пользуясь смартфоном, многократно превышает стоимость самого устройства — лучше «перебдить чем недобдить».
Для меня смысл в шифровании в том, что это своего рода «соломка на случай падения».
Смартфон часто бывает в местах, где может потеряться/попасть в чужие руки. Кроме того стоимость информации, к которой я регулярно получаю доступ, пользуясь смартфоном, многократно превышает стоимость самого устройства — лучше «перебдить чем недобдить».
MTP позволяет получать доступ к хранилищу на девайсах, где 1 физическое хранилище. При монтировании флешки у этого устройства пропадает доступ к ней, а соответственно у девайсов без флеш-карты так сделать не получится, ибо и система установлена на этом хранилище. тогда что-бы примонтировать флешку необходимо было бы отключать девайс. А для устройств с картами памяти включили MTP для корректной работы приложений, большая часть которых используют данные, хранящаяся на карте памяти. А значит при монтировании приложения перестанут работать/станут работать некорректно/будут вылетать.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Новая версия Android будет шифровать данные пользователя по умолчанию