Комментарии 130
практически невозможно замаскировать факт выкручивания винтов корпуса, если на них нанести каплю подобного разноцветного ужасаА зачем кому-то разбирать ваш лаптоп? Это долго, муторно и вряд ли возможно, пока хозяин «отошел за кофе». Куда проще загрузить свою ОС с USB, а про настройку и пароль на BIOS в статье ни слова.
LUKS и VeraCrypt помогут, но сожрут ресурсы CPU и уронят IOPSПрямо-таки «сожрут и уронят». Даже на устройствах 10-летней давности hardware-accelerated AES — несколько гигабайт в секунду.
я неудачной прошивкой отправил на колесо сансары материнскую плату, убив чипсет.
Энтерпраз принтеры и МФУ от компании НР делают это без участия пользователя, самостоятельно пытаясь обновить прошивку через сеть.
См. «Ready 2 Download» в сочетании с интересным дополнением «Fatal Error 7».
Всего лишь экономия на маленькой аппаратной кнопочке «вернуть заводские застройки», а сколько удовольствия пользователям и системным администраторам (девайс весит каких-то 30 кг при 483х420х500)
знание правда только у сервисов HP небось
Именно.
Плюс можно вызвать грузовое такси /машину из сервиса — но переть эти 30 кг до двери (дальше посторонних не пускают) будет сисадмин, причем в одиночку (все лица мужского пола — в отпуске до сентября). Это не говоря уже про то, что гарантия закончилась давно, и ремонт, по некоторым данным, может обойтись в треть стоимости устройства.
А что нам рекомендует техподдержка НР?
Ни за что не угадаете — выключить устройство из розетки, подождать 60 секунд и снова включить :)
А в моём случае только паяльная станция и замена SIO + SB была, т.к. какой-то не той настройкой вида «magic register1» эти обе микросхемы отправились в мир иной.
В общем, в сравнении с нашей проблемой — у вас обошлось малой кровью.
(кстати, а почему 30-кг неудобногабаритные устройства не снабжены колесиками? :)
Энтерпраз принтеры и МФУ от компании НР делают это без участия пользователя, самостоятельно пытаясь обновить прошивку через сеть.
HP вообще красавчики — в 2019 г. в их струйных широкоформатниках активировалась ошибка firmware, которая убивала чипы в картриджах (разумеется, оригинальных и вполне себе новых). Всё, что рекомендовала HP — обновить прошивку и купить новые картриджи. Мы тогда влетели, помнится, на 3 комплекта, т.е. примерно на 60 тыс. рублей.
Всё, что рекомендовала HP — обновить прошивку и купить новые картриджи. Мы тогда влетели, помнится, на 3 комплекта, т.е. примерно на 60 тыс. рублей.
А что помешало посадить на кукан их представительство за такой косяк?
т.е. примерно на 60 тыс. рублей.
У нас эта проблема потянет минимум на 14 000 руб. (в самом лучшем случае и не считая оплаты самого ремонта и транспортных расходов.
Смущает какая-то явная связь между принтерами Самсунг и НР — я не в курсе, может быть кто-то подскажет?
Даже на устройствах 10-летней давности hardware-accelerated AES — несколько гигабайт в секунду.
Это в теории, при шифровании очень длинных блоков в вакууме памяти. На практике, если вы его пропускаете через LUKS, вы получаете намного меньшую производительность (особенно с длиной ключа 256 bit), а если вы вздумаете (вдруг) шифровать NVMe или толстый RAID тем же LUKS, то просядете конкретно ниже его реальной производительности.
Когда я "в лоб" попытался навернуть LUKS на свой домашний сервер после установки NVMe, удивился низкой производительности (< 1 GiB/s, без него около 3 GiB/s), стал копать и обнаружил что с обычными дисками (HDD) тоже не всё так гладко (~30% ниже), в итоге наткнулся на блог Cloudflare, где очень хорошо разобран этот вопрос. Возможно, их патчи вошли в последние ядра, но до них — всё не очень радужно.
Это тем более печально что далеко не всегда можно воспользоваться встроенным шифрованием накопителей — например, если железо не ваше и шарится с кем-то ещё.
Когда я "в лоб" попытался навернуть LUKS на свой домашний сервер после установки NVMe, удивился низкой производительности (< 1 GiB/s, без него около 3 GiB/s)
Вот как раз весной на два nvme наворачивал luks с --cipher aes-xts-plain64 --key-size 512
и делал тесты до и после — просадка примерно процентов на 10-15, что при их скорости вообще на грани погрешности.
Это зависит от размера операции, типа доступа, количества слоёв блочных устройств — т.е. если у вас softraid => luks => lvm и средний размер операции ввода-вывода в десятки килобайт — это будет намного медленней чем чистый luks поверх железа с блоками от 1 MiB или выше, а если это нагруженная система с кучей ввода-вывода — то проседание будет более очевидно, плюс нагрузка процессора ("железная" поддержка AES тоже не бесплатная, он просто быстрее но всё же жрёт процессор).
Просто проведите эксперимент — сделайте luks поверх ramdisk и пропустите по нему fio с блоками по 4K — и скажите, получили вы "паспортную" скорость AES (гигабайты/c) или нет (как сделали Cloudflare). Если уж с памятью не получается (у них не получилось, у меня тоже) — то что уж про все остальные устройства говорить.
сделайте luks поверх ramdisk
Так я же и не спорю, что luks дает некоторое проседание производительности. Это очевидно. Мой поинт в том, что разницу вы заметите только в тестах. Ну вот например 1.2GB/s vs. 1.1GB/s.
Если у вас интенсивный ввод-вывод (с кучей vm/контейнеров внутри) — очень даже заметная разница.
В моём случае разница была в три раза, как я уже сказал выше — 3 GiB/s без, и чуть меньше 1 GiB/s с LUKS (PNY CS3030 1TB, Intel i7-6700, aes-xts 256b). Путём небольшого тюнинга удалось поднять до почти 2 GiB/s (на длинных блоках), но это всё — что меня тоже не устроило, потому что на 4K было всё равно плохо.
Я вот сейчас запустил cryptsetup benchmark --cipher aes-xts-plain64 --key-size 512
на том сервере и получил Encryption/Decryption == 1780.7 MiB/s / 1783.3 MiB/s соотв.
Для ключа в 256b цифры в районе 2020.
На голой системе цифры были чуть больше.
У меня ранее сильные проседания производительности были на конфигурации с luks поверх mdadm, что как-бы тоже очевидно.
benchmark не показывает реальную производительность — это совсем не то же самое что рамдиск (и любое другое блочное устройство) с luks поверху — даже с рамдиском вы не получите такого результата. В моём случае там были цифры больше 3 GiB/s, но это как раз и есть теория, которая сильно отличается от практики.
Проблема не в самом шифровании — проблема в том как оно используется dmcrypt (блокировки, буфера, etc), в статье на которую я дал ссылку всё это хорошо описано.
Если вас устраивает скорость шифрования — ок, отлично, я всего лишь хочу сказать что потери есть и в зависимости от use case они могут быть очень ощутимы, при этом теоретическая скорость существенно выше практической.
Он показывает столько "выжимают" выбранные алгоритмы на данной машине. Естественно, что он не покажет реальную производительность, которая сама по себе вещь довольно сферическо-вакуумная и зависит много от чего. Но позволит грубо прикинуть, будет ли шифрование на данной машине узким местом.
Меня просто очень удивили (вплоть до "ну не может такого быть в 2020") ваши цифры 3 GiB/s -> 1 GiB/s. У вас luks прямо на железе и поверх сразу файловая система? Или еще прослойки есть?
luks сразу на железе, поверх него lvm-thin и ext4. При тестах без fs (dd iflag=direct bs=4M) поверх luks скорость была около 1.3 GiB/s, без luks это 2.7 GiB, поверх fs через fio (iodepth=8 4k) — как говорил выше, около 3 GiB без luks и менее 1 GiB/s с luks. В обоих случаях прогон был по 20 GiB случайных данных, т.е. "честно" без компрессий и всего такого, одно ядро было загружено почти полностью (dmcrypt не использует многопоточность для одного устройства, по понятным причинам).
Если вы всё же прочитаете статью — поймёте почему это возможно в 2020. Я тоже был очень удивлён, особенно тем что mdraid1 из обычных дисков тоже просел (но там спас тюнинг и более низкая скорость самих дисков, хотя и на пределе).
Фишка в том что для большинства применений, особенно с сеткой в 1 Gbit это почти незаметно, но у меня другой случай и сетка 10 Gbit — не заметить было сложно.
Ясно.
А вы реально упираетесь "в продакшене" в это проседание?
Я к тому, что запись 20Г случайных данных за раз одним куском — судя по всему, не сильно вероятное событие. Я на своих кейсах (2х nvme с luks и поверх zfs mirror, на нем proxmox с несколькими виртмашинами) вообще ниразу не упирался в производительность дисковой подсистемы.
Раньше я упирался в производительность сетки и не сильно парился — но после перехода на 10 Gbit стало не совсем всё равно, потому что 100 MiB/s и 200 MiB/s (больше HDD не позволяют) это таки разница в два раза, а данные гоняются часто, причём сотнями гигабайт — разница ощутима, а luks без тюнинга таки приводил к этой разнице.
Что касается NVMe — не сказал бы что это реально заметно, просто потому что он сам по себе (даже со всеми проседаниями) очень шустрый, и мои кейсы более чувствительны к iops, с этим как раз особых проблем нет.
С другой стороны, по мере увеличения количества одновременных писателей и читателей, разница всё же становится заметной, особенно когда он используется как iSCSI target по сетке больше чем одним потребителем.
Я просто расчитывал что поставлю NVMe и забуду про производительность навсегда (или по крайней мере очень надолго) — но эксперименты показывают, что я просто лишь чуть-чуть отодвинул эти проблемы в будущее, а с учётом того что новые (gen4) NVMe имеют скорость даже выше теоретической для AES (4-5 GiB/s) — про luks, наверное, можно забыть, как-то изворачиваться с тем чтобы всегда иметь доступ к железу (для использования нативного шифрования).
Влезть незаметно уже достаточно проблемно, загрузиться — некуда втыкать. Крайне недорогая аппаратная защита :)
LUKS с помощью dm-crypt для линуксоидов и полнодисковые варианты вроде VeraCrypt для всех вариантов ОС. Последний вариант хорош своей гибкостью в выборе алгоритмов шифрования диска и возможностью использования токенов и ключевых файлов на внешнем носителе. К сожалению, использование файлов в дополнение к паролю возможно только для контейнеров на уровне ОС, но не при полнодисковом шифровании.В LUKS возможно практически всё, на что хватит фантазии и терпения. Самые толковые гайды, как обычно, на ArchWiki. Вот, в частности, использование ключа на флешке для полнодискового шифрования.
Я посмотрел. Может вы меня не правильно поняли. Под двойным дном я имел ввиду скрытый контейнер внутри первого, как это делает truecrypt/veracrypt. Прелесть такого контейнера в том, что в скрытом у нас все секретные файлы и работаем мы именно с ним. Если нас требуют дать пароль, мы отдаём пароль от обычного контейнера. Находясь внутри обычного контейнера никак нельзя проверить присутствие скрытого. А если ещё и записать большой объём данных, мы вообще затрем скрытый контейнер. Притом фс этого контейнера (ntfs или fat32) не находит повреждений самой себя. И при работе в режиме "только пошаритьс по файлам", мы не затрем скрытый контейнер.
По вашей ссылке мы задаём лимит на занимаемое файлами пространство в первом контейнере, чем сразу же обнаруживаем присутствие в нём скрытого. Если лимит не задавать, то как только мы примонтируем первый контейнер, проверка фс обнаружит неполадки и исправляя их, испортит скрытый контейнер. Да ещё этим обнаружит наличие скрытого контейнера.
Если лимит не задавать, то как только мы примонтируем первый контейнер, проверка фс обнаружит неполадкиДаже если там будет свободное место?
Ещё такой момент, luks не скрывает свой заголовок, в отличии от truecrypt. В статье по ссылке заголовок скрытого контейнера хранят отдельно на флешке, но, согласитесь, это тоже минус к скрытности.
Вы меня не правильно понимаете, я не отрицаю что в линуксе можно сделать скрытый контейнер, я говорю что luks не предоставляет такого инструмента.
luks не скрывает свой заголовок, в отличии от truecrypt.Можно использовать голый dm-crypt без LUKS-а и его заголовков. Правда, он позволяет использовать только один пароль, и его смена потребует перешифровки всего раздела.
я не отрицаю что в линуксе можно сделать скрытый контейнер, я говорю что luks не предоставляет такого инструмента.Кто-то назовёт это извращением, а я называю это the Unix way! :-)
вводишь ты пароль расшифровки или пароль уничтожения данных
VeraCrypt умеет такое проделывать? Даже если так, то играть в «Молодую Гвардию» вряд ли много захочет, а потому сдаст второй пароль при одном намеке на мою осведомленность о том, что у контейнера есть двойное дно.
А есть способ узнать, что форс-мажорный пароль был введён и реальные данные удалены? "Обознался ты, гражданин начальник, не того взял, я про эту фичу и не слышал" не прокатит?
Это в рассчете на то, что им лень будет вас бить, если они будут думать, что данные все равно не получить? Мне кажется бить они будут из, так сказать, любви к искусству. А лишняя информация и пароли — это так, приятные бонусы.
Потому что решений на вообще все случаи жизни не существует, ровно как и ситуаций, когда бояться нужно всех возможных угроз сразу.
Бояться полицию (какой страны, какого региона?), контр-разведку, бандитов, уличную гопоту, кулхацкеров — это все довольно разные вещи.
Есть ли способ узнать — зависит от того, кто хочет узнать, потому организации, которые заботятся об отсутствии следов данных на носителях, покидающих их область физического контроля, физически уничтожают носители (именно из-за этого почти все Toughbook-и на eBay — без HDD).
Результат использования plausible deniability также зависит от контекста, потому что и ценность данных может быть весьма разной и психология тех, кто хочет их получить. Хотя эта проблема имеет большую техническую составляющую, это, тем не менее, только ее часть.
2) VeraCrypt не умеет стирать данные, второй пароль предназначается для открытия скрытого тома
3) Если у сотрудника ФСБ* есть уверенность, что вы скрываете улики, он не будет разбираться, есть ли там второе дно, есть ли там какие-то пароли для аварийного уничтожения. Он просто будет бить вас током, пока вы сами всё не расскажете и не подпишете.
* разрешённая в России террористическая организация
Именно. Даже сам факт суетливой попытки почитать как что настроить и скачать тулзы в каком-нибудь слабо защищенном месте из кафешки уже будет свидетельствовать, что вам есть что скрывать. То, какие именно тулзы вы качали, подскажет о возможности наличия того же второго дна, а это значит, что ректотермальный криптоаналитик будет стараться куда сильнее прежде чем вас подпустят к клавиатуре для ввода пароля. Настолько сильнее, что вам не захочется уже пробивать второе дно...
9 Не храните на ноутбуке критически важной информации. Работайте с ней через приватное облако, доступ к которому осуществляется по vpn.
Собственно, этот пункт может решить большую часть проблем.
А вы всерьёз рассчитываете сохранить какие-то секреты в ситуации когда дело дошло до разогретого паяльника?
Не жить по адресу прописки, не снимать квартиру договором на своё имя, не ездить на машине зарегистрированой на себя, звонить с симки, купленной в переходе, носить медицинскую маску, держать в рюкзаке лишний предмет верхней одежды, etc…
На всё это есть свои контрмеры, но если их начали применять против вас — то у вас, пожалуй, и так есть представление о том, что делать дальше.
Собственно, этот пункт может решить большую часть проблем.
Решит часть описанных проблем, но одновременно создаст кучу других — нужно будет обеспечивать безопасность этого приватного облака и VPN. Да и в целом облака — это скорее про удобство работы, чем про безопасность.
Давайте примем за неоспоримые факты 2 вещи: против паяльника приема нет и то что стоимость украденной информации должна превышать стоимость взлома. Иначе разумнее использовать паяльник.
Если ваша информация стоит тысячи — подойдет домашний нас, обычный open-vpn. Если миллионы — сервер в колокейшене с нормальной охраной, оборудованием и прочим. Если миллиарды — тоже есть решения. К которым относится и персональная охрана.
Пс: не на то ответил, сорри.
Но это всё, конечно, чисто теоретические умозаключения.
Чтобы сделать бэкап, надо получить доступ. Это, кстати да, важное условие — возможность сделать бэкап без расшифровки очень сильно снижает защиту.
Смотря где. Если это обычный ПК, то ничто не мешает достать из него диск и скопировать посекторно.
Я давно уже не встречал контор, в которых ценная для других информация хранилась бы непосредственно на жестком диске компьютера, находящегося в помещении фирмы.
«Бизнес охотно мигрирует в облака» — это таки да :)
в чем я имел возможность убедиться неоднократно — в конторе была аолна
краж лаптопов.
Берем любой корпоративный ноут (к примеру Thinkpad):
1. ставим пароль в биосе (он не сбрасывается при вынимании батарейки)
2. включаем защиту от вскрытия — биос будет требовать пароль при загрузке, если сработал датчик открытия или был вынут винт
3. включаем секьюр бут и блокируем опции загрузки кроме системного диска
4. включаем в системе шифрование диска с хранением ключей в TPM чипе
5. включаем биометрию по вкусу
6. при желании, можно включить платную подписку на систему отслеживания от computrace в биосе
7. блокируем даунгрейд версии биоса и апдейтим его до последней доступной регулярно
Корпоративного ноута может и не быть.
Пароль Биос ещё никогда не был реальной защитой, по-крайней мере в серийных ноутбуках, и Thinkpad — тоже, пока не будет серьёзной системы шифрования самой прошивки, оно просто никому не надо.
Computrace может поможет, а может и нет, в сети есть информация, что он наоборот стал причиной несанкционированного доступа.
Биос прошивается(с выпаиванием микросхемы) за 10минут.После чего регистры TPM выдадут иной результат и накопитель не расшифруется.
Ключи хранятся в известном месте прошивки.Ключи в нормальных ноутах хранятся внутри TPM, а не в прошивке.
2. Игнорируем computrace, она еще никому не мешала.
3. Включаем загрузку с флешки, грузимся, добавляем свой ключ в UEFI, добавляем в цепочку загрузки модуль с нужным функционалом.
4. Грузимся с винта, получаем загруженную родную ОС, с корректным ключом в TPM, но с нашим модулем в памяти.
Дальнейшее от поставленных задач
Снимаем клавиатуру, льем программатором нужную версию биоса, затираем пароль, но не трогаем UEFI и вектор TPM.
А если при шифровании задействовался регистр TPM, который выдаёт иное значение при изменении прошивки?
Тут надо ещё понять, какой TPM задействован был, железный в виде отдельного чипа, или ME-шная софтовая его имитация.
Зависит от модели и региона происхождения ноута. У меня аппаратный, на них, кстати с манипуляциями с прошивкой совсем жесть. Есть без аппаратного, но вот есть ли в них софт-имитация, честно говоря так и не понял.
А если при шифровании задействовался регистр TPM, который выдаёт иное значение при изменении прошивки?
А почему он вдруг изменится? Ну не трогаем мы регион с его векторами, не трогаем
4. включаем в системе шифрование диска с хранением ключей в TPM чипе
У меня к вам просьба — подскажите, как включить шифрование на диске с Windows на разделе буткамп на аймаке, где основная система Мохаве.
1) Битлокер в таком случае не работает
2) При выходе из строя такого компьютера, извлечь из него диск с данными для простого пользователя — задача непосильная. В ремонт аймак поедет с диском внутри (и всеми данными на нем, так как что-то сделать с ними на вышедшем из строя компьютере невозможно). Поэтому шифрование диска в таком случае просто необходимо.
MacOS? Apple Watch.
В связке с намазанными болтами, покажет открывалась ли крышка, хотя тем же путём можно и usb порты заклеить и чип биоса на плате.
Только постоянно надо очищать и заново клеить выходит.
(на таких наклейках ставится подпись вручную типа)
можно смешать несколько лаков что бы получить уникальный цвет
подбор и смешивание краски для автомобилей — уже распространенная процедура :)
Тогда надо, мешать лаки на месте, для каждого болта свой (тогда на маскировку вскрытия уйдёт много времени), и каждый раз по другому смешивать, но тут и самому ещё надо запоминать цвета). Да и извращение какое то выходит, сам всегда будешь в лаки этом вымазан)).
Вы не поняли. Там рассчет на уникальность ориентации блесток и ворсинок в засохшей капле лака. Капельку можно сфотографировать (об этом почему-то не упомянули) и, при случае, просто сравнивать с фоткой потом.
Два разных цвета, как я понял, по задумке автора дадут еще и уникальную картинку неполного перемешивания и взаимопроникновения цветов. Короче, подделать такую ювелирную капельку получится куда дороже, чем воспользоваться паяльником.
На таком же принципе много защит работает. На деньги наносятся уникальные брызги и следы от ворсинок. В тазеры насыпают конфети уникальной формы и с пометками, по которым можно установить серийный номер оружия. Убрать все бумажки до единой очень проблематично и долго, ведь они разлетаются.
Такого рода защита в своем роде идеальна, поскольку позволяет цену защиты сделать на много порядков ниже цены потенциального её обхода.
Первый раз просто отверткой покрутил винты
Потом еще раз
И еще
Рано или поздно вам самим надоест перепокрывать лаком, и тут-то он и сделает свой ход.
Это как с сигналкой на автомобиле, если теребонькать её в течении ночи — то кто-то из хозяев может просто взять, и отключить её до утра, чтобы не мешала спать.
Можно не мазать винты и не замазывать usb если положить ноут в пакет или сумку и опломбировать её например этими наклейками, можно и подмазать что то.
(можно было бы в сумку вшить металлические или медные пруты (или мини тросы), что бы без проблем не попасть в неё + это может быть клеткой Фарадея, а это уже идея для стартапа)) )
Это профанация будет, а не клетка фарадея
(В принципе, проверил хоть и проблематично но возможно, может со временем конечно сам отпадёт, надо проверять), не доверяя киношникам )
Берётся волос с головы и крепится в предполагаемой открываемой части, например крышке ноута (в фильме был шкаф).
Здесь основной прикол в слове «крепится».
Ситуация часто описывается в книгах, но обычно не уточняется, как именно фиксируется волос.
Если закрепить слабо — отпадет от любого сквозняка, если крепить надежно — открывающий почувствует некоторое сопротивление.
Плюс крепить надо незаметно, а на практике это довольно сложно.
(теория была проверена практикой еще в школьные годы :)
И по городам ездит куча машин с разноцветными в итоге деталями
Не держите на флешке много всего. Если уж очень надо, архивируйте документы с паролем хотя бы. МНого знаю людей, которые всё носят на флешке. И интимные фотки из отпуска, и сканы документов на всякий случай, и свежую версию дипломного проекта в единственном экземпляре, и текстовый файлик с паролями для личных и рабочих аккаунтов, и ломаный мс-офис с крэком в комплекте (вдруг пригодится), и, на всякий случай, тоже поломанный автокад с явно палёной лицензией, и сохраненные картинки с анимешного сайта, где тентакли и всякое… Короче с такой флешкой при случае бери и сажай на любую ёмкость=)
Если использовать Windows, то почитайте про BitLocker. Это самое практичное средство, поддерживаемое даже в XP
menuentry "Gentoo Linux minimal install cd amd64" --class ISOs {
set rootuuid=0910bb43-bd77-4700-a055-1a9f0c7e37ef
search --no-floppy --fs-uuid --set=root $rootuuid
set isofile='/Gentoo-amd64-minimal-2020-04-19.iso'
loopback loop $isofile
linux (loop)/boot/gentoo root=/dev/ram0 init=/linuxrc dokeymap setkmap=us looptype=squashfs loop=/image.squashfs cdroot initrd=/boot/gentoo.igz vga=791 isoboot=$isofile
initrd (loop)/boot/gentoo.igz
И дополнительно можно поглядеть примеры на
Multiboot USB drive — Grub2 configurations for direct ISO boot
Еще не отмечена двухфакторная аутентификация, pam позволяет такое,
к примеру, Yubico или google authenticator
От Microsoft спрятаться сложно
Очень легко, если ничего от них не ставить.
Вообще, против подозрительных приложений помогает application level firewall. Всем программам, которым не нужен интернет для работы, блокируйте интернет целиком. Которым нужен, тем составляйте белые списки.
Сейчас почти во всём не-opensource софте есть телеметрия или авто-проверка ообновлений, и то, и другое суть шпионаж за вашей машиной. Обновляйтесь внешними независимымм утилитами — системой пакетов дистрибутива, Homebrew (Mac OS) / Chocolatey (Шindows)
Напомните, пожалуйста, историю, как арестовывали держателя форума торговцев наркотой в дарквебе. Если мне память не изменяет, там в команде полиции был выделенный человек, у которого была задача — держать ноутбук открытым и не давать ему уходить в сон, нажимая клавиши и шевеля мышкой.
Доверенные устройства вроде фитнесс-браслета уже интереснее. Но у них другая проблема- неконтролируемый радиус действия.github.com/hephaest0s/usbkill
Флешку привязываем к запястью, как только чуем опасность — руки вверх.
К сожалению, использование файлов в дополнение к паролю возможно только для контейнеров на уровне ОС, но не при полнодисковом шифровании.DiskCryptor под Windows такое умеет, вроде.
Более того, на некоторых моделях ноутбуков не происходит обрыва питания SSD в момент перезагрузкиЭто не особенность ноутбуков, на десктопах аналогично.
полнодисковые варианты вроде VeraCrypt для всех вариантов ОСИз-за того, что TrueCrypt изначально проектировался для работы с контейнерами, полнодисковое шифрование у него реализовано не эффективно с точки зрения скорости работы. Например, IOPSы в случае NVME-накопителей падают буквально в десятки раз.
Кроме всего прочего, при полнодисковом шифровании рекомендуется задействовать SecureBoot со своими ключами и TPM. Первый защитит от запуска недоверенного кода, второй — от несанкционированной смены ключей. Для Linux существует SafeBoot, который всё это настраивает в полуавтоматическом режиме.
не уверен, что это правильное место для этого коммента но, это очень похоже на бекдор про который пока мало что известно https://github.com/FFTW/fftw3/issues/209
Чек-лист разумной защиты своего ноутбука