Комментарии 54
Так их теряют или крадут в аэропортах?
Возможно, я ошибаюсь, но мне кажется, что это утверждение запаздывает года на три минимум. Добрая треть продаваемых в России ноутбуков (и практически все ценой от ~1500$) сейчас имеет TPM, посмотрите хотя бы через фильтр на Яндекс-маркете.
Нотфикации же фактически подлежат все ноутбуки (как минимум потому что там есть Wi-Fi-модуль и сопутствующее шифрование), с TPM это связано в последнюю очередь.
только в американских аэропортах ежегодно пропадает 637 тысяч ноутбуков.
т.е без малого 200тыс ноутов в сутки? Можно пруф?
Всего-то жалких 2 тыс на пассажирооборот более сотни тысяч на каждый из крупных аэропортов и еще десятки тысяч на всякой "мелочи", не говоря уже о совсем мелких аэропортах. Можно сказать, что ни о чем.
U.S. Airports Lose Over 62,400 Laptops Per Year
Вот и я про валенки. В вашей статье вы приукрасили цифру ровно на 1 порядок. А это довольно много. Даже в URL видно.
Вот нашла аналитический отчет тот самый: www.dell.com/downloads/global/services/dell_lost_laptop_study.pdf
Отсюда вполне логичный выход из такой ситуации это…
Вот представьте себе продакт-менеджера, или sales representative, с 90K net income который долбит по «работающему ноуту, чтобы угробить диск», у меня не получается. ;)
«Компенсировать потерю железки», oh my pants!
Мы будем использовать токен производства компании «Актив». В частности, токен Рутокен ЭЦП PKI.
А почему именно этот? А другие ваши токены можно использовать для битлокера?
Ну и что? Битлокеру все равно, есть у токена означенные сертификаты или нет. :)
Не все равно организациям, которых вынуждают использовать только сертифицированное.
А сертификат ФСТЭК есть, мы его получили.
tar -cjv ./<DIR> | gpg -e -r <KEY> -o backup.tbz2.gpg
gpg -d backup.tbz2.gpg | tar -xj
Причём открытый (публичный) ключ можно передавать людям для шифрования папок.Есть среди нас специалисты по безопасности? Насколько вообще надежным является использование BitLocker с точки зрения наличия дыр и других лазеек?
Все таки это штатный механизм распространённой ОС, можно ли ему доверять?
Тот же элкомслфт наверняка имеет набор утилит для вскрытия битлокера, к чему тогда все эти токены и т.д.?
Наверное можно принимать это как авторитетное мнение специалиста по шифрованию дисков.
Элкомсофт специализируется на реверсинге паролей. В данном случае пароли для шифрования не используются. Если вдруг придет сюда человек из Элкомсофта, он прокомментирует этот момент.
Есть среди нас специалисты по безопасности? Насколько вообще надежным является использование BitLocker с точки зрения наличия дыр и других лазеек?
Не специалист по вопросам ИБ, но когда-то тоже заинтересовал вопрос безопасности использования BitLocker. Если коротко, не так сам плох BitLocker, как конкретная реализация в Windows, использующая данный криптоконтейнер. А именно, тот факт, что ключ восстановления BitLocker можно обнаружить в файле гибернации или дампах памяти, например (что и делает Forensic Disk Decryptor от Элкомсофт). Я уж промолчу про те случаи, когда файл, содержащий ключ восстановления, сохраняется прямо на устройстве с шифруемым диском (впрочем, это уже косяк пользователя, а не системы). В источнике ниже можно более подробно прочитать об этом:
cryptoworld.su/vzlom-bitlocker-v-windows-net-nichego-nevozmozhnogo.
конкретная реализация в Windows, использующая данный криптоконтейнер. А именно, тот факт, что ключ восстановления BitLocker можно обнаружить в файле гибернации или дампах памяти, например
Какова бы ни была реализация шифрования диска в любой ОС, ключи так или иначе должны читаться в память и там храниться, что дает очевидный вектор атаки. Windows или не Windows — тут совершенно неважно.
в файле гибернации или дампах памяти
Что особенно актуально в случае зашифрованного системного диска, да. :D
Что особенно актуально в случае зашифрованного системного диска, да. :D
Естественно, что с зашифрованным системным диском данный вектор атаки сходит на нет. Если же вернуться к изначально поставленному вопросу — если ли дыры или лазейки — да, они все равно есть.
Шифрование диска не зависит от того, где именно его зашифровали.
Формат ЦЭ не поможет :)
Впрочем, при шифровании предлагается опция, которая делает шифрование совместимым с этими устаревшими системами ценой ослабления стойкости (старые системы используют AES-CBC вместо AES-XTS).
Таким образом, не требуется иметь на материнской плате разъём для установки модуля TPM (его иногда не распаивают даже на материнках Z170, чтобы снизить себестоимость) и приобретать сам модуль.
И вообще шифрование системного диска является плохой идеей.
Вредный совет.
Скрытые возможности Windows. Как BitLocker поможет защитить данные?