Как стать автором
Обновить

Комментарии 16

> Я провел короткое исследование, в ходе которого обнаружилось, что большинство из них задействуют стандартные настройки VeraCrypt, которые уже давно отработаны злоумышленниками и не могут считаться безопасными

лучше бы рассказали про это. и про то, чем veracrypt лучше/хуже родного bitlocker
При достаточно стойком пароле лучше оставить значение PIM по умолчани, и лишний озаботиться стойкостью своего пароля (его длиной и разнообразием символов). Впрочем, при недостаточно стойком пароле PIM не является таким уж спасением:
Если ваш пароль использует только английские буквы и цифры, увеличение PIM в 1000 раз (например, 500 -> 500000) примерно соответствует увеличению пароля всего на 4 символа (36 ^ 4 ~ (1000 * 1001) / 2).

Таким образом, крутить PIM имеет смысл лишь в случае, если не удовлетворяет скорость расшифровки накопителя (This provides more flexibility for adjusting the desired security level while also controlling the performance of the mount/boot operation).
про то, чем veracrypt лучше/хуже родного bitlocker

Плюсы:
— открытый код

Минусы:
удручающая скорость работы с NVME-накопителями (падение IOPS на порядок, падение скоростей в разы) — следствие того, что TrueCrypt задумывался для работы с контейнерами, а работа с разделами прикручена уже поверх существующего кода и ведётся неоптимально (раздел это всё же не файл в файловой системе)
— нет возможности использовать механизмы защиты Windows (например, политика, не позволяющая использовать DMA-устройства, подключённые в то время, когда сеанс пользователя был заблокирован, работает только вкупе с BitLocker)

первого недостатка лишён DiskCryptor, но у него есть и свои:
— аудит кода не проводился
— нет возможности задействвоать TPM*
— поддержка EFI-загрузки так пока и не вышла из беты
— не будет работать «из коробки» с SecureBoot* (нужно подписывать своим ключом)

* люди, которые выступают против TPM и SecureBoot вызывают у меня лишь один вопрос: они сознательно топят за упрощение жизни товарищу майору или их используют втёмную?

а можно развернуть мысль про tpm?

Можно привязаться к определённым регистрам TPM. Отсюда имеем плюсы:
— можно привязаться к регистру PCR 0, который изменится при изменении прошивки (расшифровка накопителя станет невозможной)
— можно привязаться к регистру PCR 7, который изменится при отключении SecureBoot (расшифровка накопителя станет невозможной)
— не получится просто вытащить накопитель и спокойно его взламывать (усложняем жизнь атакующему)

учитывая, что программная реализация TPM (fTPM) есть практически в каждой материнке, года эдак с 2015-2016, не вижу причин не подложить неприятелю граблей.
— не получится просто вытащить накопитель и спокойно его взламывать (усложняем жизнь атакующему)

сдохла мамка — данные не восстановить? вот спасибо.


— можно привязаться к регистру PCR 0, который изменится при изменении прошивки (расшифровка накопителя станет невозможной)
— можно привязаться к регистру PCR 7, который изменится при отключении SecureBoot (расшифровка накопителя станет невозможной)

аналогично может доставить много «приятных» минут


P. S. не надо оправдывать бэкапом. а то можно дойти до сброса ключа раз в час. а что, бэкап же делать обязательно, можно из него восстановиться.

Каждый сам решает, что ему важнее: легкое восстановление данных (при том, что резервное копирование никто не отменял, накопители внезапно мрут вне зависимости от того, зашифрованы ли они вообще) или N лет тюрьмы.
То чувство когда уже выбили сапогами все зубы, проломили череп, сломали позвоночник и засунули бутылку, а ты из-за сотрясения мозга уже забыл и пароль и PIM и как тебя зовут.
При таком раскладе единственный шанс если не избежать, то уменьшить кол-во выбитых зубов — убедить атакующего, что зашифрованные данные вы расшифровать уже никак не можете (например, ключ шифрования хранился на внешнем накопителе, который вы уничтожили, пока вашу дверь пилили).

В остальных случаях вас будут тупо пытать до тех пор, пока вы не вспомните пароль или не расскажете про скрытый том, потому что на отмазки типа «я забыл» никто не купится, а скрытый том не спасёт, если атакующий уверен, что где-то у вас таки есть то, что ему нужно (если вами занимаются такие люди, которые готовы вас пытать, то они явно что-то о вас знают и в чём-то подозревают, а не просто пришли поискать то, не знаю что… вот свидетельства этого «в чём-то» они и будут искать, а если их нигде нет, значит, объект где-то их прячет).
При таком раскладе единственный шанс если не избежать, то уменьшить кол-во выбитых зубов — убедить атакующего

логика подсказывает, что «атакующему» нет смысла убеждаться, ибо всегда есть риск, что его обвели вокруг пальца (ну и да, вы сами писали про резервное копирование, так что у него есть все основания так считать).

аналогично может доставить много «приятных» минут

Подмена прошивки атакующим, у которого есть физический доступ, тоже может доставить немало приятных минут. Иной защиты нет (BootGuard мог бы решить вопрос, но, мало где он есть, во-вторых, там, где он таки есть, ключ, которым подписывается прошивка, принадлежит вендору, а не пользователю).
Будьте осторожней с заказом этих модулей. Очень давно купил материнку MSI PRESTIGE X570 CREATION, решил поинтересоваться какой модуль подойдёт к ней и получил:
вот такой ответ
image

В итоге пришлось заказывать кучу модулей ардуины и TPM модуль на посредника, просить посреда объединить все посылки в одну и отправить уже мне. С таможни вылетело как дети из школы.
На тот момент модуля для этой платы я не нашёл в России (это был 2019 год), по этому пришлось заказывать таким способом.
Я провел короткое исследование, в ходе которого обнаружилось, что большинство из них задействуют стандартные настройки VeraCrypt, которые уже давно отработаны злоумышленниками и не могут считаться безопасными.

а где же пруфы?
пару кейсов взломанного веракрипта, если пароль не из словаря?
а то как-то очень на ОБС смахивает.

В чём сложность использовать любой pim, а не по умолчанию? Если перебор по словарю, то и на pim также словарь составляется. Разве переборщики не используют консольную vera, где pim это просто один из параметров?

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.