Linux, Windows на виртуалке и шифрование.

0

1

Товарищи, подскажите, пожалуйста, как правильно сделать.

Есть пара задач, которые не получается перетащить из винды в Linux. Так как нужна винда далеко не каждый день, а перезагружаться в нее уже надоело, решил я ее завиртуалить.

Встал вопрос с шифрованием.

Сейчас ситуация такая - в компьютере установлено два SSD, на одном установлена Windows 10 Pro, включен BitLocker.

На втором стоит Manjaro, зашифрован весь диск на этапе установки системы.

Я планирую, что виртуальная винда будет находится на том же SSD, где сейчас установлена винда обычная.

Далее есть варианты:

1) Форматирую этот SSD в ext4, шифрую (т.е. средствами Linux), создаю на нем виртуальную машину и вперед.

2) Форматирую SSD в ext4, создаю на нем виртуальную машину, а уже «внутри» нее, в завиртуаленной винде, опять включаю тот же BitLocker.

Заработает вообще BitLocker в виртуалке? Как правильнее будет сделать в т.ч. с точки зрения производительности? Или все равно?

Зашифровать все весьма хотелось бы, т.к. речь идет о ноутбуке, который периодически таскается туда-сюда (какой-никакой, а риск кражи или утери - есть).

Ссылка

←	Есть ли под Linux (писательский) текстовый редактор с добавлением альтернативных строк?

Адекватный способ пробрасывать партицию в Qemu

→

Шифруй реальный диск. Если у тебя в ноуте 2 диска, разумено сделать lvm+luks.

anonymous
(14.11.18 15:53:52 MSK)

Ссылка

Битлокер работать будет, но он будет шифровать не физический дик, а раздел, где стоит оффтоп.

Deleted
(14.11.18 15:58:40 MSK)

Ссылка

А почему, кстати, пренебрегают ATA-шифрованием? В приличных дисках оно реализовано очень надежно.

anonymous
(14.11.18 15:59:16 MSK)

Как правильнее будет сделать в т.ч. с точки зрения производительности?

Зашифруй из под линукса, настрой автоматическую расшифровку через crypttab. Дальше уже как тебе удобней будет, у меня например виртуалки в lvm лежат.

Deleted
(14.11.18 16:05:51 MSK)

Ссылка

Ответ на: комментарий от anonymous 14.11.18 15:59:16 MSK

ATA-шифрованием пренебрегаю, так как мой SSD (Kingston SSDNow V300) его не поддерживает :)

Ну и вот такая беда еще есть: https://xakep.ru/2018/11/06/ssd-flaws/

Gnom-s-toporom
(14.11.18 16:10:27 MSK) автор топика

Я планирую, что виртуальная винда будет находится на том же SSD, где сейчас установлена винда обычная.

зачем тебе две? грузи в виртуалке реальную винду, десяточка так уже научилась. а вот семерка еще бсодилась.

vvviperrr ★★★★★
(14.11.18 16:22:47 MSK)

Ответ на: комментарий от vvviperrr 14.11.18 16:22:47 MSK

Грузить в вируталке реальную винду - это был бы очень интересный вариант. А что у нее с активацией при этом будет? Не слетит?

Gnom-s-toporom
(14.11.18 16:41:18 MSK) автор топика

Ответ на: комментарий от anonymous 14.11.18 15:59:16 MSK

Потому что черный ящик. Нет доверия, да и сломаться может, и как тогда данные доставать?

Deleted
(14.11.18 16:41:39 MSK)

Ответ на: комментарий от anonymous 14.11.18 15:59:16 MSK

Никто на самом деле не знает, кроме производителя, насколько надёжно. Для защиты от кражи ноутбука — нормально, для защиты от кражи данных — несерьёзно.

anonymous
(14.11.18 16:44:15 MSK)

Ответ на: комментарий от Gnom-s-toporom 14.11.18 16:41:18 MSK

А что у нее с активацией при этом будет? Не слетит?

не знаю. а зачем ее активировать?

vvviperrr ★★★★★
(14.11.18 16:47:30 MSK)

Ссылка

Ответ на: комментарий от Deleted 14.11.18 16:41:39 MSK

А данные в любом случае зашифрованы, даже если АК не установлен. В случае смерти контроллера вытащить данные, перепаяв NAND-банки на новый контрооллер уже давно невозможно.

Кажется, в этом году была история с массовой потерей данных High Sierra на шифрованных томах. Почему macOS, BitLocker, LUKS доверяем, а, скажем Intel'у — нет?

anonymous
(14.11.18 16:51:06 MSK)

Ответ на: комментарий от anonymous 14.11.18 16:44:15 MSK

Но шифрование диска только от физического доступа (=кражи) и защищает. От уязвимостей в софте оно все равно никак не поможет.

Как устроено шифрование, например, в HFS+ — тоже никто не знает.

anonymous
(14.11.18 16:54:01 MSK)

Ссылка

Ответ на: комментарий от anonymous 14.11.18 16:51:06 MSK

А данные в любом случае зашифрованы, даже если АК не установлен.

Неизвестно, как именно они зашифрованы. Может там алгоритм слабый, или ключ есть у кого надо.

В случае смерти контроллера вытащить данные, перепаяв NAND-банки на новый контрооллер уже давно невозможно.

Вот как раз в этом случае данные потеряются безвозвратно. А LUKS'овый контейнер можно будет открыть.

Почему macOS, BitLocker, LUKS доверяем, а, скажем Intel'у — нет?

Про BitLocker и macOS ничего не скажу, а LUKS - открытое ПО, и наверняка его кто-нибудь проверял на ошибки/бэкдоры. Да даже если и не проверяли, то сделать это можно будет в любой момент.

Deleted
(14.11.18 16:57:18 MSK)

Ответ на: комментарий от Deleted 14.11.18 16:57:18 MSK

Неизвестно, как именно они зашифрованы. Может там алгоритм слабый, или ключ есть у кого надо.

Обычно это в документации четко написано. У intel — AES256.

Вот как раз в этом случае данные потеряются безвозвратно. А LUKS'овый контейнер можно будет открыть.

Нельзя. Везде, где шифрование реализовано в железе, оно неотключаемо. Собственно паролем шифруются сами ключи, поэтому пароли можно менять, не перешифровывая весь диск. Смерть контроллера=> потеря ключей => потеря данных. Так и работает Secure Erase.

anonymous
(14.11.18 17:06:05 MSK)

Ответ на: комментарий от anonymous 14.11.18 17:06:05 MSK

Обычно это в документации четко написано. У intel — AES256.

Документация это одно, а на самом деле может быть по-другому. По крайней мере, есть такая вероятность. Вряд ли Intel рассчитывает, что кто-то будет разбираться с этой электроникой.

Нельзя. Везде, где шифрование реализовано в железе, оно неотключаемо. Собственно паролем шифруются сами ключи, поэтому пароли можно менять, не перешифровывая весь диск. Смерть контроллера=> потеря ключей => потеря данных. Так и работает Secure Erase.

Если так, то да, данные потеряются навсегда. Но это не отменяет других пунктов.

Deleted
(14.11.18 17:09:09 MSK)
Последнее исправление: Deleted 14.11.18 17:09:34 MSK (всего исправлений: 1)

Ответ на: комментарий от Deleted 14.11.18 17:09:09 MSK

Остальные пункты сводятся к верю/не верю. Хотелось бы техничестки подробностей о том, что не так с ATA/Opal.

anonymous
(14.11.18 17:12:40 MSK)

Ответ на: комментарий от anonymous 14.11.18 17:12:40 MSK

Лично мне не нужно доказательство наличия бэкдоров/ошибок в хардварных компонентах. Достаточно вероятности, что они могут быть.

Для LUKS такая вероятность меньше, поэтому я выберу его.

Deleted
(14.11.18 17:14:54 MSK)

Ссылка

Ответ на: комментарий от Gnom-s-toporom 14.11.18 16:10:27 MSK

Спасибо, интересная статья. Уровень халтуры в реализации — просто жесть, сделано «на отвали».=)

По теме: будет работать в обоих вариантах, оверхед на шифрование мал, поэтому почти все равно. Я бы, наверное, зашифровал раздел внутри ВМ, т.к. мы чаще выключаем ВМ, чем хост. Так риск попадания к злоумыленнику включенной машины с ключами в памяти будет меньше.

anonymous
(14.11.18 18:23:39 MSK)

Ссылка

Ответ на: комментарий от anonymous 14.11.18 17:06:05 MSK

Обычно это в документации четко написано. У intel — AES256.

На заборе тоже написано. У самсунга тоже было написано 256, а после скандала оказалось 128. Опять же никто не мешает им знать часть простых чисел ключа.

anonymous
(14.11.18 18:57:28 MSK)

Ссылка

Ответ на: комментарий от anonymous 14.11.18 17:12:40 MSK

С TCG OPAL 2.0 всё так, вопрос в доверии таким прохвостам, как Intel и Samsung.

anonymous
(14.11.18 18:58:51 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Есть ли под Linux (писательский) текстовый редактор с добавлением альтернативных строк?

Desktop

Адекватный способ пробрасывать партицию в Qemu

→

Похожие темы