LINUX.ORG.RU
ФорумTalks

Автоматическое разблокирование bitlocker

 , ,


0

1

Всем привет!

Подскажите, насколько глупая это затея с техническиой точки зрения?

У жены есть ноут с виндой, причём она не любит пароли. Хочу сделать там полнолисковое шифрование, но чтобы при этом приходилось вводить пароль только в определённых условиях. Никакой секретной информации там нет, но ради спортивного интереса придумал вот такую штуку:

Весь диск зашифрован с помощью bitlocker. При запуске компьютера grub грузит какое-нибудь микроядро, которое с помощью особой криптомагии разблокирует TPM и делает kexec на виндовый загрузчик, который видит разблокированный TPM и пароль уже не спрашивает.

Поскольку я ничего не понимаю в оффтопике, то не могу самостоятельно оценить бредовость идеи.

Но в чем смысл шифровать диск, если любой посторонний может просто включить комп и скопировать файлы?

goingUp ★★★★★ ()

В линуксе это делает Tang (и нет, goingUp, если у тебя есть доверенная зона, например офисная или домашняя сеть, где исключен захват данных, это нормально не вводить там пароль), в венде - Active Directory. Между прочим, BitLocker очень параноидальная штука и прекрасен, когда у тебя есть TMP (запрещенное в Российской Федерации устройство, упаси вас Бафомет тащить его через границу или заказывать с Алиэкспресса).

Shaman007 ★★★★★ ()
Ответ на: комментарий от Shaman007

А, в линуксе я уже написал свой сервис, который сидит в initrd и отправляет пароли через systemd-reply-password (ну почти). Вопрос про венду. Можно поднять сервер Active Directory, и он будет сам вводить этот пароль?

Pythagoras ★★ ()
Ответ на: комментарий от goingUp

Без пароля будет разблокироваться только в домашней сети, и только при определённых условиях, которые я ещё собираюсь придумать (например, всё перестанет работать, если мой телефон или телефон жены долго не будет появляться дома, если кто-то нажмёт тревожную кнопку, и т.д., в этом случае придётся вводить пароль). Идея в том, чтобы не сильно жертвовать удобством ради безопасности. Да, я осознаю, что вводить пароль при каждой загрузке и лочить компьютер после 30 секунд бездействия - более безопасно, но моя модель угроз позволяет этого не делать. Естественно, сам пароль не будет храниться непосредственно на ноутбуке, а будет отдаваться специальным сервером по шифрованному каналу, после проверки клиентского сертификата и других условий. На остальных компьютерах я это уже реализовал, остался лишь вопрос с вендой.

Pythagoras ★★ ()
Ответ на: комментарий от Shaman007

TPM (запрещенное в Российской Федерации устройство, упаси вас Бафомет тащить его через границу или заказывать с Алиэкспресса)

Щито?

intelfx ★★★★★ ()
Ответ на: комментарий от Shaman007

Уупс! А я притащил нечаянно. Купил Xiaomi Mi Notebook Pro. Bitlocker там без ввода пароля на этапе загрузки. Вход по отпечатку сделал. Про запрещенное... ну на форуме 4pda думаю около 100 владельцев найдется только этой модели. Интересно почему никого из них еще не взяли за жабры?

ac858e81 ()
Ответ на: комментарий от intelfx

Все, где есть защита от извлечения секретного ключа не по нраву ФСБ, на сколько я понимаю. Я играл с токеном Райфайзена, с удивлением обнаружил, что там секретный ключ извлекается, что это так и надо (по сути этот токен ничем не отличается от флешки).

Интересно, кстати, как устройства с сесурити анклавами проходят сертификацию, надо посмотреть. Apple Watch тот же самый или новый Макбук с полоской.

Shaman007 ★★★★★ ()
Ответ на: комментарий от ac858e81

Потому что пока в голову не пришло (ну еще надо проверить меня на знание этого вопроса, может только юрлицам нельзя ввозить несертифицированную крипту, а частникам - пофиг. но я бы не стал в любом случае, нафиг надо). За то с GPS-метками для коров народ дичайше неприятно влетал, в инетернете ходят истории. Кто-то еще влетал с желанием заказать «шпионских ручек», чтобы их на запчасти пустить.

Shaman007 ★★★★★ ()
Ответ на: комментарий от deadNightTiger

Это как? Везде пишут, что при экспорте вместо ключа получается заглушка вида «этот ключ на смарткарте».

Вроде можно было, я по диагонали доку читал, отметил этот пункт. 1 раз извлек, распечатал на бумаге, потом он извлекаться не будет, нет?

Shaman007 ★★★★★ ()
Ответ на: комментарий от Shaman007

Нет, если генерировать ключ прямо в токене, он в токене и останется. Для бэкапа надо генерировать ключ на компьютере, бэкапить и потом импортировать его в токен.

Хотя нет, там вроде спрашивают при генерации, хотите ли вы off-card backup. Был неправ.

deadNightTiger ★★★★ ()
Последнее исправление: deadNightTiger (всего исправлений: 1)
Ответ на: комментарий от ac858e81

Может потому и расслабили, что все равно им пофигу было.

Shaman007 ★★★★★ ()
Ответ на: комментарий от Shaman007

А как возможность использовать ГОСТ связана с

Все, где есть защита от извлечения секретного ключа не по нраву ФСБ, на сколько я понимаю.

?

intelfx ★★★★★ ()
Ответ на: комментарий от intelfx

Короче, коллеги на местах сообщают, что мне все померещилось, не было такого кроме каких-то проблем с TPM 1 пару лет. Требование по неизвлекаемости тоже померещилось.

Shaman007 ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.