Софтварное vs хардварное шифрование

но дальше темный лес хз как оно работает

Есть открытые HSM, но ты же пофлудить пришел.

хотя я чушь пишу. шифрованные диски не умеют в суспенд. есть утилита sedutil-sleep вот она может из памяти вытащить хеш, получается что памяти хранится хеш, но что происходит когда мы отключаем этот lockingRange почему при включении компьютера (подачи питания на SSD) пароль не запрашивается? он все-таки где-то хранится для таких слчаев?

я твой hsm себе в ноут не засуну. моя тема никак не относится к серверам

я твой hsm себе в ноут не засуну.

Серьезно?. Черт, ты бы предупреждал как-нибудь, насколько ты ничего не читал перед созданием треда ниочем.

У дяди уже есть ключ от хардварнго. Дяде нужно поработать, чтобы получить ключ от софтварного.

если у тебя настоящее шифрование то при старте компа тебе нужно ввести пароль, ну и какая хрен разница какое шифрование если ты вводишь пароль в скомпрометированный инпут?

мог какие-нибудь пакеты с серверов яндекса скачать, которые пропатчены гебней и сливают все твои данные

Скромное личное многолетнее наблюдение: есть очень много тех, кто уверенно предполагает, что все сливают их данные, но нет никого, кто хотел-бы это реально проверить.
Что мешает потратить совсем немного времени на анализ суточного исходящего трафика?
Или все очень важные данные сливаются компом «куда надо» только один раз в год в рандомно выбранный день и час?

Или тут есть хоть кто-то, кто такое действительно практиковал?

Серьезно?.

А как конкретно эти по удобству использования? А то ведь основная проблема обычно не в том, что «плохо криптует», а в том, что ну ёптить, опять это воткнуть сюда, тыкнуть туда, потыкать куда-куда, это не совместимо, только это, снова потыкать вон туда.

Форматни хард в несколько проходов, поставь новую систему, зобань яндекс в настройках и больше ничего оттуда не качай.

Скромное личное многолетнее наблюдение: есть очень много тех, кто уверенно предполагает, что все сливают их данные, но нет никого, кто хотел-бы это реально проверить.

напомнило https://habr.com/en/company/ruvds/blog/346442/

Оно не криптует быстрее или лучше, оно лишает возможности извлечь приватный ключ. Конкретно этих не имею. Удобство использования и совместимость — задача админа предприятия, который тебе при найме эту штуку выдаёт вместе с ноутом и инструкцией «втыкать вот это вот сюда, а когда попросит, тыкать в него пальцем». Если хочешь применить её сам пёс знает для чего, то хэв фан.

в то время как при софтварном его получить несложно

Oh, wow. Получили мне сессионные ключи из асы или жунипера.

Спасибо, почитал. Однако это привет фреймворкам и опенсоурсу с гитхабами, а не шифрованию и локалхостам.

t184256

тебе при найме эту штуку выдаёт

Я сам себе хотел что-нибудь выдать, вот и интересуюсь практикой применения разных тычков.

Ну сходи на сайты «тычков» да почитай, авось их маркетологи смогут тебе один впарить даже без юзкейса.

Я лично делю способы их применения на сводящиеся к «gpg с ключом вне компа» и ненужную сомнительность.

это pass на флешке? накой он нужен? ты пароль о флешки ввел, все эти данные попали в оперативу и далее в какой-нибудь своп, понимаю что маловеротяно их отыскать через какое-то непродолжительное время, но если какой-нибудь вредонос постоянно сканирует память… мне эта вещь кажется бессмысленной

я думал HWS это что-то типа модуля TPM на флешке

Холодно, читай дальше.

я почитал про то как ломали SSD. Они были взломаны через ATA Security

У хардварного такой проблемы вроде нет, так как у диска есть своя память в которой этот ключ хранится, но дальше темный лес хз как оно работает. Где гарантия что припаяв проволчку между контактами нельзя разблокировать SSD?

Погугли про аппаратные закладки, там целые микрооси внутри отдельно взятых запчастей. Ессно тебе туда вход закрыт ...

Ничего не мешает иметь возможность хардварную шифровалку с открытыми исходниками прошивки.

Та берем симетричный ключ желательно размером с шифруемое и обычным ксором. В качестве ключа можно использовать войну и мир, если накидать ещё книжек в тот же каталог, то хард с зашифрованным файлом и ключом можно отдавать даже трищь майору.

тупо 512-битный ключ в оперативной памяти ищет.

И последний раз вы этим занимались видимо перед тем как лечь в криокамеру. Добро пожаловать в прекрасный новый мир, на дворе 2021, доса осталось мало, мало.

Вопрос в том, что делают с этим чтобы ключ был бесполезен (например отключение от сети машин с важной инфой).

Ага, именно так. Стоять машинки, в отдельных комнатках, с толстыми дверями, из сетей подключены только к электросети.

Что мешает потратить совсем немного времени на анализ суточного исходящего трафика?

С появлением всяческих облаков и других онлайн апдэйтов туевой кучи софта, это перестало быть проблемой.

Только не форматни, а забей чем угодно под ноль.

я читал уже про intel me и пр. это обычный сопроцессор типа, например, математического. он по идее в инет вылезти все равно не может, а главная цель создания этой хрени сделать невозможным воспроизведения пиратского кино, запуска игр. конечно, это зло и наступление копирастов. то что он в теории позволяет тебя похекать… хотя в tpm все вроде зашифрованное хранится, разве не? и тем более россияния стала страной изгоем типа ирана или северной кореи, интел точно не будет с ней делиться своими технологиями

причем тут 21 век… в 21 веке как раз линух позволял в системную память залезть и просканировать ее. эту уязвимость убрали, начиная с версии ядра 2.6, а это середина нулевых… да и всякие проги типа art money по тому же принципу работали

эту уязвимость убрали, начиная с версии ядра 2.6, а это середина нулевых…

Наверно поэтому только относительно недавно в ядре 5.x появилась опция lockdown=confidentiality

Ушки то троллячие у тебя на аве :)

Всегда есть вариант отключить эти облака и прочие апдейты и посмотреть, что куда ходит.
Никак понять не могу, зачем вообще тем, кто хоть что-то понимает в теме темы, пользоваться чужими облаками? Или, как обычно, я очень хорошо думаю о тех, кого не знаю?

Вот, видите, вы уже говорите о том, что выключить всё и посмотреть. То есть эксперимент получается не чистый, так как возможно то что сливает вы как раз и выключили.

Rак говаривал Профессор про облака советские газеты:
И, Боже вас сохрани, не читайте до обеда советских газет!

Так это же как раз и есть результат. Отключить то, что красивое ненужное :)

А вообще, судя по тому, какими методами и каким софтом (инфа из открытых, если чо, источников, типа газет всяких) пользуются джеймсбонды и фбры всех стран, становится понятно, что если соблюдать элементарные правила гигиены, то достать всех присутствующих можно только через ректальный криптоанализ, прочие методы очень маловероятны и слишком затратны.
Да и зачем напрягаться, когда всё и так уже прочитано?

Ага. Все эти «взломали, используя хитро сделанные устройства и ещё более хитро написанные программы» исключительно для хомячков. Используемые методы гораздо «интереснее» в смысле проще. Инфа из закрытых источников.

Толку от этих ботано-красноглазых шифрований, если в магазинах радиоэлектроники доступны гаджеты для быстрого взлома шифров ?

если в магазинах радиоэлектроники доступны гаджеты для быстрого взлома шифров

спс, поржал

спс, поржал

Что тебя улыбнуло, mon ami ?

У них есть существенный недостаток. 1. Нужен доступ к хранителю тайных знаний. 2. Одних тайных знаний из головы хранителя может быть недостаточно и потребуется получить доступ к месту где хранятся недостающие части.

то что жля брута нужны две вещи: мощный, многоядерный проц и словарь с паролями. возьмем, какой-нить с авито и начинаем все пароли по очереди шифровать и сравнивать с нашим хешем. не подходит? не беда, попробуем сравнивать с радномным набором из латинских символов (26) + в верхнем регистре(..+26=52) + 10 цифр (52+10=62), допустим у нас пароль минимальной длины (8), значит нам нужно проверить 62^8 степени паролей, но только если мы знаем метод шифрования, количество циклов шифрования (в некоторых случаях)… конечно может произойти чудо и рандомно сгенерированный пароль совпадет с первой попытки, но так не бывает… мы можем усложнить брут, набирая пароль на русской раскладке на татарском языке с намеренными ошибками… очень тебе этот брутер поможет

62^8=2.1834011e+14

да и квантовые компудахтеры не помогут. во-первых там из 100 кубитов эффектиных будет пару, часто бывают ошибки, во-вторых это дорого… ну а еще нужен мощный обычный комп с кучей оперативны, мощным процом, ведь квантовый комптютер это что-то типа диска с которого читаешь данные. вот с помощью это приблуды в теории можно пароль похекать

то что жля брута нужны две вещи: мощный, многоядерный проц и словарь с паролями.

Ну вот видишь, ты как интернетный красноглазик, сразу представил какие-то бруты, процы, циклы шифрования, опустился в какие-то алгоритмы и т.д. Расслабься.

https://ru.wikipedia.org/wiki/Паяльник

wiki:Главное управление собственной безопасности МВД России

намекаешь, что сообщишь куда следует

У них есть существенный недостаток. 1. Нужен доступ к хранителю тайных знаний. 2. Одних тайных знаний из головы хранителя может быть недостаточно и потребуется получить доступ к месту где хранятся недостающие части.

Как правило это легче, чем тратить деньги на внедрение закладок, еще и таких, которые помогут выделить нужную информацию в тоннах мусора, особенно если она не plain-text.

Вот у меня свежеустановленный Линукс на 10Гб. Среди этих 10Гб к примеру, хранится небольшой файлик с адресами мест съемок детского порно. При том, ты как тащ-майор, мало того что не знаешь что искать, так еще и не знаешь, ЧТО искать. В том смысле, что не только не знаешь формат файла в котором хранится список, но даже не подозреваешь о наличии такого файла в тех 10 Гб говна, которые тебе прислал условный троян.

А теперь усложним задачу и представим что тебе, как тащ-майору в день прилетает не 10Гб говна, а 10Гб*1000 человек. Нешифрованного. Из которого ты должен выделить педофилов, террористов, овального, и прочих.

Поэтому тебе, если уж стоит реальная задача по поиску педофилов, террористов, овального - проще пойти сразу к провайдеру, Торвальдсу, Куку и прочим, и обязать ИХ стучать обо всем что творится за пределами твоего локалхоста, попутно попросив бешеный принтер распечатать нечто вроде запрета шифрования локалхостов.

Это я все веду к тому, что здесь работает принцип неуловимого Джо: пока ты никому не интересен, шифрование у тебя дома лишнее. Когда ты уже стал интересен - шифрование у тебя дома не поможет, ибо слабое звено в цепи - это не алгоритм как нафантазировал tz4678, а сам шифрователь.

намекаешь, что сообщишь куда следует

Ну ты как не в СНГ живешь. После твоего намека что ты сообщишь куда следует - три раза упадешь на ступеньках в коридоре, и все четыре - смертельно. С таким лучше не шутить.

путин на своих рабов полицаев уже камеры вешает, а сб тоже палки нужны, поэтому они часто откровенными подставами занимаются… я согласен с тем, что из путирашки лучше валить, потому как в ней при почти равном населении с бангладешем заключенных в 6 раз больше

UPD: ошибся

Когда ты уже стал интересен - шифрование у тебя дома не поможет,

Бывает, что поможет. Реальный пример: Вломились маски шоу, требуют пароль, чел им выдает «мля, чуваки, вы тут такой шухер навели, я его нах забыл». Проканало.

путин на своих рабов полицаев уже камеры вешает, а сб тоже палки нужны, поэтому они часто откровенными подставами занимаются… я согласен с тем, что из путирашки лучше валить, потому как в ней при почти равном населении с бангладешем заключенных в 5 раз больше

Ты сильно не идеализируй. В других странах плюс минус то же самое, только сроки побольше.

Да, у нас конечно методы пожестче, иногда применяют терморектальный криптоанализатор, если не повезет, и если не повезет, дадут тройбан-пятифан.

В странах эльфов конечно есть видимость закона, но и дать там могут пару сотен лет.

Так или иначе, шифрование не нужно в принципе. Но если бы я выбирал как мне шифровать своих котиков, то выбрал бы мало того, что софтварное шифрование - так еще и какое-нибудь самописное. И дело не в легкости расшифровки, сложности AES бла бла бла, прочей математике на которую ты надрачиваешь. Дело в том, что всего лишь пара незаметных строк в коде дешифровщика - сведет на «нет» все сложности алгоритма, а судя по периодическим срывам покровов, и троллингом на этот счет - такие строки таки появляются, и их никто не ищет, несмотря на попенсорсность.

В общем упрощу сказанное на примере: неважно каким хитрожопым алгоритмом ты зашифровал свою картинку, важно что как только ты сам ее дешифровал для просмотра - твой дешифровщик отправил ее в ФСБ.

а шифровать данные нужно всегда. я наслышен про подвиги питерских робоков. они все деньги, которые находят при обыске воруют, тож самое с криптой… и это можно просто окуеть, потому как у того же хабенского (привет озону) пропали деньги при обыске

Бывает, что поможет. Реальный пример: Вломились маски шоу, требуют пароль, чел им выдает «мля, чуваки, вы тут такой шухер навели, я его нах забыл». Проканало.

Ну это наверное какой-то розыгрыш был. Потому что если реальные маски-шоу с реальной задачей изьять данные - они первым делом опечатывают технику и никого к ней не подпускают. Мало ли, может инфа уничтожается после неправильного ввода пароля.

нет. в европе средний срок тюремного заключения 2 года, в рахове - 10ю прична в неадекватности закона. в нормальных странах не сажают тех кто шлет дикпики 15-летним девкам или постит мемы про мистера волка (и не дай бог про пынеходы). про большие сроки ты возможно имеешь ввиду, сша, где законодательная система была списана с метрополии. в англии тоже за почти любое умышленное убийство пожизненное дают, а за всякую хрень лет по 30. поэтому в сша 25% мирового тюремного населения, чуть меньше в тоталитарном китае (20%), в родной рашечке более 5% (хотя в мировом населении ее доля менее 2%). но , заметь, я нигде сша не называл идеальной страной. у них кстати законы раньше еще жестче были

про хованского просто пример общеизвестный. показываю мол там настолько отбитые идиоты, что не боятся огласки, засветиться в новостях. а про крипту - это уже случаи из жизни