bezpecnost zcizeneho harddisku

[Pavel Kankovsky]

On Fri, 26 Mar 2004, Tomá? Sukdol wrote:

> Co kradez disku, na to staci nabootovat z vlastniho media.
> Sifrovani je lepsi nez nic. Ale i sifra se da prolomit. Jen u tech lepsich to 
> chce schopnosti, cas, penize - vykon.

Existuji sifry, ktere se prolomit nedaji (a matematicky dokazatelne, ze to 
nejde). Bohuzel jsou obvykle dost neprakticke (napr. ny nebylo moc 
prakticke a v konecnem dusledku asi ani moc bezpecne nosit si s 50 GB 
diskem se sifrovanymi daty dalsi 50 GB disk s klicovym materialem).

Obvykle je vyhodnejsi zamerit se utok na jine misto. Dejme tomu, ze to 
byl disk i s celym notebookem (coz je AFAIK nejcastejsi zpusob, jak se 
neco ztrati). Napr. kolik myslite, ze by lidi naletelo na to, kdyby se 
ten notebook zase "nahodou" nasel? (To, jak by toho mohl utocnik vyuzit, 
je ponechano jako cviceni pro ctenare.)

Take je treba si davat pozor na to, aby nedochazelo k tomu, ze se sifruje 
oblast, kde jsou citliva data primarne ulozena, ale oblasti, kde se mohou 
objevit docasne kopie (docasne adresare, swap...) sifrovane nejsou. Pokud
uz se data na disku sifruji, pak je asi nejlepsi sifrovat vsechny oblasti, 
do kterych se pri normalnim provozu zapisuje.


On Fri, 26 Mar 2004, Dracula007 wrote:

> Sifrovani FS a klice na externim zarizeni (USB pamet apod.).

Akorat to externi zarizeni nesmite nechat ukrast i s tim diskem.
Samozrejme, ze lze klice na tom externim zarizeni take nejak chranit, 
napr. zasifrovat je nejakou passphrasi, ale pokud se to zarizeni samo 
nejak ucinne nebrani (napr. tri pokusy a dost) a nechate si ho ukrast
spolu s daty, pak to neni principialne bezpecnejsi oproti tomu, kdyby tam 
to externi zarizeni nebylo, jen komplikovanejsi.



--Pavel Kankovsky aka Peak  [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."