Encryption σε σκληρό

[angmar]

1 ώρα πριν, Hawk_K είπε

Καλημέρα, βάζοντας κωδικό σου τα μεφανίζει ή πρέπει να τα κατεβάσεις και να τα ανοίξεις στο Pc σου;

Δε μπορείς να τα δεις μέσω της σελίδας του drive. Μπορείς όμως να κάνεις mount τα κρυπτογραφημένα αρχεία και να τα δεις χωρίς να χρειαστεί να τα κατεβάσεις όλα.

[Hawk_K]

12 λεπτά πριν, angmar είπε

Δε μπορείς να τα δεις μέσω της σελίδας του drive. Μπορείς όμως να κάνεις mount τα κρυπτογραφημένα αρχεία και να τα δεις χωρίς να χρειαστεί να τα κατεβάσεις όλα.

Άρα φαντάζομαι οτι εχω ανεβασμενο πρεπει να το σβησω και να το ξανανεβασω μετά το encryption.
ΟΚ θα το ψάξω λίγο ευχαριστώ.

[zynif]

το θέμα είναι τι γίνεται με αυτό το cold boot attack? μπορεί κάποιος πχ να σου κλέψει το encryption key υπο κατάλληλες συνθήκες;

Επίσης το MBR (master boot record, εκεί που γράφεται ο grub) γίνεται να κρυπτογραφηθεί; Μπορεί κάποιος hacker να βάλει κώδικα μεσα στο mbr και να κλέψει απο εκεί το encryption key?  To /boot μπορείς να το κρυπτογραφήσεις ή οχι;

Επίσης φαντάζομαι οτι αν σου κλέψουν το σκληρό δίσκο από το PC δεν θα μπορούν να διαβάσουν τα δεδομένα αφου θα ναι κρυπτογραφημένα, σωστά;

Ας μας διαφωτίσει όποιος ξέρει!

Επεξ/σία 27 Οκτωβρίου 2020 από zynif

[imitheos]

1 ώρα πριν, zynif είπε

το θέμα είναι τι γίνεται με αυτό το cold boot attack? μπορεί κάποιος πχ να σου κλέψει το encryption key υπο κατάλληλες συνθήκες;

Θεωρητικά, και ανάλογα και τον τρόπο που χρησιμοποιείς, όλα γίνονται. Στο LUKS για παράδειγμα, αφού ξεκλειδωθεί ο container, το κλειδί παραμένει στη μνήμη οπότε αν κάποιος πάρει root στο μηχάνημα και εκμεταλλευτεί κάποιο exploit του πυρήνα που του δώσει πρόσβαση σε μνήμη του πυρήνα, θα μπορεί να το διαβάσει. Επίσης, οι μνήμες κρατούν για κάποια κλάσματα του χρόνου τα περιεχόμενά τους  οπότε μπορεί κάποιος θεωρητικά να τις διαβάσει από κάποια ειδική συσκευή, κτλ. Τα TPM, στα οποία αποθηκεύουν μερικοί τα κλειδιά,  μπορεί να έχουν προβλήματα στην υλοποίηση και να μπορέσεις να τα σπάσεις, κτλ. Όλα αυτά είναι βέβαια στο επίπεδο να σε κυνηγάει η CIA και όχι για εμάς τους θνητούς. Για εμάς ισχύει το γνωστό xkcd στο οποίο σε βαράνε με ένα σφυρί μέχρι να τους πεις τον κωδικό το οποίο είναι απείρως πιο εύκολο

 

1 ώρα πριν, zynif είπε

Επίσης το MBR (master boot record, εκεί που γράφεται ο grub) γίνεται να κρυπτογραφηθεί; Μπορεί κάποιος hacker να βάλει κώδικα μεσα στο mbr και να κλέψει απο εκεί το encryption key?  To /boot μπορείς να το κρυπτογραφήσεις ή οχι;

Πολλές υποδομές του πυρήνα όπως encryption, raid, κτλ χρειάζονται userspace εργαλεία οπότε αυτά τρέχουν μέσω ενός initramfs που υπάρχει στο /boot. Ένας τρόπος επίθεσης λοιπόν είναι να αλλάξει το initramfs με κάποιο το οποίο θα σώζει κάπου τον κωδικό. Κατά καιρούς έχουν βγει κάποια προγράμματα που τρέχουν κάποιο checksum κατά την δημιουργία του initramfs οπότε αν το αλλάξει κάποιος μετά, θα σε ενημερώσουν ότι άλλαξε (αφού τρέξει όμως).

Για να μην μπορεί κάποιος να πειράξει τον πυρήνα και το initramfs πρέπει η κατάτμηση /boot να είναι και αυτή κρυπτογραφημένη το οποίο γενικά δεν γίνεται. Ο GRUB όμως υποστηρίζει LUKS και σου επιτρέπει να έχεις και το /boot κρυπτογραφημένο με το μειονέκτημα ότι πρέπει να δώσεις 2 φορές τον κωδικό (μία στον grub κατά το boot ώστε να ανοιχτεί ο container και να διαβαστεί ο πυρήνας και μία μετά στο initramfs ώστε να ανοιχτεί το σύστημα). Υπάρχει ένα κόλπο για να μην δίνεις 2 φορές τον κωδικό αλλά μειώνει σε ένα βαθμό την ασφάλεια.

Μετά, πάμε στο επόμενο στάδιο που είναι ο GRUB. Αν κάνει κάποιος compile τον grub έτσι ώστε την ώρα που δίνεις τον κωδικό να τον σώζει κάπου; Αυτό δεν μπορείς γενικά να το ασφαλίσεις (δηλαδή ο MBR που ρώτησες και η Bios Boot Partition στην οποία μπαίνει ο grub δεν μπορεί να κρυπτογραφηθεί). Αυτό σε "legacy bios". Αν μιλάμε για UEFI, τότε μπορείς να χρησιμοποιήσεις την υποδομή secureboot της Microsoft με την οποία μπορείς να κάνεις sign τον grub και τα λοιπά εκτελέσιμα. Η ESP δεν θα μπορεί να κρυπτογραφηθεί αλλά αν αλλάξει κάποιος τον grub, δεν θα bootάρει το μηχάνημα γιατί δεν θα είναι σωστή η υπογραφή.

Εγώ έχω LUKS κρυπτογράφηση σε όλο το σύστημα αλλά χωρίς υποστήριξη για το UEFI. Το secureboot είναι κλειστό και δεν έχω καν bootloader. Έχω απλά τον refind για "γραφικό" με το οποίο επιλέγω τους διάφορους πυρήνες οι οποίοι κάνουν χρήση του "stub" εκκινητή που υπάρχει στον ίδιο τον πυρήνα.

Ανάλογα δηλαδή με το πόσο ασφάλεια θέλεις, κάνεις και τα ανάλογα βήματα. Όσο μεγαλύτερη ασφάλεια θα έχεις, τόσο λιγότερο βολικό θα είναι το σύστημα.

 

1 ώρα πριν, zynif είπε

Επίσης φαντάζομαι οτι αν σου κλέψουν το σκληρό δίσκο από το PC δεν θα μπορούν να διαβάσουν τα δεδομένα αφου θα ναι κρυπτογραφημένα, σωστά;

Με δεδομένο ότι δεν υπάρχει κάποιο πρόβλημα στην υλοποίηση της κρυπτογράφησης, δεν μπορούν να δουν τίποτα από τα κρυπτογραφημένα.

[RTW4ever]

Στις 27/10/2020 στις 10:10 ΠΜ, tarantules είπε

Προσωπικά δεν τη θεωρώ σωστή τακτική την κρυπτογράφηση ολόκληρου του δίσκου ή του λειτουργικού.Στο pc μου έχω έναν ssd για το λειτουργικό και μόνο , και έναν μηχανικό για τα data.

Στον μηχανικό έχω κρυπτογραφήσει μέρος του δίσκου που εκεί αποθηκεύω όλα τα σημαντικά για μένα αρχεία σε κρυφό partition , και όλος ο υπόλοιπος δίσκος είναι ορατός.Έτσι , δεν κινείς υποψίες οτι ο δίσκος  έχει υποστεί κρυπτογράφηση και είναι μια έξτρα δικλείδα ασφαλείας.Το ίδιο έχω κάνει και σε εξωτερικούς δίσκους ή στικάκια.

Αυτό που λες δεν προσφέρει τίποτα παραπάνω από το να έχεις κρυπτογραφημένο όλο το δίσκο και δεν ισχύει. Το πρώτο πράγμα που θα δει κάποιος (που θα δω εγώ) είναι η δομή των partitions και ποια από αυτά δεν φαίνονται στο εγκατεστημένο λειτουργικό.

Αν τώρα κάποιος δεν ξέρει τι είναι η κρυπτογράφηση των partitions και δεν ξέρει να ψάξει, τότε και πάλι δεν έχει διαφορά να έχεις κρυπτογραφημένο όλο τον δίσκο ή ένα partition μόνο.

 

Στις 27/10/2020 στις 6:22 ΜΜ, imitheos είπε

 Όλα αυτά είναι βέβαια στο επίπεδο να σε κυνηγάει η CIA και όχι για εμάς τους θνητούς. Για εμάς ισχύει το γνωστό xkcd στο οποίο σε βαράνε με ένα σφυρί μέχρι να τους πεις τον κωδικό το οποίο είναι απείρως πιο εύκολο

Αυτό λες προφανώς

Απάντηση σε αυτό (προσπαθεί να) δίνει το κρυφό κρυπτογραφημένο partition μέσα σε άλλο κρυπτογραφημένο partition. Εκεί κανείς δεν ξέρει ότι υπάρχει και δεύτερο στάδιο.

Επεξ/σία 1 Νοεμβρίου 2020 από RTW4ever

[Hawk_K]

Καλημέρα,

Έκατσα σήμερ ανα ασχοληθώ με το veracrypt. Έχω βάλει να φτιάξει έναν φάκελο μέσα στον δεύτερο σκληρό μου ο οποίος θα ανοίγιε με τον κωδικό που έχω θέσει από ότι κατάλαβα.

Η φάση είναι πετάς μέσα σε αυτό τον φάκελο αρχεία κτλ και αυτά τώρα θα γίνουν encrypted? Ή μόνο το άνοιγμα του αρχικού φακέλου είναι με encryption?
Εννοώ τα αρχεία που θα βάλω μέσα σε αυτό τον φάκελο αν τα ανεβάσω στο cloud θα είναι encrypted ή θα πρέπει σε αυτή την περίπτωση να κάνω την διαδικασία για κάθε αρχείο ξεχωριστά?
Ή θα πέπει στο cloud να ανεβάσω όλο τον φάκελο για να κρατήσει το encryption?

Για καθαρά ανεβοκατέβασμα σε cloud να χρησιμοποιήσω το rclone που προτάθηκε προηγουμένως;

 

[Hawk_K]

Κάνω ένα update το παραπάνω.

Έφτιαξα με το veracrypt ένα νέο volume έσα στο οποίο έβαλα κάποια αρχεία. Έβαλα αυτό τον φάκελο να γίνει ανέβασμα στον λογαριασμό μου στο pcloud μέσα σε έναν φάκελο. Ενώ δείχνει ότι ανεβάζει αρχεία, στο cloud δεν εμφανίζει τίποτα.

Έχει να κάνει με το veracrypt? Είναι σε φάση encrypted τα αρχεία και δεν τα ανεβάζει;

Επίσης προσπάθησα μέσα στο virtual drive του pcloud να δημιουργήσω ένα veracrypt volume το οποίο θεωρητικά το δημιουργεί αλλά δεν το κάνει mount, βγάζει access denied άρα δεν σου επιτράπει το cloud κάποια τέτοια λειτουργεία από ότι καταλαβαίνω.


Edit: επειδή είμαι λίγο άσχετος με terminal κτλ, κατέβασα το rclone browser που κάνει τα ίδα αλλά με gui. Ανέβασα δοκιμάστικά έναν φάκελο με κάτι pdf στο cloud αλλά μπορώ κανονικά να ανοίξω μέσω του cloudχωρίς κάποιον περιορισμό. Το encryption δεν θα έπρεπε να είναι by default?

Επεξ/σία 22 Νοεμβρίου 2020 από Hawk_K

[Hawk_K]

1

Επεξ/σία 22 Νοεμβρίου 2020 από Hawk_K

[RTW4ever]

4 ώρες πριν, Hawk_K είπε

Κάνω ένα update το παραπάνω.

Έφτιαξα με το veracrypt ένα νέο volume έσα στο οποίο έβαλα κάποια αρχεία. Έβαλα αυτό τον φάκελο να γίνει ανέβασμα στον λογαριασμό μου στο pcloud μέσα σε έναν φάκελο. Ενώ δείχνει ότι ανεβάζει αρχεία, στο cloud δεν εμφανίζει τίποτα.

Έχει να κάνει με το veracrypt? Είναι σε φάση encrypted τα αρχεία και δεν τα ανεβάζει;

Επίσης προσπάθησα μέσα στο virtual drive του pcloud να δημιουργήσω ένα veracrypt volume το οποίο θεωρητικά το δημιουργεί αλλά δεν το κάνει mount, βγάζει access denied άρα δεν σου επιτράπει το cloud κάποια τέτοια λειτουργεία από ότι καταλαβαίνω.


Edit: επειδή είμαι λίγο άσχετος με terminal κτλ, κατέβασα το rclone browser που κάνει τα ίδα αλλά με gui. Ανέβασα δοκιμάστικά έναν φάκελο με κάτι pdf στο cloud αλλά μπορώ κανονικά να ανοίξω μέσω του cloudχωρίς κάποιον περιορισμό. Το encryption δεν θα έπρεπε να είναι by default?

Από αυτά που γράφεις εγώ καταλαβαίνω ότι δεν έχεις καταλάβει καθόλου πώς δουλεύει το veracrypt. Διάβασε το manual πρώτα στο κεφάλαιο για beginners και μετά ρώτα. Αυτά που γράφεις είναι χαοτικά.

[Hawk_K]

Στις 22/11/2020 στις 10:29 ΜΜ, RTW4ever είπε

Από αυτά που γράφεις εγώ καταλαβαίνω ότι δεν έχεις καταλάβει καθόλου πώς δουλεύει το veracrypt. Διάβασε το manual πρώτα στο κεφάλαιο για beginners και μετά ρώτα. Αυτά που γράφεις είναι χαοτικά.

Για το rclone κατάλαβα πως δεν κάνει encryption by default αλλά αρχικά είναι ένα εργαλείο αυτόματου Sychronization μεταξύ servers, clouds Κτλ. ΉΘελε παραπάνω ψάξιμο και δεν το ασχολήθηκα περισσότερο.

Όσο για το veracrypt έκανα ακριβώς τα βήματα που αναφέρει στο tutorial για beginners. Έφτιαξα το encrypted volume και τα σχετικά. Αυτό που  κατάλαβα (απο οτι φαινεται) θελει περισσότερο ψάξιμο και ίσως εκεί δημιούργησα το χάος που αναφέρεις, είναι πως αν ξεκλειδώσεις το volume τα αρχεία δεν είναι encrypted δηλαδή με ένα copy paste τα βλέπει ο άλλος κανονικά. Οπότε δεν μπορεί να χρησιμοποιηθεί για ενάβασμα σε cloud. Aν κάνω λάθος διόρθωσέ με.  Επίσης δεν μπορεί να δημιουργήσει volume μέσα στο cloud sevice, οκ λογικό.