czesc,
prosba o podpowiedz: ktory lepiej wybrac.

z tego co sie przyjrzalem, elements to uproszczony produkt bez dodatkow,
my passport procz dodanego softu ma rowniez sprzetowe szyfrowanie
AES-256. Nie wiem czy passport przypadkiem nie ma krotszej gwarancji
(2 vs 3 lata?). Czy ktos moze ostatnio porownywal te dyski i dopatrzyl
sie jakis zalet/wad?

Czy wszystkie przenosne dyski 2,5" WD obecnie maja przylutowany
mostek SATA-USB, czy moze ktorys z tych modeli ma wewnatrz
obudowy polaczenie przez mostek ze standardowym SATA?



--

memento lorem ipsum

do góry

W dniu 2018-11-09 o 14:54, elmer radi radisson pisze:
> czesc,
> prosba o podpowiedz: ktory lepiej wybrac.
>
> z tego co sie przyjrzalem, elements to uproszczony produkt bez dodatkow,
> my passport procz dodanego softu ma rowniez sprzetowe szyfrowanie
> AES-256. Nie wiem czy passport przypadkiem nie ma krotszej gwarancji
> (2 vs 3 lata?). Czy ktos moze ostatnio porownywal te dyski i dopatrzyl
> sie jakis zalet/wad?
>
> Czy wszystkie przenosne dyski 2,5" WD obecnie maja przylutowany
> mostek SATA-USB, czy moze ktorys z tych modeli ma wewnatrz
> obudowy polaczenie przez mostek ze standardowym SATA?
>
>
>

szyfrowanie w passport jest takie jakby go nie było
https://www.theregister.co.uk/2015/10/20/western_dig
ital_bad_hard_drive_encryption/

--
@foe_pl

do góry

On 2018-11-09 20:46, the_foe wrote:

> szyfrowanie w passport jest takie jakby go nie było
> https://www.theregister.co.uk/2015/10/20/western_dig
ital_bad_hard_drive_encryption/

Na cale szczescie nie jest to funkcja ktora sie dla mnie liczy, jesli
planowalbym szyfrowanie to raczej Veracryptem a nie cos co sie
potencjalnie moze uwalic w sprzecie tak ze nie pozwoli na odczytanie
danych. A tego bym sie w takiej implementacji wlasnie obawial.

Kluczowe dla mnie jest zeby to bylo solidne 4TB 2,5" na USB 3.0
i w miare mozliwosci z takich w ktorych uwalony mostek SATA
mozna swapnac bez lutowania.


--

memento lorem ipsum

do góry

On 2018-11-09, elmer radi radisson
<r...@s...spam.wireland.or
g> wrote:
> On 2018-11-09 20:46, the_foe wrote:
>
>> szyfrowanie w passport jest takie jakby go nie było
>> https://www.theregister.co.uk/2015/10/20/western_dig
ital_bad_hard_drive_encryption/

To jest art. sprzed ponad 3 lat. Pewnie już to naprawili, bo google nic
oczywistego nie pokazuje poza art. właśnie z 2015.

--
Marcin

do góry

W dniu 2018-11-09 o 23:36, Marcin Debowski pisze:
> On 2018-11-09, elmer radi radisson
<r...@s...spam.wireland.or
g> wrote:
>> On 2018-11-09 20:46, the_foe wrote:
>>
>>> szyfrowanie w passport jest takie jakby go nie było
>>> https://www.theregister.co.uk/2015/10/20/western_dig
ital_bad_hard_drive_encryption/
>
> To jest art. sprzed ponad 3 lat. Pewnie już to naprawili, bo google nic
> oczywistego nie pokazuje poza art. właśnie z 2015.
>

wszystkie dyski z SED które mają wbudowany klucz w firmware a user tylko
hasłem odblokowuje dostęp do tego klucza są podatne na obejście. Dysk
musiałby tworzyć każdorazowo klucz z podanego hasła a to wymagałoby
procedury pełnego szyfrowania na nowo całej powierzchni dysku przy
zmianie/postawieniu hasła. Na dyskach talerzowych nie spodziewałbym się
tego.

--
@foe_pl

do góry

On 2018-11-11, the_foe <t...@c...pl> wrote:
> W dniu 2018-11-09 o 23:36, Marcin Debowski pisze:
>> On 2018-11-09, elmer radi radisson
<r...@s...spam.wireland.or
g> wrote:
>>> On 2018-11-09 20:46, the_foe wrote:
>>>
>>>> szyfrowanie w passport jest takie jakby go nie było
>>>> https://www.theregister.co.uk/2015/10/20/western_dig
ital_bad_hard_drive_encryption/
>>
>> To jest art. sprzed ponad 3 lat. Pewnie już to naprawili, bo google nic
>> oczywistego nie pokazuje poza art. właśnie z 2015.
>>
>
> wszystkie dyski z SED które mają wbudowany klucz w firmware a user tylko
> hasłem odblokowuje dostęp do tego klucza są podatne na obejście. Dysk
> musiałby tworzyć każdorazowo klucz z podanego hasła a to wymagałoby
> procedury pełnego szyfrowania na nowo całej powierzchni dysku przy
> zmianie/postawieniu hasła. Na dyskach talerzowych nie spodziewałbym się
> tego.

To jest dysk, urządzenie, które może być użyte w różnych scenariuszach
(nie tylko w laptopie). Z czysto praktycznego p. widzenia umieszczenie
tego klucza w obrebie dysku (fizycznego urządzenia) wydaje się
najrozsądniejsze. Oczywiście można trzymac tez w sejfie na innym
kontynencie, albo mieć dedykowany token z dedykowanym mechanizmem i
wieksze koszty i bardziej skomplikowane procedury (zwykle dodatkowa
podatność), albo jak napisałes, każdorazowo generować, ale kto to wtedy
kupi lub będzie stosował?

Klucz ma słuzyć temu, aby mając goły dysk nie dało się go odczytać
"brutal force". To, że klucz jest zaszyty w elektronice jest dla tej
klasy zastosowań ok, byleby nie było trywialnym jego odczytanie i byle
dostep z hasłem był tak zrobiony, że równiez tu brutal force będzie
niepraktyczne.

MZ jest nieporozumieniem oczekiwanie od tego typu rozwiązań jakiejś
super skutecznej ochrony bo są one obliczone na ochronę przed
przypadkowym dostępem, np. w przypadku utraty. Zauważ, że nawet przy
całym niechlujstwie współczesnych producentów SED, to i tak wymagało to
pracy hakerskiej i sporej wiedzy. Ziutek, jak zarąbie Ci laptopa z
samochodu czy mieszkania, tego nie odczyta a i nie zapłaci komus aby to
odczytał. Jego klient takze. A nie-ziutek, znajdzie inne sposoby aby
dobrać się do Twoich danych, jeśli tylko z jakiegos powodu będzie mu na
tym mocno zależało.

Alternatywą (i status quo) jest nieszyfrowany dostęp do wszystkiego.

--
Marcin

do góry

W dniu 2018-11-12 o 00:40, Marcin Debowski pisze:
> To jest dysk, urządzenie, które może być użyte w różnych scenariuszach
> (nie tylko w laptopie). Z czysto praktycznego p. widzenia umieszczenie
> tego klucza w obrebie dysku (fizycznego urządzenia) wydaje się
> najrozsądniejsze. Oczywiście można trzymac tez w sejfie na innym
> kontynencie, albo mieć dedykowany token z dedykowanym mechanizmem i
> wieksze koszty i bardziej skomplikowane procedury (zwykle dodatkowa
> podatność), albo jak napisałes, każdorazowo generować, ale kto to wtedy
> kupi lub będzie stosował?

trzymasz w głowie przecież - hasło. Z hasła jest generowany klucz.
Przecież tak działa VeraCrypt. I to jest najlepsza procedura.
Rozwiązanie z wszytym kluczem zabezpiecza Cię TYLKO przed fizyczna
podmianką talerzy na inna elektronikę. To znaczy, ze jeśli to wykluczymy
to szyfrowanie jest nam zupełnie zbędne.
--
@foe_pl

do góry

On 2018-11-11, the_foe <t...@c...pl> wrote:
> W dniu 2018-11-12 o 00:40, Marcin Debowski pisze:
>> To jest dysk, urządzenie, które może być użyte w różnych scenariuszach
>> (nie tylko w laptopie). Z czysto praktycznego p. widzenia umieszczenie
>> tego klucza w obrebie dysku (fizycznego urządzenia) wydaje się
>> najrozsądniejsze. Oczywiście można trzymac tez w sejfie na innym
>> kontynencie, albo mieć dedykowany token z dedykowanym mechanizmem i
>> wieksze koszty i bardziej skomplikowane procedury (zwykle dodatkowa
>> podatność), albo jak napisałes, każdorazowo generować, ale kto to wtedy
>> kupi lub będzie stosował?
>
> trzymasz w głowie przecież - hasło. Z hasła jest generowany klucz.
> Przecież tak działa VeraCrypt. I to jest najlepsza procedura.

No i co dalej? Przeszyfrowujesz każdorazowo cały dysk, czy trzymasz
pierdylion kluczy dla każdego pliku? Woluminu? Kontenera? Partycji? I
jak to zrobić na sprzętowym poziomie abstrakcji, tak aby dla wszystkich
OS było to przezropczyste?

> Rozwiązanie z wszytym kluczem zabezpiecza Cię TYLKO przed fizyczna
> podmianką talerzy na inna elektronikę. To znaczy, ze jeśli to wykluczymy
> to szyfrowanie jest nam zupełnie zbędne.

Zabezpiecza mnie przed przypadkowym dostepem do danych w przypadku
utraty urządzenia. Niczego więcej od takich urządzeń nie wymagam.

--
Marcin

do góry

On 2018-11-12, Marcin Debowski <a...@I...zoho.com> wrote:
> On 2018-11-11, the_foe <t...@c...pl> wrote:
>> W dniu 2018-11-12 o 00:40, Marcin Debowski pisze:
>>> To jest dysk, urządzenie, które może być użyte w różnych scenariuszach
>>> (nie tylko w laptopie). Z czysto praktycznego p. widzenia umieszczenie
>>> tego klucza w obrebie dysku (fizycznego urządzenia) wydaje się
>>> najrozsądniejsze. Oczywiście można trzymac tez w sejfie na innym
>>> kontynencie, albo mieć dedykowany token z dedykowanym mechanizmem i
>>> wieksze koszty i bardziej skomplikowane procedury (zwykle dodatkowa
>>> podatność), albo jak napisałes, każdorazowo generować, ale kto to wtedy
>>> kupi lub będzie stosował?
>>
>> trzymasz w głowie przecież - hasło. Z hasła jest generowany klucz.
>> Przecież tak działa VeraCrypt. I to jest najlepsza procedura.

Załapałem o co Ci chodzi. Klucz jest jeden, tylko nie jest wygenerowany
i już tam jest, a generowany ponownie i ponownie każdorazowo, ale i tak
zawsze jest ten sam. Tak?

No ale czy takie coś jest lepsze to kwestia właśnie implementacji. W
końcu mozna zrobić tak, że klucz będzie w postaci niejawnej a hasło
będzie służyło do jego odszyfrowania/lokalizacji i już masz podobne
poziomy bezpieczeństwa.

--
Marcin

do góry

W dniu 2018-11-12 o 02:01, Marcin Debowski pisze:
> On 2018-11-12, Marcin Debowski <a...@I...zoho.com> wrote:
>> On 2018-11-11, the_foe <t...@c...pl> wrote:
>>> W dniu 2018-11-12 o 00:40, Marcin Debowski pisze:
>>>> To jest dysk, urządzenie, które może być użyte w różnych scenariuszach
>>>> (nie tylko w laptopie). Z czysto praktycznego p. widzenia umieszczenie
>>>> tego klucza w obrebie dysku (fizycznego urządzenia) wydaje się
>>>> najrozsądniejsze. Oczywiście można trzymac tez w sejfie na innym
>>>> kontynencie, albo mieć dedykowany token z dedykowanym mechanizmem i
>>>> wieksze koszty i bardziej skomplikowane procedury (zwykle dodatkowa
>>>> podatność), albo jak napisałes, każdorazowo generować, ale kto to wtedy
>>>> kupi lub będzie stosował?
>>>
>>> trzymasz w głowie przecież - hasło. Z hasła jest generowany klucz.
>>> Przecież tak działa VeraCrypt. I to jest najlepsza procedura.
>
> Załapałem o co Ci chodzi. Klucz jest jeden, tylko nie jest wygenerowany
> i już tam jest, a generowany ponownie i ponownie każdorazowo, ale i tak
> zawsze jest ten sam. Tak?
>
> No ale czy takie coś jest lepsze to kwestia właśnie implementacji. W
> końcu mozna zrobić tak, że klucz będzie w postaci niejawnej a hasło
> będzie służyło do jego odszyfrowania/lokalizacji i już masz podobne
> poziomy bezpieczeństwa.
>

W VC dysk, partycja czy plik jest dzielony na dwie części - dane i
nagłówek. Nagłówek zawiera informacje potrzebne do rozkodowania danych.
Przede wszystkim główny klucz, ktory jest generowany zupełnie losowo.
Kiedy ustalasz hasło np "klucz" ten wyraz jest hashowany. Kaskadowo by
ograniczyć stosowanie brute-mode. Czyli tworzy kolejny klucz
zdeterminowany. Zdeterminowany hasłem (w przypadku VC jeszcze możemy
ustalić liczbę kaskad hashowania). Tym kluczem jest szyfrowany nagłówek.
Dlatego nie musisz znać żadnych kluczy - nawet ich nie powinienieś mieć.
Co najwyżej powinno się robić kopię nagłówków bo jak się uszkodzą -
kaplica.

WD i jego SED działa następująco. Główny klucz jest zdeterminowany bo
jest już "zaszyty" na stałe. Raczej wątpliwe, ze gdzies "przypadkiem"
nie zapisali sobie par klusz-numer seryjny. Ale jak nie jesteśmy
terrorystami czy nie kolportujemy złośliwych memow na temat Adriana to
raczej mamy to gdzieś ;) Problem jest taki, ze naszym hasłem nie
szyfujemy klucza, hasłem owtieramy/zamykamy tylko bramę z dostępem do
urządzenia. Co gorsza działa to tak, ze ta bramą jest adres w pamięci
RAM urządzenia. zwykłe 1/0. Dlatego to zabezpieczenie omienie KAZDY
technik policyjny.

--
@foe_pl

do góry