W dniu 2018-11-12 o 02:01, Marcin Debowski pisze:
> On 2018-11-12, Marcin Debowski <a...@I...zoho.com> wrote:
>> On 2018-11-11, the_foe <t...@c...pl> wrote:
>>> W dniu 2018-11-12 o 00:40, Marcin Debowski pisze:
>>>> To jest dysk, urządzenie, które może być użyte w różnych scenariuszach
>>>> (nie tylko w laptopie). Z czysto praktycznego p. widzenia umieszczenie
>>>> tego klucza w obrebie dysku (fizycznego urządzenia) wydaje się
>>>> najrozsądniejsze. Oczywiście można trzymac tez w sejfie na innym
>>>> kontynencie, albo mieć dedykowany token z dedykowanym mechanizmem i
>>>> wieksze koszty i bardziej skomplikowane procedury (zwykle dodatkowa
>>>> podatność), albo jak napisałes, każdorazowo generować, ale kto to wtedy
>>>> kupi lub będzie stosował?
>>>
>>> trzymasz w głowie przecież - hasło. Z hasła jest generowany klucz.
>>> Przecież tak działa VeraCrypt. I to jest najlepsza procedura.
>
> Załapałem o co Ci chodzi. Klucz jest jeden, tylko nie jest wygenerowany
> i już tam jest, a generowany ponownie i ponownie każdorazowo, ale i tak
> zawsze jest ten sam. Tak?
>
> No ale czy takie coś jest lepsze to kwestia właśnie implementacji. W
> końcu mozna zrobić tak, że klucz będzie w postaci niejawnej a hasło
> będzie służyło do jego odszyfrowania/lokalizacji i już masz podobne
> poziomy bezpieczeństwa.
>

W VC dysk, partycja czy plik jest dzielony na dwie części - dane i
nagłówek. Nagłówek zawiera informacje potrzebne do rozkodowania danych.
Przede wszystkim główny klucz, ktory jest generowany zupełnie losowo.
Kiedy ustalasz hasło np "klucz" ten wyraz jest hashowany. Kaskadowo by
ograniczyć stosowanie brute-mode. Czyli tworzy kolejny klucz
zdeterminowany. Zdeterminowany hasłem (w przypadku VC jeszcze możemy
ustalić liczbę kaskad hashowania). Tym kluczem jest szyfrowany nagłówek.
Dlatego nie musisz znać żadnych kluczy - nawet ich nie powinienieś mieć.
Co najwyżej powinno się robić kopię nagłówków bo jak się uszkodzą -
kaplica.

WD i jego SED działa następująco. Główny klucz jest zdeterminowany bo
jest już "zaszyty" na stałe. Raczej wątpliwe, ze gdzies "przypadkiem"
nie zapisali sobie par klusz-numer seryjny. Ale jak nie jesteśmy
terrorystami czy nie kolportujemy złośliwych memow na temat Adriana to
raczej mamy to gdzieś ;) Problem jest taki, ze naszym hasłem nie
szyfujemy klucza, hasłem owtieramy/zamykamy tylko bramę z dostępem do
urządzenia. Co gorsza działa to tak, ze ta bramą jest adres w pamięci
RAM urządzenia. zwykłe 1/0. Dlatego to zabezpieczenie omienie KAZDY
technik policyjny.

--
@foe_pl