forum.opennet.ru

Составление сообщения

Исходное сообщение

"Опубликованы ближайшие планы развития Ubuntu Desktop"
Отправлено Аноним, 26-Авг-23 03:07

> Экспериментальная поддержка в инсталляторе опции для полнодискового шифрования c задействованием TPM (Trusted Platform Module) для выполнения криптографических операций.
Вот это годно. А то оно есть уже 8 лет в каждой мамке Intel и 6 лет в каждом проце AMD, а до сих пор нужно настраивать через какие-то хуки systemd и консольные заклинания.
https://wiki.archlinux.org/title/Trusted_Platform_Module#Dat...
Для тех, кто не понимает, зачем это нужно - это позволяет:
- организовать защиту в многопользовательской среде. Что невозможно сделать, если использовать лишь классическое шифрование с паролем. Ведь придётся пароль сообщить каждому пользователю, чтобы пользователи могли загрузить ОС. Зная пароль шифрования любой из них может загрузиться с LiveCD, расшифровать системный раздел и воткнуть в системный раздел кейлоггер или ещё какую-то дрянь. Если же настроить прозрачную расшифровку накопителя с помощью TPM, то всё получается очень красиво: системный раздел расшифровывается при загрузке автоматически, за то, чтобы пользователь не вошёл в учётку других пользователей отвечает аутентификация ОС, а при загрузке с LiveCD накопитель просто не расшифруется - TPM его расшифровывывает лишь при загрузке штатным образом.
- в однопользовательской среде (1 пк = 1 пользователь) затруднить атакующему жизнь - ему придётся либо брутить шифрование на этой самой машине, либо ещё и вытаскивать ключ из TPM. При этом, разумеется, стоит использовать TPM в комбинации со стойким паролем, чтобы после добывания ключа потирающий руки атакующий осознал, что теперь ему придётся миллион лет брутить ваш пароль шифрования, ведь TPM был лишь лёгкой разминкой, первой линией обороны. А параноики могут вообще использовать связку "TPM + пароль + ключевой_файл". Максимальная защита: если успел уничтожить флешку с ключевым файлом - никто не расшифрует диск, даже небо, даже Аллах. Если же у тебя спёрли ПК вместе с флешкой, то никто тоже не расшифрует диск - нужен ещё и пароль. А если у тебя при обыске изъяли лишь жесткий диск и заставили сказать пароль, то, опять же, диск не расшифруется, TPM-модуль-то не взяли.

Исходное сообщение
"Опубликованы ближайшие планы развития Ubuntu Desktop" Отправлено Аноним, 26-Авг-23 03:07
> Экспериментальная поддержка в инсталляторе опции для полнодискового шифрования c задействованием TPM (Trusted Platform Module) для выполнения криптографических операций. Вот это годно. А то оно есть уже 8 лет в каждой мамке Intel и 6 лет в каждом проце AMD, а до сих пор нужно настраивать через какие-то хуки systemd и консольные заклинания. https://wiki.archlinux.org/title/Trusted_Platform_Module#Dat... Для тех, кто не понимает, зачем это нужно - это позволяет: - организовать защиту в многопользовательской среде. Что невозможно сделать, если использовать лишь классическое шифрование с паролем. Ведь придётся пароль сообщить каждому пользователю, чтобы пользователи могли загрузить ОС. Зная пароль шифрования любой из них может загрузиться с LiveCD, расшифровать системный раздел и воткнуть в системный раздел кейлоггер или ещё какую-то дрянь. Если же настроить прозрачную расшифровку накопителя с помощью TPM, то всё получается очень красиво: системный раздел расшифровывается при загрузке автоматически, за то, чтобы пользователь не вошёл в учётку других пользователей отвечает аутентификация ОС, а при загрузке с LiveCD накопитель просто не расшифруется - TPM его расшифровывывает лишь при загрузке штатным образом. - в однопользовательской среде (1 пк = 1 пользователь) затруднить атакующему жизнь - ему придётся либо брутить шифрование на этой самой машине, либо ещё и вытаскивать ключ из TPM. При этом, разумеется, стоит использовать TPM в комбинации со стойким паролем, чтобы после добывания ключа потирающий руки атакующий осознал, что теперь ему придётся миллион лет брутить ваш пароль шифрования, ведь TPM был лишь лёгкой разминкой, первой линией обороны. А параноики могут вообще использовать связку "TPM + пароль + ключевой_файл". Максимальная защита: если успел уничтожить флешку с ключевым файлом - никто не расшифрует диск, даже небо, даже Аллах. Если же у тебя спёрли ПК вместе с флешкой, то никто тоже не расшифрует диск - нужен ещё и пароль. А если у тебя при обыске изъяли лишь жесткий диск и заставили сказать пароль, то, опять же, диск не расшифруется, TPM-модуль-то не взяли.

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, [email protected] (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру