abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

včera 12:55 | Nová verze

Byla vydána verze 17.12.0 KDE Aplikací (KDE Applications). Přehled novinek v kompletním seznamu změn a na stránce s dalšími informacemi. Aplikace, které nebyly dosud portovány na KDE Frameworks 5, byly z KDE Aplikací odstraněny.

Ladislav Hagara | Komentářů: 27
včera 03:00 | Komunita

Na Humble Bundle lze získat počítačovou hru Company of Heroes 2 (Wikipedie, YouTube) běžící také v Linuxu zdarma. Speciální akce končí v sobotu v 19:00.

Ladislav Hagara | Komentářů: 0
včera 02:00 | Zajímavý software

Christian Kellner představil na svém blogu projekt Bolt řešící bezpečnost rozhraní Thunderbolt 3 na Linuxu. Pomocí příkazu boltctl nebo rozšíření GNOME Shellu lze komunikovat s démonem boltd a například zakázat neznámá zařízení a předejít tak útokům typu Thunderstrike nebo DMA.

Ladislav Hagara | Komentářů: 6
včera 01:00 | Nová verze

Po půl roce vývoje od vydání verze 11.0 byla vydána verze 11.1 svobodného softwaru pro vytváření datových úložišť na síti FreeNAS (Wikipedie). Nejnovější FreeNAS je postaven na FreeBSD 11.1. Přehled novinek v příspěvku na blogu. Zdůraznit lze zvýšení výkonu OpenZFS, počáteční podporu Dockeru nebo synchronizaci s cloudovými službami Amazon S3 (Simple Storage Services), Backblaze B2 Cloud, Google Cloud a Microsoft Azure

Ladislav Hagara | Komentářů: 0
14.12. 23:55 | Nová verze

Po dvou měsících vývoje od vydání verze 235 oznámil Lennart Poettering vydání verze 236 správce systému a služeb systemd (GitHub, NEWS).

Ladislav Hagara | Komentářů: 6
14.12. 20:00 | Nová verze Ladislav Hagara | Komentářů: 0
14.12. 19:33 | Pozvánky

Pražská Fedora 27 Release Party, oslava nedávného vydání Fedory 27, se uskuteční 19. prosince od 19:00 v prostorách společnosti Etnetera (Jankovcova 1037/49). Na programu budou přednášky o novinkách, diskuse, neřízený networking atd.

Ladislav Hagara | Komentářů: 0
14.12. 18:11 | Nová verze

Byla vydána verze 2.11.0 QEMU (Wikipedie). Přispělo 165 vývojářů. Provedeno bylo více než 2 000 commitů. Přehled úprav a nových vlastností v seznamu změn.

Ladislav Hagara | Komentářů: 0
14.12. 17:44 | Komunita

Canonical oznámil dostupnost kryptografických balíčků s certifikací FIPS 140-2 úrovně 1 pro Ubuntu 16.04 LTS pro předplatitele podpory Ubuntu Advantage Advanced. Certifikace FIPS (Federal Information Processing Standards) jsou vyžadovány (nejenom) vládními institucemi USA.

Ladislav Hagara | Komentářů: 3
14.12. 16:11 | Zajímavý software

Společnost Avast uvolnila zdrojové kódy svého dekompilátoru RetDec (Retargetable Decompiler) založeného na LLVM. Vyzkoušet lze RetDec jako webovou službu nebo plugin pro interaktivní disassembler IDA. Zdrojové kódy RetDec jsou k dispozici na GitHubu pod open source licencí MIT.

Ladislav Hagara | Komentářů: 3
Jak se vás potenciálně dotkne trend odstraňování analogového audio konektoru typu 3,5mm jack z „chytrých telefonů“?
 (8%)
 (1%)
 (1%)
 (1%)
 (76%)
 (14%)
Celkem 997 hlasů
 Komentářů: 45, poslední 1.12. 19:00
    Rozcestník

    Dotaz: Jak na nejlepší zabezpečení diskové oblasti?

    pVit avatar 6.12. 12:34 pVit | skóre: 10
    Jak na nejlepší zabezpečení diskové oblasti?
    Přečteno: 1016×
    Zdravím, potřeboval bych zjistit, jakým nejlepším způsobem lze zabezpečit nějaká partitiona. Zařízením je zde Raspberryčko, takže potřebuju ochranu přenositelnosti SD karty (že jedna karta půjde jen a pouze na jednom RPi). To se dá obstarat zakryptováním partitiony s tím, že do hesla zakomponuju třeba sériové číslo. Problém je jak pak disk dekryptovat a kryptovat, aby nikdo neodchytil algoritmus a nemohl si dosadit svoje údaje? Bashové skripty si každý dokáže přečíst za pár minut. Zároveň chci, aby se RPi doptávalo na server, zda má diskovou oblast zpřístupnit.

    V podstatě tedy potřebuji při bootu mít zakryptovaný disk s heslem, které obsahuje sériové číslo. Při bootu také spouštět nějaký skript ve smyčce, který bude ověřovat, zda má zpřístupnit partition. Pokud ano, složí heslo a odkryptuje partition.

    Otázkou je, jak to celé postavit, aby nikdo (nebo aspoň 99% lidí :) ) nezjistil algoritmus dekryptování diskové oblasti.
    Kam čert nemůže, tam nainstaluje linux.

    Odpovědi

    6.12. 13:01 NN
    Rozbalit Rozbalit vše Re: Jak na nejlepší zabezpečení diskové oblasti?
    6.12. 18:40 j
    Rozbalit Rozbalit vše Re: Jak na nejlepší zabezpečení diskové oblasti?
    jj, takovyhle "reseni" zakaznici doslova zboznujou ... prestane fungovat net a vrata se neotevrou ...
    6.12. 19:15 Peter Golis | skóre: 55 | Bratislava
    Rozbalit Rozbalit vše Re: Jak na nejlepší zabezpečení diskové oblasti?
    Na toto sa zvykol používať TPM, ale ten by mal mať podporu vo FW zariadenia. Ak sa to oplatí chrániť, tak cena za dosku s niečim takým bude to najmenej.
    8.12. 00:29 VM
    Rozbalit Rozbalit vše Re: Jak na nejlepší zabezpečení diskové oblasti?
    To TPM tam je na zabránění brute force útoku proti tomu heslu, co se zadává z klávesnice?
    8.12. 13:39 Peter Golis | skóre: 55 | Bratislava
    Rozbalit Rozbalit vše Re: Jak na nejlepší zabezpečení diskové oblasti?
    Kde?
    8.12. 17:54 VM
    Rozbalit Rozbalit vše Re: Jak na nejlepší zabezpečení diskové oblasti?
    Uvažoval jsem scénář, kdy je soukromý klíč v TPM, a to ho vydá po zadání hesla z klávesnice. TPM má omezený počet pokusů o zadání hesla, takže by bránilo aspoň ukradení zaheslovaného klíče z disku a útoku hrubou silou na to heslo (ale pořád zbývá coldboot / získání roota, a vytažení klíče z paměti). Jiné rozumné použití TPM mě nenapadá..
    8.12. 18:47 Peter Golis | skóre: 55 | Bratislava
    Rozbalit Rozbalit vše Re: Jak na nejlepší zabezpečení diskové oblasti?
    Takže na tú tvoju otázku si si odpovedal sám. Teraz si ešte doštuduj ostatné služby ktoré poskytuje TPM. Potom ťa napadne aj iné rozumné použitie TPM.
    8.12. 21:37 VM
    Rozbalit Rozbalit vše Re: Jak na nejlepší zabezpečení diskové oblasti?
    TPM znám a ne, neodpověděl jsem si.
    8.12. 21:51 Peter Golis | skóre: 55 | Bratislava
    Rozbalit Rozbalit vše Re: Jak na nejlepší zabezpečení diskové oblasti?
    V tom prípade si to môžeš kľudne doštudovať. Potom pochopíš že tvoja otázka bola zameraná len na jeden aspekt TPM, a zodpovedal si si ju sám. Aj keď si nepochopil ani tvoju otázku, a ani tvoju odpoveď. Na budúce podaj lotériu, s takým šťastím ako máš to vyhráš.
    9.12. 00:59 VM
    Rozbalit Rozbalit vše Re: Jak na nejlepší zabezpečení diskové oblasti?
    Nic jiného tam není, beru to tak že jiné použití než co jsem napsal neznáš.
    9.12. 08:27 petr_p | skóre: 59 | blog: pb
    Rozbalit Rozbalit vše Re: Jak na nejlepší zabezpečení diskové oblasti?

    Omezit počet přihlášení umí kdejaká čipová karta. Na to TPM netřeba.

    Síla TPM je v tom, že má vlastní sériové číslo a vlastní tajný klíč. Klíč nelze přečíst, jen vygenerovat či zapsat. Kombinací těchto dvou hodnot vzniká jedinečný a nereplikovatelný iniciační vektor pro hashovací funkci. Ta potom řetězově hashuje spouštěný kód (firmware, zavadeč, jádro, initram disk atd.), čímž v kterékoliv fázi startu systému máme otisk kódu, který byl až dosud vykonán. Tento otisk pak funguje jako důkaz, že systém je v požadovaném (= nenapadnutém) stavu.

    Když budete otisk držet v tajnosti, tak ho můžete použít jako heslo pro rozšifrování blokového zařízení.

    Nebo můžete využít další funkci TPM, a to že na hodnotu otisku navážete vydání dalšího soukromého klíče z TPM. A blokové zařízení dešifrovat až tímto dalším soukromým klíčem.

    Příště by to chtělo méně arogance a více studia.

    10.12. 02:36 VM
    Rozbalit Rozbalit vše Re: Jak na nejlepší zabezpečení diskové oblasti?
    Chtělo, musel jsem se ptát čtyřikrát. Každopádně díky za popis. To by mohlo fungovat, budou-li tím klíčem šifrovány všechny klíčové části systému, které nejsou hashovány (v opačném případě vyndám kartu, upravím na ní třeba /etc/passwd, vrátím, naloguji se jako root, vytáhnu klíč z RAM, a TPM mě už nezajímá). Tedy pořád zbývají útoky na běžící systém, ale ty jsou těžší.

    Ale tohle bude fungovat jen se secure bootem. Pokud by systém nabootoval jakoukoliv kartu, půjde tam dát program co tím TPM hashem prožene FW plus původní bootloader/kernel/initrd, a vytáhne soukromý klíč k těm datům.
    10.12. 08:42 Peter Golis | skóre: 55 | Bratislava
    Rozbalit Rozbalit vše Re: Jak na nejlepší zabezpečení diskové oblasti?
    Tou prvou vetou rovno priznávaš že si sa musel štyrikrát pýtať aby si si nemusel sám pozrieť definíciu produktu na toto určenú. S tebou musia byť tvoji kolegovia veľmi spokojní.

    Ale, už tomu začínaš pomaly chápať.
    10.12. 13:35 VM
    Rozbalit Rozbalit vše Re: Jak na nejlepší zabezpečení diskové oblasti?
    Jdi prosím zvracet jinam.
    10.12. 15:01 Peter Golis | skóre: 55 | Bratislava
    Rozbalit Rozbalit vše Re: Jak na nejlepší zabezpečení diskové oblasti?
    Ďakujem za ponuku, ale až tak zle mi z tvojho konania neprišlo. V práci mám dosť kolegov ktorí si s tebou môžu ruku podať, takže som voči takémuto tvojmu typu chovania imúnny.
    10.12. 10:40 petr_p | skóre: 59 | blog: pb
    Rozbalit Rozbalit vše Re: Jak na nejlepší zabezpečení diskové oblasti?
    To by mohlo fungovat, budou-li tím klíčem šifrovány všechny klíčové části systému, které nejsou hashovány (v opačném případě vyndám kartu, upravím na ní třeba /etc/passwd, vrátím, naloguji se jako root, vytáhnu klíč z RAM, a TPM mě už nezajímá).

    Ano. Klasický postup je mít vše kromě jádra a initramdisku v šifrovaném blokovém zařízení a v něm LVM a v něm všechny souborové a swapovací systémy. Tohle umožňuje zajistit integritu i utajení.

    Jiný postup je, když stačí integrita. Pak místo šifrování se použije IMA na veškerý kód (jaderné moduly, spustitelné programy a dynamické knihovny) nebo i data (konfigurační soubory). V podstatě se posbírají otisky všech souborů a proženou se TPM. Při přístupu k souborům se pak kontroluje, že se jejich otisk nezměnil.

    Tedy pořád zbývají útoky na běžící systém, ale ty jsou těžší.

    Samozřejmě. Před chybou v ověřeném kódu (jako když na Mac OS stačilo dvakrát zadat prázdné heslo pro roota) vás neochrání nic.

    Ale tohle bude fungovat jen se secure bootem. Pokud by systém nabootoval jakoukoliv kartu, půjde tam dát program co tím TPM hashem prožene FW plus původní bootloader/kernel/initrd, a vytáhne soukromý klíč k těm datům.

    Nikoliv. Když systém nabootuje z jiné karty, tak se do TPM pošle jiný obsah zavaděče atd. a tudíž hash bude jiný.

    Je třeba si uvědomit, že do TPM se posílá kód, který teprve bude spuštěn, a posílá jej tam kód, který již byl takto do TPM odeslán. Čili aby kód mohl podvádět (posílat do TPM jiný obsah, než který hodlá spustit), musel by se takový kód lišit od původního poctivého kódu. Jenže pokud takový kód běží, znamená to, že jeho odlišnost již změnila otisk v TPM ještě před tím, než nepoctivý kód byl spuštěn a mohl začít podvádět.

    To samozřejmě přináší otázku, jak je to s úplně prvním kódem, který se posílá do TPM. Tedy s firmware. Správná implementace je, že při zapnutí počítače existuje neměnitelný kód (v ROM), který nejprve odešle obsah firmware do TPM a pak teprve spustí firmware.

    Secure boot má podobný ale horší problém: Kdo ověřuje podpis firmwaru a jak má vědět, že kořenový klíč nebyl podvržen? Vzhledem k tomu, že kořenový klíč je možné importovat, obávám se, že secure boot je ve skutečnosti velká habaďůra. Je ještě možnost, že secure boot má dva kořenové klíče. Jeden importovatelný uživatelem a jeden neměnný. Ten neměnný se použije právě pro ověřený firmwaru. Jenže když jsou dva nezávislé kořeny, tak mezi nimi nemůže existovat důvěra a tudíž secure boot opět stojí na vodě. Aby secure boot byl důvěryhodný, kořenový klíč by musel být jen jeden a neměnitelný a nesměl by být vypnutelný.

    10.12. 13:35 VM
    Rozbalit Rozbalit vše Re: Jak na nejlepší zabezpečení diskové oblasti?
    Kontrolovat všechny konfiguráky / binárky / knihovny znamená, že v takovém systému nemůžu nic změnit, ani provést aktualizaci systému. A stačí, když nějaký systémový nástroj na pozadí do nějakého konfiguráku zapíše třeba timestamp, a nenabootuji. Bude to i problém opravit, ledaže mám soukromý klíč zálohovaný někde vedle, jenže to zas snižuje bezpečnost. Takže pro většinu použití docela nešikovné.

    Abych nemohl provést ten druhý útok, tak se každý kód musí do toho TPM hashování poslat ještě dřív než se spustí (v opačném případě lze nahradit jiným kódem co tam posílá ten původní kód), a musí s tím začít už BIOS. Pak je pro útok potřeba vyměnit BIOS, což by se mi na současném HW fakt nechtělo dělat.

    To s tím secure bootem chápu tak, že admin připraví bootloader, a řekne secure bootu, že má pouštět právě tenhle jeden kód. Proto potřebuji importovat kořenový klíč, a smazat všechny ostatní co by tam byly od výrobce. Ano, celé to pak visí na heslu do setupu a nemožnosti ho smazat, ale aspoň odpadnou problémy s předdefinovaným kořenovými klíči od nedůvěryhodných třetích stran. Nevím, proč by to na nich mělo být závislé.

    Neměnný klíč pro ověření FW by asi nefungoval, FW ověřuje sebe sama, stačí z FW vyhodit to ověření, ne?
    10.12. 16:52 petr_p | skóre: 59 | blog: pb
    Rozbalit Rozbalit vše Re: Jak na nejlepší zabezpečení diskové oblasti?

    BIOS je dneska software jako každý jiný. Velký, modulární, plný chyb a aktualizovatelný. Samozřejmě že ověřování sám sebou není bezpečné.

    Bezpečná metoda je mít neměnitelný zavaděč BIOSu. Protože jej nelze měnit, můžeme mu věřit. Ten může poslat BIOS do TPM, či může ověřit jeho podpis proti klíči, který má neměnitelný kód v sobě.

    Takový neměnitelný kód opravdu existuje a používá se pro spuštění částí BIOSu, které inicializují plně procesor a chipset. Nicméně zdá se, že výrobci jej nepoužívají jako kořen důvěry.

    Třeba IBM v OpenPower strojích má v secure boot dva kořenové klíče. Jedním ověřuje firmware a druhý si může uživatel změnit pro ověření operačního systému. Kořenové klíče jsou uloženy v paměti, do které lze nové kořenové klíče nahrát pouze skrze běžící firmware, který si již vynutí, aby nový firmwarový kořen byl podepsán starým kořenem (zrovna tak jako aktualizace firmwaru). (A uživatelský kořen pouze po předložení hesla, jehož otisk je pravděpodobně uložen v téže paměti). Čili se vychází z předpokladu, že první firmware neobsahuje žádnou bezpečnostní chybu. (Nějak takto byla zabezpečena PlayStation proti instalaci Linuxu a nějak tak si Microsoft představoval secure boot na zábavní technice s armovými procesory.)

    Ve světě PC UEFI se TPM zapíná až ve fázi Pre EFI Inicialization. Sice UEFI se do TPM pošle celé, ale ten první neměnný kód, který provádí předešlou Security fázi, to nedělá. Asi se vsází na stejnou kartu jako u OpenPower ­­– že UEFI lze aktualizovat jen z běžícího UEFI.

    Přijde mi to docela smutné, protože dobře udělané TPM umožňuje ochránit systém před off-line útokem. Secure boot to nedokáže, protože stačí restovat heslo do setupu, což standardní podporovaná operace.

    8.12. 18:40 lertimir | skóre: 61 | blog: Par_slov
    Rozbalit Rozbalit vše Re: Jak na nejlepší zabezpečení diskové oblasti?
    To že bash skript lze přečíst je jedno. minimálně 30 let je bezpečnost chápána tak, že algoritmus je znám a utajení je koncentrováno v klíči. Ale moc dotazu nerozumím. Co znamená "(že jedna karta půjde jen a pouze na jednom RPi)"? znamená to, že RPi nenabootuje? nebo po normálním bootu se nepřipojí nějaká datová oblast? pokud je potřeba "Při bootu také spouštět nějaký skript ve smyčce, který bude ověřovat, zda má zpřístupnit partition.", co to znamená? ověřuje se v initramfs nebo po najetí základního systému?
    pVit avatar 11.12. 21:12 pVit | skóre: 10
    Rozbalit Rozbalit vše Re: Jak na nejlepší zabezpečení diskové oblasti?
    Jen a pouze na jednom RPi znamená druhá možnost - na jiném RPi nebude zpřístupněna datová oblast s veškerými firemními daty. Druhá otázka - spouští se po najetí základního systému (třeba nebude po bootu přístupný internet, tak to testuje, ale přitom je systém normálně přístupný pro práci (třeba na vzdálený přístup)).
    Kam čert nemůže, tam nainstaluje linux.
    9.12. 11:18 Matlák
    Rozbalit Rozbalit vše Re: Jak na nejlepší zabezpečení diskové oblasti?
    Sorry za off-topic, ale nechápu tyhle z komunity vzešlé DRM snahy. Popravdě doufám že je to jen zvrácený "business" požadavek. Chceš někomu dát RPi aby "bylo jeho a nebylo jeho" zároveň? Uvědomuješ si jaká je to pitomost?

    Pokud na takovém DRM trváš, můžeš to nejsnáz udělat asi tak že celé milé RPi zavřeš do trezoru, který při pokusu o otevření svůj vnitřek zničí třeba kyselinou nebo termitem. Ani pak to ale jisté nebude.
    k3dAR avatar 9.12. 18:23 k3dAR | skóre: 47
    Rozbalit Rozbalit vše Re: Jak na nejlepší zabezpečení diskové oblasti?
    chce vytvorit projekt ktery nebude opensource a nechce aby mu to nekdo ukradl/kopiroval, na tom neni nic zvraceneho...
    muzes sice chtit aby to dal jako opensource a zkusil vydelavat na supportu, ale neni to (a jiste to chapes sam) tvoje vec ;-)
    porad nemam telo, ale uz mam hlavu... nobody
    9.12. 20:11 Matlák
    Rozbalit Rozbalit vše Re: Jak na nejlepší zabezpečení diskové oblasti?
    Jasně, pokud je tam přidaná hodnota, tak prosím. Třeba si dokážu představit moduly pro domácí automatizaci, které by kontrolovaly že je k nim připojená ta "správná" malina (ačkoliv pořád je to jen iluze a samozřejmě to půjde s trochou snahy obejít, spíš bych to chápal jako ochranu před zloději a ne před vlastním majitelem). Ale pokud je to jen SW, tak je otázka proč stavět na něčem co je otevřené z principu (napadá mě snad jen cena, bohužel).

    Jinak to s tím trezorem se pokud vím v bankovnictví snad pořád používá, přeci jen nejlepší TPM je takový zavřený v trezoru :-)
    pVit avatar 11.12. 21:08 pVit | skóre: 10
    Rozbalit Rozbalit vše Re: Jak na nejlepší zabezpečení diskové oblasti?
    Jedná se o pronajímání zařízení s firemním softwarem. V podstatě musíme ošetřit, aby tento prostředek, který může ovládat stroje za desítky milionů, nebylo možné zneužít tak, aby vznikaly škody dané konkurencí firem (když už se někdo do RPi nabourá a zjistí algoritmy, tak mu půjdou pouze na jeho vlastním zařízení, ale do jiného se nedostane).

    Ano, z prvního pohledu je to zbytečné stejně jako hesla síťářů jk minimálně 30 znaků všech typů. Když se ale jedná o věci, při jejichž zneužití by byly škody desítky až stovky milionů, tak se nesmí nic podcenit.
    Kam čert nemůže, tam nainstaluje linux.
    11.12. 21:37 Peter Golis | skóre: 55 | Bratislava
    Rozbalit Rozbalit vše Re: Jak na nejlepší zabezpečení diskové oblasti?
    A čo vám bráni použiť dosku ktorá má v sebe nejaký spomínaný spôsob ochrany? Nepredpokladám že by to bola cena, alebo know-how viazané na výučbovú dosku pre deti na školách.
    10.12. 14:08 jiwopene | skóre: 8
    Rozbalit Rozbalit vše Re: Jak na nejlepší zabezpečení diskové oblasti?
    SW řešení

    Četl jsem, že RPi umí bootovat po síti (nezkoušel jsem to), takže by šlo vzít nějaká data z desky (MAC adresa, ...) a karty (třeba pár bajtů na konci, karty, kde není žádná partition), udělat z toho heslo a tím to dešifrovat. Nezapomeňte, že se vždy dá najít způsob, jak to chytit "za běhu" (např. podstrčit jiné jádro).

    HW řešení

    Lepidlo přes slot na kartu. :-D (Vypadá to na nejspolehlivější způsob)

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.