Portál AbcLinuxu, 4. května 2025 00:11
Hesla generujeme pomocí programu KeePass a taky jsou v KeePass databázi uložené (hesla jsou ukládána v zašifrované podobě).
Jinak jsem si vědom, že moje řešení jistým způsobem snižuje bezpečnost; na druhou stranu si nemyslím, že by jí to snižovalo nějakým podstatným způsobem ... hesla jsou (ale nemusí být) sice uložena v textových souborech, ovšem na zašifrovaném oddílu a nečitelná pro jiného uživatele, než root ... při ztrátě notebooku se nikdo k datům nedostane.
9.8.2009 18:03
Marián Kyral | skóre: 29
| blog: Sem_Tam
| Frýdek-Místek
Díky za inspiraci, dostal jsem teď v práci nový NB, tak možná něco využiji. Tu SD kartu tam necháváš, nebo ji pokaždé vytáhneš?
SD kartu po vypnutí notebooku vždycky vytáhnu. Většinu času ji nosím v pouzdře v kapse, aby nebyla u notebooku.
Co si poridit nejaky regulerni (USB?) token?
I o této možnosti jsem uvažoval. Nakonec jsem tuto možnost nezvolil jednak kvůli pořizovací ceně tokenu (SD kartu jsem měl k dispozici) a druhak z důvodu velikosti tokenu. Často pracuju s notebookem i na cestách a zastrčený token v notebooku (podobně jako USB flash disk) mi prostě překáží.
Ještě jedna poznámka: docela by mne zajímalo, o kolik je odbobné řešení za použití regulérního tokenu bezpečnější oproti mnou zvolenému řešení. Největší rozdíl oproti tokenu je asi ten, že moje SD karta je připojená po celou dobu běhu systému (ale přístup k ní má pouze root). Jinak mě další velké rozdíly v bezpečnosti nenapadají ... Ale rád se nechám poučit od někoho, kdo této problematice lépe rozumí.
Samozrejme jde, ale tady uz zalezi na urovni daneho cipu. Pochopitelne, pokud si koupite blbou eepromku, tak si moc nepomuzete, ale rozumna cipova karta je navrzena i s ohledem na fyzickou bezpecnost (treba rozbrouseni atp.).
9.8.2009 23:37
Vašek Lorenc | skóre: 27
S TPM je to taky tak, že jeho bezpečnost byla v mnoha případech zpochybněna.. Je to celé otázka toho, co ještě je a co není pro daného člověka bezpečné. Co se výkonu čipových karet týče, tak jejich výkon není až tak žalostný, ale problém bývá s rozhraním. Nicméně i to se řeší -- Remotely Keyed Encryption je něco, co by se dalo použít. U TrueCryptu ale stačí mít na kartě uloženou třeba jen hlavičku šifrovaného svazku, protože bez ní se případný útočník stejně moc daleko nedostane..
S TPM je to taky tak, že jeho bezpečnost byla v mnoha případech zpochybněna..
Tomu bych i věřil. Ale ještě jsem se o to nezajímal, neb takový stroj nevlastním. Máte tip na zajímavé čtení?
U TrueCryptu ale stačí mít na kartě uloženou třeba jen hlavičku šifrovaného svazku, protože bez ní se případný útočník stejně moc daleko nedostane..
Myslím, že smyslem karty je, že ji klíč neopustí. Nikoliv, že si tam odložím klíč, který pak za běhu vrátím do systému.
12.8.2009 13:39
Vašek Lorenc | skóre: 27
Na to čtení o TPM se podívám během příštího týdne, bude-li to stačit. Někde ty prameny mám..
A ke smyslu karty -- ono to tak pochopitelně má být, ale ještě dost záleží na tom, co o útočníkovi předpokládáme. Problém s TrueCryptem je v tom, že když už se útočník dostane k počítači tak, že tam má vlastní proces, nejlépe na úrovní oprávnění kernelu, tak stejně může přečíst celý disk -- heslo/data mu poskytne ať už karta, nebo sám uživatel. K tomu, aby se to záškodníkovi nepodařilo (nebo to měl alespoň stížené a uživatel začal tušit nějakou nepravost), by každou operaci se souborem v TrueCryptu musel uživatel nějak explicitně potvrzovat, a to nejlépe na té čipové kartě nebo krypto tokenu (tedy v zařízení, které útočník nemůže jednoduše dostat pod svoji kontrolu).. A to zase nebude úplně pohodlné.
Takže v tomhle ohledu je asi lepší předpokládat, že obrana je proti takovému útočníkovi, který se dostane ke svazku nebo čipovce, možná k obojímu, ale určitě není schopen zjistit PIN a tedy ani vyčíst data z čipovky.
(uff, snad jsem se do toho moc nezamotal)
Slo by neco udelat s tim "probýhá"? Diky.
Díky, opraveno.
Tiskni
Sdílej:
ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.