Facebook Instagram
Zpět na článek

Diskuze: Šifrování disku pomocí BitLockeru s čipem TPM

Nejsi přihlášený(á)

Pro psaní a hodnocení komentářů se prosím přihlas ke svému účtu nebo si jej vytvoř.

Rychlé přihlášení přes:

Jespi
Jespi
Level 1 Level 1
2. 5. 2019 12:20

Komentáře tohoto uživatele máš zablokované.

Po dlouhé době článek jako za dob starého, dobrého, aktivního PCTuningu.
+++++++++++++

Petr Šaroun
Petr Šaroun
Level 1 Level 1
2. 5. 2019 14:43

Komentáře tohoto uživatele máš zablokované.

@Jespi Děkuji, pochvala moc potěší. :wink:

Slizoplaz
Slizoplaz
Level 1 Level 1
2. 5. 2019 12:50

Komentáře tohoto uživatele máš zablokované.

Já bych jen dodal, že všechny AMD Ryzen procesory mají v sobě PSP a podporují tak fTPM, v BIOSU tedy stačí zapnout fTPM a máte funkční TPM v CPU a není třeba kupovat nějaký externí modul a doufat, že bude fungovat.

Dokonce jde přepínat na některých deskách mezi TPM 1.2 a TPM 2.0, přičemž dvojka vyžaduje UEFI + Secure Boot.

Takže pokud máte Ryzen, máte TPM built-in, což je super pro levné počítače nebo levné notebooky, jen je pak třeba upgradovat wokna na Pro verzi, v Home to nefunguje.

cursedslayer
cursedslayer
Level 1 Level 1
2. 5. 2019 13:25

Komentáře tohoto uživatele máš zablokované.

@Slizoplaz Noo, diť to tam píše. :)

Xcute
Xcute
Level 1 Level 1
2. 5. 2019 14:58

Komentáře tohoto uživatele máš zablokované.

Nerozumím tomu, proč by mělo být opruz vkládání +12ti místného hesla při startu - to ta wokna tolik padají, nebo?

Petr Šaroun
Petr Šaroun
Level 1 Level 1
2. 5. 2019 15:08

Komentáře tohoto uživatele máš zablokované.

@Xcute To podle toho, jestli se notebook vypíná nebo uspává. A stolní počítač řada lidí zapne po příchodu z práce, pak ho vypne, když jdou do krámu, zase ho zapnou, jdou se dívat na televizi a opět ho vypínají. Ale máte pravdu, dá se změnit styl práce.

Cemada
Cemada
Level 6 Level 6
2. 5. 2019 16:23

Komentáře tohoto uživatele máš zablokované.

@Petr Šaroun Je to hodně o využívání PC/ntb a taky o lenivosti lidstva. Proč si pamatovat 15timístné heslo, když stačí 6timístný PIN.
Takže máme heslo pojištěné jiným heslem a navrch by dal ještě jedno heslo...ať je větší srandy, když něco klekne :D

Maxik
Maxik
Level 0 Level 0
2. 5. 2019 22:48

Komentáře tohoto uživatele máš zablokované.

@Petr Šaroun @Cemada: Tak vetsina lidi na tom dela natolik nezajimavy cinnosti ze to sifrovat vazne nemusi :-D A jinak nez datlovat heslo me prijde zajimavejsi pouzit key file z flesky napriklad.

Maxik
Maxik
Level 0 Level 0
2. 5. 2019 22:51

Komentáře tohoto uživatele máš zablokované.

@Petr Šaroun @Maxik: dalsi vec je proc to vlastne delat, pokud hackuju pentagon tak me stejne nejakej bitlocker nepomuze protoze to urco ma nejak backdoor, pripadne maji prostredky zlomit to hrubou silou. Takze pro 99% obyvatelstva to je zbytecnost a ten zbytek se stejne neciti uplne v bezpeci protoze tusi ze to neni neproniknutelna ochrana. Snad pro Frantu aby se jeho houmvideo neobjevilo na freevideu :-D

Swiso
Swiso
Level 0 Level 0
3. 5. 2019 09:25

Komentáře tohoto uživatele máš zablokované.

@Petr Šaroun @Maxik: Problém je i to, že i když se to nezdá, operace jako zálohování a tím spíše šifrování musí nastavovat a jistým způsobem spravovat osoba, co o tom něco ví. Jako ano, program se tváří, že ho zvládnout obsloužit i blbečci, ale opak je pravdou. Aby vše fungovalo, jak má, musí se poměrně striktně dodržet jak bezpečnostní politika, tak u záloh i nějaké plánování a opatření proti chybám apod. Lehké to opravdu není, aby to fungovalo a ještě k tomu to bylo jištěné. Pakliže vše dodržím, šifrovat se nebojím a říkám to i svým "klientům", protože v tu chvíli to dobře 99% běžných lidí, kteří danou flasku najdou apod. neotevřou, nedostanou se vůbec k žádným datům. A i u toho zbylého 1% je to značnou otázkou, protože to už by po vás musel někdo cíleně jít. Pak je na místě otázka, proč. Prostě šifrování je použitelné, za dodržení jistých pravidel vždy, a vždy je šance, že šifrování splní svůj cíl, téměř 100%.

Pro ty, kteří tvrdí opak, nechť se mi napíšou, jak se s nimi spojit. Rád jim poskytnu nějaké zašifrované soubory, ať si počtou :-)

Swiso
Swiso
Level 0 Level 0
2. 5. 2019 15:20

Komentáře tohoto uživatele máš zablokované.

Můžu se jen optat proč je dobré (se vyplatí) šifrovat systémový disk? Po mém brainstormingu, jsem na moc situací nenarazil. Myslím to vážně a tak prosím o normální reakce, ne reakce typu blbec, apod... ty si napište na papír :-) Já to číst nechci.

Cemada
Cemada
Level 6 Level 6
2. 5. 2019 16:19

Komentáře tohoto uživatele máš zablokované.

@Swiso Viděl bych to tak, že v případě kdy na systémovém disku jsou nainstalovány aplikace, jejich nastavení a cache (což má asi 99,99% uživatelů), tak je tam asi i bambilión osobních informací. Např. kolik uživatelů má uložená hesla např. ve FF a ne v nějakém sw trezoru? Pak stačí pár kliků a zloděj či hacker má vše k dispozici.

Petr Šaroun
Petr Šaroun
Level 1 Level 1
2. 5. 2019 17:44

Komentáře tohoto uživatele máš zablokované.

@Cemada Přesně jak říkáte. U notebooku to myslím smysl má, ale u stolního počítače doma, to je otázka, kterou si musí vyřešit každý sám. Vadilo by mi, kdyby si můj počítač někdo úplně cizí odnesl, hrabal se v něm a zase ho přinesl? Pokud to člověku vadí, BitLocker smysl má. Pokud ne, je to zbytečnost a komplikace.

Swiso
Swiso
Level 0 Level 0
3. 5. 2019 09:06

Komentáře tohoto uživatele máš zablokované.

@Cemada @Petr Šaroun: Já mám na mysli také právě především notebook. Ale když jsem někomu data zálohoval apod. tak mu téměř všechny profily prohlížečů, účetních programů atp. přesměrovávám na druhý oddíl disku, kde jsou data. Osobně jsem svého času dost cestoval a notebook jsem právě měl také zašifrovaný, ale vždy jen to nutné. Přijde mi totiž "hloupé" když se chci připojit příkladně ve vlaku na WiFi, abych musel odemykat vše, co na notebooku je. Prostě jsem pustil notebook, připojil jsem se k síti a přesto jsem měl vše zašifrované. Tudíž se mi nikdo k datům nemohl dostat. U FF jsem samozřejmě, vybral jiný profil. To jde lehce nastavit, stačí nechat FF spouštět s parametrem -p, tuším. Je to jeden z důvodů, kdy je, dle mého názoru, použito nesprávných bezpečnostních metod. Notebook je sice zašifrovaný, ale jakmile ho pustím, musím vše odemknout > připojím se na veřejnou WiFi apod. > ke všemu je přístup. Já to měl právě jinak. Mohl jsem si dokonce odskočit na WC a když by mi náhodou někdo notebook vzal, no bóóže, k datům se nedostane, ty jsou pro mě cennější, než notebook samotný.

sviftcz
sviftcz
Level 1 Level 1
2. 5. 2019 17:01

Komentáře tohoto uživatele máš zablokované.

Skvělý článek ! Prvně bych rád sklidil poklonu. Více takových to článků.

Vykouším na svém PC doma. Jen tak z hecu :D

Koho opravdu zajímá bezpečnost, trocha konspirace co jsem nasbíral :) může si přečíst mou slohovku.

Když americká vláda zakazala vývojáři dál vyvýjet Truecrypt pod pohružkou obvinění z napomáhání terorizmu pod "Patriot act", protože tam autor odmítl dát zadní dvířka. Truecrypt skončil s vývojem. Jak nepřibyla nativní podpora novější sytémů nez Windows 7, nezbylo nic jiného než používat šifrované kontejnery. Stránky Truecryptu jsou teď návod jak přejít na BitLocker. To už je dostatečné varování proč jej nepoužívat.

Při této šílenosti na zprovoznění je třeba mít na paměti, že vládní organizace včetně pár specialistů PČR, kteří si nakoupili hračky od Izraelců stejně tak etalovaní Hackeři projdou přes Bitlocker jako horký nůž máslem TPM neTPM. Nemluvě o dodnes nevyřešeném bugu, kdy je možné vyčíst heslo z RAM z běžícího počítače nebo i cca 10 - 20 minut vypnutého počítače... OMG prostě. A kamže nám to u intelu i AMD vede Meltdow a Spectre ?

Tohle je neskutečná výhoda APPLE počítačů. Šifrovaný proprietární HFS+ a nově APFS partišny jsou šifrované jedním kliknutím APFS s minimálním dopadem na výkon. Pokud máte stihoman, můžete si ještě udělat dodatečně zabezpečené nebo skryté složky. Jednou smazaný soubor je navždy pryč. Apple zatím odolává pokusům na instalaci zadních dvířek, je sice vinen za na starších MacBoocích bylo možné vyčíst heslo ze SMC v textové podobě :D ale to už dnes neplatí Apple to vyřešil tak, že se nyní SMC čip při pokusu o čtení firmware fyzicky zničí. Navíc vzhledem k počtu Applů s tím nidko netuší je jich málo a nikomu se to nevyplatí hackovat.

Pokud Vás zajímá zabezpečení u Windows. A určitě by mělo! Jak vysvětlují výborné články p. Rybky, které patří k beletrii na PCT.

Doporučji Stařičký Truecrypt 7.1a. Udělat si kontejner a ten připojovat jako virtuální jednotku. Tahle funkce funguje i na Win10 s podporou automatického startu a vyžádání hesla.

Výhody:
- Neprolomitelné, totálně! Dokonce tak, že je Truecrypt v USA nelegální k šíření. Go Demokracie GO, nebojte EU na to přijde taky.
- Dvě hesla pro různé přístupy. Ano jeden kontejner může mít stínové heslo, které otevře jen Vámi připravenný dummy kontejner. Ještě jsem to nepotřeboval a člověk nikdy neví jaký zákony si vymyslí.
- Nastavitelné šifrování, co si kliknete to máte když někoho bude bavit bruteforcovat kontejner 175 000 let při použítí celého datacentra, tak už si ta data vážně zaslouží.
- Jednoduché na nastavení!

Nevýhody
- Není dobré zapomenout heslo.

Je to reakce nechce se mi dohledávat zdroje, kde jsem různé věci četl. Ale když je napíšete anglicky do Bing nebo Yahooo všechno je za pár minut dohledatelné. U truecryptu je pár článků i na BBC jak tam policajti brečí, že je do toho pachatel nepustil :D Byl to hnus, dětská pornografie ale jednou je to jeho počítač tak je to prostě svatý a osobně jsem tomu story o dětské pornorgrafii moc neveřil, bylo to něco znásilnění kterého se měl dopustit Julian Assange, když si to holka vzpoměla po letech, že jí asi při dobrovolném styku prdla šprcka a tom ho Švédkou osdoudilo, tak paráda. Dají si dohledat i kopie uniklých výhružných dopisů z FBI když v rámci Patriot Akt likvidovali v USA všechny nezávislé poskytovatelé emailů, kteří odmítly dát zadní vrátka a pod výhružkou šílených trestů zakazovli i se o tom zmiňovat. Na google většinu tohodle už nenajdete.... Nebo ano ale někde na stránce začínajicí "googol".

- omluva za přehlepy a chyby. Nechce se mi to teď procházet.

Maxik
Maxik
Level 0 Level 0
3. 5. 2019 09:04

Komentáře tohoto uživatele máš zablokované.

@sviftcz Vem si ciste teoreticky, ze by nejaka NSA nebo podbne mohla vyuzit vykonu BTC site k lamani SHA256 hesla z odposlechnuteho hadshake VPN, pripadne pokud by to slo vyuzit na bruteforce aes256 coz je by dost mozna slo protoze se tam pouziva hashovaci algo sha256 velmi casto. Tak si spocitej kdyz budes mit 50 EH/s za jak dlouho ti to heslo zlomej ;) Je to samozrejme spekulace ale jsou pouzity stejne hasovaci algoritmy a vykonen je obrovskej ;)

rnb
rnb
Level 0 Level 0
2. 5. 2019 17:44

Komentáře tohoto uživatele máš zablokované.

@sviftcz Apple je na tom stejně špatně jako všechen ostatní hardware a software z USA, zadní vrátka tam musejí existovat ze zákona.

Xcute
Xcute
Level 1 Level 1
2. 5. 2019 23:09

Komentáře tohoto uživatele máš zablokované.

@rnb Iluze o tom, že nemají zadní vrátka bych si nedělal stejně, jako že korporát cíleně nepřekročí zákon.

Swiso
Swiso
Level 0 Level 0
3. 5. 2019 09:14

Komentáře tohoto uživatele máš zablokované.

@rnb @Xcute: To mě také fascinuje. U TC údajně zadní vrátka nejsou, protože to chtěli zakázat a řekli to i samotní vývojáři > považujeme za platné slovo vývojáře.
U BL je to taktéž údajné, opět člověk. A světe div se, u Apple je to stejné. Absolutně miluji tyhle nesmysly. Jestli to BD má nebo ne, ví jen samotní vývojáři. Nikdo jiný a je to vždy jen spekulace.

A pak platí. Máš-li své soubory zašifrované, zálohované a vše správně, bez chyb, které povedou k lehkému prolomení. Prostě pokud dotyčná osoba dodržuje bezpečnostní politiku a i přesto se o ní začne někdo zajímat tím, že se bude pokoušet získat přístupy a to nejen virtuálně, ale i jinými postupy crackingu, tak bych se osobně, být oním člověk, zamysle, proč po mě takto někdo jde, spíše než řešil, že má něco BD.

O to větší ironie je to, že přesně takovýto lidé, co jsou paranoičtí, až to bolí, jsou na různých sociálních sítích, kde mají o sobě napsané vše od velikosti bot až po to, kdy odjíždějí na dovolenou a dům bude prázdný a že klíče má babička schované pod růžovou rohožkou. Používají Windows 10, který ví o nich i to kolikrát si ho na hajzlíku oklepou. Možná by stálo se nad tímto přístupem trochu zamyslet.

rnb
rnb
Level 0 Level 0
3. 5. 2019 10:12

Komentáře tohoto uživatele máš zablokované.

@rnb @Swiso: Všechny produkty z USA, vyrobené/vydané za posledních cca 10 let, mají zadní vrátka povinně a ze zákona, netřeba nad tím více filozofovat :!:

Nebezpečí TrueCrypt bylo v tom, že zadní vrátka tam nebyla a byly k tomu zdrojáky, kde by šly zadní vrátka snadno odhalit a pokročilý uživatel by si mohl zdrojáky bez zadních vrátek zkompilovat a tudíž mít produkt bez zadních vrátek. To je ten pravý důvod, proč byl TrueCrypt zastaven.

Xcute
Xcute
Level 1 Level 1
3. 5. 2019 11:50

Komentáře tohoto uživatele máš zablokované.

@rnb @rnb: Že má v rukou mé soukromí tajná služba, bych nevyjímal vedle možnosti, že zadní vrátka využívají sami výrobci (v hlavním proudu ovládání hlasem).

Swiso
Swiso
Level 0 Level 0
3. 5. 2019 10:39

Komentáře tohoto uživatele máš zablokované.

@rnb @rnb: Ano, o tom jsem také slyšel. Osobně však programátor nejsem a tak toto neposoudím. A doposud mi to zatím žádný "kolega", kamarád programátor přímo nepotvrdil. Ovšem děkuji za "další potvrzení".

stevocz
stevocz
Level 1 Level 1
3. 5. 2019 07:24

Komentáře tohoto uživatele máš zablokované.

nejake porovnanie rychlosti a pristupu na disk a vytazenia CPU pre porovnanie pri zasifrovanom a nezasifrovanom nebude?
Rozdiel pri SSD a pri klasickom.

Petr Šaroun
Petr Šaroun
Level 1 Level 1
3. 5. 2019 08:17

Komentáře tohoto uživatele máš zablokované.

@stevocz Dobrý den, to jsem tam chtěl dát, ale už se nevešlo. Původně bylo v plánu přidat ještě testy rychlosti SED/BitLocker/VeraCrypt/TrueCrypt a postup obnovy poškozeného disku, ale už takhle to bylo hodně dlouhé.

elcrys
elcrys
Level 1 Level 1
3. 5. 2019 21:07

Komentáře tohoto uživatele máš zablokované.

@Petr Šaroun Snad by se testy rychlosti daly hodit do separátního článku + doplnit návodem, jak zprovoznit nativní šifrování SSD, což pokud funguje, je OS agnostické a bez dopadu na výkon (teď pomíjím nedávné zprávy o chybách v tomto šifrování). Bohužel ne všechny základní desky toto v základu podporují.

Swiso
Swiso
Level 0 Level 0
3. 5. 2019 09:18

Komentáře tohoto uživatele máš zablokované.

@Petr Šaroun Já si myslím, že testy by sice byly o.k., ale není to, dle mého názoru, nutné. Kdo šifrovat potřebuje, šifruje a zbytek je na druhém místě. Už jsem viděl šifrování i na opravdu kuriózních strojích, ale dotyčná osoba vždy řekla "musím, tak musím, vybírat si nemohu a jiný stroj na práci nemám, tak co".

pcmaker
pcmaker
Level 1 Level 1
3. 5. 2019 07:44

Komentáře tohoto uživatele máš zablokované.

Přečetl jsem to jedním dechem. Moc pěkné, čtivé i pro laiky. Prosím více článků od tohoto autora. Děkuji.

Petr Šaroun
Petr Šaroun
Level 1 Level 1
3. 5. 2019 08:17

Komentáře tohoto uživatele máš zablokované.

@pcmaker Díky :-)

Swiso
Swiso
Level 0 Level 0
3. 5. 2019 10:41

Komentáře tohoto uživatele máš zablokované.

@Petr Šaroun Jinak i já se přidám k pochvale. Už jsem zkoušel mnohé experimentování se zamykáním, šifrováním bez a s TPM, některé věci fungují dodnes a je to, při správném nastavení, dost "síla". Článek pěkný.

MM_tank
MM_tank
Level 1 Level 1
10. 5. 2019 10:59

Komentáře tohoto uživatele máš zablokované.

Super článek. V tomhle jsem se dozvěděl víc o TPM a rozhodl to taky za ty tři kila zkusit.

Za článek s testem vlivu na výkon také hlasuji. Nějaké informace o šifrování přímo přes disku/jak to funguje a jak to rozjet a nastavit bych také uvítal.

/spíš ať se dozvím něco nového asi bych to neriskl/

Díky a jen tak dál.

Reklama

Kolik hodin denně používáte na PC nenáročné aplikace (surfování po netu, office, programování, youtube, sledování audio či videostreamů)?

Reklama
Reklama
Reklama
Reklama