czesc,
prosba o podpowiedz: ktory lepiej wybrac.

z tego co sie przyjrzalem, elements to uproszczony produkt bez dodatkow,
my passport procz dodanego softu ma rowniez sprzetowe szyfrowanie
AES-256. Nie wiem czy passport przypadkiem nie ma krotszej gwarancji
(2 vs 3 lata?). Czy ktos moze ostatnio porownywal te dyski i dopatrzyl
sie jakis zalet/wad?

Czy wszystkie przenosne dyski 2,5" WD obecnie maja przylutowany
mostek SATA-USB, czy moze ktorys z tych modeli ma wewnatrz
obudowy polaczenie przez mostek ze standardowym SATA?



--

memento lorem ipsum

W dniu 2018-11-09 o 14:54, elmer radi radisson pisze:

czesc,
prosba o podpowiedz: ktory lepiej wybrac.

z tego co sie przyjrzalem, elements to uproszczony produkt bez dodatkow,
my passport procz dodanego softu ma rowniez sprzetowe szyfrowanie
AES-256. Nie wiem czy passport przypadkiem nie ma krotszej gwarancji
(2 vs 3 lata?). Czy ktos moze ostatnio porownywal te dyski i dopatrzyl
sie jakis zalet/wad?

Czy wszystkie przenosne dyski 2,5" WD obecnie maja przylutowany
mostek SATA-USB, czy moze ktorys z tych modeli ma wewnatrz
obudowy polaczenie przez mostek ze standardowym SATA?

szyfrowanie w passport jest takie jakby go nie było
https://www.theregister.co.uk/2015/10/20/western_digital_bad_hard_drive_encryption/

--
@foe_pl

On 2018-11-09 20:46, the_foe wrote:

szyfrowanie w passport jest takie jakby go nie było
https://www.theregister.co.uk/2015/10/20/western_digital_bad_hard_drive_encryption/

Na cale szczescie nie jest to funkcja ktora sie dla mnie liczy, jesli
planowalbym szyfrowanie to raczej Veracryptem a nie cos co sie
potencjalnie moze uwalic w sprzecie tak ze nie pozwoli na odczytanie danych. A tego bym sie w takiej implementacji wlasnie obawial.

Kluczowe dla mnie jest zeby to bylo solidne 4TB 2,5" na USB 3.0
i w miare mozliwosci z takich w ktorych uwalony mostek SATA
mozna swapnac bez lutowania.


--

memento lorem ipsum

On 2018-11-09, elmer radi radisson <radi@spam-spam-spam-eggs-bacon-and.spam.wireland.org> wrote:

On 2018-11-09 20:46, the_foe wrote:

szyfrowanie w passport jest takie jakby go nie było
https://www.theregister.co.uk/2015/10/20/western_digital_bad_hard_drive_encryption/

To jest art. sprzed ponad 3 lat. Pewnie już to naprawili, bo google nic oczywistego nie pokazuje poza art. właśnie z 2015.

--
Marcin

W dniu 2018-11-12 o 02:01, Marcin Debowski pisze:

On 2018-11-12, Marcin Debowski <agatek@INVALID.zoho.com> wrote:

On 2018-11-11, the_foe <the_foe@costamcostam.pl> wrote:

W dniu 2018-11-12 o 00:40, Marcin Debowski pisze:

To jest dysk, urządzenie, które może być użyte w różnych scenariuszach
(nie tylko w laptopie). Z czysto praktycznego p. widzenia umieszczenie
tego klucza w obrebie dysku (fizycznego urządzenia) wydaje się
najrozsądniejsze. Oczywiście można trzymac tez w sejfie na innym
kontynencie, albo mieć dedykowany token z dedykowanym mechanizmem i
wieksze koszty i bardziej skomplikowane procedury (zwykle dodatkowa
podatność), albo jak napisałes, każdorazowo generować, ale kto to wtedy
kupi lub będzie stosował?

trzymasz w głowie przecież - hasło. Z hasła jest generowany klucz.
Przecież tak działa VeraCrypt. I to jest najlepsza procedura.

Załapałem o co Ci chodzi. Klucz jest jeden, tylko nie jest wygenerowany
i już tam jest, a generowany ponownie i ponownie każdorazowo, ale i tak
zawsze jest ten sam. Tak?

No ale czy takie coś jest lepsze to kwestia właśnie implementacji. W
końcu mozna zrobić tak, że klucz będzie w postaci niejawnej a hasło
będzie służyło do jego odszyfrowania/lokalizacji i już masz podobne
poziomy bezpieczeństwa.

W VC dysk, partycja czy plik jest dzielony na dwie części - dane i nagłówek. Nagłówek zawiera informacje potrzebne do rozkodowania danych. Przede wszystkim główny klucz, ktory jest generowany zupełnie losowo. Kiedy ustalasz hasło np "klucz" ten wyraz jest hashowany. Kaskadowo by ograniczyć stosowanie brute-mode. Czyli tworzy kolejny klucz zdeterminowany. Zdeterminowany hasłem (w przypadku VC jeszcze możemy ustalić liczbę kaskad hashowania). Tym kluczem jest szyfrowany nagłówek.
Dlatego nie musisz znać żadnych kluczy - nawet ich nie powinienieś mieć. Co najwyżej powinno się robić kopię nagłówków bo jak się uszkodzą - kaplica.

WD i jego SED działa następująco. Główny klucz jest zdeterminowany bo jest już "zaszyty" na stałe. Raczej wątpliwe, ze gdzies "przypadkiem" nie zapisali sobie par klusz-numer seryjny. Ale jak nie jesteśmy terrorystami czy nie kolportujemy złośliwych memow na temat Adriana to raczej mamy to gdzieś ;) Problem jest taki, ze naszym hasłem nie szyfujemy klucza, hasłem owtieramy/zamykamy tylko bramę z dostępem do urządzenia. Co gorsza działa to tak, ze ta bramą jest adres w pamięci RAM urządzenia. zwykłe 1/0. Dlatego to zabezpieczenie omienie KAZDY technik policyjny.

--
@foe_pl

On 2018-11-12, the_foe <the_foe@costamcostam.pl> wrote:

W dniu 2018-11-12 o 02:01, Marcin Debowski pisze:

Załapałem o co Ci chodzi. Klucz jest jeden, tylko nie jest wygenerowany
i już tam jest, a generowany ponownie i ponownie każdorazowo, ale i tak
zawsze jest ten sam. Tak?

No ale czy takie coś jest lepsze to kwestia właśnie implementacji. W
końcu mozna zrobić tak, że klucz będzie w postaci niejawnej a hasło
będzie służyło do jego odszyfrowania/lokalizacji i już masz podobne
poziomy bezpieczeństwa.

W VC dysk, partycja czy plik jest dzielony na dwie części - dane i nagłówek. Nagłówek zawiera informacje potrzebne do rozkodowania danych. Przede wszystkim główny klucz, ktory jest generowany zupełnie losowo. Kiedy ustalasz hasło np "klucz" ten wyraz jest hashowany. Kaskadowo by ograniczyć stosowanie brute-mode. Czyli tworzy kolejny klucz zdeterminowany. Zdeterminowany hasłem (w przypadku VC jeszcze możemy ustalić liczbę kaskad hashowania). Tym kluczem jest szyfrowany nagłówek.
Dlatego nie musisz znać żadnych kluczy - nawet ich nie powinienieś mieć. Co najwyżej powinno się robić kopię nagłówków bo jak się uszkodzą - kaplica.

VC a wczesniej jego poprzednik, TC to są świetne narzędzia i nikt w to nie watpi, ale nie jestem przekonany, czy ich implementacja zahaczająca o tę świetność na poziomie sprzętowage szyfrowania dysków twardych raz jest taka łatwa (bez zwiększania kosztów, obciążeń), dwa konieczna. Apropos czytałeś historię Paula Le Roux? Świetna lektura choć ma trochę dłużyzn. https://magazine.atavist.com/the-mastermind

WD i jego SED działa następująco. Główny klucz jest zdeterminowany bo jest już "zaszyty" na stałe. Raczej wątpliwe, ze gdzies "przypadkiem" nie zapisali sobie par klusz-numer seryjny. Ale jak nie jesteśmy

Tez wątpie, ale ponownie, MZ nie ta klasa zastosowań. Nikt przy zdrowych zmysłach nie będzie tego używał do zabezpieczania jakiś danych krytycznych.

terrorystami czy nie kolportujemy złośliwych memow na temat Adriana to raczej mamy to gdzieś ;) Problem jest taki, ze naszym hasłem nie szyfujemy klucza, hasłem owtieramy/zamykamy tylko bramę z dostępem do urządzenia. Co gorsza działa to tak, ze ta bramą jest adres w pamięci RAM urządzenia. zwykłe 1/0. Dlatego to zabezpieczenie omienie KAZDY technik policyjny.

Wcale ale to wcale nie zdziwiłbym sie, że jest jak jest, aby ten technik mógł to odczytać. Nie wszystkie firmy stać na pokazanie pazura NSA.

--
Marcin

Jak działa szyfrowanie danych w NAS? Poza tym, że może być programowe lub sprzętowe i że mocno spowalnia transfery (nawet o -40%).
Na moje oko dane na talerzu są zaszyfrowane i podmiana elektroniki dysków nic nie da.

On 2018-11-12 23:27, ń wrote:

Jak działa szyfrowanie danych w NAS? Poza tym, że może być programowe lub sprzętowe i że mocno spowalnia transfery (nawet o -40%).
Na moje oko dane na talerzu są zaszyfrowane i podmiana elektroniki dysków nic nie da.

Moze byc zrealizowane na poziomie blokowym, uzywajac np. LUKS i
dm-crypt.  Wiec jak najbardziej zaszyfrowany jest wowczas caly
obszar dysku.


--

memento lorem ipsum

I myślisz, że w laptopie będzie inaczej?


-- -- -

jak najbardziej zaszyfrowany jest wowczas caly obszar dysku.

On 2018-11-13 23:43, n wrote:

I myślisz, że w laptopie będzie inaczej?

A co ma do tego laptop czy sprzet? W tym przypadku to kwestia
zrealizowania szyfrowania w warstwie systemu operacyjnego/jego jadrze,
posredniczacym w operacjach zapisu danych na dysku. Dysk w szyfrowaniu
nie uczestniczy.

NAS transparentnie, niewidocznie dla uzytkownika koncowego szyfruje dane a wystawia mu zwyczajny zasob dyskowy.



--

memento lorem ipsum