Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

UEFI + whole disc encryption

[es] :: Security :: Kriptografija i enkripcija :: UEFI + whole disc encryption

Strane: 1 2

[ Pregleda: 12628 | Odgovora: 37 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

Ivan Dimkovic

Administrator
Član broj: 13
Poruke: 16683
*.dip0.t-ipconnect.de.



+7169 Profil

icon UEFI + whole disc encryption31.01.2014. u 19:10 - pre 123 meseci
Posto sam zavrsio testiranje nove masine (Haswell Macbook Pro) pre neki dan, finalni potez je bila whole-disc enkripcija zato sto sam jako cesto na putu a na masini se nalazi jako puno izvornog koda...

Elem, prilicno sam se iznenadio da TrueCrypt, koji mi je do sada bio omiljen alat, jos ne podrzava UEFI sisteme.

Naime, novi Macbook sada i zvanicno podrzava instalaciju Windows-a u native UEFI modu, sto znaci da ni jedan od FDE (full-disc-encryption) programa koji se oslanjaju na MBR bootloader nece raditi :(

Na zalost, posle malo istrazivanja online sam utvrdio da ne samo da TrueCrypt ne podrzava UEFI, vec da skoro ni jedan drugi FDE program ne podrzava isti (ukljucujuci PGP).

Jedina 2 programa koji su zvanicno UEFI kompatibilni su:

- Microsoft BitLocker (koji dolazi sa Windows 8/8.1 Pro i Enterprise kao i Windows Server OS-evima)
- Jetico BestCrypt

Iskreno, do sada nisam bio neki preterani ljubitelj BitLocker-a pre svega zato sto su stare verzije zahtevale ili TPM cip ili USB stick pri boot-u koji bi sluzio za alternativnu autentifikaciju. Ideja da je za boot potreban USB stick (ako nema TPM-a) mi je bila totalno idiotska.

Medjutim, fakat da TC ne podrzava UEFI + alternativa nekog bar meni nepoznatog alata (Jetico) me je motivisala da ponovo proverim BitLocker - i, na srecu, od verzije koja stize sa Windows 8 / Server 2012, BitLocker omogucava normalnu password-baziranu autentifikaciju kao i TrueCrypt.

Sve u svemu - BitLocker enkripcija UEFI sistema je vrlo jednostavna (nema nikakve razlike u odnosu na BIOS sisteme za korisnika) i, jos bitnije, potpuno kompatibilna sa Mac masinama (koje imaju "specijalni" frankenstajn firmware baziran na delovima matore EFI specifikacije sa delovima UEFI 2.x specifikacije koje je Apple prihvatio).

BitLocker FDE je duboko integrisan u Windows OS, tako da se automatski aktivira sa Windows UEFI bootloader-om.

Par stvari koje sam primetio sa Windows 8 / Server 2012 verzijom:

- Default kompresija je AES128, ako zelite AES256 morate to ili rucno navesti preko komandne linije i tako kriptovati drajv ili promeniti kroz group-polisu tako da vazi kao pravilo za sve

- Sa Win8/Srv2012 verzijom je Microsoft izbacio dodatnu zastitu kroz njihov proprietary elephant-diffuser tako da su jedine preostale kripto opcije "cisti" AES128 ili AES256

Sto se ove poslednje stavke tice, sa jedne strane taj diffuser bio dodatni stepen zastite protiv specificnih napada, ali sa druge strane je u pitanju bio proprietary algoritam bez sirokog peer review-a + koriscenje diffuser-a je zahtevalo softversku enkripciju/dekripciju dok cist AES moze da se radi preko specijalizovanih instrukcija poput AES-NI na Intel sistemima (ili specijalizovanim AES crypto akceleratorima na ARM-u).

--

Sve u svemu - BitLocker danas ne pati od ogranicenja od kojih su patile Vista/Win7 verzije na masinama bez TPM cipa + podrzava UEFI sisteme bez ikakvih problema, sto ga cini interesantnom opcijom za corporate IP security na laptopovima.

Mada, nadam se i dalje da ce TrueCrypt ekipa uskoro ubaciti podrsku za UEFI, posto osim sto je otvoren TC takodje dolazi sa prednoscu da su TC drajvovi vidljivi i pod drugim OS-evima.
DigiCortex (ex. SpikeFun) - Cortical Neural Network Simulator:
http://www.digicortex.net/node/1 Videos: http://www.digicortex.net/node/17 Gallery: http://www.digicortex.net/node/25
PowerMonkey - Redyce CPU Power Waste and gain performance! - https://github.com/psyq321/PowerMonkey
 
Odgovor na temu

dejanet
Beograd

Član broj: 19240
Poruke: 1181



+835 Profil

icon Re: UEFI + whole disc encryption31.01.2014. u 20:07 - pre 123 meseci
Da li imas 2 particije Win i OSX ili samo Win na Macbook-u ?

Ako imas dual boot, BitLocker ti vazi samo za Win, predpostavljam..
 
Odgovor na temu

Ivan Dimkovic

Administrator
Član broj: 13
Poruke: 16683
*.dip0.t-ipconnect.de.



+7169 Profil

icon Re: UEFI + whole disc encryption31.01.2014. u 20:46 - pre 123 meseci
Imam dual boot (OS X + Windows) ali OS X particiju planiram da takodje FDE-ujem sa FileVault2-jkom. Na OS X-u nemam nista osetljivo doduse vec je FV2 samo tu da masinu ucini potpuno neupotrebljivom bez re-imaginga ako je neko drpi i bilo kakve podatke nedostupnim.

BitLocker vazi samo za Win particiju (bas kao sto i FV2 vazi samo za OSX), zbog toga je TrueCrypt prakticno bolje resenje ako se neke particije dele posto je format podrzan i na OS X i Windows sistemima.
DigiCortex (ex. SpikeFun) - Cortical Neural Network Simulator:
http://www.digicortex.net/node/1 Videos: http://www.digicortex.net/node/17 Gallery: http://www.digicortex.net/node/25
PowerMonkey - Redyce CPU Power Waste and gain performance! - https://github.com/psyq321/PowerMonkey
 
Odgovor na temu

Ivan Dimkovic

Administrator
Član broj: 13
Poruke: 16683
*.dip0.t-ipconnect.de.



+7169 Profil

icon Re: UEFI + whole disc encryption31.01.2014. u 20:59 - pre 123 meseci
Ah, da, ako koristite BitLocker na Win8/Srv2012 masinama bez TPM-a, obratite paznju na ovu polisu:

http://technet.microsoft.com/en-us/library/jj679890.aspx

Citat:

Allow enhanced PINs for startup

This policy setting allows you to specify whether enhanced startup PINs can be used with BitLocker. Enhanced startup PINs permit the use of characters including uppercase and lowercase letters, symbols, numbers, and spaces. This policy setting is applied when you turn on BitLocker. If you enable this policy setting, all new BitLocker startup PINs set will be enhanced PINs. Some computers might not support enhanced PINs in the pre-boot environment. It is strongly recommended that users perform a system check during BitLocker setup. This policy is configurable only for operating system drives. To learn more, look under "Key management" in BitLocker Drive Encryption in Windows 7: Frequently Asked Questions.


Pretpostavljam da su u MSFT-u procenili da je po defaultu ogranicavanje sifre na slova alfabeta (i to bez malih/velikih slova) dobro za "user experience" zbog frustrirajucih problema ako se boot keyboard layout razlikuje ili idiot korisnik nije u stanju da replicira svoju sifru zato sto je nije dobro uneo...

Ali, svejedno, nije lose imati jos malo entropije... naravno, daleko bitnije je da je sifra sto duza i da korisnik moze istu da zapamti od toga da ima alfanumerike ili kombinaciju malih/velikih slova, kao sto je xkcd objasnio:

https://xkcd.com/936/


DigiCortex (ex. SpikeFun) - Cortical Neural Network Simulator:
http://www.digicortex.net/node/1 Videos: http://www.digicortex.net/node/17 Gallery: http://www.digicortex.net/node/25
PowerMonkey - Redyce CPU Power Waste and gain performance! - https://github.com/psyq321/PowerMonkey
 
Odgovor na temu

Homer J. Simpson
Zombilend

Član broj: 307921
Poruke: 688



+923 Profil

icon Re: UEFI + whole disc encryption02.02.2014. u 02:01 - pre 123 meseci
Hmm ceo zivot sam onda ziveo u zabludi. Znaci 4 reci (pozeljno nepovezane ili bar nestandardne) su bolje od kombinacije od 10+ karaktera ?!
Sto znaci da je onda jos jaca sifra koja se sastoji od 4 reci koje su napisane pomocu znakova i brojeva. Ili je dovoljno i 4 random bez kerefeka ?
 
Odgovor na temu

Ivan Dimkovic

Administrator
Član broj: 13
Poruke: 16683
*.22.access-internet.ne.jp.



+7169 Profil

icon Re: UEFI + whole disc encryption02.02.2014. u 09:05 - pre 123 meseci
Fora je da nasumicni znakovi/brojevi/kerefeke cine da se sifra lako zaboravi sto onda motivise usera da sifru zapise i time totalno eliminise kompletnu poentu "sigurne sifre".

Umesto par "kerefeka" dodaj par najobicnijih nasumicnih reci (nekoliko slova za svaku rec), sve malim slovima i zapravo si povecao sigurnost sifre mnogo vise a nisi povecao bitno opasnost da ces sam da zaboravis sifru.

Tuzno je sto ozbiljne firme koje su same umesane u standarde koji koriste jaku kriptografiju nisu svesne toga.

Ima jedan poveci proizvodjac cipova, da ga ne imenujem, koji ima "jake standarde" za pristup svojim dizajn dokumentima, nesto tipa - sifra mora da ima bar 12 slova sa velikim i malim slovima, brojevima i specijalnim znakom. I to vrlo specificno, inace se sifra odbija kao "laka". I tako svaka 3 meseca, sifra mora da se menja - ponovo sa svim "vrlo sigurnim" kriterijumima.

Totalna budalastina, mogu da se kladim da vecina ljudi kada jednom u 10 puta "ubodu" idiotizam koji sistem smatra "jakom sifrom" tu sifru momentalno zapisuju / snimaju negde posto sansa da svaka 3 meseca memorisu korektno novi skup slucajnih ASCII karaktera nije velika.

Sigurnost - do mojeg.
DigiCortex (ex. SpikeFun) - Cortical Neural Network Simulator:
http://www.digicortex.net/node/1 Videos: http://www.digicortex.net/node/17 Gallery: http://www.digicortex.net/node/25
PowerMonkey - Redyce CPU Power Waste and gain performance! - https://github.com/psyq321/PowerMonkey
 
Odgovor na temu

Dexic
ASP

Član broj: 253999
Poruke: 3837



+1376 Profil

icon Re: UEFI + whole disc encryption02.02.2014. u 10:04 - pre 123 meseci
Ivane, jel' moze neki disk I/O test tog rMBP SSD-a sa i bez BitLockera? (ili barem sa, samo mi potvrdi da li imas model sa PCI-e SSDom)
 
Odgovor na temu

bachi
Vladimir Vučićević
System administrator
Beograd, Srbija

Član broj: 17912
Poruke: 5316

Sajt: www.bachi.in.rs


+2826 Profil

icon Re: UEFI + whole disc encryption02.02.2014. u 12:04 - pre 123 meseci
Mislim da TC neće skoro uvesti podršku za UEFI, tj. nisu duuuuuugo vremena mrdnuli od poslednje verzije i nema nikakvih naznaka kada će da izbace novu. :(
... Vladimir Vučićević aka. Bachi
~~~ www.bachi.in.rs <<<<>>>> [email protected]
>>> It's nice to be important, but it's more important to be nice...
 
Odgovor na temu

Ivan Dimkovic

Administrator
Član broj: 13
Poruke: 16683
*.cidr.odn.ne.jp.



+7169 Profil

icon Re: UEFI + whole disc encryption04.02.2014. u 13:11 - pre 123 meseci
Citat:
Dexic:
Ivane, jel' moze neki disk I/O test tog rMBP SSD-a sa i bez BitLockera? (ili barem sa, samo mi potvrdi da li imas model sa PCI-e SSDom)


Imam model sa PCIe SSD-om ali mi je sada ceo disk bitlocker-ovan (mada, mogu da probam da uradim test na EFI sistemskoj particiji ako ti to radi posao).

Sta hoces da poteram?

Citat:
bachi
Mislim da TC neće skoro uvesti podršku za UEFI, tj. nisu duuuuuugo vremena mrdnuli od poslednje verzije i nema nikakvih naznaka kada će da izbace novu. :(


Toga se i pribojavam, posto je poslednji release iz 2012.

Mislim da je jedan od problema to sto TrueCrypt ima neku svoju licencu za kod pa je verovatno slab interes za 3rd party razvojem :( Format je, doduse, javan pa neko moze i da raspise alternativu ali kada je security sw. u pitanju to je upravo ono sto >ne zelis< (da gomila ljudi koji pojma nemaju sa enkripcijom krenu da prckaju i implementiraju kripto sw.).

Takodje, fakat da je format poznat nije neka unikatna prednost TC-a, koliko znam i BitLocker format je poznat i isto tako bi neko mogao da napise nezavisnu implementaciju.

Sto se TC-a tice, dodavanje UEFI podrske je, verovatno, i "lako" i "tesko" u isto vreme.

Lako je, posto nije potrebno pisati nov kripto kod.

Tesko je, posto UEFI zahteva malo kompleksniji chainload-ing. Sa MBR-om je bilo vrlo lako, posto samo upises u MBR da ti ucita neki tvoj bootloader koji onda posle pozive OS bootloader gde se u ranoj fazi inicijalizacije inicijalizuje file-system drajver a do tog momenta OS dobija podatke preko int13h BIOS handlera.

Sa UEFI-jem situacija postaje komplikovanija, posto u momentu zavrsetka UEFI BootServices faze je sistem u 64-bitnom modu i OS loader koristi UEFI firmware za pristup podacima. To znaci da je verovatno neophodno raspisati UEFI drajver koji bi na jako niskom (firmware) nivou "varao" UEFI OS bootloader

BitLocker izbegava ovaj problem na jednostavan nacin: integrisan je u sam Windows UEFI OS loader pa nije potrebno nista "podmetati". TC ili bilo koji drugi FDE nemaju taj luksuz i nekako moraju da nateraju Windows OS loader da pokupi kernel i bazne drajvere sa kriptovanog diska a ne mogu da se oslone na BIOS fore (int 13h)

Cak i ako to rese, sledeci problem su UEFI "secure boot" sistemi gde je u boot procesu, takodje, ukljucena i kriptografska verifikacija loader-a i drugih UEFI komponenti. Mada, cenim da bi TC tim sigurno to mogao da resi sa potpisivanjem svojih komponenti adekvatnim UEFI kljucem.


DigiCortex (ex. SpikeFun) - Cortical Neural Network Simulator:
http://www.digicortex.net/node/1 Videos: http://www.digicortex.net/node/17 Gallery: http://www.digicortex.net/node/25
PowerMonkey - Redyce CPU Power Waste and gain performance! - https://github.com/psyq321/PowerMonkey
 
Odgovor na temu

Dexic
ASP

Član broj: 253999
Poruke: 3837



+1376 Profil

icon Re: UEFI + whole disc encryption04.02.2014. u 13:40 - pre 123 meseci
Dovoljno je samo na enkriptovanoj Windows particiji da pokrenes obican CDM ili sta god ti slicno bude pri ruci.

Ako mozes da "sparujes" jedno 4GB upisa, zgodno bi bilo da pokrenes CDM sa tom opcijom.
 
Odgovor na temu

EArthquake

Član broj: 20684
Poruke: 884
*.dynamic.sbb.rs.



+67 Profil

icon Re: UEFI + whole disc encryption05.02.2014. u 18:18 - pre 123 meseci
sa specijalnim AES-NI instrukcijama u upotrebi , enkripcija/dekripcija leti
na obicnom disku je sam disk tu bottleneck
na SSDu bi taman trebalo da se podudaraju , tako da cak i ako postoji usporenje, bice neznatno
barem ja ne mogu da primetim razliku (samsung 840 PRO i i5ica neka proslogodisnja)
voleo bih da vidim rezultate

inace, malo offtopic, sto se truecrypt-a tice, postoje druge implementacije
"linux"-ov cryptsetup podrzava truecrypt FDE drajvove u potpunosti
(bas su mi pre 2 meseca prihvatili patch )
a postoji i cisto userspace varijanta preko tcplay-a

gomila ljudi nema bas mnogo poverenja u TrueCrypt bas zbog njihovog poprilicno zatvorenog
nacina razvoja open source projekta :)
a i cinjenica da niko ne zna ko je u stvari autor TrueCrypt-a mu ne daje bas mnogo na pouzdanosti
elem, skupili se ljudi i pokrenuli ovo http://istruecryptauditedyet.com/ sto je svakako dobra inicijativa

i jos jedan off , sto se tice rukovanja lozinkama , bacite pogled na YubiKey
https://www.yubico.com/products/yubikey-hardware/yubikey/
odlicna spravica, u najprostijem obliku se ponasa kao "tastatura" pa odkuca
sifru koju treba (mada vidim da Dimkovic nije bas fan dodatnih uredjaja) ali
moze vrlo lako da se koristi za implementaciju dvofaktorske autentifikacije
 
Odgovor na temu

Dexic
ASP

Član broj: 253999
Poruke: 3837



+1376 Profil

icon Re: UEFI + whole disc encryption05.02.2014. u 18:55 - pre 123 meseci
Citat:
EArthquake: sa specijalnim AES-NI instrukcijama u upotrebi , enkripcija/dekripcija leti
na obicnom disku je sam disk tu bottleneck

Teorija i praksa su u teoriji iste, ali u praksi razlicite :)

Sve to naravno zavisi od primene, ali uz ogroman I/O, kada nema vremena da se uradi thread queuing, ni AES-NI nije neprimetan overhead, i moze preko 50% da uspori PCI-e SSD koji inace moze oko 1GB/s da ispuni.

Cek da vidimo sta kaze Ivanov rezultat.

Za TrueCrypt sam video dobro usporenje i na USB2 diskovima, bez AES-NI, ako se prilicno koristi disk.
 
Odgovor na temu

EArthquake

Član broj: 20684
Poruke: 884
*.dynamic.sbb.rs.



+67 Profil

icon Re: UEFI + whole disc encryption05.02.2014. u 19:15 - pre 123 meseci
truecryptov benchmark za AES sa CPU podrskom je dao ~650MB/s , bez CPU podrske za AES ~70MB/s
ali taj benchmark je bez interakcije s diskom pretpostavljam
 
Odgovor na temu

Dexic
ASP

Član broj: 253999
Poruke: 3837



+1376 Profil

icon Re: UEFI + whole disc encryption05.02.2014. u 19:24 - pre 123 meseci
Smatras da je 650MB/s dovoljno da se ne oseti? Nema sanse, bez offloadinga, sto znaci da samo za asinhroni transfer mozes imati takve "rezultate". Pod navodnicima, jer cim bude ozbiljnog koriscenja, kada ne moze da se postigne offloading, imaces znaci ispod 50% performanse.

I naravno, pod uslovom da se CPU ne koristi ni za sta drugo, ali ako u isto vreme radis render, znaci da offloading nece moci da da iluziju uradjenog zadatka, pa ces osetiti, u ovom slucaju extremno, usporen rad.

Doduse, to su posebne situacije.
 
Odgovor na temu

EArthquake

Član broj: 20684
Poruke: 884
*.dynamic.sbb.rs.



+67 Profil

icon Re: UEFI + whole disc encryption05.02.2014. u 19:51 - pre 123 meseci
jasno , samo dajem brojke koje ja imam
i nudim svoje dosadasnje iskustvo

na hard disku , sa FDU , bez CPU AES podrske , kad sam kopirao fajl od par gigabajta
mogao sam samo da sedim i da cekam da se zavrsi, nista drugo pametno nije moglo da
se radi na racunaru, posto sve ide kroz CPU

na SSD + CPU podrska , ja ne primecujem
 
Odgovor na temu

Ivan Dimkovic

Administrator
Član broj: 13
Poruke: 16683
*.16.access-internet.ne.jp.



+7169 Profil

icon Re: UEFI + whole disc encryption05.02.2014. u 22:18 - pre 123 meseci
@Dexic, odradicu test u ponedeljak posto sam sad u JP pa ne mogu da se posvetim testu dovoljno vremena.

Inace je moj stari Ivy Bridge Vaio Z izvlacio oko 600 MB/s AES NI ako se dobro secam.

Inace, koliko vid BitLocker moze da se konfigurise da koristi AES crypto od samog SSD-a ako isti to podrzava. To bi u teoriji offloadovalo crypto sa CPU-a kompletno.
DigiCortex (ex. SpikeFun) - Cortical Neural Network Simulator:
http://www.digicortex.net/node/1 Videos: http://www.digicortex.net/node/17 Gallery: http://www.digicortex.net/node/25
PowerMonkey - Redyce CPU Power Waste and gain performance! - https://github.com/psyq321/PowerMonkey
 
Odgovor na temu

Dexic
ASP

Član broj: 253999
Poruke: 3837



+1376 Profil

icon Re: UEFI + whole disc encryption05.02.2014. u 23:02 - pre 123 meseci
600MB/s sa jednim threadom, nadam se??
Nesto mi je to premalo, na dual core Sandy Bridge CPU-u ide 1.5GB/s MT.
 
Odgovor na temu

Ivan Dimkovic

Administrator
Član broj: 13
Poruke: 16683
..1.tss.access-internet.ne.jp.



+7169 Profil

icon Re: UEFI + whole disc encryption05.02.2014. u 23:19 - pre 123 meseci
Koliko se secam, test je bio sa jednim thread-om.

Ali sad nemam vise Z, doduse jos imam stari Retina Macbook Pro sa Ivy Bridge arhitekturom pa cu da probam AES-NI na oba.
DigiCortex (ex. SpikeFun) - Cortical Neural Network Simulator:
http://www.digicortex.net/node/1 Videos: http://www.digicortex.net/node/17 Gallery: http://www.digicortex.net/node/25
PowerMonkey - Redyce CPU Power Waste and gain performance! - https://github.com/psyq321/PowerMonkey
 
Odgovor na temu

Dexic
ASP

Član broj: 253999
Poruke: 3837



+1376 Profil

icon Re: UEFI + whole disc encryption06.02.2014. u 00:02 - pre 123 meseci
Jbt, pa "skoro" si uzimao Z, a vec ga nemas :D
 
Odgovor na temu

mr. ako

Član broj: 65959
Poruke: 2367



+2294 Profil

icon Re: UEFI + whole disc encryption06.02.2014. u 21:27 - pre 123 meseci
Citat:
Ivan Dimkovic: Jedina 2 programa koji su zvanicno UEFI kompatibilni su:

- Microsoft BitLocker (koji dolazi sa Windows 8/8.1 Pro i Enterprise kao i Windows Server OS-evima)
Cek, BitLocker na W7 nije UEFI friendly? Tj. jel u pitanju isti BitLocker?


Citat:
Ivan Dimkovic: Fora je da nasumicni znakovi/brojevi/kerefeke cine da se sifra lako zaboravi sto onda motivise usera da sifru zapise i time totalno eliminise kompletnu poentu "sigurne sifre".

Umesto par "kerefeka" dodaj par najobicnijih nasumicnih reci (nekoliko slova za svaku rec), sve malim slovima i zapravo si povecao sigurnost sifre mnogo vise a nisi povecao bitno opasnost da ces sam da zaboravis sifru.
Pa 'ajde sto zapisuju, vec sto bilo kako da ti kogod provaljuje sifru moze da radi substitution A/4, i/1, a/@,... Ali ni ovo sto xkcd savetuje nije bas potpuno imuno, jer kao sto postoje dictionary, tako ih ima i sa kompletnim recima gde alat pravi kombinacije koje bi ti pravio u svojoj sifri. Najbolje napraviti kombinaciju nekoliko reci od kojih je bar jedna izmisljena/nepostojeca (recimo dimkovicizam*). :D

*kuca ti u Nemacku, radis u Japan, zivis za fajt sa Apple-om. :P
- Il n'est pas important qui, importe c'est quoi!
 
Odgovor na temu

[es] :: Security :: Kriptografija i enkripcija :: UEFI + whole disc encryption

Strane: 1 2

[ Pregleda: 12628 | Odgovora: 37 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.