Tråden om krypteringsverktyg: truecrypt, diskcryptor, bitlocker, filevault, m fl

Beror på hur man definierar säkerhet. Det finns många olika sorters sårbarheter i applikationer och inte bara att ta sig förbi krypteringen. Det finns informationsläckage, sidoattacker och datakorruption som tre exempel, men i vanlig ordning är "hur säkert?" en fråga på hur bra programmet gör sitt jobb.

Jobbet i fråga är att inte ge ut data till oauktoriserade personer, har man lösenordet så ska man få datan och om man inte har lösenordet så ska det vara i princip omöjligt att skaffa klartext.

För att vara lite klyschig kan man nämna läge, nyckelstorlek och historik för algoritmen som bildar en uppfattning om hur "säkert" saker och ting är. Man kan ju använda 4k i nyckelstorlek men om implementeringen är felaktig så spelar det ingen roll, därför är ju implementeringen så pass viktig.

Dm-crypt har en fördel där eftersom nativa komponenter används vid kryptering vilket gör att det blir en mer "ren" kryptering. TrueCrypt(i Windows) använder ju driver filtering för att skriva krypterad data vilket i sig inte är lika transparent.

Helhetsperspektiv? Nej.

En snabb fråga. Låt oss säga att jag har ett otroligt svårt lösenord till mitt Windows konto. Kan då någon med tillräckligt stor kunskap ta sig in på det utan att veta lösenordet? Om ja, hur skyddar Truecrypt då när man redan är inne på datorn?

Vilka nackdelar har Luks (som det används vid ubuntu-installationer) jämfört med tc FDE menar du?

Truecrypt kan inte skydda dig alls om någon har tillgång till en startad maskin med en monterad volym och har tillgång till en inloggning.

Nästa fråga är: hur avancerad är angriparen?

Om datorn är låst så får man börja undersöka andra attacker såsom FireWire/pcexpress/andra sådana angreppsvektorer.

Eller så öppnar man datorn och ansluter utrustning för att kunna läsa av RAM under drift, och då Kan man komma åt nycklarna.

När man har dessa nycklar kan man boota maskinen från en egen bootskiva, montera volymen och därefter ändrar man lösenordet på det konto man vill åt.

Kort sagt: man måste tillse att nycklarna försvinner ur minnet innan en angripare får fysisk access till maskinen.

Bygger vidare:
Krypteringsverktyg av den här typen är ju inte till för att skydda datorn samtidigt som du använder den, för då hade den stängt dig ute. Den är till för att hindra andra från att ta en avstängd dator (typ i husrannsakan eller regelrätt inbrott) och komma åt filerna.

Exakt. Truecrypt är avsett för att skydda data under vila.

Kan faktiskt inte komma på något krypteringsprogram som inte är det. För datorn kan ju inte se skillnad på vem som läser på skärmen såvida inte man har ett hi tech facial recognition-system som via inbyggd webbkamera ser vem som försöker logga in och användadatorn, och utifrån det avgör vad den ska göra. Och även då så är ju datan inte vilande.

Jag menade i helhetsperspektiv och inte rent säkerhetsmässigt(vilket man ändå inte kan mäta). TC erbjuder kaskadalgoritmer, skapa containrar och fungerar på de större operativsystem. Detta är tre viktiga punkter som gjort TC så pass känt som det är idag.

Sen finns det tusen andra saker som man kan jämföra så som valmöjligheter av algoritmer, licensers, kryptomoduler, lägen, StO, hantering av MK, SSD-vänlig, wipe-möjligheter osvosv

Att jämföra TC med LUKS känns inte rättvist då det är två skilda produkter som försöker uppnå olika saker men huvudfunktionen är densamma. Mer rättvist att jämföra FV med TC isf.

Finns inga direkta program utan metoder. TPM, kaskadalgoritmer och TRESOR är tre exempel på metoder/program som kan förhindra sidoattacker(menar i körande läge). DMS är även ett vapen mot sidoattacker.

Ja, men vi säger att datorn är avstängd och det blir inbrott. Tjuven tar datorn hem till sig och försöker starta den. Lösenordsskyddat, tusan. Kan han då på något sätt få bort lösenordet och komma åt filerna?

Det är där system som EFS och ännu hellre RMS tar vid. De fungerar riktigt bra.


Sen finns ju de sekundära angreppsvektorerna. En bekant har (jag skojar inte) en server där huvudkomponenterna limats på plats, alla DMA-kapabla portamsatts ur spel. Maskinen har yontma och ett par fysiska Försåtsmineringar för att göra maskinen strömlös.

Men, han har ju såklart en massa filmer... Och en smarttv... Och inte orkar han ju skriva in ett säkert lösenord i sin tv varje gång han vill se en film.

Så, utan att röra servern vore det Apenkelt att vid en husis fastställa vilka filmer från tpb som han har...

Inte utanför filmens värld.