Надежно ли шифрование BitLocker?

Question

[Артем Сорокин]

Можно ли доверять шифрованию BitLocker (стоек ли алгоритм к взлому)? Или лучше выбрать какие-нибудь opensource решения типа TrueCrypt?

Чем конкретно Вы пользуетесь?

Answer 1

[AgentSIB]

Если вы хотите зашировать данные от случайного пользователя (например на случай утраты), то шируйте чем угодно. Если же от спецслужб или подобных серьезных дядек — ректальный термокриптоанализ взламывает любой пароль менее чем за пять минут. В обоих случаях абсолютно по барабану поддерживается ли TPM или нет :)

Comments

[Артем Сорокин]

Спасибо за мнение)

[Gem]

Стоит добавить что в трукрипте существует поддержка "многомерного" отрицаемого шифрования

Answer 2

[JDima]

От случайных людей оба защитят прекрасно.
А неслучайным людям вы сами всё отдадите, даже с замаскированного раздела TC.
Вывод — используйте то, что удобнее.

Answer 3

[ValdikSS]

BitLocker поддерживает TPM, и, возможно, Trusted Boot, но насчет последнего не уверен. TrueCrypt не поддерживает TPM.
TPM — чип шифрования на материнке. В нем можно хранить ключи, им самим можно шифровать (но очень медленно), и, что самое интересное, можно сделать так, что правильный ключ расшифровки будет выдаваться только, если никаких подмен загрузочных файлов не было совершено. Но это все равно не спасет от дампа оперативки.

Comments

[Артем Сорокин]

А в случае с TPM, что делать если необходимо использовать носитель на другом ПК (допустим, этот сломался или вообще такой сценарий, что носитель — съемный)?

[ValdikSS]

Я точно не знаю, как битлокер это реализует, возможно, там варианты есть, но вообще в TPM есть, во-первых, RSA-генератор, который хранит у себя приватный ключ и никому его не отдает, а отдает только публичный, введя пароль, например, и, соответственно, шифрует сам, но задержка шифрования высокая, во-вторых, есть NVRAM, где можно просто хранить ключик под паролем, к тому же, есть еще PCR, это регистры, в которых хранятся какие-то хеши. Обычно, регистры PCR0-6 заполняет биос, а остальные можно «самому» заполнять, например, это делает trustedgrub, кидая туда хеши ядра и initramfs, и если вы подпишете ключ регистрами и засунете в NVRAM, можно даже так настроить, что при смене настроек в BIOS у вас ничего не будет грузиться.
Опять же, как это реализовано в bitlocker я не знаю, но это скорее решение для конкретного диска и компьютера, а не для переносных устройств, так что тут лучше в сторону truecrypt и аналогов посмотрите.

[ValdikSS]

А еще, практически в любом случае вашу файловую систему можно будет расшифровать, если она уже примонтирована, выключаем питание, сразу загружаем с флешки дампер оперативки, и все, ключ будет в оперативке. Для линукса есть патч, который хранит ключи шифрования в дебаг-регистрах процессора, только это, наверное, и спасет.

Answer 4

[4dmonster]

Нет.
Да.
Не шифрую.

И, извините, но судя по вопросу вам — тоже не следует.

Comments

[Артем Сорокин]

Т.е. тот факт, что я действительно недостаточно разбираюсь в этих технологиях не дает мне их использовать? «Не умеешь — не учись»?

[4dmonster]

Наоборот, сначала научитесь а потом применяйте. А самое главное помните «Если у кого-то есть физический доступ к вашему компьютеру — это уже не ваш компьютер.»

Лучше озвучьте задачу а не потенциальные средства её решения.

[Артем Сорокин]

Конкретно меня интересует надежное шифрование съемного носителя (сценарий, предполагающий использование носителя на нескольких доверенных ПК). При этом в случае утери/кражи носителя нужно гарантировать, что к информации никто не сможет доступ получить ни при каких условиях.

[4dmonster]

тогда только что-то вроде скрытого контейнера в обычном контейнере — такое есть у True-Crypt.

[AgentSIB]

В таком случае лучше TrueCrypt. Он кроссплатформенный и можно будет открыть на любой ОС. Не обязательно морочиться со скрытыми контейнерами :)