Komentáře: „Šifrované“ klíčenky Kingston, Sandisk, Verbatim nešifrují!

Od: pepak

pepak — Thu, 23 Dec 2010 18:51:17 +0000

A druhý problém: Dejme tomu, že PIN skutečně jde vyresetovat jen jednou (nevím, proč by měl, ale jak říkám, dejme tomu). Problém je, že aby to vůbec šlo třeba jen jednou, tak nemůže být žádný přímý vztah mezi šifrovacím klíčem a PINem. V nejlepším případě to znamená, že flashdisk je zašifrován náhodným klíčem a PIN slouží pro jeho uvolnění; v horším případě to znamená, že ten klíč není náhodný, ale že je jen jeden. Každopádně to ale znamená, že případný útočník vůbec nemusí zkoušet nějaké klíče – stačí mu, když zfalšuje signál „byl zadán správný PIN“. Rád bych se pletl, ale obávám se, že to nebude nic těžkého.

Od: pepak

pepak — Thu, 23 Dec 2010 18:38:19 +0000

Odpověď na randomofamber. Jo, ale to ještě nic netušil o červnovém "problému" s tím, že jde PIN vyresetovat, aniž by to smazalo i data. Corsair tvrdí, že to jde udělat jen jednou, takže stačí, když ten reset provede právoplatný majitel, ale kdo má tomu zařízení věřit, když obsahuje takovouhle díru, že...

Od: randomofamber

randomofamber — Thu, 23 Dec 2010 18:29:25 +0000

Corsair se svým Padlock 2: Bruce Schneier (světová kapacita na informační bezpečnost) zmírňuje a píše „So, not nearly as bad as I thought it was.“… Jinak pro běžné zabezpečení proti náhodné krádeži je to myslím dostatečné.

Od: pepak

pepak — Thu, 04 Mar 2010 15:11:23 +0000

Dalším kandidátem na pranýř je firma Corsair se svým Padlock 2. Bruce Schneier (světová kapacita na informační bezpečnost) tento flashdisk označuje za Crypto Implementation Failure.

Od: pepak

pepak — Fri, 08 Jan 2010 06:16:13 +0000

Vyjádření firmy IronKey k celému problému. Obsahuje i srozumitelného vysvětlení, co mají postižené klíčenky za problém, jak to funguje, a co dělá IronKey proti tomu, aby tím postižen nebyl.

Od: Danoboss

Danoboss — Thu, 07 Jan 2010 01:08:03 +0000

S tým súhlasím, asi by ma zabilo keby sa aj tu objavil článok typu NOD vs AVG a typické komentáre k tomu typu „Avast je shit“.

Od: pepak

pepak — Wed, 06 Jan 2010 16:06:05 +0000

Odpověď na Danoboss.

„Enterprise edice“ je prostě jeden z modelů, stejně jako je model Cruzer Contour apod. Nevím, jestli se v našich končinách prodává, možná že ne – ale rozhodně nevěřím tomu, že Cruzer Contour je na tom významně lépe než Cruzer Enterprise.

TrueCrypt pro flashku potřebuje buď přímo admin práva, nebo aby byl TrueCrypt na příslušném počítači nainstalovaný adminem (v takovém případě už pro použití samotné admin potřeba není).

S bezpečností nehodlám končit, jen musí vždycky přijít nějaké vhodné téma – nebudu přeci psát blbosti jenom proto, že už jsem dlouho do škatulky „bezpečnost“ nepsal…

Od: Danoboss

Danoboss — Wed, 06 Jan 2010 13:12:46 +0000

Perfektný článok, ktorý skutočne len potvrdil, to čo si už písal v minulosti! Že dáta nie sú šifrované vôbec, tomu proste neverím, že by si to skutočne renomovaná firma dovolila, ale že implementácia šifrovania stojí za (s prepáčením) hovno, tomu by som už schopný uveriť bol. Preto som aj ku kúpe tej FLASHKY (cruzer contour) tak pristupoval, že hardwarové šifrovanie bola jedna z požiadaviek, ale že by som sa naň spoliehal to rozhodne nie. Cena tej flashky ale bola k pomeru rýchlosť/kapacita celkom priaznivá. Hardwarové šifrovanie tam mám ako základnú ochranu možno na nejaké wordy, filmy a programy (to tiež nemusí každý kto nájde flashku predsa vidieť), ale skutočné dôležité veci ako napríklad Keepass databázu s heslami (ktorá samotná je istená master heslom + spúšťacím súborom) mám ešte zašifrovanú cez ten Sandisk synchronizačný soft (128 bit AES) a spúšťací kľúč ku Keepass databáze tam mám zašifrovaný v Truecrypt kontajnerí). Síce sa teoereticky k databáze asi nedostaneme ak počítač nebude mať admin prístup, ale tak často zas nepoužívam tú flasku na cudzom kompe bez admin prístupu.

Ešte by som sa spýtal, čo je u Sandisku tá „enterprise edícia“, ešte som s ňou do styku neprišiel. A druhá vec, truecrypt má pre flashky aj ten portable mód, ten tiež potrebuje admin práva?

PS: som rád, že už tu články o bezpečnosti nekomentujem len ja, bál som sa že s tým skončíš, pritom ich považujem za veľmi kvalitné.

Od: pepak

pepak — Wed, 06 Jan 2010 12:27:12 +0000

Odpověď na TooTea. No, to je otázka, jestli to opravdu stačí - pokud je kompromitované heslo, je dost možné, že útočník už získal i šifrovací klíč, a v tu chvíli je mi celá změna hesla úplně k ničemu, pokud neproběhne i přešifrování kontejneru. Ale budiž, TrueCrypt taky funguje tímhle způsobem a má to své oprávnění. Jenže u těch klíčenek nemám šanci ten klíč přegenerovat, ani kdybych chtěl, a to už je velký problém.

Od: TooTea

TooTea — Wed, 06 Jan 2010 12:23:06 +0000

To, že změna hesla trvá jen sekundu, by samo o sobě nemuselo znamenat takovejhle průser. Například u LUKSu taky změníš heslo za pár sekund i na mnohaGiB svazku. (Proč? Disk je šifrován dlouhým náhodným klíčem, kterej je pak sám zašifrován klíčem odvozeným PBDKF z hesla, takže stači přešifrovat jen ten superblok.)