| 1.3, Аноним (3), 00:34, 25/01/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
У меня диск Samsung T7 с опалом, вся фишка в том что его можно подключить в любой комп и отпечатком пальца открыть без сторонних утилит.
А если уж шифровать поверх и LUKSом то можно будет пользоваться только у себя, ну или где такое ядро есть.
И да, это не спасает от сценария где тебя могут заставить открыть накопитель, и не для сверх секретных файлов, а скорее от
случаев вроде "забыл флешку в поезде".
| | |
| |
| 2.28, нах. (?), 07:32, 25/01/2024 [^] [^^] [^^^] [ответить] | –5 +/– | с любой виндой, ведь так Ну так вот это - надолго и не потому что проклятый-ге... большой текст свёрнут, показать | | |
| 2.32, Аноним (-), 09:31, 25/01/2024 [^] [^^] [^^^] [ответить]
| –1 +/– |
> У меня диск Samsung T7 с опалом, вся фишка в том что его можно подключить
> в любой комп и отпечатком пальца открыть без сторонних утилит.
И надежность всего этого...
- Если тебе реально не надо щифрование, то этим всем можно и не страдать.
- Если надо - ты, таки, нарвешься ибо удобство и безопасность живут по разную сторону улицы.
> случаев вроде "забыл флешку в поезде".
Булшит бинго. Флешки с OPAL не особо частая штука. И если "разблокируется отпечатком пальца" то там эффективный размер ключа ни о чем.
| | |
| 2.38, Pahanivo (ok), 13:50, 25/01/2024 [^] [^^] [^^^] [ответить]
| +3 +/– |
 Открытие отпечатком это какой то слабоумный бред ... по сути ты уже не нужен для вскрытия, нужен лишь твой палец. А жив ты при этом или нет ...
| | |
| |
| |
| |
| 5.51, нах. (?), 15:54, 25/01/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
> - Это не мое! Я курьер!!!
> Не?
"- пальцы давай!"
"предыдущему курьеру семь лет впаяли!"
А с незнаюпароль может и покатит...
| | |
| |
| 6.58, Аноним (58), 01:28, 26/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
Вообще то, пальцы есть и на ногах (!)
Руки проверили, а про ноги забыли )))
| | |
| |
| 7.64, нах. (?), 14:49, 26/01/2024 [^] [^^] [^^^] [ответить]
| +/– | |
я вообще х-ем отпираю эти сенсоры, но вот с шифрованной флэшкой не рискнул бы. Могут ведь и отрезать, и к делу подшить.
| | |
|
|
|
|
|
|
| 1.4, Аноним (4), 02:07, 25/01/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Двойное шифрование приводит к неприятным и совершенно нежелательным сайдэффектам.
| | |
| |
| 2.25, laindono (ok), 04:50, 25/01/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Двойное шифрование с разными независимыми ключами и разными шифронаборами? С чего бы.
| | |
| 2.36, Аноним (36), 13:09, 25/01/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
Выходит, что пользоваться ssh через WiFI невозможно/проблематично? ;)
| | |
| |
| 3.40, Аноним (4), 14:08, 25/01/2024 [^] [^^] [^^^] [ответить]
| –1 +/– |
Почему, невозможно? Просто с шифрованным трафиком могут быть проблемы с MTU и прочее подобное, qos отвалится, например, или решишь, что уже надёжно зашифровано 1 раз, и начнёшь пользоваться со слабым/отключённым шифрованием, а потом окажется, что твой "шифрованный" трафик при этом могли читать все, информация из него извлекалась в автоматизированном режиме.
| | |
|
|
| 1.5, 12yoexpert (ok), 02:33, 25/01/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– |
 аппаратное шифрование всегда заканчивается одинаково, и начинается всегда с рекламы usb-стиков за 50$ на ютуб-каналах со смешариками (там вся ЦА сидит)
| | |
| 1.7, Аноним (-), 03:20, 25/01/2024 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
А для старых железок, без хардварных ускорялок, есть что? Из наиболее вменяемого удалось нарыть cryptsetup benchmark -c xchacha20,aes-adiantum-plain64:sha512 --key-size 256 , но "не уверен"..
| | |
| |
| 2.29, нах. (?), 07:34, 25/01/2024 [^] [^^] [^^^] [ответить]
| +6 +/– |
а для старых есть старый добрый aes256/CBC который вполне эффективен и защищает от любого _реалистичного_ сценария.
И не надо выдумывать новых глупостей.
| | |
|
| 1.19, cheburnator9000 (ok), 03:58, 25/01/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 Поражаюсь наплыву кремлеботов визжащих что "честному гражданину нечего скрывать". Любому гражданину есть что скрывать и в первую очередь от других граждан. Ноутбук могут своровать, как и компьютер из квартиры. Из устройства можно вытащить пароли из браузеров, цифровой ключ, ваши личные документы, рабочие документы за утрату которых вас в лучшем случае уволят, в худшем случае посадят (если ваш работодатель гос.структура).
Я наверное сейчас открою тайну мирового масштаба, но ни один браузер по дефолту из коробки не шифрует данные https://github.com/moonD4rk/HackBrowserData/ кроме Safari и MSEdge оба требуют ввода пароля аккаунта.
Лет так 10 назад я спокойно копировал профиль Firefox из windows в linux и имел доступ к всей историей и паролям браузера, иными словами профиль firefox тогда был вполне портабелен (хотя еще даже тогда меня заверяли что это не возможно).
| | |
| |
| 2.39, Аноним (39), 13:56, 25/01/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> иными словами профиль firefox тогда был вполне портабелен
Можешь продолжать. Ничего не поменялось
| | |
| 2.43, Аноним (43), 14:14, 25/01/2024 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Я наверное сейчас открою тайну мирового масштаба, но ни один браузер по дефолту из коробки не шифрует данные
Я наверное открою для вас Америку, но в линуксах как хром, так и огнелис используют kwallet и gnome-keyring для шифрования и хранения печенек и паролей.
В винде эти же данные хранятся в виде, зашифрованном с использованием DPAPI.
| | |
| |
| 3.46, Аноним (-), 14:43, 25/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
Firefox для ПК шифрует пароли локально в директории пользовательского профиля в файле logins.json, если ты задал основной пароль в настройках.
| | |
| 3.47, cheburnator9000 (ok), 15:22, 25/01/2024 [^] [^^] [^^^] [ответить]
| –2 +/– |
>> Я наверное сейчас открою тайну мирового масштаба, но ни один браузер по дефолту из коробки не шифрует данные
> Я наверное открою для вас Америку, но в линуксах как хром, так
> и огнелис используют kwallet и gnome-keyring для шифрования и хранения печенек
> и паролей.
> В винде эти же данные хранятся в виде, зашифрованном с использованием DPAPI.
Никогда в жизни не видел чтобы Firefox в линуксе, спрашивал пароль через какой-нибудь keyring. Chrome да. Но это дело можно отключить и оно будет прекрасно работать без шифрования.
Firefox под вендой никогда не шифровал logins.json файл чем-то серьезным (все дешефруется утилитой которую я показал выше). Eсли опять же нет мастер пароля, не несите чушь.
| | |
| |
| 4.67, 12yoexpert (ok), 21:03, 26/01/2024 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Никогда в жизни не видел чтобы Firefox в линуксе, спрашивал пароль через какой-нибудь keyring.
потому что твоя убунточка всё делает за тебя. она лучше знает, что тебе нужно, всё - как ты привык
| | |
|
|
|
| 1.33, Аноним (-), 09:50, 25/01/2024 [ответить] [﹢﹢﹢] [ · · · ] | –1 +/– | Польза включения OPAL не в двойном шифровании программная спецификация LUKS без... большой текст свёрнут, показать | | |
| |
| 2.37, нах. (?), 13:25, 25/01/2024 [^] [^^] [^^^] [ответить]
| +1 +/– | |
а тебе и не нужен весь диск - тебе достаточно luks header, который эти орлы заботливо и положили рядом.
| | |
| |
| 3.45, Аноним (-), 14:38, 25/01/2024 [^] [^^] [^^^] [ответить]
| –1 +/– |
Заголовок LUKS находится на диске, зашифрованном OPAL. Он не видим.
| | |
| |
| 4.52, нах. (?), 15:57, 25/01/2024 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Заголовок LUKS находится на диске, зашифрованном OPAL. Он не видим.
если бы он был невидим - он был бы люксу нахрен и не нужен. Весь смысл этого заголовка - хранить данные, нужные люксу для расшифровки раздела (когда он софтовошифрованный) и попутно вообще опознавания этого диска как своего.
А если диск уже расшифрован - то заголовок совершенно тебе и без надобности. Так что если в новости не отсебятина промтом-переводили, то все очень и очень плохо.
| | |
| |
| 5.68, Роман (??), 16:57, 27/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
 казалось бы всё таки не видим - иначе чего там за прозрачность, но из примеров я так понял что можно совмещать
Examples:
* Formatting the drive
Use --hw-opal with luksFormat (or --hw-opal-only for hardware only
encryption):
# cryptsetup luksFormat --hw-opal <device>
Enter passphrase for <device>: ***
Enter OPAL Admin password: ***
* Check configuration with luksDump.
Note "hw-opal-crypt" segment that uses both dm-crypt and OPAL
encryption - keyslot stores 768 bits key (512 sw + 256 bits OPAL key).
| | |
| |
| 6.69, нах. (?), 17:33, 27/01/2024 [^] [^^] [^^^] [ответить]
| +/– | |
ну вот единственный представимый мной хороший вариант - что заголовок на самом деле все же шифруется opal, и нужен для шифрования еще и поверх него в случае не-opal-only варианта.
Но я бы на месте счастливых пользователей - перепроверил три раза.
| | |
|
|
| 4.71, Аноним (71), 14:32, 29/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
Заголовок лежит в той части диска, которая OPAL не зашифрована. Хотя бы потому, что без заголовка LUKS не сможет расшифровать кусок, диска, зашифрованный через OPAL.
И, да, OPAL-ом обычно шифруется не весь диск от нуля и до победы, а какая-то отдельная часть, где лежат данные.
| | |
|
|
|
| 1.48, InuYasha (??), 15:25, 25/01/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
"По Вере вашей да будет вам!"
> накопителях SATA и NVMe с интерфейсом OPAL2 TCG, в которых устройство аппаратного шифрования встроено непосредственно в контроллер
а если у меня, простите, RAID-контроллер - што делать?
| | |
| 1.54, fidoman (ok), 17:32, 25/01/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 cryptsetup для аппаратного шифрования, абсурд какой, оно либо аппаратное и ключ запихивается каким-нибудь ioctl, либо оно нифига не аппаратное, а например там просто на шине какой-нибудь ускоритель aes.
| | |
| |
| 2.55, нах. (?), 18:21, 25/01/2024 [^] [^^] [^^^] [ответить]
| +2 +/– | |
"оба хуже"
в правильном аппаратном шифровании никакой ключ никуда не запихивается и вообще не покидает устройства. Пароль для расшифровки ключа (а не сам ключ) - тот да (и устройство не должно позволять слишком много неправильных попыток), но тогда зачем бы им все эти танцы с заголовком luks?
| | |
|
| |
| |
| 3.61, пох. (?), 09:03, 26/01/2024 [^] [^^] [^^^] [ответить]
| –1 +/– | |
у меня для тебя плохие новости - отключение питания любого современного диска без всякого шифрования может сделать из него кирпич.
| | |
|
|
| 1.66, Аноньимъ (ok), 18:54, 26/01/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 > Для использования OPAL в LUKS2
> метаданные сохраняются в заголовке LUKS2
Так я что-то не понял, диск аппаратно зашифрован, каким волшебный образом cryptsetup прочитает заголовок который на аппаратно зашифрованном диске?
А plain режим поддерживается без этих ваших LUKS ?
| | |
| |
| 2.72, Аноним (71), 14:34, 29/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
Очевидно, что OPAL позволяет шифровать отдельные куски диска с данными, а не только диск целиком.
| | |
|
|
