Copyright © 1998-2024 CDR server s.r.o.
Všechna práva vyhrazena.
ISSN 1804-5405.
Copyright © 1998-2024 CDR server s.r.o.
Všechna práva vyhrazena.
ISSN 1804-5405.
> ...bohužel však neuvedl, jak budou vlastně data chráněna před přečtením...
Pojďme spekulovat :-)
1. BIOS se zeptá po zapnutí na heslo?
2. Bude možné nastavit to například "per partition", takže by se šifrovala třeba jen oblast pro data, nikoli pro systém? Pak by to šlo nastavovat přímo v OS.
Bylo by to konečně hezké řešení proti sw policii. Ať si klidně ty mašiny někam odvezou a analyzují, heslo z nikoho stejně nedostanou :-)
Polaris, jen aby tam nemeli pro pripad podobnejch policii treba nejakej masterkey (:
Nastavovani z OS moc rozumny imho neni, spis nejaka lowlevel utilita podobna biosum raid radicu.. proste nabehne, a bude chtit heslo pro pokracovani...
To Polaris
Ad1) a Ad2) to by bylo fajn, kdyby to umelo tohle:-)
Jinak, k te softwarovce, staci pouzivat trebas True crypt, rozumna hesla a taky to z toho nedostanou:-)
IMHO je to celkem jasne: Sifrovani bude reseno hardwarove necim podobnym, jako jsou cipy X-Wall (http://www.enovatech.net/products.htm - pouzivaji se napr. na nekterych Abitovskych deskach) s tim, ze sifrovaci klic se zadava pri POSTu a jako specialni prikaz se po IDE posle do disku. Timto klicem pak bude sifrovana veskera komunikace. To by melo plnit obe zavazne podminky: 1) Nezavislost na operacnim systemu. 2) Ochranu proti ukradeni notebooku/disku (puvodni reseni Abit SecureIDE bylo z tohoto hlediska uplne k nicemu, protoze bylo ciste hardwarove, takze kdo ukradl pocitac, dostal se i k sifrovanym datum). Otazka je, jak bude reseno pripojovani nesifrovanych disku.
Polaris: Podivej se na produkt Drive Crypt Plus Pack (http://www.drivecrypt.com - placeny, ale velmi dobry) nebo CompuSec (http://www.ce-infosys.com.sg/CeiNews_FreeCompuSec.asp - free, ale nejak ho nechci zkouset, protoze jeho verze 4.17 nefungovala s XP SP2, do te miry, ze mohl clovek prijit o data).
Shinnitchika: TrueCrypt neumi a nebude umet bootovaci partition.
To by mne teda zajimalo jake reseni je pouzite u soucasnych pevnych disku do notasu... Chova se totiz tak, ze pokud je disk zaheslovany, tak jde rozjet jen tam, kde je bios se schopnosti hesla odemykat. Pokud napriklad nezrusim u sveho disku v NB Dell heslo a pripojim jej pres redukci do stolniho PC, tak se mi tak akorat nadetekuje v biosu a to je vse co z disku uvidim. V systemu s winckama uz pak nevidim nic ani pres programy typu Partition magic, atd...
Podobne je to i s NB samotnym, heslo pri POSTu je proste neprustrelne a muzete zapomenout na nejakou vyndanou baterku drzici bios a zkratovani napajeni biosu. Nic takoveho u Dellu mozne neni. Nejsou tam zadne proflaknute finty jako u Toshiby, Aceru ci dalsich znacek jak heslo rozbit.
Holt asi pro takovou a i v dalsich smerech vychytanou techniku je Dell tam kde je... Proto kdyz se kolem sebe podivam vidim skoro samy Dell:-)
Jenom aby se nenasla "utilitka", ktera pomoci low level funkci dokaze precist ten TripleDES klic (168 bitu). Popripade, aby komunikace s tim 3DES cipem "nevyzarovala" do okoli co nema. :-)
2mike) IDE disky (skoro vsechny, tedy i 3.5" nebo SATA) podporuji tzv. Secure mod. Pokud je disk prepnut (ATA prikazem) do tohoto modu, tak po resetu, nebo po zapnuti vyzaduje nejprve zaslani specialniho ATA prikazu obsahujiciho heslo (ktere je vhodne nastavit opet ATA prikazem jeste pred povolenim Secure rezimu disku a nezapomenout ! :-) ). Novejsi notebooky umi tuto funkci vyuzivat a pri nastaveni zaheslovani startu PC v BIOSu aktivuje prave tento mod disku (+pripadne i samotne heslo v BIOSu). Pokud si dobre vzpominam, tak disk umozni jen 3 pokusy na kazde zapnuti, takze metodou "brute-force" sice heslo zjistit lze, ale pravdepodobne kvuli zapinani a vypinani disk odejde drive, nez se to podari. Jinak ten Secure mod ma dve varianty,v te mene bezpecne lze zaheslovani zrusit zadanim jineho, tzv. Master hesla(ktere se taktez definuje ATA prikazem v nezaheslovanem rezimu), v te bezpecnejsi se vsak pri tom disk automaticky zformatuje (resp. prepise cely obsah nulami, nebo tak neco). Cele teto funkci se v dokumentaci rika tusim "Password Option" a uz z nazvu je zrejme, ze nemusi byt podporovana vsemi disky. Zajimava utilitka pro vsechna PC je tady: http://www.geocities.com/rumen_simeonov/index3.html . Uvedeny BIOS jsem uspesne prilinkoval k AWARD BIOSU pres CBROM a vse fungovalo celkem bezvadne.
K tematu bych uvedl snad jen to, ze pro jednoduchou ochranu pred odcizenim "Password Option" bohate staci, kryptovani dat je jen dalsi rozsireni pro ty, co chteji mit naprostou jistotu, ze jejich data skutecne nikdo neprecte (tedy ani ve specializovane laboratori, atp.).
Nicmene jako ochrana pred soft. policii to stejne neni nic platne, jak jsem se jiz jednou dotazoval, pokud Vam Policie, resp. soud, zabavi PC, tak na jejich vyzvu jste povinni sdelit heslo, pokud odmitnete, je to zaprve neprimy dukaz proti Vam a zadruhe zaplatite pokutu za mareni vysetrovani, nebo tak neco, celkem tusim, ze to byvalo az 50 000Kc a mozna i opakovane ! Takze se to asi prilis nevyplati (tedy jak komu), ze ?
2 RaStr: Trestní zákon umožňuje odmítnout vypovídat, pokud bych si tím mohl uškodit. Ať se policie v důkazním řízení snaží sama.
A i kdyby k necemu doslo, tak zapomenuti hesla je bezna vec a nelze dokazat opak.
>RaStr
Ahoj; zajimala by me modifikace BIOS-u na linku ktery jsi ve tvym prispevku uvedl. Asi jsem tomu popisu na strance moc dobre nerozumel, ale podle toho co jsem pochopil tak:
1. Potrebuju zmodifikovat muj vlastni BIOS na zakl. desce a pak to tam natahnout zpatky nebo
2. Potrebuju radic (treba sitovku) kt ma socket na EPROM, sehnat takovy cip, nahrat do toho binarku a zaridit aby pri bootovani to nabehlo?
Omlouvam se za OT; kdyby to neslo sem mohl bys mi odpovedet mailem?
Predem diky
2 Ritchie) Ano tuto moznast samozrejme mas, ovsem to predpoklada, ze jsi jiz obvineny a pak plati, co jsem rekl, odmitnuti vypovedi bude soudem hodnoceno jako pritezujici okolnost, resp. neprimy dukaz viny!
2 de_brahe) Je to presne jak jsi napsal, pro BIOSy AWARD existuje jednoducha utilitka cbrom.exe, ktera umozni k bios.bin filu pridat jakykoliv bios-block, cili i zmineny kod pro zaheslovani disku, tedy pokud je ve flashce jeste dost mista, coz obvykle byva. Pokud Vas BIOS neco takoveho neumoznuje je mozne pouzit napr. sitovou kartu nebo SCSI radic a nahradit dannym kodem jeji boot-code (u novejsich karet je jejich BIOS nahran ve flashce a mozne pouzit sw. flasher, ten ale nemusi zase podporovat upload jekehokoliv kodu), u starsich takovych karet je tento kod ulozen v ROM nebo EPROM, kterou je mozne vymenit/preprogramovat. Samozrejme je pak nemozne vyuzivat puvodni BIOS takove karty, ale to u sitovek obvykle vubec nevadi a ani u SCSI radicu (pokud na ne neni pripojen systemovy disk) to nemusi vadit. Nejjednodussi je tedy doplnit novy kod do stavajiciho BIOSu motherboardu (pokud to jde) nebo prepsat BIOS v sitove karte, popr. je mozne koupit napr. levnou PCI sitovku (Repotec za cca 100Kc) a doplnit ji o patricnou EPROM (staci i 8KB, napr. 27C64 za cca 100Kc v GME, ale konkretni podporovany typ se muze lisit dle typu karty, takze je lepsi poridit kartu i s osazenou ROM a tu pak bud preprogramovat nebo vymenit za odpovidajici nahradu).
Rastr: Ale ten disk prece vubec neni muj, nekdo za mnou prisel s tim, ze od nekoho slysel, ze bych mohl bejt schopnej se pres to heslo nejak dostat a dal mi ho, at to zkusim. Bohuzel se mi to zatim nepodarilo a pravdepodobne ani nepodari;-) Proc by me pak meli potrestat za dobrou vuli pomoct obnovit dulezita data? Veskera obvineni jsou samozrejme nepodlozena a nepravdiva. Bez primeho dukazu kdyz neni clovek uplne blbej se proste nic dokazat neda. Vyse uvedeny pribeh je samozrejme smysleny a nikdy se mi to nestalo a doufam ze ani nestane.
Pro psaní komentářů se, prosím, přihlaste nebo registrujte.