Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Обход дискового шифрования, использующего TPM2 для автоматической разблокировки "	+/–
Сообщение от opennews (??), 17-Янв-25, 12:16
Один из сопровождающих пакеты в NixOS представил технику атаки, позволяющую получить доступ к данным на зашифрованных дисковых разделах, в конфигурациях, не требующих ввода пароля разблокировки при загрузке, благодаря размещению  в TPM2 (Trusted Platform Module) информации для расшифровки. Такие конфигурации часто используются на серверах или многопользовательских рабочих станциях, на которых проблематично после каждой перезагрузки вручную вводить пароль... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=62574
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 17-Янв-25, 12:16	+26 +/–
TPM = пароль на листочке, лежащий под клавиатурой.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3, #12, #120

2. Сообщение от Аноним (3), 17-Янв-25, 12:21	–4 +/–
Вот как обычно тут верещали про теории заговора, а тут вот подробно описано почему это шерето. Но нет они будут продолжать писать что вы все врете. Потому что у них рушится картина идеального мира.
Ответить | Правка | Наверх | Cообщить модератору

3. Сообщение от Аноним (3), 17-Янв-25, 12:23	–1 +/–
Сейчас придут как обычно умники. Которые скажут что для пароля на листочке нужен физический доступ, поэтому это не уязвимость, тьфу.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #4, #5, #28

4. Сообщение от Аноним (4), 17-Янв-25, 12:25	+11 +/–
Пароль на листочке понадёжнее будет этих ваших TPM. https://www.schneier.com/blog/archives/2005/06/write_down_yo... >We’re all good at securing small pieces of paper. I recommend that people write their passwords down on a small piece of paper, and keep it with their other valuable small pieces of paper: in their wallet.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #83

5. Сообщение от Аноним (5), 17-Янв-25, 12:30	+8 +/–
если пароль под клавиатурой, то это безопасно. если на мониторе прицеплено - это уязвимость!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #17, #89

7. Сообщение от commiethebeastie (ok), 17-Янв-25, 12:34	+8 +/–
Стильномодномолодежные способы аутентификации подразумевают именно такие дыры.
Ответить | Правка | Наверх | Cообщить модератору

8. Сообщение от Аноним (8), 17-Янв-25, 12:34	–5 +/–
Физическая защита это не TPM, а системник в замерованный в стену.
Ответить | Правка | Наверх | Cообщить модератору

12. Сообщение от Аноним (12), 17-Янв-25, 13:04	+1 +/–
Под клавой будет секурнее. Здесь же пароль приклеен на моник.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

14. Сообщение от Аноним (12), 17-Янв-25, 13:05	+6 +/–
Вы не понимаете, обход шифрования это фича.
Ответить | Правка | Наверх | Cообщить модератору

16. Сообщение от Аноним (16), 17-Янв-25, 13:23	+/–
Проблема совсем в другом. /boot надо шифровать и загрузку верифицировать хотя бы. Но тогда systemd-boot работать не будет. Проблемы нет если ВСЕ ключи BG, SB, GRUB2, IMA/EVM создаёт собственник, пользователь компа, администратор. Но производители ноутбуков решили иначе они создают ключ BG, для подписи своего UEFI и без всякого заговора, чисто по случайности, подписывают ключ M$ для верификации загрузки винды. И теперь, чтобы вы не изобретали будет дырень.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #60, #90

17. Сообщение от Аноним (17), 17-Янв-25, 13:23	+4 +/–
В проспекте одной компании видел фото директора на фоне монитора, на котором приклеен листочек с паролем.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #22, #23

18. Сообщение от xsignal (ok), 17-Янв-25, 13:30	+/–
> Примеры совершения атаки продемонстрированы [...] в связке с systemd Ожидаемо, куда ж без него...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #44

20. Сообщение от Аноним (20), 17-Янв-25, 13:46	+/–
А с BitLocker что?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #21, #27

21. Сообщение от Аноним (21), 17-Янв-25, 13:51	+1 +/–
Паяльник, молоток и бутылка.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #26

22. Сообщение от Аноним (-), 17-Янв-25, 13:51	+2 +/–
> В проспекте одной компании видел фото директора на фоне монитора, на котором приклеен листочек с паролем. Мы тоже так развлекались, но пароль был на стенки и "типа случайно попал в кадр". Было весело показывать мамкиным какирам страничку с указанием статьи УК и наказания в ней. Но это конечно не honeypot, так просто поржать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #84

23. Сообщение от Аноним (23), 17-Янв-25, 13:52	+/–
В фильме "Первому игроку приготовиться"...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

24. Сообщение от Аноним (26), 17-Янв-25, 14:05	+4 +/–
Атака представляет собой усовершенствованный вариант перевода системы в «single-user mode». Абсолютно штатная особенность всех юниксов. Шифрование дисков позволяет предотвратить утечку данных (или репутационные последствия) в случае если диск из сервера *вдруг* окажется на помойке. Для всего остального оно бесполезно.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #87

25. Сообщение от mos87 (ok), 17-Янв-25, 14:07	+/–
Перед подобными новостями нужно сразу пейсать поясниловку - скачать-сканпелять-запуститьотрута, или всё хуже.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #45

26. Сообщение от Аноним (26), 17-Янв-25, 14:09	+/–
«Но зачем?» Сколько нужно дать вашему «админу», чтобы он сам всё вынес и/или установил аппартный бэкдор «где нужно»? А для некоторых организаций эта сумма стремится к $0.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #116, #117

27. Сообщение от Аноним (27), 17-Янв-25, 14:10	+/–
Автор TrueCrypt говорит, что все супер :-)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #34

28. Сообщение от Аноним (28), 17-Янв-25, 14:15	+1 +/–
совсек всегда на листочках
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

29. Сообщение от Аноним (17), 17-Янв-25, 14:31	–1 +/–
> Извлечение диска и ... Возвращение диска в исходный компьютер Дисковый массив из 24 дисков весь извлекать? Еще вопрос. Когда? В выходные проникнуть. За 2 дня можно управиться. Как пояснить, что это время система не будет работать? В-общем, вопросов масса. Тут не атака, а целая тактическая операция. А по сути - бpeд.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #31, #32, #35, #38, #41

30. Сообщение от Аноним (30), 17-Янв-25, 14:40	+1 +/–
А если стоит PIN? Ведь можно сделать очень длинный пароль на диске а расшифровывать с помощью PIN на TPM.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #42

31. Сообщение от Аноним (-), 17-Янв-25, 14:43	+3 +/–
> Дисковый массив из 24 дисков весь извлекать? Еще вопрос. Когда? В выходные проникнуть. За 2 дня можно управиться. Как пояснить, что это время система не будет работать? Но если это ноут, то ситуация очень сильно упрощается. Типа "мы сперли ноут гендира просто разбив окно его авто". > В-общем, вопросов масса. Тут не атака, а целая тактическая операция. А по сути - бpeд. Не назвал бы это совсем бредом - например для маски шоу от государства оно вполне подойдет. Хотя тут проще предложить 10ку или сказать пароль)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #33, #40, #52

32. Сообщение от Аноним (32), 17-Янв-25, 14:48	+1 +/–
> А по сути - бpeд. а про "незаметно расшифровать" это ты сам себе придумал
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

33. Сообщение от Аноним (33), 17-Янв-25, 14:48	–1 +/–
> мы сперли ноут гендира просто разбив окно его авто ... потом вернули на место (в разбитое окно), дождались, пока гендир включит ноут, введёт пароль (разбитое окно просто так было же, и внезапный промпт пароля это в порядке вещей), вернёт ноут в машину, ещё раз разобьют окно и сопрут ноут второй раз. План надёжный, если я всё правильно понял.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #37, #53

34. Сообщение от ryoken (ok), 17-Янв-25, 14:54	+1 +/–
И где сейчас этот TrueCrypt и его автор?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #76

35. Сообщение от ryoken (ok), 17-Янв-25, 14:56	–2 +/–
Вы реально на такой массив систему взгромодите со всеми данными, не поделив на массивы под разные каталоги..?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

36. Сообщение от ryoken (ok), 17-Янв-25, 14:56	–1 +/–
Короче, курим SED.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #39, #67

37. Сообщение от ruroruro (ok), 17-Янв-25, 15:01	+5 +/–
Я так понял, что "ввод пароля" на 4 шаге - это ввод того пароля, который ВЫ создали в 3 шаге. То есть вся суть эксплоита как раз в том, что можно заменить зашифрованный раздел на диске на раздел который зашифрован известным ВАМ ключём, после чего можно украсть исходные ключи. То есть возвращать ноут гендира не обязательно)))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

38. Сообщение от Аноним (28), 17-Янв-25, 15:08	+/–
в рабочей системе ничего извлекать не надо, там уже все расшифровано, а как получить доступ к этим данным уже не имеет значение, ибо там не будет никакого обхода шифрования. Атака имеет смысл именно при потушенной системе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

39. Сообщение от Аноним (28), 17-Янв-25, 15:13	+/–
по поиску Self-Encrypting Drives нашел только этот https://csrc.nist.gov/projects/cryptographic-module-validati...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #47

40. Сообщение от User (??), 17-Янв-25, 15:27	+1 +/–
> Но если это ноут, то ситуация очень сильно упрощается. Ээээ... нахрена тебе авторазблокировка clevis'ом на ноуте?! Оно и под кроватью-то ни к чему...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

41. Сообщение от User (??), 17-Янв-25, 15:43	–1 +/–
Ну да! Прихожу, значит, с паспортом в ЦОД, под камерами ключиком открываю шкаф, отрубаю чужой сервер, вытаскиваю оттуда N-дисков, достаю из рюкзака свой сервер, ставлю диски туда - ять, а там гипервизор и вот vSAN - блин, ниугадал! Ставлю обратно, тэээк, блейд-шасси, пропускаем, СХД, не трогаем - Э, пацаны? А что, на bare metal об одном диске нет ничего? А, в соседнем шкафу? Спасибо, пацаны! Тэк-с, берем ключик от соседнего шкафа - о, точно! И как раз выключен - году так в 2021, ага. Щ-щщаз мы его!! Страшно?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #49

42. Сообщение от нах. (?), 17-Янв-25, 15:54	+4 +/–
поэтому ты поедешь сегодня в 23:00 в цод - набирать этот самый пин. Ничего такого - пришла стандартная телега от электриков что они переключают вводы в здание, аварийное питание разумеется есть, как и дизель, но... короче, ты дежуришь. И похрен что цод в самаре а ты в саратове. Звиздуй! Ты единственный, кому доверено ценное знание этого кода. И можешь там оставить свой чемодан - потому что во вторник они собирались переключать обратно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #66

44. Сообщение от Аноним (44), 17-Янв-25, 16:00	+/–
Так другого то ничего и не осталось. А если интересно - сам проверь с другими, но там явно будет тоже(а не будет там где нет uefi, то есть у нормальных мамонтов но они увы вымерли.. ну почти все)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

45. Сообщение от Аноним (44), 17-Янв-25, 16:01	+2 +/–
То есть прочитать полностью, без tl;dr, ну совсем никак?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

46. Сообщение от Аноним (44), 17-Янв-25, 16:07	–1 +/–
Обожаю уязвимости в стиле "обнаружен опасный вирус! Чтобы им заразиться нужно: попасть в Зону51, выкрасть ключ, проникнуть в ЕХИ и с помощью ключа попасть в Капустин яр, Там найти и разбить склянку 432. ... Профит!" Автор хоть представляет что на первом же этапе это хакерство поймают за руку? Сферические пограмисты в вакууме🤷
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #48, #56, #61

47. Сообщение от ryoken (ok), 17-Янв-25, 16:22	+/–
> по поиску Self-Encrypting Drives нашел только этот Инфы достаточно много, переформулируйте запрос или используйте другой поисковик :).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #51

48. Сообщение от User (??), 17-Янв-25, 16:26	+1 +/–
Это же автор **NixOS** - что ему в ЦОДе-то делать? Нет. Не представляет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46 Ответы: #54

49. Сообщение от Аноним (28), 17-Янв-25, 16:28	+/–
> Страшно? за ваши логические размышления страшно, читайте комент выше.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #50

50. Сообщение от User (??), 17-Янв-25, 16:29	+/–
>> Страшно? > за ваши логические размышления страшно, читайте комент выше. Всмысле, между ЦОДом и помойкой, ой, шреддером взполомают?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49 Ответы: #55

51. Сообщение от Аноним (28), 17-Янв-25, 16:30	+/–
> используйте другой поисковик вы каким поисковиком пользовались? я этим: https://csrc.nist.gov/projects/cryptographic-module-validati...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47 Ответы: #119

52. Сообщение от нах. (?), 17-Янв-25, 16:30	+1 +/–
> Но если это ноут, то ситуация очень сильно упрощается. для ноута логично и осмысленно НЕ использовать технологии, позволяющие не вводить пароль или хотя бы пин от него. Они предназначены для систем, к которым нет удобного постоянного доступа. Как и для ситуаций когда против тебя - внезапно, государство (в этом случае часто нелишним считают и механизм самоподрыва... или не только само).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #57, #91

53. Сообщение от User (??), 17-Янв-25, 16:32	+2 +/–
>> мы сперли ноут гендира просто разбив окно его авто > ... потом вернули на место (в разбитое окно), дождались, пока гендир включит > ноут, введёт пароль (разбитое окно просто так было же, и внезапный > промпт пароля это в порядке вещей), вернёт ноут в машину, ещё > раз разобьют окно и сопрут ноут второй раз. План надёжный, если > я всё правильно понял. Не. Проблема возникает примерно на пункте "0" - "Найти гендира с linux'ом на ноуте"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #105

54. Сообщение от Аноним (28), 17-Янв-25, 16:33	+/–
а зачем что-либо расшифровывать, если на включенной машине (сервере вашем в ЦОД) они и так расшифрованы?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48 Ответы: #68

55. Сообщение от Аноним (28), 17-Янв-25, 16:35	+/–
тяжелый случай, прочтите мой комент выше, прям над вашим же.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50 Ответы: #58

56. Сообщение от Аноним (76), 17-Янв-25, 16:35	+1 +/–
Мы сп..ёрли сервер. (как, это другой вопрос, хоть через маски шоу, хоть через своего засланного казачка в ТП в хостере, хоть еще как). И нам хочется почитать то, что лежит на сервере.. бывают данные, которые представляют интерес для третьих лиц, даже в случае, что их владелец знает, что их у него спёрли.. он уже ничего не сможет сделать... (а он еще и надеется, "ну их же зашифровали, значит нам не грозит ничего") просто это намёк, для тех кто не хочет делиться своими данными, что используя эти "странные методы" с авторасшифровкой их не спасёшь от чтения третьими лицами. Да, усложнишь. но не более.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46 Ответы: #80

57. Сообщение от User (??), 17-Янв-25, 16:37	+/–
>> Но если это ноут, то ситуация очень сильно упрощается. > для ноута логично и осмысленно НЕ использовать технологии, позволяющие не вводить пароль > или хотя бы пин от него. Они предназначены для систем, к > которым нет удобного постоянного доступа. > Как и для ситуаций когда против тебя - внезапно, государство (в этом > случае часто нелишним считают и механизм самоподрыва... или не только само). Вот не поверишь - на одной из первых работ на полном серьёзе обсуждали идею держать сервер с одной из бухгалтерий в кузове газели вот на вот этот вот случай. Мнда. А кейс, когда коллегу налоговая приглашала для того, чтобы запустить СХД (Ну, т.е. на первом этапе они просто диски изъяли - потом "что-то пошло не так", вернулись - и и еще и саму СХД с полкой прихватили - а оно... вот... нивзавелось) я из второго ряда наблюдал )
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52

58. Сообщение от User (??), 17-Янв-25, 16:40	+/–
> тяжелый случай, прочтите мой комент выше, прям над вашим же. А вы мой исходный, ок?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55 Ответы: #59

59. Сообщение от Аноним (28), 17-Янв-25, 16:49	+/–
на включенной системе в ЦОД данные уже расшифрованы, вопрос: зачем мне "Прихожу, значит, с паспортом в ЦОД, под камерами ключиком открываю шкаф, отрубаю чужой сервер, вытаскиваю оттуда N-дисков"? ДАННЫЕ УЖЕ В РАСШИФРОВАННОМ ВИДЕ!!!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58 Ответы: #65

60. Сообщение от Ivan_83 (ok), 17-Янв-25, 16:51	–1 +/–
Программатор вам в руки :) И ноут это не весь мир.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #98

61. Сообщение от Ivan_83 (ok), 17-Янв-25, 16:53	+/–
А ты на историю с другой стороны посмотри. Ты вот хранишь что то чем не хочешь делится, а потом силовики заходят и забирают сервер, и по вот по этой незамысловатой инструкции извлекают из него нужное им.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46 Ответы: #62

62. Сообщение от Аноним (28), 17-Янв-25, 16:58	+/–
> а потом силовики заходят и забирают сервер диски от сервера можно вмонтировать во входную дверь, чтобы они болгаркой их сами и уничтожили :))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61 Ответы: #63

63. Сообщение от Аноним (-), 17-Янв-25, 17:01	+/–
>> а потом силовики заходят и забирают сервер > диски от сервера можно вмонтировать во входную дверь, чтобы они болгаркой их сами и уничтожили :)) оно быстрее помрет, от того что дверью хлопали) Но идея хорошая - сделать цод целиком из стоек, на случай если будут брать штурмом))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62 Ответы: #64

64. Сообщение от Аноним (28), 17-Янв-25, 17:11	+1 +/–
> оно быстрее помрет, от того что дверью хлопали) нууу 21 век на дворе, эсэсди уже :)) ну и табличку на двери, "дверью не хлопать", можно повесить, плюс доводчик прикрепит, чтобы не хлопало, и немного армировать (утяжелить) для вида, чтобы именно пытались ее взломать болгаркой, думая, что она непреступна.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63 Ответы: #78

65. Сообщение от User (??), 17-Янв-25, 17:11	–1 +/–
> на включенной системе в ЦОД данные уже расшифрованы, вопрос: зачем мне "Прихожу, > значит, с паспортом в ЦОД, под камерами ключиком открываю шкаф, отрубаю > чужой сервер, вытаскиваю оттуда N-дисков"? > ДАННЫЕ УЖЕ В РАСШИФРОВАННОМ ВИДЕ!!! Ну да, и у _админа_ нет никакой проблемы с доступом к этим данным. А у мимокрокодила - есть, ему вот физический доступ и вот это всё. Ну или через какой астрал подключаться... Модель нарушителя у нас такая - физический доступ у него есть, а программного - не-а.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59 Ответы: #70

66. Сообщение от Аноним (66), 17-Янв-25, 17:18	+/–
А нельзя системный раздел авторазблокировкой, а рабочий с данными уже пином? Ну или проще - Квм отменили уже?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #79, #93

67. Сообщение от Аноним (-), 17-Янв-25, 17:33	+/–
Спасибо, нет: 1) Прошивка накопителя проприетарная, проверить, как реализовано шифрование, нет даже теоретической возможности. Да, миллион глаз не гарантия, но этот миллион хотя бы хоть как-то смотрит на открытый код, в отличие от проприетарного 2) Реализация SED в консумерских накопителях не лочит их во время перезагрузки или ухода в спящий режим
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #71

68. Сообщение от User (??), 17-Янв-25, 17:36	+1 +/–
> а зачем что-либо расшифровывать, если на включенной машине (сервере вашем в ЦОД) > они и так расшифрованы? Ну да. Расшифрованы. А доступ к этому второму снизу в восьмой стойке серверу с расшифрованными данными чтобы их прочитать у вас есть?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54 Ответы: #73

70. Сообщение от Аноним (28), 17-Янв-25, 17:44	+/–
> А у мимокрокодила - есть, ему вот физический доступ и вот это всё. Ну или через какой астрал подключаться... Читайте внимательно о чем новость и какой случай рассматривается. Все, что вы описали "Прихожу, значит, с паспортом в ЦОД", противоречит этому - "Модель нарушителя у нас такая - физический доступ у него есть". А случай "а программного - не-а." - зависит от того, включена система или нет. Если система включена и работает, то в ней все данные уже расшифрованы и пытаться обходить тут шифрование - незачем, ибо необходимо использовать иные методы получения информации из работающей системы, куда порой легкие методы (жидкий азот даже не нужен). А вот в случае если система выключена, тогда используем метод описанный в новости.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65 Ответы: #72

71. Сообщение от Аноним (28), 17-Янв-25, 17:52	+/–
> Прошивка накопителя проприетарная, проверить, как реализовано шифрование, нет даже теоретической возможности. Для этого есть программы криптографической валидации, ссылки выше. Там точно укажут какая версия харда и софта (прошивки) валидировалась.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67

72. Сообщение от User (??), 17-Янв-25, 17:55	–1 +/–
>> А у мимокрокодила - есть, ему вот физический доступ и вот это всё. Ну или через какой астрал подключаться... > Читайте внимательно о чем новость и какой случай рассматривается. Все, что вы > описали "Прихожу, значит, с паспортом в ЦОД", противоречит этому - "Модель > нарушителя у нас такая - физический доступ у него есть". > А случай "а программного - не-а." - зависит от того, включена система > или нет. Если система включена и работает, то в ней все > данные уже расшифрованы и пытаться обходить тут шифрование - незачем, ибо > необходимо использовать иные методы получения информации из работающей системы, куда порой > легкие методы (жидкий азот даже не нужен). А вот в случае > если система выключена, тогда используем метод описанный в новости. Не, ну если хотите - можете в тот цод с паспортом и жидким азотом приехать, я не возражаю. Но как будто "выключить систему, после чего задача сведется к первому варианту" - проще.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70 Ответы: #75

73. Сообщение от Аноним (28), 17-Янв-25, 17:58	–3 +/–
> А доступ к этому второму снизу в восьмой стойке серверу с расшифрованными данными чтобы их прочитать у вас есть? А где в новости написано, что его у меня нет и, что атака работает в случае когда физ. доступа нет?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68 Ответы: #74

74. Сообщение от User (??), 17-Янв-25, 18:07	+1 +/–
>> А доступ к этому второму снизу в восьмой стойке серверу с расшифрованными данными чтобы их прочитать у вас есть? > А где в новости написано, что его у меня нет и, что > атака работает в случае когда физ. доступа нет? А если у вас сетевой доступ и пароль админа уже есть - фигли вы все это вот затеяли? Из любви к искусству?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73

75. Сообщение от Аноним (28), 17-Янв-25, 18:19	+/–
> Но как будто "выключить систему, после чего задача сведется к первому варианту" - проще. Нет, не сведется, вы не поняли сути метода """ Возвращение диска в исходный компьютер и загрузка с подменённым корневым разделом. Так как автоматическая разблокировка по ключу из TPM для подменённого раздела завершается неудачей, initrd выводит запрос для ручного ввода пароля. Получение из TPM исходного ключа, используя метаданные о TPM и зашифрованный токен из LUKS-заголовка старого раздела. """
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #72 Ответы: #77

76. Сообщение от Аноним (76), 17-Янв-25, 18:29	+/–
Вспоминает пароль от зашифрованного диска в компе, где (была) настроена учётка, откуда он писал и где была всё разработка... всёж секьюрно. режима "напомнить пароль" нет... а если начнёт писать с другого адреса, то все же заорут "а... обман, царь не настоящий"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

77. Сообщение от User (??), 17-Янв-25, 18:38	+/–
>> Но как будто "выключить систему, после чего задача сведется к первому варианту" - проще. > Нет, не сведется, вы не поняли сути метода > """ > Возвращение диска в исходный компьютер и загрузка с подменённым корневым разделом. Так > как автоматическая разблокировка по ключу из TPM для подменённого раздела завершается > неудачей, initrd выводит запрос для ручного ввода пароля. > Получение из TPM исходного ключа, используя метаданные о TPM и зашифрованный токен > из LUKS-заголовка старого раздела. > """ Да нет, это вы не поняли, что вам пишут. Но если у вас есть стабильно и воспроизводимо в разных окружениях работающий способ извлечения данных из включенного\разблокирвоанного сервера  при наличии физического доступа - можете им поделиться, буду благодарен.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75 Ответы: #88

78. Сообщение от Аноним (78), 17-Янв-25, 19:24	+/–
Идея классная, мне нравится. Можно пойти дальше и запихнуть туда целый дата сервер, благо одноплатников хватает. Или вообще запрятать все это добро в другие укромные места, под потолок в сартире, в картину над ресепшеном. Компактность всей системы позволит даже организовать систему экстренного самоуничтожения, путем помещения всей электроники в капсулу с термитом
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64 Ответы: #81

79. Сообщение от нах. (?), 17-Янв-25, 19:24	–1 +/–
ты же понимаешь, какой ты по счету окажешься с этим кевеме, если что-то у электриков пойдет не по плану? У кого в ЦОДе пи3данула от такого подарка аккумуляторная стойка, залив все нахрен ядовитой жыжей - тот я. (Истино вам говорю - держите, блжд, на крючке за входной дверью 3m'овские противогазы! Но, кстати, настал таки подходящий момент купить контрабандой газовые фильтры, а не только пылевые.)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66

80. Сообщение от нах. (?), 17-Янв-25, 19:28	+1 +/–
> Мы сп..ёрли сервер. (как, это другой вопрос, хоть через маски шоу, хоть если там что-то такое чего ради могут и спереть - ну очевидно же, что ни арендованные ряды в (чужих!) цодах, ни автодешифровка tpm'ом не для вас. Но мои паспорта таджиков и их фоточки - я тебя уверяю, не настолько нужны, чтоб ради них шли на открытый криминал. А вот по тихому стырить с выброшенного но недонесенного до помойки диска - увы, могут. > просто это намёк, для тех кто не хочет делиться своими данными, что > используя эти "странные методы" с авторасшифровкой их не спасёшь от чтения эти методы не для тех данных, о которых ты думаешь. А для просто чтоб мой пароль 23451 не могли на халяву подбирать, получив хэши.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56 Ответы: #85

81. Сообщение от нах. (?), 17-Янв-25, 19:30	+/–
> Идея классная, мне нравится. Можно пойти дальше и запихнуть туда целый дата > сервер, благо одноплатников хватает. Чего вдруг дурацкие одноплатники? В мою дверь нормальная mini-itx плата влезет. С питанием придется что-то думать. > Или вообще запрятать все это добро в другие укромные места, под потолок При грамотном обыске - брюлики находят, а ты какую-то хрень с проводами... А вот чтоб ее сами же и запилили вместе с дверью - отличное решение, принято к исполнению!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #78

83. Сообщение от Нуину (?), 17-Янв-25, 21:48	+1 +/–
https://xkcd.ru/936/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #113

84. Сообщение от aaa (??), 17-Янв-25, 22:55	+/–
А если такой пароль был на приклеенном к ноутбуку листочке, а ноутбук подключался к СОРМ-2 на точке обмена трафиком нескольких провайдеров?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

85. Сообщение от Аноним (85), 17-Янв-25, 23:03	+/–
Тут есть такая фигня.. очень часто те, кто понимают, что эта шифрация фигня - не имею данных для прятать (которые кому либо нужны, кроме них самих). А те кто имеет данные, утекание которых может им стоить дорогого, обычно не копенгагены во всём этом, что связанно с безопасностью в компьютерах...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #80 Ответы: #96

86. Сообщение от Аноним (86), 18-Янв-25, 00:00	–1 +/–
Правильно понимаю, что Убунта не шифрует /boot, хотя в лёгкую могла бы, и это открывает вектор для атаки???
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #107

87. Сообщение от Аноним (-), 18-Янв-25, 01:28	+/–
если держать шифрованные диски на компе без доступа в интернет а раздавать по AoE то очень даже полезно
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

88. Сообщение от Аноним (28), 18-Янв-25, 02:29	+/–
> Но если у вас есть было уже, куда веселее https://www.opennet.ru/opennews/art.shtml?num=59702
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #77 Ответы: #112

89. Сообщение от OpenEcho (?), 18-Янв-25, 03:14	–1 +/–
Не по современному как то... надо с супер секретиком https://www.thisiswhyimbroke.com/flip-up-keyboard-organizer/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

90. Сообщение от Аноньимъ (ok), 18-Янв-25, 05:10	+/–
А можно поподробнее? То-есть, то, что я свои ключи на ноут поставил - все-равно оставляет производителю возможность загрузить бяку?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #99, #109

91. Сообщение от Аноньимъ (ok), 18-Янв-25, 05:13	+/–
> для ноута логично и осмысленно НЕ использовать технологии, позволяющие не вводить пароль или хотя бы пин от него. Вот только они повсюду рекламируются )) И все их спешат задействовать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52 Ответы: #94

92. Сообщение от ИмяХ (ok), 18-Янв-25, 05:19	–1 +/–
>>Метод основывается на том, что атакующий может заменить существующий корневой шифрованный раздел на собственный зашифрованный раздел, созданный с тем же UUID-идентификатором и известными атакующему ключами расшифровки. Чтобы взломать пароль, надо ввести пароль.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #97

93. Сообщение от Аноним (93), 18-Янв-25, 07:19	+1 +/–
Что, все полторы тыщи стоек будешь кэвээмить? А ты, смотрю, герой! Нам такие самоотверженные нужны.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66 Ответы: #95

94. Сообщение от нах. (?), 18-Янв-25, 09:14	+/–
windows hyйло - это не "не вводить пароль", а просто другая форма пароля. По задумке более стойкая к подглядыванию, а не то что ты подумал. Хотя за их способ использования пинов - надо их конечно было убивать пока были маленькие. Тут даже то что пин нельзя долго подбирать не поможет. Эх... где мой 2006й и T60, которому просто показываешь средний палец (и нет, скан не хранился в папочке "кортиночки" для всех любопытных) и работаешь... Утеряная магия Древних.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #91 Ответы: #103

95. Сообщение от нах. (?), 18-Янв-25, 09:17	+/–
> Что, все полторы тыщи стоек будешь кэвээмить? А ты, смотрю, герой! Нам > такие самоотверженные нужны. так-то пин вводить даже если есть куда - в таком варианте вообще не айс. Но я предполагаю вариант попроще - стоек парочка, арендованных, и пина в них требует один может быть даже сервер. У тебя. А у остальных 300 арендаторов в этом же зале - тоже по одному. Когда до тебя дойдет очередь на тот несчастный квм? Помнится у добропорядочных немцев я его ждал примерно пять часов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #93

96. Сообщение от нах. (?), 18-Янв-25, 09:25	–1 +/–
> Тут есть такая фигня.. очень часто те, кто понимают, что эта шифрация > фигня - не имею данных для прятать (которые кому либо нужны, > кроме них самих). А те кто имеет данные, утекание которых может > им стоить дорогого, обычно не копенгагены во всём этом, что связанно > с безопасностью в компьютерах... теоретически - они должны бы были нанять тех, кто копенгаген, и раз данные ценные - неплохо тем приплачивать. А практически согласно требованиям центробанка - у меня пароль примерно 23451 (наняли разумеется совиков - сыновей очень важных людей, эти самые требования из пальца высасывать). Потому что его надо менять раз в две недели, ну и прочий миллион бредовых требований. Разумеется, никто не может ни запомнить, ни хотя бы набрать с одной попытки без ошибок нормальный пароль, этим требованиям соответствующий и каждый день новый. Про что там у нас вместо убиквити (запрещенной враждебной технологии) - я лучше не буду, а то уволют.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #85

97. Сообщение от нах. (?), 18-Янв-25, 09:30	+2 +/–
>>>Метод основывается на том, что атакующий может заменить существующий корневой шифрованный раздел на собственный зашифрованный раздел, созданный с тем же UUID-идентификатором и известными атакующему ключами расшифровки. > Чтобы взломать пароль, надо ввести пароль. чтобы взломать _чужой_ - достаточно ввести - _свой_. После чего tpm радостно отдаст тебе чужой ключ. (отдельный вопрос конечно - нахрена же ж он вообще извлекаем в принципе) Квалификация-с местной публики... даже инструкцию из трех пунктов на русском не могут прочитать и понять с первого раза.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #92 Ответы: #122

98. Сообщение от Аноним (98), 18-Янв-25, 09:52	+1 +/–
Где инструкция как и каким программатором перепрошить ключ Intel Boot Guard (BG)?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60 Ответы: #108

99. Сообщение от Аноним (98), 18-Янв-25, 10:03	+/–
В некоторых производителей есть ключ Boot Guard (BG) защищающий UEFI с ключами Secure Boot (SB). Вы наверно поставили ключ SB который верифицирует загрузчик OS. Насколько мне известно при поддержки BG все производители ноутов его ставят и им верифицирует содержимое UEFI. Возможность загрузить UEFI есть в любом случае. fwupd может устанавливать UEFI от производителя. Если BG включен, то без вашей подписи ключом BG загруженное UEFI и ключи SB работать не будут. Комп не загрузится.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #90 Ответы: #104

103. Сообщение от Аноньимъ (ok), 18-Янв-25, 10:39	+/–
Я о сенсорах отпечатков пальцов и морда айди В англ чата линуксоиды жалуются на проблемы сенсор отпечатков. Мол хочу, секурно же с тпм
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #94 Ответы: #106

104. Сообщение от Аноньимъ (ok), 18-Янв-25, 10:43	+/–
Ну да. Подписал загрузчик. Ноут хп предлагает создать рекавери флешку на случай если потеряю ключи.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #99 Ответы: #111

105. Сообщение от нах. (?), 18-Янв-25, 10:46	+/–
> Не. Проблема возникает примерно на пункте "0" - "Найти гендира с linux'ом > на ноуте" ваще не проблема. Проблема что тот линукс в виртуалочке, а макость ты без его пальца хрен разблокируешь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53

106. Сообщение от нах. (?), 18-Янв-25, 10:48	+/–
> Я о сенсорах отпечатков пальцов и морда айди > В англ чата линуксоиды жалуются на проблемы сенсор отпечатков. Мол хочу, секурно > же с тпм Ну вот казалось бы - можно ж сделать нормально. Но нет. Нормально было в ленове до продажи китайцам. Нет пальца - нет леновы. (Вообще вот ее нет - только замена платы и переформатирование диска.)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #103

107. Сообщение от нах. (?), 18-Янв-25, 10:52	+/–
> Правильно понимаю, что Убунта не шифрует /boot, хотя в лёгкую могла бы, > и это открывает вектор для атаки??? Каким местом ты собрался расшифровывать зашифрованный /boot, интересно спросить? И в каком месте среди перечисленных редхатоидов и никсоса тебе померещилась убунта?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #86

108. Сообщение от Ivan_83 (ok), 18-Янв-25, 11:42	–1 +/–
А сами разбирайтесь :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #98 Ответы: #110

109. Сообщение от Ivan_83 (ok), 18-Янв-25, 11:44	+/–
Да сдался вам этот секуребут, выключите его и не страдайте фигнёй.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #90

110. Сообщение от Аноним (110), 18-Янв-25, 11:48	+1 +/–
В доступной документации написано, что Intel Boot Guard пишется в ROM область IntelME без возможности перезаписи. Если кто знает как его изменить/отключить пишите.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #108 Ответы: #133

111. Сообщение от Аноним (110), 18-Янв-25, 11:51	+/–
Вот загрузчик и защищён SB, наверное, измените и посмотрите. Кроме загрузчика SB ничего не защищает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #104

112. Сообщение от User (??), 18-Янв-25, 11:56	+/–
>> Но если у вас есть > было уже, куда веселее > https://www.opennet.ru/opennews/art.shtml?num=59702 Ну удачно вам походить по dc, поискать вот ЭТО, ага. С жидким азотом чот вероятней, как мне кажется...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #88

113. Сообщение от нах. (?), 18-Янв-25, 14:05	+/–
ЦБ рф считает что это недостаточно сложный пароль и запрещает тебе им пользоваться. Кроме того, через два месяца (когда ты уже четыре раза его поменял, причем разумеется не на предыдущий) ты разумеется нифига не помнишь лошадь там чего и куда.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #83

116. Сообщение от Аноним (116), 18-Янв-25, 15:27	+1 +/–
Это разовое сотрудничество или долгосрочная перспектива?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

117. Сообщение от нах. (?), 18-Янв-25, 16:11	+/–
> «Но зачем?» Сколько нужно дать вашему «админу», чтобы он сам всё вынес > и/или установил аппартный бэкдор «где нужно»? квалифицированному - много. А л0x вчера нанятый младшим отклеивателем стикеров ничего ценного не вынесет, да еще и попадется и тебя сдаст. > А для некоторых организаций эта сумма стремится к $0. значит, у этих подвалов ценного ничего и нет. Вообще. Колченогие табуретки и разбитый ноут "генерального" (вчера из пту выш...сбежал недоучившись на слесаря). За удовольствие ненадолго, на пол-денечка, покрутить денежки, лежащие на счету, считай, подвальных лавочек - не так давно платили вполне себе не ноль. Но... что-то я очень мало слышал таких историй, где денежки со счета даже совсем подвального вдруг сами собой перевелись хорошим ребятам и следов не оставили. Точнее, таких я слышал, но там вместо админа почему-то фигурировал главбух. А если ты такое можешь без помощи главбуха - то ты стоишь вовсе не $0, и, скорее всего, не захочешь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

119. Сообщение от ryoken (ok), 18-Янв-25, 17:57	+/–
> вы каким поисковиком пользовались? startpage.com
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51

120. Сообщение от fingerprinted by freedom (?), 18-Янв-25, 18:06	+/–
TPM + Linux = пароль на листочке, лежащий под клавиатурой.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

121. Сообщение от Аноним (121), 19-Янв-25, 03:40	–2 +/–
Так задача TPM не безопасность поднять, а вендорлокнуть. Ещё в прошлом десятилетии всем стало понятно. Как там в криокамере?
Ответить | Правка | Наверх | Cообщить модератору

122. Сообщение от Аноним (28), 19-Янв-25, 14:58	+/–
> (отдельный вопрос конечно - нахрена же ж он вообще извлекаем в принципе) ключ в ТПМ неизвлекаемый, а ключ от шифрования данных - лежит в заголовке люкса :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #97 Ответы: #123

123. Сообщение от нах. (?), 19-Янв-25, 16:27	+/–
стоп-стоп, это ж - наш ключ. Мы ж его только что подменили, вместе с заголовком и следующей парой гигабайт. By recreating the LUKS partition with a known key (он нам и нахрен не нужон!), we can confuse the initrd into executing a malicious init executable. (Ну ок, хотя тут вопросики уже начинаются) Since the TPM state will not be altered in any way by this fake partition (сх-яли, ключ-то не подошел и его пришлось руками вводить), the original LUKS key can be unsealed from the TPM. Вот что за нах и какого хрена последнее-то? The idea behind secure and password-less disk decryption is that the TPM2 can store an additional LUKS key which your system can only retrieve, if the TPM is in a predetermined, known-good state. Короче, там п-ц в головах. Это неизлечимо. Они даже не ключ с диска дешифруют Tpm'ом, а просто заботливо хранят ключ для всех желающих.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #122 Ответы: #124, #125, #126

124. Сообщение от Аноним (28), 19-Янв-25, 18:56	+/–
> Вот что за нах и какого хрена последнее-то? "the original LUKS key can be unsealed from the TPM" - он в виде токена хранится в метаданных люкса, и помимо его в заголовке люкса хранится сам непосредственно ключ шифрования данных (secondary key), который зашифрован ключом в токене, который надо расшифровать скормив этот токен TPM-у (ниже пример команд из статьи). > Они даже не ключ с диска дешифруют Tpm'ом, а просто заботливо хранят ключ для всех желающих. """ By quickly skimming the clevis source we find that it stores a JWE token in the LUKS header, which contains an encrypted secondary key to unlock the partition. It also contains some metadata required to have it decrypted by the TPM, like which PCRs have to be used in the TPM context. Back when we inspected the LUKS header, we found the clevis token in slot 0, so let's first extract this token: Clevis would then proceed to extract a JWE token and hand it to clevis-decrypt-tpm2 which decrypts it using the TPM, so we replicate the procedure: # Convert this format into the actual JWE token format localhost:~# jose jwe fmt -i jwe.json -c | tee token.txt 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..5zuFP0kEuqiCh0QL.hNNirkMsfcEWcVKfTFCY3JKNCk0x-8P4svgzkeulNhHnuaOdFQ4YfOCUUX9pkWvonfE2uivS.7DIhyL_ZNocrUHTPr1PQWg # Use the clevis-decrypt-tpm2 script to decrypt it with the TPM2 localhost:~# cat token.txt | tr -d '\n' | clevis-decrypt-tpm2 4yurbtxybpBwHBi2O2Kea1vDmhjDRt6yudAKYXinsiI3EUSjwYhwZA """ Вот ссылка на сам скрипт извлекателя. https://raw.githubusercontent.com/latchset/clevis/0839ee294a... > Короче, там п-ц в головах. Это неизлечимо. https://man.archlinux.org/man/systemd-cryptenroll.1 """ --tpm2-seal-key-handle=HANDLE Configures which parent key to use for sealing, using the TPM handle (index) of the key. This is used to "seal" (encrypt) a secret and must be used later to "unseal" (decrypt) the secret. Expects a hexadecimal 32bit integer, optionally prefixed with "0x". Allowable values are any handle index in the persistent ("0x81000000"-"0x81ffffff") or transient ("0x80000000"-"0x80ffffff") ranges. Since transient handles are lost after a TPM reset, and may be flushed during TPM context switching, they should not be used except for very specific use cases, e.g. testing. The default is the Storage Root Key (SRK) handle index "0x81000001". A value of 0 will use the default. For the SRK handle, a new key will be created and stored in the TPM if one does not already exist; for any other handle, the key must already exist in the TPM at the specified handle index. This should not be changed unless you know what you are doing. Added in version 255. """
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #123

125. Сообщение от Аноним (28), 19-Янв-25, 19:05	+/–
добавочка: --tpm2-seal-key-handle=HANDLE "parent key" (SRK) - вот этот ключ не извлекаем.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #123

126. Сообщение от Аноним (28), 19-Янв-25, 19:12	+1 +/–
> нахрена же ж он вообще извлекаем в принципе И собственно ответ: ключ извлекаем, то есть как мы поняли, требующийся дешифровки на устройстве TPM, первичный (КЕК, мастер-ключ) ключ LUKS-а, который необходим для дешифровки уже на CPU, вторичного ключа LUKS-а, ключа шифрования данных, потому-что это механизм автоматической разблокировки (расшифровки) шифрованного раздела, для которого необходимы все эти ключи.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #123 Ответы: #127

127. Сообщение от нах. (?), 19-Янв-25, 19:44	+/–
там надо было как минимум сбрасывать состояние в момент когда с ключом что-то явно пошло не так (понадобилось бы модифицировать как минимум initrd, чтобы и это обойти, что уже может оказаться слишком сложно - он подписан). Этого, как я понимаю, и нету. Но как минимум вторая претензия снимается - тут "промтом переводили", действительно tpm'ом расшифровывается ключ люкса, а не хранится в tpm. Ну ок, не все так печально как могло бы быть, но все равно как-то не айс.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #126 Ответы: #128

128. Сообщение от Аноним (28), 19-Янв-25, 22:32	+/–
> там надо было как минимум сбрасывать состояние в момент когда с ключом что-то явно пошло не так Так это нормальный механизм со стороны initrd, запросить ручного ввода ключа, фолбек своего рода, мало ли что TPM перегрелся и не работает. Тут надо сделать так, чтобы initrd как-то понимал (был привязан) "родной" шифрованный раздел. А сделать это безопасно можно только через TMP (запихнуть какую-нибудь инфу о разделе в PCR регистры), но мы же выше говорим, что у нас TPM "перегрелся", тогда откуда эту инфу получить в итоге? И получается фолбек дает нам возможность вручную ввести ключ расшифровки, но при этом initrd не сможет верифицировать расшифрованный раздел. Вот тут и вся фишка с подменой раздела. Отсюда думаю, раз систему явно сконфигурировали на использования TPM, то никакого фолбека быть не должно, и должна быть верифицируема привязка ключа в TPM к шифрованному разделу. > действительно tpm'ом расшифровывается ключ люкса, а не хранится в tpm. поэтому и нужно запустить свой инит, чтобы получить доступ к самому TPM. > Ну ок, не все так печально как могло бы быть, но все равно как-то не айс. Я вообще не понимаю зачем, в заголовке хранить второй ключ (никакая инфа о ключе, ни даже хеш, не должна быть доступна атакующему)? Тупо сырые шифрованные данные должны быть, и никакой инфы, правильным ли ключом расшифровали или нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #127 Ответы: #129

129. Сообщение от нах. (?), 20-Янв-25, 00:03	+/–
> Так это нормальный механизм со стороны initrd, запросить ручного ввода ключа, фолбек > своего рода, мало ли что TPM перегрелся и не работает. вот тут надо было сбросить регистры (не работает - хрен с ним, но хотя бы попытаться). Т.е. просто вывести tpm из состояния когда он согласен что-то дешифровывать - все, мы стартуем с вручную введенным паролем, значит система ненадежна. Хз почему это не сделано. > Я вообще не понимаю зачем, в заголовке хранить второй ключ так устроен luks. Что в общем логично, где ж его еще хранить. Твой пароль - это НЕ ключ. (во-первых, сам ключ ты немного подза...шься набирать, во-вторых он bit aligned, в-третьих при про..бе пароля или отказе вон tpm ты все же наверное хочешь иметь какой-то запасной вариант) Попутно это позволяет иметь запасной пароль или поменять засвеченный существующий, не перешифровывая заново все терабайты - очень так себе процедура, поскольку адски долгая да еще и при сбое можно ненароком лишиться пула. Там аж 8 слотов для разными способами позашифрованного ключа. (tpm'ом в качестве мастер-ключа воспользоваться не получится, потому что его производительность никакая)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #128 Ответы: #130

130. Сообщение от Аноним (130), 20-Янв-25, 13:17	+/–
> так устроен luks. Что в общем логично, где ж его еще хранить. Твой пароль - это НЕ ключ. Хранить на внешнем носителе (бумаге, сейфе, юсб и т.д.), зачем давать атакующему инфу о ключе (даже пусть и зашифрованному). А в случае с паролем, ясно что не ключ, но можно через всякие KDF функции пропускать, при соблюдении длины пароля (в битах, 32 символа пароля поди пробрутфорсь) > Попутно это позволяет иметь запасной пароль или поменять засвеченный существующий, > Там аж 8 слотов для разными способами позашифрованного ключа. А это вообще маразм, помимо того, что дали инфу о ключе (зашифровав и храня на носителе основной ключ шифрования данных), мы еще этот ключ (ключ шифрования данных) пошифровали разными ключами, и тем самым дали дополнительной инфы криптоаналитику. > (tpm'ом в качестве мастер-ключа воспользоваться не получится, потому что его производительность никакая) ну эт понятно, он не для этого предназначен. пс: LUKS, по мне, лучше не использовать в серьезных целях. А первый блок на дисках всегда должен содержать случайные данные.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #129 Ответы: #131

131. Сообщение от нах. (?), 20-Янв-25, 16:45	+/–
> Хранить на внешнем носителе Вводить-то ты его как собрался? Бегать с внешним носителем? Руками битовые ключи набирать - такое себе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #130 Ответы: #132

132. Сообщение от Аноним (130), 20-Янв-25, 16:57	+/–
BadUSB в помощь :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #131

133. Сообщение от Аноним (133), 21-Янв-25, 19:18	+/–
Чем-то напомнило документацию, согласно которой идентификаторы мобилы должны записываться без возможности перезаписи. Но сименс вертела требования и ставила обычную в некоторые свои мобилы( потому что той памяти у них дофига было и кто будет проверять ? ). Их потом ещё долго даже бу-шные искали и весьма за дорого
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #110

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема