Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#26  2019-10-09 19:07:41

  blind - Użytkownik

blind
Użytkownik
Skąd: Olsztyn
Zarejestrowany: 2011-10-19

Re: FDE Full-Disk Encryption podczas instalacji

W sumie też mam dysk podzielony na dwie części - niezaszyfrowany /boot oraz zaszyfrowany wolumin LVM main-vault_crypt na którym znajdują się wszystkie inne partycje.

Kod:

NAME                     MAJ:MIN RM   SIZE RO TYPE  MOUNTPOINT
sda                        8:0    0 298,1G  0 disk  
└─sda1                     8:1    0 298,1G  0 part  
  └─md0                    9:0    0   298G  0 raid1 
    ├─main-vault         253:0    0   297G  0 lvm   
    │ └─main-vault_crypt 253:1    0   297G  0 crypt 
    │   ├─system-root    253:2    0   4,8G  0 lvm   /
    │   ├─system-home    253:3    0 238,4G  0 lvm   /home
    │   ├─system-usr     253:4    0  23,9G  0 lvm   /usr
    │   ├─system-var     253:5    0   9,5G  0 lvm   /var
    │   ├─system-log     253:6    0   2,4G  0 lvm   /var/log
    │   ├─system-tmp     253:7    0   9,5G  0 lvm   /tmp
    │   └─system-swap    253:8    0   8,5G  0 lvm   [SWAP]
    └─main-boot          253:9    0   976M  0 lvm   /boot

"Po drugie: w to co robisz uwierz i włóż w to serce."

Offline

 

#27  2019-10-09 19:09:28

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: FDE Full-Disk Encryption podczas instalacji

Długość nie ma znaczenia.... xD


To może zacytuję tę wiki, której nikt nie chce czytać:

First, passphrase length is not really the right measure, passphrase
entropy is.  For example, a random lowercase letter (a-z) gives you
4.7 bit of entropy, one element of a-z0-9 gives you 5.2 bits of
entropy, an element of a-zA-Z0-9 gives you 5.9 bits and
a-zA-Z0-9!@#$%^&:-+ gives you 6.2 bits.  On the other hand, a random
English word only gives you 0.6...1.3 bits of entropy per character.
Using sentences that make sense gives lower entropy, series of random
words gives higher entropy.  Do not use sentences that can be tied to
you or found on your computer.  This type of attack is done routinely
today.
That said, it does not matter too much what scheme you use, but it
does matter how much entropy your passphrase contains, because an
attacker has to try on average
    1/2 * 2^(bits of entropy in passphrase)
different passphrases to guess correctly.
Historically, estimations tended to use computing time estimates, but
more modern approaches try to estimate cost of guessing a passphrase.
As an example, I will try to get an estimate from the numbers in
https://gist.github.com/epixoip/a83d38f412b4737e99bbef804a270c40
This thing costs 23kUSD and does 68Ghashes/sec for SHA1.
This is in 2017.
Incidentally, my older calculation for a machine around 1000 times slower
was off by a factor of about 1000, but in the right direction, i.e.
I estimated the attack to be too easy. Nobody noticed ;-)
On the plus side, the tables are now (2017) pretty much accurate.
More references can be found a the end of this document.  Note that
these are estimates from the defender side, so assuming something is
easier than it actually is is fine.  An attacker may still have
significantly higher cost than estimated here.
LUKS uses SHA1 for hashing per default.  We will leave aside the check
whether a try actually decrypts a key-slot.  I will assume a useful
lifetime of the hardware of 2 years.  (This is on the low
side.) Disregarding downtime, the machine can then break
     N = 68*10^9 * 3600 * 24 * 365 * 2 ~ 4*10^18
passphrases for EUR/USD 23k. That is one 62 bit passphrase hashed
once with SHA1 for EUR/USD 23k.  Note that as this can be
parallelized, it can be done faster than 2 years with several of
these machines.
For plain dm-crypt (no hash iteration) this is it. This gives (with
SHA1, plain dm-crypt default is ripemd160 which seems to be slightly
slower than SHA1):
    Passphrase entropy  Cost to break
    60 bit              EUR/USD     6k
    65 bit              EUR/USD   200K
    70 bit              EUR/USD     6M
    75 bit              EUR/USD   200M
    80 bit              EUR/USD     6B
    85 bit              EUR/USD   200B
    ...                      ...
For LUKS, you have to take into account hash iteration in PBKDF2.
For a current CPU, there are about 100k iterations (as can be queried
with ''cryptsetup luksDump''.
The table above then becomes:
    Passphrase entropy  Cost to break
    50 bit              EUR/USD   600k
    55 bit              EUR/USD    20M
    60 bit              EUR/USD   600M
    65 bit              EUR/USD    20B
    70 bit              EUR/USD   600B
    75 bit              EUR/USD    20T
    ...                      ...
Recommendation:
To get reasonable security for the  next 10 years, it is a good idea
to overestimate by a factor of at least 1000.
Then there is the question of how much the attacker is willing to
spend.  That is up to your own security evaluation.  For general use,
I will assume the attacker is willing to spend up to 1 million
EUR/USD.  Then we get the following recommendations:
Plain dm-crypt: Use > 80 bit. That is e.g. 17 random chars from a-z
or a random English sentence of > 135 characters length.
LUKS: Use > 65 bit. That is e.g. 14 random chars from a-z or a random
English sentence of > 108 characters length.
If paranoid, add at least 20 bit. That is roughly four additional
characters for random passphrases and roughly 32 characters for a
random English sentence.
-- https://gitlab.com/cryptsetup/cryptsetup/wikis/Freq … skedQuestions

Z tego wychodzi, że obecnie (2017) jeśli atakujący dysponuje budżetem 1mln dolców (to nie jest jakoś specjalnie dużo w dobie wirtualnego pieniądza), to nasze hasełko musi mieć minimum 70bitów entropii, by się mięć szansę oprzeć temu komuś. Nawet jeśli masz długie hasło, to ono może mieć sporo mniej niż te 70 bitów — dla przykładu ja mam hasło 36 znaków i jego entropia to 96 bitów. No to jest trochę więcej niż te zalecane na obecne czasy 70 bitów ale przeciętny człowiek by był święcie przekonany, że to 36 znakowe hasło jest dość mocne, a jak widać, to tak średnio wychodzi, a za parę lat to mi je złamią bez problemu. xD Tzn. złamali by je, gdyby nie argon2.

Offline

 

#28  2019-10-09 19:20:40

  hi - Użytkownik

hi
Użytkownik
Zarejestrowany: 2016-03-24

Re: FDE Full-Disk Encryption podczas instalacji

morfk to tylko teorie wypisywane w wiki, zupełnie inaczej wygląda łamanie takiego dyzia no nie oszukujmy się

btw. smartfon (nie szyfrowany, ale i tak piękny film :)
https://www.youtube.com/watch?v=H9XjUsw-shM&feature=youtu.be

Ostatnio edytowany przez hi (2019-10-09 19:28:28)


"Jeśli wolność słowa w ogóle coś oznacza, to oznacza prawo do mówienia ludziom tego, czego nie chcą słyszeć."
Eric Arthur Blair

Offline

 

#29  2019-10-09 19:30:04

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: FDE Full-Disk Encryption podczas instalacji

To nie są teorie -- to jest matematyka, a matematyka jest wredna. xD

A wiecie ile entropii ma hasło składające się ze 100 literek "a"? 8,64. xD

Ostatnio edytowany przez morfik (2019-10-09 19:34:09)

Offline

 

#30  2019-10-09 19:41:58

  hi - Użytkownik

hi
Użytkownik
Zarejestrowany: 2016-03-24

Re: FDE Full-Disk Encryption podczas instalacji

tak tak Artur Ekert łamie wszystko kryptografią kwantową, tylko pokaż mi ten sprzęt. Chapeau bas dla gościa ale dzisiejsza milicja ze swoimi biegłymi nie dysponuje i nie będzie dysponować takimi środkami przez dekady, takie zabawki mają mocarstwa podobno NSA ma jakiś kwanciak z 53 kubitami, to jest bardzo prymitywne jeszcze, aczkolwiek za naszego życia może powstać coś co w końcu złamie krzem na dwójkach i wtedy kryptografia kwantowa będzie miała pole do popisu aby nas na powrót ochronić przed wścibskimi łapskami korporządów :)

A wiecie ile entropii ma hasło składające się ze 100 literek "a"? 8,64. xD

nigdy nie byłem dobry z matmy, co śmieszne zawsze rozwalałem swoją nauczycielkę w szachy, z logiką od strony lingwistycznej nie miałem problemów aczkolwiek to bardzo trudna i wkurwiająca dziedzina przykładowo na poziomie prawniczym/śledczym:
https://pl.wikibooks.org/wiki/Logika_dla_prawnik%C3%B3w

Ostatnio edytowany przez hi (2019-10-09 19:55:44)


"Jeśli wolność słowa w ogóle coś oznacza, to oznacza prawo do mówienia ludziom tego, czego nie chcą słyszeć."
Eric Arthur Blair

Offline

 

#31  2019-10-09 20:15:01

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: FDE Full-Disk Encryption podczas instalacji

hi napisał(-a):

tak tak Artur Ekert łamie wszystko kryptografią kwantową,

Co robi?

hi napisał(-a):

tylko pokaż mi ten sprzęt.

No goście od cryptsetup już dali linka — o tu masz: https://gist.github.com/epixoip/a83d38f412b4737e99bbef804a270c40 — kosztuje 23K dolców...

Offline

 

#32  2019-10-09 20:36:38

  hi - Użytkownik

hi
Użytkownik
Zarejestrowany: 2016-03-24

Re: FDE Full-Disk Encryption podczas instalacji

pisałem o kryptografii kwantowej
https://pl.wikipedia.org/wiki/Kryptologia_kwantowa

Artur Ekert
https://pl.wikipedia.org/wiki/Artur_Ekert

co do sznurka to racja dzisiejsze gpu potrafią łamać 'zapałki' ale cały czas jestem zdania, że dzisiejsza milicja a szczególnie polska milicja gówno potrafi a biegłych bierze z łapanki :)

btw. crackowanie przykładowo takiego LUKSa na krzemie to wieki:

Kod:

nikt@debian:~$ pwgen -y -n -s 60
Yk9m_4"uDM[`5LXJ2FnPfN*(j<F0`HG>y5')?AL\%'xF&s)@c}|2cG*l)0${

i nawet reklama czipów nvidi nie da rady :)

morfik dawaj wyślij im niech złamią to na tych swoich krzemowych nvidiach:

Kod:

w~doEh^_gDm(^;@bU*nm3F[WB2g`2e0W2B$L4JJ7p^SfQwl5{s(8;aUPiO?5'/JK),O(}XV,5#VhYMwl;6m"&po./-#vJ+sufnEpn4>a@75@(FROcG*PZkQF

albo to

Kod:

!XAFtHO+!@i+*3?Tb;"rM/oPjSMSsw9q<0-T=t~Qtw>BplH_'[<2@'.{R/L;QdF@'|8|p;}'=K7ir%8"MoI(Lk3U/[Aj"jPshp|M_EH|uI$>P!X+((aI./kFP\.iy=jVvdA\$7iwGd/`(`kP(+G|3(a!{H+t|:<.N:\R'O&99Bp.K4P\O4\)OxD',0Lr|O7wGQ]1]gk.

lepiej niech ich zasponsoruje jakaś elektrownia miejska dostarczająca prąd do klimy bo chłopaki się spocą przy wyliczaniu entropii :)

Ostatnio edytowany przez hi (2019-10-09 21:13:58)


"Jeśli wolność słowa w ogóle coś oznacza, to oznacza prawo do mówienia ludziom tego, czego nie chcą słyszeć."
Eric Arthur Blair

Offline

 

#33  2019-10-09 22:38:51

  robert93 - Użytkownik

robert93
Użytkownik
Zarejestrowany: 2019-10-07

Re: FDE Full-Disk Encryption podczas instalacji

Ciekawe z ilu symbolow (nie slow) powinno sie skladac haslo przy szyfrowaniu LUKS aby nie bylo mozliwe do odzszyfrowania w przeciagu powiedzmy 20 lat przy budzecie 10M $?
Czy znacie jakis wiarygodny ~~ kalkulator ?

Ostatnio edytowany przez robert93 (2019-10-09 22:40:00)

Offline

 

#34  2019-10-09 23:34:38

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: FDE Full-Disk Encryption podczas instalacji

Z około 20 znaków, byle to nie było aaaaaa. xD Np. 4MDqt6kaC4QDXHfR ma 92,4 bita entropii, a to tylko 16 znaków i po co komu 36 znaków? xD

Co ciekawe, losowe hasło typu:
3/m4<g}=nV].3Rob("Aa9hpvzR^,dmUe'.G!
ma 211 bitów entropii, a to poniższe
qVjW5wLkdU98Bo5voAcirgEgtjCJa6EnCNgQ
198 bitów

Oba mają 36 znaków -- jak widać, czasami komplikowanie haseł jest pozbawione sensu. xD

No i weź pod uwagę, że z LUKSv2, hasło nie musi być już długie.

Ostatnio edytowany przez morfik (2019-10-09 23:55:30)

Offline

 

#35  2019-10-09 23:46:10

  hi - Użytkownik

hi
Użytkownik
Zarejestrowany: 2016-03-24

Re: FDE Full-Disk Encryption podczas instalacji

morfik podejrzewam, że nasza rodzima milicja z biegłym z łapanki nie ogarnęłaby haseła 'hackme' przy prawidłowo zapiętym dyziu dm-crypt-em :)

Ostatnio edytowany przez hi (2019-10-09 23:46:28)


"Jeśli wolność słowa w ogóle coś oznacza, to oznacza prawo do mówienia ludziom tego, czego nie chcą słyszeć."
Eric Arthur Blair

Offline

 

#36  2019-10-09 23:53:04

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: FDE Full-Disk Encryption podczas instalacji

Ale rażenie prądem po jajach w kiblu już ogarniają. xD

Offline

 

#37  2019-10-11 02:48:27

  robert93 - Użytkownik

robert93
Użytkownik
Zarejestrowany: 2019-10-07

Re: FDE Full-Disk Encryption podczas instalacji

morfik napisał(-a):

No ale ja nie wiem co veracrypt pod windowsem gwarantuje — mógłbyś wyjaśnić? xD

Zgodnie z tym co piszą tutaj[1]. to grub oferuje chyba dokładnie ten sam poziom, z tym, że ograniczony jedynie do LUKS v1.  Ja jakiś czas temu opracowałem o wiele lepszy mechanizm bezpieczeństwa[2], bo wyprowadziłem całą partycję /boot/ wraz z nagłówkami zaszyfrowanych partycji poza dysk główny — do zaszyfrowanego telefonu. W ten sposób nie ma możliwości nawet poznać, że dysk jest zaszyfrowany, a już nie wspominając o możliwości jego zdeszyfrowaniu. To się przydaje, gdy chcesz pojechać za granice i obawiasz się, że będą ci chcieli kompa przeszukać. xD Także ośmieliłbym się powiedzieć, że cryptsetup jest lepszy od veracrypt. xD

[1]: https://www.veracrypt.fr/en/Encryption%20Scheme.html
[2]: https://gist.github.com/morfikov/0bd574817143d0239c5a0e1259613b7d

Jesli chodzi o ten tutorial do telefonu, to czy mozna by zrobic podobnie ale na niezaszyfrowanym pendrivie?
Wtedy powiedzmy wychodzisz z hotelu z pendrivem w kieszeni nie martwiac sie ,ze ktos podmieni /boota :)

pzdr

Offline

 

#38  2019-10-11 03:55:39

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: FDE Full-Disk Encryption podczas instalacji

No możesz sobie wgrać taki obraz partycji /boot/ z dysku od kompa bezpośrednio na pena i z niego odpalać -- to jest dokładnie to samo, co w przypadku telefonu, tylko tam był obraz /boot/ przechowywany w pliku w obrębie zaszyfrowanego systemu plików w telefonie, a w przypadku pendrive masz obraz wgrany bezpośrednio na urządzenie. To tak samo jakbyś sobie wgrał bootloader na pendrive przy instalacji systemu zamiast na główny dysk -- nie trzeba się bawić w późniejsze kopiowanie. A jak już sobie wgrasz bootloader na pendrive, to wystarczy jedynie przenieść nagłówki LUKS i tyle. xD

Offline

 

#39  2019-10-11 22:13:42

  robert93 - Użytkownik

robert93
Użytkownik
Zarejestrowany: 2019-10-07

Re: FDE Full-Disk Encryption podczas instalacji

morfik napisał(-a):

No możesz sobie wgrać taki obraz partycji /boot/ z dysku od kompa bezpośrednio na pena i z niego odpalać — to jest dokładnie to samo, co w przypadku telefonu, tylko tam był obraz /boot/ przechowywany w pliku w obrębie zaszyfrowanego systemu plików w telefonie, a w przypadku pendrive masz obraz wgrany bezpośrednio na urządzenie. To tak samo jakbyś sobie wgrał bootloader na pendrive przy instalacji systemu zamiast na główny dysk — nie trzeba się bawić w późniejsze kopiowanie. A jak już sobie wgrasz bootloader na pendrive, to wystarczy jedynie przenieść nagłówki LUKS i tyle. xD

Wszystko fajnie, lecz przydalaby sie instrukcja dla ludzi , ktorzy potrafia tylko wklepac komende w terminal.
Lub podprowadzenie za raczke  :)

p.s.
Dzieki za poprzednie podpowiedzi
Jak na razie problem hasla mamy rozwiany/rozwiazany :)

Offline

 

#40  2019-10-11 22:56:13

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: FDE Full-Disk Encryption podczas instalacji

No jak stawiasz sobie system od nowa, to robisz partycje na pendrive i montujesz ją jako /boot/ i instalujesz bootloader na pendrive -- to tak najprościej. Jak masz już system gotowy, to sobie robisz partycje na penie o takim samym rozmiarze co ta aktualna /boot/ i przy pomocy dd kopiujesz partycje z dysku na pena. Potem instalujesz bootloader na penie i tyle. xD

A i jeszcze tak odnośnie tego wklepywania poleceń w terminal -- jak nie nauczysz się tego co potrzeba, to za pare dni/tygodni założysz wątek typu "nie mogę odszyfrować dysku" i zwykle w takiej sytuacji nic się nie da zrobić. xD

Ostatnio edytowany przez morfik (2019-10-11 22:57:59)

Offline

 

#41  2019-10-12 01:40:55

  robert93 - Użytkownik

robert93
Użytkownik
Zarejestrowany: 2019-10-07

Re: FDE Full-Disk Encryption podczas instalacji

morfik napisał(-a):

No jak stawiasz sobie system od nowa, to robisz partycje na pendrive i montujesz ją jako /boot/ i instalujesz bootloader na pendrive — to tak najprościej. Jak masz już system gotowy, to sobie robisz partycje na penie o takim samym rozmiarze co ta aktualna /boot/ i przy pomocy dd kopiujesz partycje z dysku na pena. Potem instalujesz bootloader na penie i tyle. xD

A i jeszcze tak odnośnie tego wklepywania poleceń w terminal — jak nie nauczysz się tego co potrzeba, to za pare dni/tygodni założysz wątek typu "nie mogę odszyfrować dysku" i zwykle w takiej sytuacji nic się nie da zrobić. xD

Wiec stawiam system od nowa
https://i.imgur.com/5UIGr5F.png

I teraz w tym kroku instaluje gruba na pendrivie ADATA
I cos jeszcze trzeba zrobic?

Ostatnio edytowany przez robert93 (2019-10-12 01:41:36)

Offline

 

#42  2019-10-12 02:42:37

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: FDE Full-Disk Encryption podczas instalacji

Wcześniej zamontowałeś partycje pena jako /boot/ ? Jak tak, to instalujesz już tylko grub'a na sdb i tyle.

Offline

 

#43  2019-10-17 14:33:41

  robert93 - Użytkownik

robert93
Użytkownik
Zarejestrowany: 2019-10-07

Re: FDE Full-Disk Encryption podczas instalacji

morfik napisał(-a):

Wcześniej zamontowałeś partycje pena jako /boot/ ? Jak tak, to instalujesz już tylko grub'a na sdb i tyle.

dzieki za pomoc morfik

Ostatnio edytowany przez robert93 (2019-10-18 11:02:16)

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Nas ludzie lubią po prostu, a nie klikając w przyciski ;-)