5 марта, пятница 19:02
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Недостатки Bitlocker To Go

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Недостатки Bitlocker To Go

    Недостатки Bitlocker To Go:

    1. Заявлен алгоритм AES 128 или 256 (регулируется в GPO). Качество реализации неизвестно?! На Windows 7 нет EAL4.
    2. При создании тома (диска, флешки) генерируется 48-цифровой ключ восстановления, который, видимо, защищается паролем. Так как при смене пароля не происходит перешифрование тома, следовательно, ключ восстановления хранится на том же томе. Нехорошо как-то. Ключ восстановления это и есть симметричный ключ шифрования?
    3. Технология ограничена двумя топовыми версиями Windows 7 Enterprise и Ultimate. Все остальные Windows (7, Vista, XP) имеют только Bitlocker To Go Reader. Полная проприетарщина, никакой кроссплатформенности нет и не будет.

    Вопросы:

    Кто-нибудь в банках использует данную технологию?
    На какие аналоги имеет смысл еще посмотреть?

  • #2
    Кроме TrueCrypt, естественно

    Комментарий


    • #3
      Сообщение от Шауро Евгений Посмотреть сообщение
      1. Заявлен алгоритм AES 128 или 256 (регулируется в GPO). Качество реализации неизвестно?!
      Ууу, это вопрос из серии "какие недостатки у Château Margaux урожая 1956 года?". Вы уверены, что сможете заметить разницу в качестве реализации и оценить, насколько эта разница для вас критична?

      Сообщение от Шауро Евгений Посмотреть сообщение
      На Windows 7 нет EAL4.
      Криптосредлства традиционно не включаются в скоп сертификации по ISO 15408, поэтому уровень доверия ничего не говорит о реализации криптосредств.

      Сообщение от Шауро Евгений Посмотреть сообщение
      2. При создании тома (диска, флешки) генерируется 48-цифровой ключ восстановления, который, видимо, защищается паролем. Так как при смене пароля не происходит перешифрование тома, следовательно, ключ восстановления хранится на том же томе. Нехорошо как-то. Ключ восстановления это и есть симметричный ключ шифрования?
      Насколько я понимаю, это 128-битный ключ, на котором зашифрован пароль доступа к ключу шифрования тома, который хранится в TPM. Смена пароля никак не влияет на хранящийся в TPM ключ шифрования, поэтому смена пароля не приводит к перешифрованию тома.

      Комментарий


      • #4
        Что в мировой практике используется для подтверждения защищенности продукта, использующего криптобиблиотеки? Сюда же аналогия с корректностью встраивания криптосредств. В противном случае я могу усомниться в любом продукте.

        Комментарий


        • #5
          Сообщение от Шауро Евгений Посмотреть сообщение
          Что в мировой практике используется для подтверждения защищенности продукта, использующего криптобиблиотеки? Сюда же аналогия с корректностью встраивания криптосредств. В противном случае я могу усомниться в любом продукте.
          В мировой практике основным поставщиком криптосредств являются американские компании или компании, ориентированные в том числе и на американский рынок. Поэтому де-факто проводится оценка на соответствие FIPS 140, его область действия - защита конфиденциальной информаци, не относящейся к государственной тайне. При этом FIPS ориентирован именно на защищенность и корректность реализации криптомодуля, но не охватывает вопросы криптографической стойкости реализованного алгоритма.

          Работы по анализу стойкости криптоалгоритмов в обязательном порядке засекречиваются. Даже открытой англоязычной публикациях вы обнаружите изъятые цензурой куски, из-за которых теряется самое главное. Поэтому, опять же, провести адекватное сравнение алгоритмов сложно даже людям, професионально занимающимся криптоанализом. Так что на нашем с вами уровне качество (в криптографическом смысле) реализации большинства криптосредств (если ориентироватья на AES-256 или на ГОСТ) одинаково.

          На практике никто не ломает сами криптографические алгоритмы - ломают механизмы управления ключами. В этом смысле битлокер пока нареканий не вызывал.

          Комментарий


          • #6
            Спасибо за наводку по поводу регламентирующего документа.
            Оценка соответствия встраивания криптографии фиксируется каким-нибудь публичным документом? Вопрос не праздный, это вопрос доверия.

            В простом случае мне было бы достаточно сертификата ФСБ на весь продукт.

            Комментарий


            • #7
              Сообщение от Шауро Евгений Посмотреть сообщение
              Спасибо за наводку по поводу регламентирующего документа.
              Оценка соответствия встраивания криптографии фиксируется каким-нибудь публичным документом? Вопрос не праздный, это вопрос доверия.

              В простом случае мне было бы достаточно сертификата ФСБ на весь продукт.
              Вообще-то google вам в руки

              Битлокер для висты сертифицирован по первому уровню FIPS 140-2, сертификаты и ограничения найдете здесь в разделе за 2008 год. Для 2008 Server, как я слышал, тоже, хотя деталей не знаю. Семерка, судя по срокам, еще пока в процйессе сертификации.

              "Просто сертификата" недостаточно ни в случае ФСБ, ни в случае FIPS. В обоих случаях сертификация накладывает ряд ограничений на использование отдельных фич (как обычно, ухудшая юзабилити в помощь безопасности). См.:
              http://technet.microsoft.com/en-us/l...8WS.10%29.aspx
              http://csrc.nist.gov/groups/STM/cmvp...p/140sp947.pdf

              Комментарий

              Обработка...
              X