Вчера взялся установить BitLocker. На компьютере нет ТРМ, в связи с чем установлен ключ на флеш-носитель. При этом то ли я что-то делаю не правильно, то ли так задумано, но возник вопрос:
1. При загрузке просто нужно установить флешку. Но PIN-код не спрашивает, что существенно упрощает взлом. При установке в ТРМ PIN-код спрашивается.
Что я делаю не так или это так задумано?

VladimirB
Если флешка - то она и является ключом, а если ТРМ, то ключ - пин-код.
Фразу про существенное упрощение не понял. :(

Игорь Лейко
Все просто. Отсутствие пин-кода при шифровании в данном случае порождает существенное упрощение способа взлома информации. Почему? Имеем классическую однофакторную аутентификацию, а так как флешка предмет отчуждаемый от ее владельца, тем более файлы оттуда никто не мешает переписать, то наличие флешки в руках злоумышленника является гарантией ключа. Т.е. все сводится к
1. Хищение флешки (информации с флешки)
2. Чтение информации с винта, имея флешку на руках, тем более что пароль на флешке в открытом виде.
Что не понятно?

VladimirB
Непонятно, чем кража флешки существенно проще узнавания пин-кода.

Игорь Лейко
Объясняю. Кража намного проще. Ведь пользователи (проверено) достаточно беспечны. Вставив флешку ее врядли будут вынимать после загрузки. Верно? Увы, да. Человек ушел (курить, простите, в туалет и т.д.) кто мешает его соседу взять флешку и стянуть с нее (переписать) текстовый файл с паролем восстановления, а потом положить ее обратно. Скажете невероятный сценарий? Отнюдь, в моей практике было, увы и не такое.
А для того, чтобы выдать пин код, человека нужно спрашивать, что невольно вызовет настороженность. Да и что я вам объясняю. Фактически в первом случае (флешка) мы имеем классическую однофакторную аутентификацию с помощью отчуждаемого от владельца предмера, а при наличии пин-кода - двухфактиорную (пин+ТРМ микросхема), вторая схема аутентификации является схемой со строгой аутентификацией и по умолчанию значительно строже. Думаю, что в данном случае необходимо было разработчикам висты указать, что для устойчивого шифрования необходима схема с использованием ТРМ, которая является значительно более устойчивой к взлому, чем все остальное. И все! Т.е. резюме таково. Если хотите спать безопасно, покупайте материнские платы с поддержкой ТРМ версии не ниже 1.2
И все.

VladimirB
Scenario 3 provides the procedures to change your computer's Group Policy settings so that you can enable BitLocker Drive Encryption without a TPM, or enable one of the BitLocker advanced startup options: using a TPM with a PIN or using a TPM with a startup key.

Windows BitLocker Drive Encryption Step-by-Step Guide (http://technet2.microsoft.com/WindowsVista/en/library/c61f2a12-8ae6-4957-b031-97b4d762cf311033.mspx?mfr=true)

Vadikan
Там же
To turn on BitLocker Drive Encryption on a computer without a compatible TPM


так что я написал не так???

Я ставлю BitLocker на компьютер не оборудованный ТРМ. И что?

Вывод который я для себя сделал:

Устновка BitLocker на компьютер не оборудованный ТРМ порождает у пользователя чувство ложной защищенности, что куда хуже. Ведь требуется масса внимания. Т.е.:
1. Не хранить флешку (ключ) вместе с ноутбуком
2. Не сохранять на той же флешке пароль в открытом виде (несмотря на предложение сохранить пароль на USB-драйв).

Согласны что флешка сама по себе отчуждаемый от пользователя аутентификатор. Для пользования нею не нужно обладать какими-то дополнительными знаниями (например пин-код).
Т.е. способ аутентификации, основанный лишь на обладании неким предметом не может быть признан усиленным. Это даже не пароль. Следовательно:
1. Ставить BitLocker для систем, которые нуждаются в усиленной защите, нужно лишь при наличии ТРМ версии 1.2 и выше
2. Использовать ТОЛЬКО с Pin-кодом.

VladimirB
На самом деле, не хранить флэшку вместе с ноутбуком нормальное требование. Флэшка - ключ к компьютеру. Ты же не хранишь ключи от квартиры под ковриком? А уж как это поймут люди - дело десятое. От идиота не спасешься все равно.

Vadikan
Увы, годы, проведенные в безопасности, показали что идиотов на самом деле - не просто много, а ОЧЕНЬ много, потому на мой взгляд, в данном случае единственно работоспособное решение (с точки зрения безопасника) - это испльзование псевдо-двухфакторной аутентификации, т.е. ТРМ 1.2 и PIN-код. Почему псевдо? Да потому что ТРМ всегда находится в компьютере.
Наиболее же подходящим решением (правда не знаю, совместим ли с вистой) будет, на мой взгляд, решение, которое сейчас заканчивает фирма Aladdin, т.е. Security Disk NG 4.0
там шифруется весь диск, а ключи - в eToken, причем вынуть их из токена - нельзя. Естественно для доступа к токену нужен пин-код.
Но это, естественно, мое мнение.

VladimirB
Так давно известно, что самое слабое звено в системе безопасности - человек. У нас тут был анекдотический случай, когда работник (или контрактор) одной из крупных больниц купил сумку для лэптопа, а потом передумал и сдал ее в обратно в магазин. Сумка досталась другому покупателю, который с удивлением обнаружил компакт-диск с базой данных личной информации нескольких сотен тысяч пациентов больницы :)

А вообще, после сообщений (http://www.computerworld.com/action/article.do?command=viewArticleBasic&taxonomyName=it_in_government&articleId=279002&taxonomyId=69&intsrc=kc_top) о том, что NSA помогало Microsoft сделать Vista более безопасной, мне с трудом верится в то, что в BitLocker нет черного хода. Разве могут американские спецслужбы позволить случиться такому, что им не удастся расшифровать данные террориста, воспользовавшегося уникальной технологией Vista? :) Ну а раз они не могут, то их ближайшие союзники тоже не могут. Возможно, и российские спецслужбы тоже не могут. А там... глядишь, и утечет чего в сеть... :)

VadikanА вообще, после сообщений о том, что NSA помогало Microsoft сделать Vista более безопасной, мне с трудом верится в то, что в BitLocker нет черного хода.
Вадим, вспомни шум вокруг 98-й и "черного хода" NSAKey. Когда шум немного утих, выяснилось, что этот ключ не для обхода шифрования, а для подключения альтернативных шифрующих модулей.

Игорь Лейко
Угу, вот поймают (вдруг?) спецслужбы Бин Ладена с лэптопом и битлокером и расшифровать не смогут. Вот будет весело всем :)

А NSAKey название вроде меняли же, чтоб не нервировать, видимо. Я, на самом деле, ничего не утверждаю. Я сказал, что "мне с трудом верится".
""

Vadikan
Попроси доступ к исходным кодам (ты же не в России, тебе могут дать) и проверь. ;)
Мне в свое время дали, но потом спохватились и отобрали - я в России. :(

Игорь Лейко
Я в этом все равно не разберусь, а если и разберусь, то должен буду молчать и не только из-за NDА, но и из-за NSA :)

Vadikan
А ведь было уже такое. У нас, в Украине, после подобного случая уже который год не могут разрешить (сертифицировать) Secret Disk NG от Aladdin Security Software
Да и в Италии было, когда ноут террористов не смогли расшифровать полицейские. Там было PGP. Но это уже года 3 назад.