RE: RE: Jak řešíte GDPR?

Tomáš Koželuh mr.death na ipq.cz
Úterý Květen 22 15:16:59 CEST 2018


Klíč se ukládá právě do TPM. Pokud PC nemá TPM, lze uložit na flashdisk, ale
je to další krám a riziko problémů. Šifrování má na starosti Windows, ztráta
výkonu před osmi lety byla okolo 5-10% dle CPU, dneska by to mělo být ještě
míň. Teoreticky s tím může pomáhat právě TPM, to netuším.
Odemykat to jde různě, nejjednodušší varianta je bez odemykání, takže
uživatel musí mít dostatečně silné heslo ve Windows nebo v AD. Navíc v
dnešní době Spectre a Meltdown může hrozit, že se podaří šifrovací klíč
vytáhnout z paměti i u zamčeného PC. Nevím, jak je to dnes, ale BitLocker s
TPM docela dlouho odolával útokům. Jediné riziko bylo u odemčeného PC, klíč
je v paměti a lze ho vyčíst. 
Složitější varianta je nastavení PINu a předpokládám, že kromě PINu lze
nastavit i biometriku nebo karty. Bez zadání PC nenastartuje.
Jakmile se disk přenese, je potřeba systém s podporou odemykání BitLockeru
(Windows 7 Pro a vyšší), normálně se zadá ručně klíč a vše funguje. Klíč je
nutné uložit při šifrování, v AD je to mnohem jednodušší, přes GP se
nastaví, aby s klíč uložili k účtu počítače, respektive přes GP jde nastavit
zcela automaticky zapnutí BitLockeru, funguje to u Windows 7 i 10. Uložení
klíče je zásadní věc, protože stačí instalace nového biosu, aby si to klíč
vyžádalo.
Tuším, že jde zašifrovat i flashdisk, ale netuším, jak je to s
přenositelností mezi PC, jestli jde všechna PC naučit, aby ho automaticky
odemykaly. To jsem nikdy nezkoušel.
A spousta desek bez TPM má na něho konektor, třeba Asus ten konektor má,
jenom pozor, že jsou dvě varianty TPM modulu a nesedí pinově. Modul stojí
pár stovek a možná je zaměnitelný mezi značkami.

> -----Original Message-----
> From: Hw-list [mailto:hw-list-bounces na list.hw.cz] On Behalf Of Petr Simek
> Sent: Tuesday, May 22, 2018 2:23 PM
> To: HW-news
> Subject: Re: RE: Jak řešíte GDPR?
> 
> On Tue, 22 May 2018, Tomáš Koželuh wrote:
> 
> >Ale mimo to existuje jeden rozumný důvod, proč přejít kvůli GDPR na
> >Windows 10. Pokud máte PC s TPM (všechna značková a dneska snad i všechny
> >notebooky), tak lze bez ničeho dalšího zapnout BitLocker, který zašifruje
> >celý disk. U Windows 7 to šlo až ve verzi Ultimate/Enterprise, kterou zas
> >tolik lidí/firem nemělo.
> 
> >T.K.
> 
> Zdravim
> 
> jak tohle presne funguje ? Zajima mne ten mechanismus kde je ulozen
> klic a co sifruje/desifruje ten disk - jestli deska nebo windows.
> Cim se to PC odemyka po zapnuti - jestli se musi zadavat heslo a taky
> jak je to s komponentami - zda lze disk prenest mezi PC a zadanim
> hesla/klice nastavit aby fungoval i jinde.
> 
> 
> 
> *------------------------------------------------------------------------*
> |                          Petr Simek   APS JU                           |
> |                             psimek na jcu.cz                              |
> *------------------------------------------------------------------------*



Další informace o konferenci Hw-list