suojaudu poliisin urkinnalta COFEE

Salausavain aina salattuna? Eikö sen pidä olla avoinna muistissa, että voit käyttää levyäsi?

13 kirjoitti:

Salausavain aina salattuna? Eikö sen pidä olla avoinna muistissa, että voit käyttää levyäsi?

Salausavain on todellakin salattuna levyllä. LUKS systeemissä on kahdeksan paikkaa, johon se voidaan sijoittaa. Toki salasanalla suojattuna. Tästä on se etu että käyttäjä voi muuttaa salasanaansa ilman että tarvitsee koko levyä kirjoittaa uudestaan uudella avaimella. Samoin useammalla käyttäjällä voi olla oma salasana.

Tässä kansantajuistettu esitys asiasta.
http://www.linux-magazine.com/w3/issue/61/Hard_Disk_Encryption_DM-Crypt_LUKS_cryptsetup.pdf
Aivan hyvä artikkeli vaikka ei enää aivan ajantasainen.

Tämän verran salatulla levyllä on tietoa saatavilla. Muu on bittimössöä.

x17:/home/ossi# cryptsetup luksDump /dev/sda1
LUKS header information for /dev/sda1

Version: 1
Cipher name: aes
Cipher mode: cbc-essiv:sha256
Hash spec: sha1
Payload offset: 2056
MK bits: 256
MK digest: 55 64 c3 05 93 2e 52 c8 cb 7b 6a a0 dc e8 ef d6 b2 a6 5b 3f
MK salt: 6b b9 04 6e 9d 5c 30 c2 2c 4b 4c 84 af 94 0e e2
23 9e a9 b9 78 bf 42 33 8b 77 0a 2c 0e 0a 64 76
MK iterations: 10
UUID: 2f7f8663-73b7-4304-87ff-7441aed9096c

Key Slot 0: ENABLED
Iterations: 468677
Salt: 89 c0 06 86 d9 a4 4b 07 bc 0b 4d 70 43 78 31 a3
eb 2e 09 5c bd dd 53 6f 6f e7 ea 9e 44 27 40 b1
Key material offset: 8
AF stripes: 4000
Key Slot 1: ENABLED
Iterations: 470625
Salt: 46 11 42 12 9a 1a 9c cc a1 e4 dc dd 92 43 a4 48
0f fb 9b 8f d5 d5 fc 46 d5 c0 7b a7 56 49 e7 10
Key material offset: 264
AF stripes: 4000
Key Slot 2: ENABLED
Iterations: 472770
Salt: ee f1 61 d8 e1 53 fa c4 a3 45 07 71 5d db ed 34
dc ea 10 b8 72 bf aa 98 d1 51 7f ff 21 6f 6f ae
Key material offset: 520
AF stripes: 4000
Key Slot 3: DISABLED
Key Slot 4: DISABLED
Key Slot 5: DISABLED
Key Slot 6: DISABLED

q kirjoitti:

Salausavain on todellakin salattuna levyllä. LUKS systeemissä on kahdeksan paikkaa, johon se voidaan sijoittaa. Toki salasanalla suojattuna. Tästä on se etu että käyttäjä voi muuttaa salasanaansa ilman että tarvitsee koko levyä kirjoittaa uudestaan uudella avaimella. Samoin useammalla käyttäjällä voi olla oma salasana.

Tässä kansantajuistettu esitys asiasta.
http://www.linux-magazine.com/w3/issue/61/Hard_Disk_Encryption_DM-Crypt_LUKS_cryptsetup.pdf
Aivan hyvä artikkeli vaikka ei enää aivan ajantasainen.

Tämän verran salatulla levyllä on tietoa saatavilla. Muu on bittimössöä.

x17:/home/ossi# cryptsetup luksDump /dev/sda1
LUKS header information for /dev/sda1

Version: 1
Cipher name: aes
Cipher mode: cbc-essiv:sha256
Hash spec: sha1
Payload offset: 2056
MK bits: 256
MK digest: 55 64 c3 05 93 2e 52 c8 cb 7b 6a a0 dc e8 ef d6 b2 a6 5b 3f
MK salt: 6b b9 04 6e 9d 5c 30 c2 2c 4b 4c 84 af 94 0e e2
23 9e a9 b9 78 bf 42 33 8b 77 0a 2c 0e 0a 64 76
MK iterations: 10
UUID: 2f7f8663-73b7-4304-87ff-7441aed9096c

Key Slot 0: ENABLED
Iterations: 468677
Salt: 89 c0 06 86 d9 a4 4b 07 bc 0b 4d 70 43 78 31 a3
eb 2e 09 5c bd dd 53 6f 6f e7 ea 9e 44 27 40 b1
Key material offset: 8
AF stripes: 4000
Key Slot 1: ENABLED
Iterations: 470625
Salt: 46 11 42 12 9a 1a 9c cc a1 e4 dc dd 92 43 a4 48
0f fb 9b 8f d5 d5 fc 46 d5 c0 7b a7 56 49 e7 10
Key material offset: 264
AF stripes: 4000
Key Slot 2: ENABLED
Iterations: 472770
Salt: ee f1 61 d8 e1 53 fa c4 a3 45 07 71 5d db ed 34
dc ea 10 b8 72 bf aa 98 d1 51 7f ff 21 6f 6f ae
Key material offset: 520
AF stripes: 4000
Key Slot 3: DISABLED
Key Slot 4: DISABLED
Key Slot 5: DISABLED
Key Slot 6: DISABLED

Lue lisää

Mitäs nämä puheet, että avoinna olevasta koneesta voidaan ottaa kaikki muistissa oleva tieto haltuun? Siis myös salausavaimet.
Siis aloittajan tarkoittamassa mielessä, jos tulee ratsia ja viranomaiset saavat koneesi hallintaansa ennen kuin ehdit sulkea sen?
Vai onko tämä vielä mahdotonta? Vai olenko ihan hakoteillä?

13 kirjoitti:

Mitäs nämä puheet, että avoinna olevasta koneesta voidaan ottaa kaikki muistissa oleva tieto haltuun? Siis myös salausavaimet.
Siis aloittajan tarkoittamassa mielessä, jos tulee ratsia ja viranomaiset saavat koneesi hallintaansa ennen kuin ehdit sulkea sen?
Vai onko tämä vielä mahdotonta? Vai olenko ihan hakoteillä?

Lue lisää

edes konetta avata levyn tietojen ulossaamiseksi.
Siis salasanoista viis...

13 kirjoitti:

Mitäs nämä puheet, että avoinna olevasta koneesta voidaan ottaa kaikki muistissa oleva tieto haltuun? Siis myös salausavaimet.
Siis aloittajan tarkoittamassa mielessä, jos tulee ratsia ja viranomaiset saavat koneesi hallintaansa ennen kuin ehdit sulkea sen?
Vai onko tämä vielä mahdotonta? Vai olenko ihan hakoteillä?

Lue lisää

Tämä käynnissä olevan koneen "kaappaus" perustuu siihen että Windowsissa on oletuksena päällä sellainen viheliäinen ominaisuus että se pyrkii ajamaan tikulla tai romulla olevan ohjelman kunhan vain tökkää kiinni. Sitten voidaankin kerätä tiedot talteen.

Sammuksissa olevasta koneesta saadaan tiedot ulos kunhan käynnistää koneen tikulta tai rompulta, jossa on vaikkapa Linux ja sopivat ohjelma tiedon kätevään kopiointiin. Levy voidaan siirtää myös toiseen koneeseen.

Salatulta levyltä ei tietoja saa ulos ilman salasanaa, joka on syytä olla hyvä. Pituutta ainakin 25 merkkiä eikä sisällä "oikeita" sanoja. Salauksen valinnassa on oltava tarkkana. Netti on pullollaan toinen toistaan huonompia salausohjelmia. Ohjelman pitää olla avointa koodia ja käytettävä hyväksi todettuja menetelmiä. Windowsissa tällaisia on ainakin Freeotfe ja Truecrypt. Linux-jakeluissa on sitten LUKS vakiona ja salauksen voi valita heti asennuksessa.

q kirjoitti:

Tämä käynnissä olevan koneen "kaappaus" perustuu siihen että Windowsissa on oletuksena päällä sellainen viheliäinen ominaisuus että se pyrkii ajamaan tikulla tai romulla olevan ohjelman kunhan vain tökkää kiinni. Sitten voidaankin kerätä tiedot talteen.

Sammuksissa olevasta koneesta saadaan tiedot ulos kunhan käynnistää koneen tikulta tai rompulta, jossa on vaikkapa Linux ja sopivat ohjelma tiedon kätevään kopiointiin. Levy voidaan siirtää myös toiseen koneeseen.

Salatulta levyltä ei tietoja saa ulos ilman salasanaa, joka on syytä olla hyvä. Pituutta ainakin 25 merkkiä eikä sisällä "oikeita" sanoja. Salauksen valinnassa on oltava tarkkana. Netti on pullollaan toinen toistaan huonompia salausohjelmia. Ohjelman pitää olla avointa koodia ja käytettävä hyväksi todettuja menetelmiä. Windowsissa tällaisia on ainakin Freeotfe ja Truecrypt. Linux-jakeluissa on sitten LUKS vakiona ja salauksen voi valita heti asennuksessa.

Lue lisää

Tottakai salaamattomalta levyltä saa kaiken luettua, suljettu kone tai ei. Kysyinkin avoinna olevan koneen muistissa (RAM) olevaa tietoa. Pakkohan salatunkin levyn avaimen on olla käytettävissä, että levyä ylipäätään pystyy lukemaan.

13 kirjoitti:

Tottakai salaamattomalta levyltä saa kaiken luettua, suljettu kone tai ei. Kysyinkin avoinna olevan koneen muistissa (RAM) olevaa tietoa. Pakkohan salatunkin levyn avaimen on olla käytettävissä, että levyä ylipäätään pystyy lukemaan.

Lue lisää

Jos tuolla poliisin tikkukeinolla päästään ujuttautumaan koneen sisään niin mitään avaimenetsintää ei edes tarvita. Kone hoitaa salauksen purkamisen jo valmiiksi. Itse avaimen löytäminen käynnissä olevasta koneesta ei ole aivan helppoa. Linuxin kernel pitää mustasukkaisesti salaus ja avainkoodia itsellään. Windowsin toteutuksesta en tiedä.

Muistia voidaan lukea myös jäädyttämällä. Käynnissä olevan koneen muistikammat jäähdytetään vaikka freonilla ja viedään tutkittavaksi nestetypessä. Muistin tila säilyy näin jopa tunteja ja muistikampojen sisältö voidaan lukea sopivalla laitteistolla.

Helpointa on kuitenkin asentaa vaikka keyloggeri koneeseen ja kun pahaa aavistamaton käyttäjä tulee ja käynnistää koneen on salasana kaapattu. Koska tarkistit onko koneesi sisällä mitään ylimääräistä?

q kirjoitti:

Jos tuolla poliisin tikkukeinolla päästään ujuttautumaan koneen sisään niin mitään avaimenetsintää ei edes tarvita. Kone hoitaa salauksen purkamisen jo valmiiksi. Itse avaimen löytäminen käynnissä olevasta koneesta ei ole aivan helppoa. Linuxin kernel pitää mustasukkaisesti salaus ja avainkoodia itsellään. Windowsin toteutuksesta en tiedä.

Muistia voidaan lukea myös jäädyttämällä. Käynnissä olevan koneen muistikammat jäähdytetään vaikka freonilla ja viedään tutkittavaksi nestetypessä. Muistin tila säilyy näin jopa tunteja ja muistikampojen sisältö voidaan lukea sopivalla laitteistolla.

Helpointa on kuitenkin asentaa vaikka keyloggeri koneeseen ja kun pahaa aavistamaton käyttäjä tulee ja käynnistää koneen on salasana kaapattu. Koska tarkistit onko koneesi sisällä mitään ylimääräistä?

Lue lisää

Kiitos vastauksistasi! Kysymyksiä piisaa.
Minun koneelleni ei ole fyysistä pääsyä asiattomilta. Vähän väliähän tuo koppa itsellä auki johonkin toimenpiteeseen. Eikö sitä jo osata "kuunnella" etänä näppäinpainallukset?
Miten tuo Decaf edes auttaa, eikö COFEE-jutut pysty ajamaan komentoriviltäkin?

13 kirjoitti:

Kiitos vastauksistasi! Kysymyksiä piisaa.
Minun koneelleni ei ole fyysistä pääsyä asiattomilta. Vähän väliähän tuo koppa itsellä auki johonkin toimenpiteeseen. Eikö sitä jo osata "kuunnella" etänä näppäinpainallukset?
Miten tuo Decaf edes auttaa, eikö COFEE-jutut pysty ajamaan komentoriviltäkin?

Lue lisää

Kyllä vain. Näppis ja näyttö säteilevät tietoa ja sitä voidaan lukea säteilyä analysoimalla. Varsinkin näytössä on tehot suurempia ja kantavuuttakin tulee enemmän. Nämä kuitenkin häviävät melko nopeasti taustakohinaan. Langaton näppis onkin sitten vaikeampi tapaus. Sillä voi olla yllättävän pitkä kantama.

Suurin vaara piilee kuitenkin kaikenlaisissa haittaohjelmissa. Varsinkin Windowsin käyttäjän pitää olla tarkkana. Linuxilla tilanne on helpompi ja siihen on saatavissa hyvä "kovetustyökaluja" kuten Selinux ja Bastille Linux. On syytä huomioida ettei Linuxissa ole viisasta käyttää virustentorjuntaohjelmia koska ne ovat tietoturvariski. Tilannetta voi tarkkailla jollain tiedostojen muuttumattomuutta seuraavalla ohjelmalla kuten Tripwire.

Nettiliikenteen seuraaminen on helppoa ja tehokasta. Mahdollisuuksien mukaan on käytettävä postin suojausta PGP tai GPG ohjelmilla. Määränpään häivyttämiseksi voidaan käyttää myös Cypherpunk remailereita. Koneiden välinen liikenne on syytä salata ja siihen onkin hyviä menetelmiä. Nettiselailu taas on hankalampaa. Proxyjen käyttö on kertakaikkinen virhe. Siinä ilmoittaudutaan vapaaehtoisesti tarkkailtavaksi. Tor-verkko on tähän melko hyvä mutta hidas.

Fyysinen pääsy koneelle on syytä estää tai ainakin hidastaa siten että käynti tulee huomatuksi. Kun pääsee pönttöön käsiksi niin sille voi tehdä melkein mitä haluaa. Tässä tulee vastaan se muistien hidas unohtaminen. Jo muutaman minuutin virrattomuus ennen kuin pönttöön päästään käsiksi auttaa. Monenlaisia virityksiä on esitetty kuten boottauksen esto usbtikulta, muistikampojen liimaus emolle ja kytkimä laitteen koppaan.

Sitten ne välttämättömät varmuuskopiot. Myös varmuuskopiot pitää olla luotettavasti suojattuna. Varmistusohjelman salaukseen ei välttämättä voi luottaa. Varmistukset onkin syytä tehdä salatulle levylle. Sama koneessa käytetty salausohjelma kyllä suojaa ulkoisenkin levy.