Ahoj
Chtěl bych na novém stroji s TPM 2.0 a SSD Samsung 860 EVO využít možnost šifrování disku a tak studuju možnosti.
Disk bych chtěl mít rozdělený takto:
1.) Oddíly s Windows 10
2.) Oddíl pro data (NTFS)
3.) Oddíl s Linuxem
-oddíl s daty bych chtěl mít přístupný z Linuxu
Možnosti šifrování:
1.) Systémový Win10 a datový oddíl zašifrovat přes jejich Bitlocker s tím, že pro Linux existují 2 utility, který by měli datový oddíl zpřístupnit, což mi nejde moc do hlavy, jelikož bitlocker je od M$ proprietární. Předpokládám, že TPM čip si Bitlocker automaticky nastaví.
2.) Systémový Win10 oddíl zašifrovat přes Bitlocker (+TPM) a datový oddíl zašifrovat přes VeraCrypt, který je opensource.
U těchto dvou variant předpokládám, že pokud bych zapl hardwarovou podporu šifrování (SED) přímo v SSD, tak přístup na datový disk z Linuxu či jeho instalace bude složitější? Dále tiše předpokládám, že v porovnání s AES podporou procesoru, je rozdíl ve výkonu zanedbatelný.
3.) Všechny oddíly zašifrovat přes VeraCrypt
4.) SSD Samsung 860 EVO má možnost šifrování Class 0 (ATA disk password), takže vše řeší heslo v Biosu (mělo by podporovat), čiže nemusím používat jakýkoliv software.
Mohl by mi někdo zkušenější to okomentovat a doporučit nejvhodnější variantu? Nejde mi o největší bezpečnost, jsem si vědom bezpečnostních chyb, které může v sobě obsahovat bitlocker nebo použitý SSD, spíš mi jde o ochranu proti přítelkyni, tchýni a technicky zdatným zlodějům.
Šifrování SSD
Moderátor: Moderátoři
Ten VeraCrypt nějak upravuje widlí zavaděč nebo si vytvoří vlastní oddíl s prioritou? Jde mi o koexistenci s Linuxem, který v případě stejnýho disku si zavede prioritní GRUB. Doteď jsem měl dva disky zvlášt, takže jsem si vybral při startu, z kterého disku bootovat.termit256 píše:Ja mam cely disk sifrovany veracryptem, heslo zadavas hned po startu PC. Jednotlive oddily apod. bez zadani hesla vubec nejsou videt.
Bitlocker jsem kdysi pouzival, jak jednou diskovy obraz (oddil) pripojis, neda se nijak vypnout, jen restartem pocitace.
Proto si každé 3 měsíce dělám zálohu na disku a důležité věci mám na cloudových službách...samec píše:Šifrovaný disk je dobrý spôsob, ako v prípade poruchy prísť o všetky dáta.
Tohle řešení jestli to chápu správně je naprd. Stačí disk přesunout na jiný stroj, pohrát si se supervisor heslem v BIOSU a zloděj má přístup k souborům...4.) SSD Samsung 860 EVO má možnost šifrování Class 0 (ATA disk password), takže vše řeší heslo v Biosu (mělo by podporovat), čiže nemusím používat jakýkoliv software.
Pokud budes sifrovat cely disk tak se do MBR nahraje zavadec veracryptu ktery se spousti hned po probehnuti uvodnich testu jeste pred startem jakehokoliv systemu. Pokud chces sifrovat jen nektera data, udelas si diskovy obraz coz je jeden soubor ktery pripojis po zadani hesla jako dalsi oddil. Pro presnost ja mam takhle sifrovany disk pomoci truecryptu, ale predpokladam ze u veracryptu to bude stejne.DeSade píše: Ten VeraCrypt nějak upravuje widlí zavaděč nebo si vytvoří vlastní oddíl s prioritou? Jde mi o koexistenci s Linuxem, který v případě stejnýho disku si zavede prioritní GRUB. Doteď jsem měl dva disky zvlášt, takže jsem si vybral při startu, z kterého disku bootovat.
Na dlouhe hesla se mi osvedcilo tohle. https://www.yubico.com/ Je to vlastne emulator klavesnice takze to funguje vsude. Cast hesla treba prvnich 20 znaku natukas z hlavy a druhou cast treba 64mistneho hesla posles z tohoto. Daji se na to ulozit dve hesla (kratky a hlouhy stisk).