[opensuse-es] duda existencial
Hola. Hoy, bueno mas que hoy hace 15 minutos he tenido una duda (vale para los gracioso he tenidos muchas mas dudas, pero esta en concreto referente a linux.) Suponemos en un mismo ordenador Windows y linux (que no es tan raro ya que las empresas que venden ordenadores te encasquetan en windows por narices.) Desde linux no veo que sea muy difícil hacer un pequeño programa que modifique el windows. desde los registros del windows a meterle un programa para que haga lo que yo desee y sinque te pida clave. ¿eso mismo lo pueden hacer desde el windows hacia el linux? ya que si es así un programa malintencionado en windows podría modificar linux y desde ese acceder a la red. ¿es esto posible? ¿estoy dado ideas que no debiera? Cambiando de tema. sigo con el problema del wifi, ahora se conecta a la red que le da la gana y a las otras que les cae mal no se conecta. Un saludo. --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El 7/01/08, Pedro Marquina escribió:
Desde linux no veo que sea muy difícil hacer un pequeño programa que modifique el windows. desde los registros del windows a meterle un programa para que haga lo que yo desee y sinque te pida clave.
Tanto en windows como en linux, depende de cómo esté configurado el equipo que quieres "atacar" (en el buen sentido). Por lo general, encuentro más vulnerable a Windows porque: - Los usuarios no suelen prestar atención a la seguridad (me incluyo) y el sistema tampoco en muy dado a "autoprotegerse" - Existen más vulnerabilidades para ese sistema Lo cual no implica que un equipos bajo windows con las medidas de seguridad pertinentes, permisos establecidos de forma coherente y con un mantenimiento adecuado pues no resulte tan sencillo como objetivo.
¿eso mismo lo pueden hacer desde el windows hacia el linux? ya que si es así un programa malintencionado en windows podría modificar linux y desde ese acceder a la red.
Pues también... imagina que un usuario cambia los permisos de los directorios (siendo root puede hacer lo que quiera) o modifica los permisos de los procesos para que se ejecuten por usuarios distintos de los originales, utiliza contraseñas débiles o no actualiza ni el sistema ni los programas, abre los puertos y servicios al exterior... pues ese equipo resulta un objetivo fácil. No importa tanto el sistema desde donde se origina un ataque sino las características de los equipos "víctima".
¿es esto posible? ¿estoy dado ideas que no debiera?
Yo creo que sí es posible. Un experto en ambos sistemas (windows y linux) que conozca al dedillo sus vulnerabilidades y características puede perfectamente ejecutar lo que comentas, desde el sistema que sea. Sólo tiene que saber "tocar las teclas adecuadas"... y tal como pasaba en el cuento de "El Flautista de Hamelin"... "...Y como becerros siguieron mi música."
:-)
Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
¿eso mismo lo pueden hacer desde el windows hacia el linux? ya que si es asà un programa malintencionado en windows podrÃa modificar linux y desde ese acceder a la red.
¿es esto posible? ¿estoy dado ideas que no debiera?
Si es posible y ademas es un procedimiento habitual para recuperar un sistema del que se ha perdido (o no se conoce) el password de root. Se acostumbra a hacer desde un LiveCD para que la partición esté desmontada y poder eliminar el fichero del password de root. De esta manera al volver a arrancar el Linux se nos pedirá un nuevo password y a partir de ahí ya se puede hacer lo que se quiera, bueno o malo. -- Saludos, J.M.Queralt
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2008-01-07 a las 21:14 +0100, Pedro Marquina escribió:
Hoy, bueno mas que hoy hace 15 minutos he tenido una duda (vale para los gracioso he tenidos muchas mas dudas, pero esta en concreto referente a linux.)
Je, je.
Suponemos en un mismo ordenador Windows y linux (que no es tan raro ya que las empresas que venden ordenadores te encasquetan en windows por narices.)
Desde linux no veo que sea muy difícil hacer un pequeño programa que modifique el windows. desde los registros del windows a meterle un programa para que haga lo que yo desee y sinque te pida clave.
¿eso mismo lo pueden hacer desde el windows hacia el linux? ya que si es así un programa malintencionado en windows podría modificar linux y desde ese acceder a la red.
¿es esto posible? ¿estoy dado ideas que no debiera?
Claro que es posible. Cualquier sistema operativo parado no es más que una colección de ficheros en el disco, y por tanto, alterable desde cualquier otro sistema operativo que esté en ejecución y tenga acceso a esos discos. La dificultad que tendría el windows es que habitualmente no entiende particiones ext2/3, reiser, etc, por lo que el "atacante" primero tendría que poner los drivers adecuados. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.4-svn0 (GNU/Linux) iD8DBQFHgtLotTMYHG2NR9URAjYYAJ4/DvgJT1MzS8tOo8rOW8BXk0PGZQCfVDBC 6ZZ+/izj5XpMfRu8yVlH+pU= =yYUp -----END PGP SIGNATURE-----
On Monday 07 January 2008 21:14:44 Pedro Marquina wrote:
¿eso mismo lo pueden hacer desde el windows hacia el linux? ya que si es así un programa malintencionado en windows podría modificar linux y desde ese acceder a la red.
Si instalas ext3fs browser en Windows, puedes hacer lo que te plazca en Linux sin ser root, desde Windows. Un sistema operativo no puede hacer nada por la seguridad si no esta ejecutando, y si los datos no estan encriptados. Duncan --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El Tuesday 08 January 2008, Duncan Mac-Vicar Prett escribió:
On Monday 07 January 2008 21:14:44 Pedro Marquina wrote:
¿eso mismo lo pueden hacer desde el windows hacia el linux? ya que si es así un programa malintencionado en windows podría modificar linux y desde ese acceder a la red.
Si instalas ext3fs browser en Windows, puedes hacer lo que te plazca en Linux sin ser root, desde Windows.
Un sistema operativo no puede hacer nada por la seguridad si no esta ejecutando, y si los datos no estan encriptados.
Lo importante no es que los datos estén cifrados en Linux. Si la partición del root no se puede cifrar no hay nada que hacer. En Debian, por ejemplo, sólo la partición BOOT está sin cifrar, el resto está cifrado. En OpenSuSE sólo se puede cifrar la partición HOME. Se puede proteger los datos, pero cualquier atacante en un ordenador que tenga instalado windows y Linux puede acceder a la partición root a través de windows y colocar allí lo que le dé la gana. A ver cuando los de OpenSuSE hacen algo para cifrar todo menos la partición BOOT. Yo tengo el Windows en el mismo ordenador que Linux, pero el Linux está en un disco externo USB, que puedo desenchufar cuando ejecuto Windows. Windows no es accesible desde Linux porque lo tengo cifrado con el Bitlocker (Sólo la partición boot de windows está accesible, hasta los de M$ se han dado cuenta de que es la forma más segura de proteger un sistema). Pero más no se puede hacer; si se me olvida el disco externo enchufado cuando ejecuto Windows pueden acceder a la partición root y hacer lo que les dé la gana, en el supuesto que infecten windows. Estoy paranoico, pero no sé si lo suficientemente paranoico. :-) -- Saludos. OBERON 2.6.22.13-0.3-bigsmp i686 GNU/Linux #1 SMP 2007/11/19 15:02:58 UTC
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2008-01-08 a las 10:37 -0000, Doctor Nemo escribió:
Lo importante no es que los datos estén cifrados en Linux. Si la partición del root no se puede cifrar no hay nada que hacer. En Debian, por ejemplo, sólo la partición BOOT está sin cifrar, el resto está cifrado. En OpenSuSE sólo se puede cifrar la partición HOME. ... Estoy paranoico, pero no sé si lo suficientemente paranoico. :-)
No, no, eso no es cierto, puedes encriptar todo: hasta la swap. Para mí eso no tiene sentido y es peligroso, en caso de problemas de disco: y yo soy muy paranoico en eso >:-) Yo sólo encriptaría ciertas zonas: home, temp, y quizás /var/spool. El sistema lo prefiero normal, porque no le veo sentido a encriptar los programas que de todas formas están en el DVD bajable de internet. Además, piensa que incluso con root encriptado te pueden hacer una trastada: lo machacan con un sistema limpio sin encriptar, y cuando tu arrancas no te das cuenta, y el sistema troyano te lee home (que ya está descifrado por tí) y lo envía via satélite a los malos malosos :-P Conque envíe tu password que acaba de capturar es suficiente >:-) Si eres tan paranoico, explora la preteción hardware del fabricante de discos duros, que existe. Pero ojito, que avisan que es peligrosa. Lo tienes en hdparm. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.4-svn0 (GNU/Linux) iD8DBQFHg1obtTMYHG2NR9URAvrnAJ9JRRRhD9FYuFuzboESwF3nX1XkLACfVBfS ZuvykIHDaQJlM+JPfUfCfX4= =iVuu -----END PGP SIGNATURE-----
El Tuesday 08 January 2008, Carlos E. R. escribió:
El 2008-01-08 a las 10:37 -0000, Doctor Nemo escribió:
Lo importante no es que los datos estén cifrados en Linux. Si la partición del root no se puede cifrar no hay nada que hacer. En Debian, por ejemplo, sólo la partición BOOT está sin cifrar, el resto está cifrado. En OpenSuSE sólo se puede cifrar la partición HOME.
...
Estoy paranoico, pero no sé si lo suficientemente paranoico. :-)
No, no, eso no es cierto, puedes encriptar todo: hasta la swap. Para mí eso no tiene sentido y es peligroso, en caso de problemas de disco: y yo soy muy paranoico en eso >:-)
¿Y cómo se hace para cifrar el root? Yo intenté poner una partición BOOT sin cifrar y el resto cifrado y me dijo que no se podía, aunque no recuerdo si fue en la anterior versión (10.2) Los problemas en disco te pueden aparecer tanto si la tienes cifrada como si no; lo que sí debería de haber es un sistema para restaurar la partición BOOT.
Yo sólo encriptaría ciertas zonas: home, temp, y quizás /var/spool. El sistema lo prefiero normal, porque no le veo sentido a encriptar los programas que de todas formas están en el DVD bajable de internet.
De acuerdo, los TEMP, SWAP, LOGS, Cachés,etc. Pero para no ir picando de un sitio y de otro es más fácil cifrarlo todo.
Además, piensa que incluso con root encriptado te pueden hacer una trastada: lo machacan con un sistema limpio sin encriptar, y cuando tu arrancas no te das cuenta, y el sistema troyano te lee home (que ya está descifrado por tí) y lo envía via satélite a los malos malosos :-P
Pero eso ya sería mucho trabajo, además de que tienes que descifrar también la partición root y te darías cuenta de que no has metido la "frase de paso", ellos podrán meter un sistema sin cifrar, pero no pueden saber tu "frase de paso" y ahí es donde te darías cuenta de que hay algo raro. No existe ningún sistema seguro al cien por cien, pero siempre se les puede poner lo más difícil posible. Es como cuando pones una puerta blindada en tu casa, pueden abrirla los cacos, pero si al lado hay una puerta que no sea blindada, ¿para qué van a perder mucho tiempo con la tuya si las de tus vecinos son más fáciles de abrir?
Conque envíe tu password que acaba de capturar es suficiente >:-)
Si eres tan paranoico, explora la preteción hardware del fabricante de discos duros, que existe. Pero ojito, que avisan que es peligrosa. Lo tienes en hdparm.
Mi ordenador portátil tiene varios sistemas de seguridad, pero no sé cómo activarlos desde Linux. Tiene un TPM, una cosa que se llama DriverLock o DiscLock o algo parecido (Te bloquea el disco por hardware) , y varias cosas más en la BIOS; desde Windows existen programas para utilizar este hardware, pero desde Linux ni idea. Es un HP Compaq nx9420. -- Saludos. OBERON 2.6.22.13-0.3-bigsmp i686 GNU/Linux #1 SMP 2007/11/19 15:02:58 UTC
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Content-ID:
No, no, eso no es cierto, puedes encriptar todo: hasta la swap. Para mí eso no tiene sentido y es peligroso, en caso de problemas de disco: y yo soy muy paranoico en eso >:-)
¿Y cómo se hace para cifrar el root? Yo intenté poner una partición BOOT sin cifrar y el resto cifrado y me dijo que no se podía, aunque no recuerdo si fue en la anterior versión (10.2)
No se si se puede hacer con el yast, pero creo que sí. Antes había que hacerlo manualmente. Mira aquí: http://en.opensuse.org/Encrypted_Root_File_System_with_SUSE_HOWTO
Los problemas en disco te pueden aparecer tanto si la tienes cifrada como si no; lo que sí debería de haber es un sistema para restaurar la partición BOOT.
Un problema de sistema de ficheros roto cuando encima hay una capa de encriptado puede ser terrible. Si las tablas de inodos también se encriptan, y el desencriptado falla.... no quiero ni pensarlo. Las herramientas que tratan de "adivinar" cosas para reprarlas, fallarían, porque no podrán reconocer los patrones de bits. No encontrarían los inodos, por ejemplo, o las listas de ficheros.
Yo sólo encriptaría ciertas zonas: home, temp, y quizás /var/spool. El sistema lo prefiero normal, porque no le veo sentido a encriptar los programas que de todas formas están en el DVD bajable de internet.
De acuerdo, los TEMP, SWAP, LOGS, Cachés,etc. Pero para no ir picando de un sitio y de otro es más fácil cifrarlo todo.
Más simple de hacer, quizás.
Además, piensa que incluso con root encriptado te pueden hacer una trastada: lo machacan con un sistema limpio sin encriptar, y cuando tu arrancas no te das cuenta, y el sistema troyano te lee home (que ya está descifrado por tí) y lo envía via satélite a los malos malosos :-P
Pero eso ya sería mucho trabajo, además de que tienes que descifrar también la partición root y te darías cuenta de que no has metido la "frase de paso", ellos podrán meter un sistema sin cifrar, pero no pueden saber tu "frase de paso" y ahí es donde te darías cuenta de que hay algo raro.
No, el ataque consiste en reemplazar el sistema por otro que aparente igual, incluso pidiendo la contraseña. En el momento que se la das, la transmite, y como los malos clonaron tus particiones, ya pueden descifrar su copia. >:-)
No existe ningún sistema seguro al cien por cien, pero siempre se les puede poner lo más difícil posible. Es como cuando pones una puerta blindada en tu casa, pueden abrirla los cacos, pero si al lado hay una puerta que no sea blindada, ¿para qué van a perder mucho tiempo con la tuya si las de tus vecinos son más fáciles de abrir?
Claro. Pero yo me limito a encriptar una partición de datos, donde tengo cuidado de guardar las cosas "delicadas". Además, es un fijo, no un portatil.
Si eres tan paranoico, explora la preteción hardware del fabricante de discos duros, que existe. Pero ojito, que avisan que es peligrosa. Lo tienes en hdparm.
Mi ordenador portátil tiene varios sistemas de seguridad, pero no sé cómo activarlos desde Linux. Tiene un TPM, una cosa que se llama DriverLock o DiscLock o algo parecido (Te bloquea el disco por hardware) , y varias cosas más en la BIOS; desde Windows existen programas para utilizar este hardware, pero desde Linux ni idea. Es un HP Compaq nx9420.
man hdparm: --security-freeze Freeze the drive´s security settings. The drive does not accept any security commands until next power-on reset. Use this function in combination with --security-unlock to protect drive from any attempt to set a new password. Can be used stan‐ dalone, too. --security-unlock PWD Unlock the drive, using password PWD. Password is given as an ASCII string and is padded with NULs to reach 32 bytes. The applicable drive password is selected with the --user-master switch. THIS FEATURE IS EXPERIMENTAL AND NOT WELL TESTED. USE AT YOUR OWN RISK. --security-set-pass PWD Lock the drive, using password PWD (Set Password) (DANGEROUS). Password is given as an ASCII string and is padded with NULs to reach 32 bytes. The applicable drive password is selected with the --user-master switch and the applicable secu‐ rity mode with the --security-mode switch. THIS FEATURE IS EXPERIMENTAL AND NOT WELL TESTED. USE AT YOUR OWN RISK. --security-disable PWD Disable drive locking, using password PWD. Pass‐ word is given as an ASCII string and is padded with NULs to reach 32 bytes. The applicable drive password is selected with the --user-master switch. THIS FEATURE IS EXPERIMENTAL AND NOT WELL TESTED. USE AT YOUR OWN RISK. --security-erase PWD Erase (locked) drive, using password PWD (DANGER‐ OUS). Password is given as an ASCII string and is padded with NULs to reach 32 bytes. The applicable drive password is selected with the --user-master switch. THIS FEATURE IS EXPERIMEN‐ TAL AND NOT WELL TESTED. USE AT YOUR OWN RISK. --security-erase-enhanced PWD Enhanced erase (locked) drive, using password PWD (DANGEROUS). Password is given as an ASCII string and is padded with NULs to reach 32 bytes. The applicable drive password is selected with the --user-master switch. THIS FEATURE IS EXPER‐ IMENTAL AND NOT WELL TESTED. USE AT YOUR OWN RISK. --user-master USER Specifies which password (user/master) to select. Defaults to master. Only useful in combination with --security-unlock, --security-set-pass, --security-disable, --security-erase or --secu‐ rity-erase-enhanced. u user password m master password THIS FEATURE IS EXPERIMENTAL AND NOT WELL TESTED. USE AT YOUR OWN RISK. --security-mode MODE Specifies which security mode (high/maximum) to set. Defaults to high. Only useful in combina‐ tion with --security-set-pass. h high security m maximum security THIS FEATURE IS EXPERIMENTAL AND NOT WELL TESTED. USE AT YOUR OWN RISK. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.4-svn0 (GNU/Linux) iD8DBQFHg30GtTMYHG2NR9URAlMMAJ9onTOV9q492o8i0uMDkZxTBMnQVwCcD4v/ TKUJOltnUIziE5+1pYmA1ak= =R+jN -----END PGP SIGNATURE-----
El Tuesday 08 January 2008, Carlos E. R. escribió:
Content-ID:
El 2008-01-08 a las 11:43 -0000, Doctor Nemo escribió:
No, no, eso no es cierto, puedes encriptar todo: hasta la swap. Para mí eso no tiene sentido y es peligroso, en caso de problemas de disco: y yo soy muy paranoico en eso >:-)
¿Y cómo se hace para cifrar el root? Yo intenté poner una partición BOOT sin cifrar y el resto cifrado y me dijo que no se podía, aunque no recuerdo si fue en la anterior versión (10.2)
No se si se puede hacer con el yast, pero creo que sí. Antes había que hacerlo manualmente.
Mira aquí:
http://en.opensuse.org/Encrypted_Root_File_System_with_SUSE_HOWTO
Hay que hacerlo a mano y es un rollo, necesitas un LiveCD o una llave USB ¿No comprendo por qué no se podría hacer desde el YAST si se puede hacer con la partición HOME y otras?
Los problemas en disco te pueden aparecer tanto si la tienes cifrada como si no; lo que sí debería de haber es un sistema para restaurar la partición BOOT.
Un problema de sistema de ficheros roto cuando encima hay una capa de encriptado puede ser terrible. Si las tablas de inodos también se encriptan, y el desencriptado falla.... no quiero ni pensarlo. Las herramientas que tratan de "adivinar" cosas para reprarlas, fallarían, porque no podrán reconocer los patrones de bits. No encontrarían los inodos, por ejemplo, o las listas de ficheros.
De acuerdo, pero en un ordenador portátil es muy bueno tener todo cifrado, a pesar de que pueda haber un problema de disco. Si hay algún problema y tienes copia de seguridad sólo tienes que reinstalar el sistema. Es más complicado cuando tienes un servidor porque mientras estaría el servidor sin funcionar.
Yo sólo encriptaría ciertas zonas: home, temp, y quizás /var/spool. El sistema lo prefiero normal, porque no le veo sentido a encriptar los programas que de todas formas están en el DVD bajable de internet.
De acuerdo, los TEMP, SWAP, LOGS, Cachés,etc. Pero para no ir picando de un sitio y de otro es más fácil cifrarlo todo.
Más simple de hacer, quizás.
Más simple sí que es, sobre todo para los principiantes. Se podría poner opcional y así el que quisiera lo cifraría y el que no pues no lo haría.
Además, piensa que incluso con root encriptado te pueden hacer una trastada: lo machacan con un sistema limpio sin encriptar, y cuando tu arrancas no te das cuenta, y el sistema troyano te lee home (que ya está descifrado por tí) y lo envía via satélite a los malos malosos :-P
Pero eso ya sería mucho trabajo, además de que tienes que descifrar también la partición root y te darías cuenta de que no has metido la "frase de paso", ellos podrán meter un sistema sin cifrar, pero no pueden saber tu "frase de paso" y ahí es donde te darías cuenta de que hay algo raro.
No, el ataque consiste en reemplazar el sistema por otro que aparente igual, incluso pidiendo la contraseña. En el momento que se la das, la transmite, y como los malos clonaron tus particiones, ya pueden descifrar su copia. >:-)
Dudo mucho que se lleven ni siquiera los 110 GB de la partición HOME sin darme cuenta. La cuestión es ponérselo lo más difícil posible.
No existe ningún sistema seguro al cien por cien, pero siempre se les puede poner lo más difícil posible. Es como cuando pones una puerta blindada en tu casa, pueden abrirla los cacos, pero si al lado hay una puerta que no sea blindada, ¿para qué van a perder mucho tiempo con la tuya si las de tus vecinos son más fáciles de abrir?
Claro.
Pero yo me limito a encriptar una partición de datos, donde tengo cuidado de guardar las cosas "delicadas". Además, es un fijo, no un portatil.
Pero si estás trabajando con los ficheros eso no sirve para mucho, y siempre puede quedar algún fichero temporal accesible.
Si eres tan paranoico, explora la preteción hardware del fabricante de discos duros, que existe. Pero ojito, que avisan que es peligrosa. Lo tienes en hdparm.
Mi ordenador portátil tiene varios sistemas de seguridad, pero no sé cómo activarlos desde Linux. Tiene un TPM, una cosa que se llama DriverLock o DiscLock o algo parecido (Te bloquea el disco por hardware) , y varias cosas más en la BIOS; desde Windows existen programas para utilizar este hardware, pero desde Linux ni idea. Es un HP Compaq nx9420.
man hdparm:
Demasiadas cosas experimentales, no suelen funcionar muy bien. -- Saludos. OBERON 2.6.22.13-0.3-bigsmp i686 GNU/Linux #1 SMP 2007/11/19 15:02:58 UTC
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2008-01-08 a las 14:06 -0000, Doctor Nemo escribió:
http://en.opensuse.org/Encrypted_Root_File_System_with_SUSE_HOWTO
Hay que hacerlo a mano y es un rollo, necesitas un LiveCD o una llave USB ¿No comprendo por qué no se podría hacer desde el YAST si se puede hacer con la partición HOME y otras?
Yo no he dicho que no se pueda con yast; de hecho creo que en la 10.3 sí se puede.
Pero yo me limito a encriptar una partición de datos, donde tengo cuidado de guardar las cosas "delicadas". Además, es un fijo, no un portatil.
Pero si estás trabajando con los ficheros eso no sirve para mucho, y siempre puede quedar algún fichero temporal accesible.
¿Como que no sirve? Trabajo con esos ficheros en esa partición, no fuera. Si me pillan el disco lo van a tener dificil para sacar los datos delicados. Lo de los ficheros temporales, hay bastantes aplicaciones que les puedes especificar donde guardar los temporales. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.4-svn0 (GNU/Linux) iD8DBQFHg5TitTMYHG2NR9URAn0mAJ9HfWeBGSdzicyXCFKz3LO1rdyvYwCfT//2 UehiwXcxwgib/mK6O2ZeMBQ= =M+St -----END PGP SIGNATURE-----
El 8/01/08, Carlos E. R. escribió:
Yo sólo encriptaría ciertas zonas: home, temp, y quizás /var/spool. El sistema lo prefiero normal, porque no le veo sentido a encriptar los programas que de todas formas están en el DVD bajable de internet.
No son tanto los programas, sino los datos que generan los programas. Por ejemplo, así a vuela pluma, se me ocurren los registros. Habría que cifrar completo /var/log para tener eso cubierto. Estoy de acuerdo con Doctor Nemo en que se debe cifrar el disco entero y debe ser un proceso transparente para las aplicaciones, para el usuario, y por supuesto, un formato estandarizado y flexible que permita el movimiento de los datos (entrada y salida) sin perder la seguridad y sin requerir componentes adicionales físicos (como los biométricos) ni lógicos (como controladores).
Si eres tan paranoico, explora la preteción hardware del fabricante de discos duros, que existe. Pero ojito, que avisan que es peligrosa. Lo tienes en hdparm.
(pensando en voz alta...) El cifrado por hardware depende del dispositivo donde se almacenan los datos y el cifrado de volúmenes (o directorios) depende del sistema donde se haya instalado... el cifrado debería ser a nivel de archivo (individual) y totalmente independiente del sistema operativo y del medio. Una capa de datos de formato normalizado >:-) Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
Hola :) El Tuesday 08 January 2008, Camaleón escribió:
El 8/01/08, Carlos E. R. escribió:
Yo sólo encriptaría ciertas zonas: home, temp, y quizás /var/spool. El sistema lo prefiero normal, porque no le veo sentido a encriptar los programas que de todas formas están en el DVD bajable de internet.
No son tanto los programas, sino los datos que generan los programas. Por ejemplo, así a vuela pluma, se me ocurren los registros. Habría que cifrar completo /var/log para tener eso cubierto.
¿/etc/shadow? Sería interesante cifrar el acceso a /etc/shadow para evitar que alguien tenga la tentación de brute-force reventar las claves. También es interesante proteger /etc/group y otros ficheros que tienen claves (lilo.conf, por ejemplo). Algunas veces los ficheros de configuración no tienen claves, pero sí información de cómo está organizada nuestra red: DNS, DHCP, ... Por lo que si tienen acceso a estos ficheros, pueden saber cosas de nuestra red que no deberían. IMHO: cifrar todo.
Estoy de acuerdo con Doctor Nemo en que se debe cifrar el disco entero y debe ser un proceso transparente para las aplicaciones, para el usuario, y por supuesto, un formato estandarizado y flexible que permita el movimiento de los datos (entrada y salida) sin perder la seguridad y sin requerir componentes adicionales físicos (como los biométricos) ni lógicos (como controladores).
Si eres tan paranoico, explora la preteción hardware del fabricante de discos duros, que existe. Pero ojito, que avisan que es peligrosa. Lo tienes en hdparm.
(pensando en voz alta...)
El cifrado por hardware depende del dispositivo donde se almacenan los datos y el cifrado de volúmenes (o directorios) depende del sistema donde se haya instalado... el cifrado debería ser a nivel de archivo (individual) y totalmente independiente del sistema operativo y del medio. Una capa de datos de formato normalizado >:-)
Creo que Seagate tiene una opción de cifrado automático en algunos discos que se hace por hardware (independiente del OS). La duda es si arranco con otro OS, ¿puedo acceder a la otra partición? O bien, ¿se cifra todo el disco (cada partición) con una única clave? Se pueden juntar ambos cifrados: el que ofrece el disco duro por hardware y el que ofrece el OS para mayor seguridad. Y si quieres aún más seguridad: cifras cada fichero además de cada directorio y de cada sistema de ficheros. A eso podemos añadir un poco de esteganografía. Lo malo de todo esto son las claves ... a ver quién se acuerda de tanta clave, menos mal que existen los Post-It ;) Rafa -- Rafa Grimán Systems Engineer Silicon Graphics, S.A. Sociedad Unipersonal Plaza del Descubridor Diego de Ordás 3 Tel: +34 91 398 42 00 Edificio Santa Engracia 120 Fax: +34 91 398 42 01 28003 Madrid Mobile: +34 628 11 79 40 Spain E-mail: rgriman@sgi.com http://www.sgi.com Skype: rgriman NIF - A79415873. Inscrita en el Registro Mercantil de Madrid Tomo 207, Folio 104, Hoja M-4186 el 5-7-90 __________________________________________________________________________ NB: INFORMATION IN THIS MESSAGE IS SGI CONFIDENTIAL. IT IS INTENDED SOLELY FOR THE PERSON(S) TO WHOM IT IS ADDRESSED AND MAY NOT BE COPIED, USED, DISCLOSED OR DISTRIBUTED TO OTHERS WITHOUT SGI CONSENT. IF YOU ARE NOT THE INTENDED RECIPIENT PLEASE WILL YOU NOTIFY ME BY EMAIL OR TELEPHONE, DELETE THE MESSAGE FROM YOUR SYSTEM IMMEDIATELY AND DESTROY ANY PRINTED COPIES. NB: LA INFORMACION CONTENIDA EN ESTE MENSAJE ES CONFIDENCIAL DE SGI. ESTA DIRIGIDA UNICAMENTE A LA PERSONA(S) A LA CUAL SE ENVIA Y NO PUEDE SER COPIADA, UTILIZADA, DIVULGADA O DISTRIBUIDA A OTROS SIN EL CONSENTIMIENTO PREVIO DE SGI. SI USTED NO ES EL DESTINATARIO INDICADO HAGA EL FAVOR DE NOTIFICARMELO POR MAIL O POR TELEFONO, BORRE EL MENSAJE DE SU SISTEMA INMEDIATAMENTE Y DESTRUYA CUALQUIER COPIA IMPRESA "We cannot treat computers as Humans. Computers need love." Happily using KDE 3.5.7 :) --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2008-01-08 a las 16:10 +0100, Rafa Grimán escribió:
El Tuesday 08 January 2008, Camaleón escribió:
El 8/01/08, Carlos E. R. escribió:
Yo sólo encriptaría ciertas zonas: home, temp, y quizás /var/spool. El sistema lo prefiero normal, porque no le veo sentido a encriptar los programas que de todas formas están en el DVD bajable de internet.
No son tanto los programas, sino los datos que generan los programas. Por ejemplo, así a vuela pluma, se me ocurren los registros. Habría que cifrar completo /var/log para tener eso cubierto.
El /var/log no debería contener inforamción delicada como son los passwords - pero puede tenerla. Tradicionalmente existen auth y authpriv. Vale, puedes meter el /var entero.
¿/etc/shadow? Sería interesante cifrar el acceso a /etc/shadow para evitar que alguien tenga la tentación de brute-force reventar las claves. También es interesante proteger /etc/group y otros ficheros que tienen claves (lilo.conf, por ejemplo).
Algunas veces los ficheros de configuración no tienen claves, pero sí información de cómo está organizada nuestra red: DNS, DHCP, ... Por lo que si tienen acceso a estos ficheros, pueden saber cosas de nuestra red que no deberían.
IMHO: cifrar todo.
No le veo el sentido a encriptar /usr u /opt, por ejemplo. Pero si quieres encriptar /etc, ya tienes que encriptar la raiz, porque es inseparable. Ahora bien, los datos de configuración de red y servicios sólo interesan en un servidor u ordenador de mesa, no en un portatil. Y un servidor debe estar asegurado físicamente.
(pensando en voz alta...)
El cifrado por hardware depende del dispositivo donde se almacenan los datos y el cifrado de volúmenes (o directorios) depende del sistema donde se haya instalado... el cifrado debería ser a nivel de archivo (individual) y totalmente independiente del sistema operativo y del medio. Una capa de datos de formato normalizado >:-)
Lo tienes: lo que se recomienda es usar gpg, como proceso posterior; aunque en linux también puedes combinar gpg con un volumen. La ventaja de linux en este respecto es que puedes encriptar sistemas de ficheros de forma transparente para todas las aplicaciones, que creen que estan usando ficheros normales. Vamos, que lo hace el kernel. Y hay un montón de variantes. La desventaja es que todo eso está muy poco documentado - para variar.
Creo que Seagate tiene una opción de cifrado automático en algunos discos que se hace por hardware (independiente del OS). La duda es si arranco con otro OS, ¿puedo acceder a la otra partición? O bien, ¿se cifra todo el disco (cada partición) con una única clave?
Sí. Pero creo que es el disco entero, no las particiones. Y no se si es encriptación o password.
Se pueden juntar ambos cifrados: el que ofrece el disco duro por hardware y el que ofrece el OS para mayor seguridad. Y si quieres aún más seguridad: cifras cada fichero además de cada directorio y de cada sistema de ficheros. A eso podemos añadir un poco de esteganografía. Lo malo de todo esto son las claves ... a ver quién se acuerda de tanta clave, menos mal que existen los Post-It ;)
X'-) __________________________________________________________________________
NB: INFORMATION IN THIS MESSAGE IS SGI CONFIDENTIAL. IT IS INTENDED SOLELY FOR THE PERSON(S) TO WHOM IT IS ADDRESSED AND MAY NOT BE COPIED, USED, DISCLOSED
Ja, ja. Pues entonces encriptadlo :-P
OR DISTRIBUTED TO OTHERS WITHOUT SGI CONSENT. IF YOU ARE NOT THE INTENDED RECIPIENT PLEASE WILL YOU NOTIFY ME BY EMAIL OR TELEPHONE, DELETE THE MESSAGE FROM YOUR SYSTEM IMMEDIATELY AND DESTROY ANY PRINTED COPIES.
Jo, jo. Deben estar soñando los que escribieron esto. Si me llega un correo, ya es mio >:-) - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.4-svn0 (GNU/Linux) iD8DBQFHg5hQtTMYHG2NR9URAgoUAJ9Y2/2sMcBEKjRiU0jnsP7QX1RsewCfXW7O jCnSie5S5kyGaDZhfLXUIF0= =YbJ1 -----END PGP SIGNATURE-----
Hola :) El Tuesday 08 January 2008, Carlos E. R. escribió: [...]
IMHO: cifrar todo.
No le veo el sentido a encriptar /usr u /opt, por ejemplo. Pero si quieres encriptar /etc, ya tienes que encriptar la raiz, porque es inseparable.
Esa es la cosa, lo "inseparable" se cifraría, lo demás (/opt y /usr) ya es a gusto del consumidor, estoy de acuerdo contigo.
Ahora bien, los datos de configuración de red y servicios sólo interesan en un servidor u ordenador de mesa, no en un portatil. Y un servidor debe estar asegurado fÃsicamente.
Debería ;) [...]
NB: INFORMATION IN THIS MESSAGE IS SGI CONFIDENTIAL. IT IS INTENDED SOLELY FOR THE PERSON(S) TO WHOM IT IS ADDRESSED AND MAY NOT BE COPIED, USED, DISCLOSED
Ja, ja. Pues entonces encriptadlo :-P
Ten en cuenta que esto no lo ha escrito un técnico ;) Ten en cuenta que lo ha escrito un gringo ;)
OR DISTRIBUTED TO OTHERS WITHOUT SGI CONSENT. IF YOU ARE NOT THE INTENDED RECIPIENT PLEASE WILL YOU NOTIFY ME BY EMAIL OR TELEPHONE, DELETE THE MESSAGE FROM YOUR SYSTEM IMMEDIATELY AND DESTROY ANY PRINTED COPIES.
Jo, jo. Deben estar soñando los que escribieron esto. Si me llega un correo, ya es mio >:-)
Esto tampoco lo ha escrito un técnico ;) Esto también lo ha escrito un gringo ;) Rafa -- "We cannot treat computers as Humans. Computers need love." rgriman@skype.com --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2008-01-08 a las 17:43 +0100, Rafa Grimán escribió: ...
Ahora bien, los datos de configuración de red y servicios sólo interesan en un servidor u ordenador de mesa, no en un portatil. Y un servidor debe estar asegurado fÃsicamente.
Debería ;)
A mi me han robado las entrañas de dos ordenadores guardados en salas de equipos de Telefónica. Sí, esa Telefónica, con guardas de seguridad, y todo, donde te cuesta meses de papeleo conseguir la tarjeta de entrada con tu foto y la banda magnética. Esos no estaban encendidos, pero también nos los han robado encendidos en otros edificios.
[...]
NB: INFORMATION IN THIS MESSAGE IS SGI CONFIDENTIAL. IT IS INTENDED SOLELY FOR THE PERSON(S) TO WHOM IT IS ADDRESSED AND MAY NOT BE COPIED, USED, DISCLOSED
Ja, ja. Pues entonces encriptadlo :-P
Ten en cuenta que esto no lo ha escrito un técnico ;) Ten en cuenta que lo ha escrito un gringo ;)
Ya lo se - pero eso no quita que me burle un poco :-) Por cierto, en los tiempos que corren, ¿os creereis que recibo correos verdaderos de mi banco, y que no llevan siquiera una mala firma digital? ¿Que ni siquiera los correos de la FNMT solicitando que rellenes una encuesta sobre el certificado digital, viene firmado digitalmente? Parece que esta gente no se ha enterado del spam, del phising, de los virus... País. :-/ - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.4-svn0 (GNU/Linux) iD8DBQFHg/URtTMYHG2NR9URAmBQAJ9/nwK0EzuAtEto+kDdYG8FLfdXKQCgha8w Ki0A7uZiaVeRDLnecybFEtY= =IUGK -----END PGP SIGNATURE-----
El 8/01/08, Rafa Grimán escribió:
¿/etc/shadow? Sería interesante cifrar el acceso a /etc/shadow para evitar que alguien tenga la tentación de brute-force reventar las claves. También es interesante proteger /etc/group y otros ficheros que tienen claves (lilo.conf, por ejemplo).
Algunas veces los ficheros de configuración no tienen claves, pero sí información de cómo está organizada nuestra red: DNS, DHCP, ... Por lo que si tienen acceso a estos ficheros, pueden saber cosas de nuestra red que no deberían.
Buena observación. Yo distinguiría, pues, dos tipos de cifrado: el de los datos que permiten el acceso / control del sistema y el de datos que contienen sólo información (cuya ubicación es menos controlable y altamente variable como llaves usb, dvd, tarjetas sd, etc...)
IMHO: cifrar todo.
Sí, correcto, creo que es lo mejor. Es como el tema de la copia de seguridad... ¿qué se copia? Pues todo y listo O:-)
Creo que Seagate tiene una opción de cifrado automático en algunos discos que se hace por hardware (independiente del OS). La duda es si arranco con otro OS, ¿puedo acceder a la otra partición? O bien, ¿se cifra todo el disco (cada partición) con una única clave?
Claro, es que creo que tanto el Bitlocker de windows (que decía Doctor Nemo) y este método de seagate requieren de otros añadidos (usar windows en el primer caso y usar un disco duro concreto y para el descifrado...¿qué? ¿Algún componente adicional?, o si paso los datos a otro disco ¿se mantiene el cifrado?)
Se pueden juntar ambos cifrados: el que ofrece el disco duro por hardware y el que ofrece el OS para mayor seguridad. Y si quieres aún más seguridad: cifras cada fichero además de cada directorio y de cada sistema de ficheros. A eso podemos añadir un poco de esteganografía. Lo malo de todo esto son las claves ... a ver quién se acuerda de tanta clave, menos mal que existen los Post-It ;)
El cifrado individual puede ser útil, por ejemplo, para medios extraíbles. Es posible que quieras cifrar sólo algunos archivos y toda la unidad. En cuanto al tema de las claves... las contraseñas podrían sustituirse por algún otro sistema más manejable (¿rfid de corto alcance?) o bueno, también sistemas biométricos... Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
Hola :) El Tuesday 08 January 2008, Camaleón escribió:
El 8/01/08, Rafa Grimán escribió:
¿/etc/shadow? Sería interesante cifrar el acceso a /etc/shadow para evitar que alguien tenga la tentación de brute-force reventar las claves. También es interesante proteger /etc/group y otros ficheros que tienen claves (lilo.conf, por ejemplo).
Algunas veces los ficheros de configuración no tienen claves, pero sí información de cómo está organizada nuestra red: DNS, DHCP, ... Por lo que si tienen acceso a estos ficheros, pueden saber cosas de nuestra red que no deberían.
Buena observación. Yo distinguiría, pues, dos tipos de cifrado: el de los datos que permiten el acceso / control del sistema y el de datos que contienen sólo información (cuya ubicación es menos controlable y altamente variable como llaves usb, dvd, tarjetas sd, etc...)
IMHO: cifrar todo.
Sí, correcto, creo que es lo mejor. Es como el tema de la copia de seguridad... ¿qué se copia? Pues todo y listo O:-)
Burro grande ... :) Eso, eso, que cifren y hagan backup de todo y por duplicado ... que tengo que "vender" almacenamiento y servidores ;)
Creo que Seagate tiene una opción de cifrado automático en algunos discos que se hace por hardware (independiente del OS). La duda es si arranco con otro OS, ¿puedo acceder a la otra partición? O bien, ¿se cifra todo el disco (cada partición) con una única clave?
Claro, es que creo que tanto el Bitlocker de windows (que decía Doctor Nemo) y este método de seagate requieren de otros añadidos (usar windows en el primer caso y usar un disco duro concreto y para el descifrado...¿qué? ¿Algún componente adicional?, o si paso los datos a otro disco ¿se mantiene el cifrado?)
No creo que se mantenga porque es un cifrado a bajo nivel, independiente del OS, va en el firmware del disco.
Se pueden juntar ambos cifrados: el que ofrece el disco duro por hardware y el que ofrece el OS para mayor seguridad. Y si quieres aún más seguridad: cifras cada fichero además de cada directorio y de cada sistema de ficheros. A eso podemos añadir un poco de esteganografía. Lo malo de todo esto son las claves ... a ver quién se acuerda de tanta clave, menos mal que existen los Post-It ;)
El cifrado individual puede ser útil, por ejemplo, para medios extraíbles. Es posible que quieras cifrar sólo algunos archivos y toda la unidad.
Exacto.
En cuanto al tema de las claves... las contraseñas podrían sustituirse por algún otro sistema más manejable (¿rfid de corto alcance?) o bueno, también sistemas biométricos...
Biométricos ... no me gusta. Nunca he estado por la labor de creerme esas cosas, lo veo peligroso y tampoco tan seguro. Rafa -- "We cannot treat computers as Humans. Computers need love." rgriman@skype.com --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El 8/01/08, Rafa Grimán escribió:
Burro grande ... :) Eso, eso, que cifren y hagan backup de todo y por duplicado ... que tengo que "vender" almacenamiento y servidores ;)
:-)
No creo que se mantenga porque es un cifrado a bajo nivel, independiente del OS, va en el firmware del disco.
Jo.. pues eso no me gusta :-( ¿Tengo que sacar el disco (o comprar otro de las mismas características) para mantener los datos seguros? ¿Y si dejan de fabricarlos o sacan un firmware nuevo para mejorar el actual y no funciona como debe...? ¿Quién garantiza la compatibilidad "hacia atrás" y que funcionará en un futuro...? Ná, tiene que ser estándar >:-)
Biométricos ... no me gusta. Nunca he estado por la labor de creerme esas cosas, lo veo peligroso y tampoco tan seguro.
No nos gusta (a mi tampoco me hace gracia) porque creo que hemos visto muchas pelis donde o le cortan el dedo a alguien para usarlo en el control de acceso o le han llegado a hacer cositas desagradables en los ojos "pa" poder acceder al servidor... >:-) Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2008-01-08 a las 18:10 +0100, Camaleón escribió:
El 8/01/08, Rafa Grimán escribió:
Burro grande ... :) Eso, eso, que cifren y hagan backup de todo y por duplicado ... que tengo que "vender" almacenamiento y servidores ;)
:-)
No creo que se mantenga porque es un cifrado a bajo nivel, independiente del OS, va en el firmware del disco.
Jo.. pues eso no me gusta :-(
¿Tengo que sacar el disco (o comprar otro de las mismas características) para mantener los datos seguros?
A ver... los datos están protegidos(1) dentro del disco. Si salen del disco, ya esntán desencriptados. Si los grabas en otro disco, entran en plano y cambian a protegidos al llegar a ser cambios de magenitzación. Pero por los buses, memoria, cpu, etc, viajan desprotegidos. (1) Protegidos, no necesariamente encriptados. Si desmontas el disco y le pones otro firmaware, la password te la saltas, si es que es por password.
¿Y si dejan de fabricarlos o sacan un firmware nuevo para mejorar el actual y no funciona como debe...? ¿Quién garantiza la compatibilidad "hacia atrás" y que funcionará en un futuro...?
¿Que te importa? ¿Desde cuando has actualizado el firmware de un disco duro? Yo no lo he hecho nunca. Si peta, machaco un punching ball si lo tengo a mano, lo cambio por otro, y recupero el backup. Insisto, si los datos los lees, salen en claro, sin cifrar. O los sabes la password y los lees, o no la sabes y no los lees. No hay manera de leerlos sin saber la clave: no lees nada, el disco no obedece a tus comandos. No existe el disco, el sistema operativo no accede. No puedes atacarlo por fuerza bruta, salvo que lo desmontes, y aún así no está claro (si la protección es por cifrado, no está claro).
Ná, tiene que ser estándar >:-)
No existe eso de cifrado estandard. Hay quien dice que prefieren sistemas de cifrado que no conozca nadie.
Biométricos ... no me gusta. Nunca he estado por la labor de creerme esas cosas, lo veo peligroso y tampoco tan seguro.
No nos gusta (a mi tampoco me hace gracia) porque creo que hemos visto muchas pelis donde o le cortan el dedo a alguien para usarlo en el control de acceso o le han llegado a hacer cositas desagradables en los ojos "pa" poder acceder al servidor... >:-)
Sasto. Claro, que habrá sistemas que no funcionarán si el dueño no está vivo, como el análisis espectral de la voz. Los sistemas de cifrado buenos de disco en linux tienen dos "contraseñas". Uno es un llavero usb o tarjeta de memoria, con una clave de cifrado relativamente grande. Otro es una contraseña memorizada y larga (una frase) que sirve para desproteger el lapiz. Con ambas cosas el sistema genera la clave de descifrado del disco y lo puede montar. Los sistemas biométricos serían un paso más. No es el sistema que usa el Yast, por cierto. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.4-svn0 (GNU/Linux) iD8DBQFHg/njtTMYHG2NR9URAoBkAKCDizZtdlWTLJHEeU0HZJXF9zTpmACfbk1V IA9XOrIp3LuGEHke+XBRl2Y= =aOJJ -----END PGP SIGNATURE-----
El 8/01/08, Carlos E. R. escribió:
A ver... los datos están protegidos(1) dentro del disco. Si salen del disco, ya esntán desencriptados. Si los grabas en otro disco, entran en plano y cambian a protegidos al llegar a ser cambios de magenitzación. Pero por los buses, memoria, cpu, etc, viajan desprotegidos.
"Pos" no me sirve ese sistema :-P
¿Que te importa?
En este caso sí importa. Y mucho. Si es el firmware del disco el que proporciona la capa de cifrado, pues dependes por completo de él.
¿Desde cuando has actualizado el firmware de un disco duro? Yo no lo he hecho nunca. Si peta, machaco un punching ball si lo tengo a mano, lo cambio por otro, y recupero el backup.
Ya, pero es aplicable a los discos duros normales, que no cifran. En ese caso yo tampoco cambio, modifico o actualizo el firmware.
Insisto, si los datos los lees, salen en claro, sin cifrar. O los sabes la password y los lees, o no la sabes y no los lees. No hay manera de leerlos sin saber la clave: no lees nada, el disco no obedece a tus comandos. No existe el disco, el sistema operativo no accede. No puedes atacarlo por fuerza bruta, salvo que lo desmontes, y aún así no está claro (si la protección es por cifrado, no está claro).
Pero entonces la seguridad de los datos es intrínseca al medio donde están... y eso resta portabilidad y flexibilidad. El sistema de cifrado debe estar a nivel de archivo, independiente del dispositivo o del sistema operativo.
No existe eso de cifrado estandard. Hay quien dice que prefieren sistemas de cifrado que no conozca nadie.
Claro que no existe :-), por eso digo, que el sistema actual lo veo aún poco práctico y un tanto limitado para que tenga un uso masivo.
Claro, que habrá sistemas que no funcionarán si el dueño no está vivo, como el análisis espectral de la voz.
Siempre se puede imitar o crear de forma artificial. Los sistema biométricos dentro de poco tiempo también serán vulnerables a la suplantación.
Los sistemas de cifrado buenos de disco en linux tienen dos "contraseñas". Uno es un llavero usb o tarjeta de memoria, con una clave de cifrado relativamente grande. Otro es una contraseña memorizada y larga (una frase) que sirve para desproteger el lapiz. Con ambas cosas el sistema genera la clave de descifrado del disco y lo puede montar. Los sistemas biométricos serían un paso más.
Es un sistema poco ágil :-/. Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2008-01-09 a las 12:20 +0100, Camaleón escribió:
El 8/01/08, Carlos E. R. escribió:
A ver... los datos están protegidos(1) dentro del disco. Si salen del disco, ya esntán desencriptados. Si los grabas en otro disco, entran en plano y cambian a protegidos al llegar a ser cambios de magenitzación. Pero por los buses, memoria, cpu, etc, viajan desprotegidos.
"Pos" no me sirve ese sistema :-P
¿porque no? Es transparente para tí.
¿Que te importa?
En este caso sí importa. Y mucho. Si es el firmware del disco el que proporciona la capa de cifrado, pues dependes por completo de él.
Claro, igual que si no están cifrados. Siempre dependes por completo de él. ¿O es que te crees que puedes leer un disco con una manivela y una brújula? Dependes por completo del firmware que sabe donde están los sectores y como están marcados, de como magenitizar cada sector, de donde están remapeados los sectores jodidos, etc etc.
¿Desde cuando has actualizado el firmware de un disco duro? Yo no lo he hecho nunca. Si peta, machaco un punching ball si lo tengo a mano, lo cambio por otro, y recupero el backup.
Ya, pero es aplicable a los discos duros normales, que no cifran. En ese caso yo tampoco cambio, modifico o actualizo el firmware.
¿De donde te sacas que tus discos normales no cifran? El mío normalito lo hace, por lo menos los dos grandes que tengo. Otra cosa es que lo active, que no quiero, porque en linux no está comprobado que funcione.
Insisto, si los datos los lees, salen en claro, sin cifrar. O los sabes la password y los lees, o no la sabes y no los lees. No hay manera de leerlos sin saber la clave: no lees nada, el disco no obedece a tus comandos. No existe el disco, el sistema operativo no accede. No puedes atacarlo por fuerza bruta, salvo que lo desmontes, y aún así no está claro (si la protección es por cifrado, no está claro).
Pero entonces la seguridad de los datos es intrínseca al medio donde están... y eso resta portabilidad y flexibilidad.
¿Pero que es lo que vas a portar? Sacas el disco y lo enchufas en otro PC: ya lo has portado. O lees los datos y los grabas en otro disco: ya lo has portado. ¿Que quieres portar, el plato giratorio sacarlo y ponerselo a otro disco porque se ha quemado un chip? Venga ya, eso no lo hacen ni los del CSI. El disco cifrado en hardware es transparente, igual que los sectores LBA son transparentes para el SO. No tienes acceso a los datos cifrados: de eso se trata precisamente, evita un ataque de fuerza bruta.
El sistema de cifrado debe estar a nivel de archivo, independiente del dispositivo o del sistema operativo.
Ese es otro tipo de cifrado. A nivel de archivo lo hace la aplicación, no el sistema operativo. Es por ejemplo lo que hace el OOo al grabar un fichero, que lo encripta con GPG si se lo pides. Y es independiente del sistema operativo.
No existe eso de cifrado estandard. Hay quien dice que prefieren sistemas de cifrado que no conozca nadie.
Claro que no existe :-), por eso digo, que el sistema actual lo veo aún poco práctico y un tanto limitado para que tenga un uso masivo.
No lo veo así... el cifrado no es precisamente una cosa interactiva, tiene que ser limitado. Y en linux al menos tienes acceso a los algoritmos de cifrado y puedes modificarlos o rediseñarlos. En windows los compras y no sabes lo que pones.
Claro, que habrá sistemas que no funcionarán si el dueño no está vivo, como el análisis espectral de la voz.
Siempre se puede imitar o crear de forma artificial. Los sistema biométricos dentro de poco tiempo también serán vulnerables a la suplantación.
Es posible.
Los sistemas de cifrado buenos de disco en linux tienen dos "contraseñas". Uno es un llavero usb o tarjeta de memoria, con una clave de cifrado relativamente grande. Otro es una contraseña memorizada y larga (una frase) que sirve para desproteger el lapiz. Con ambas cosas el sistema genera la clave de descifrado del disco y lo puede montar. Los sistemas biométricos serían un paso más.
Es un sistema poco ágil :-/.
La agilidad es futíl: lo que se busca es calmar las paranoias. Cuando más complicado, mejor :-P ¿Sabes cual es el sistema de cifrado más seguro, para envio de mensajes o cartas? No es el PGP/GPG, sino el cifrado mediante clave de un sólo uso, donde la clave tiene el mismo tamaño que el mensaje. En otras palabras: cada letra del mensaje se cifra con una clave distinta. Cada byte del mensaje se codifica con un byte distinto. Es muy simple: sumas byte a byte sin overflow clave y mensaje. Es el de los espías. Llevaban un librito de claves con hojas, y a cada mensaje arrancaban y tiraban una hojita. El receptor posee el mismo libro, y cada espía es una pareja de libros nueva. Es indescifrable así tengas una galaxia de Crays. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.4-svn0 (GNU/Linux) iD8DBQFHhNWztTMYHG2NR9URAnz2AJ9BKDGe9aQUBmfHqqsfZWYXn+HUsgCfaWYu Dejim1/DKRpghxqvp+dzM8w= =uswe -----END PGP SIGNATURE-----
El 9/01/08, Carlos E. R. escribió:
¿porque no? Es transparente para tí.
Es que yo entiendo el cifrado de datos y la seguridad de una forma más flexible. Si depende de tantos factores (disco, firmware, sistema...) pues como que no me convence... de momento. Entiendo que todavía no es un sistema maduro, y mejorará. También entiendo que tal y como está hoy en día puede servir en ciertos entornos, pero (al igual que sistema de copias de seguridad) debe mejorar en cuanto facilidad de uso y transparencia para el usuario para que se extienda a todos los ámbitos.
Claro, igual que si no están cifrados. Siempre dependes por completo de él. ¿O es que te crees que puedes leer un disco con una manivela y una brújula? Dependes por completo del firmware que sabe donde están los sectores y como están marcados, de como magenitizar cada sector, de donde están remapeados los sectores jodidos, etc etc.
A ver, un firmware que mantiene información de cifrado "propietario" (de Seagate) no es igual que un firmware "estándar" que tiene información de control del disco duro. En el primer caso, dependes completamente del fabricante para tener acceso a esos datos (están cifrados con "su sistema"). Y es más sencillo que tenga fallos en esa capa de cifrado y tengas que actualizar (sí o sí) el firmware y al actualizar es más probable que se pueda generar otro problema.. y así. Los sistemas importantes (el almacenamiento de datos lo es) deben ser transparentes (estándares) para evitar estos problemas.
¿De donde te sacas que tus discos normales no cifran? El mío normalito lo hace, por lo menos los dos grandes que tengo. Otra cosa es que lo active, que no quiero, porque en linux no está comprobado que funcione.
Ah, pues ni idea... ¿y éso desde dónde se activa?
¿Pero que es lo que vas a portar? Sacas el disco y lo enchufas en otro PC: ya lo has portado. O lees los datos y los grabas en otro disco: ya lo has portado.
¿Que quieres portar, el plato giratorio sacarlo y ponerselo a otro disco porque se ha quemado un chip? Venga ya, eso no lo hacen ni los del CSI.
Quiero sacar los datos del disco, pasarlos a una llave usb y que se mantenga el cifrado y la seguridad. Quiero usar esa llave un cualquier sistema operativo y quiero que funcione de forma transparente, sin necesidad de instalar nada.
El disco cifrado en hardware es transparente, igual que los sectores LBA son transparentes para el SO. No tienes acceso a los datos cifrados: de eso se trata precisamente, evita un ataque de fuerza bruta.
Transparente, siempre cuando uses un dispositivo que lo soporte. A mi no me interesa Seagate ni su firmware, me interesa el cifrado de los datos, independientemente de dónde estén almacenados.
Ese es otro tipo de cifrado.
A ver... :-)
A nivel de archivo lo hace la aplicación, no el sistema operativo. Es por ejemplo lo que hace el OOo al grabar un fichero, que lo encripta con GPG si se lo pides. Y es independiente del sistema operativo.
Ya... no, pues tampoco me refiero a eso. Ya sé la idea no existe actualmente, sólo digo cómo me gustaría que fuera.
No lo veo así... el cifrado no es precisamente una cosa interactiva, tiene que ser limitado. Y en linux al menos tienes acceso a los algoritmos de cifrado y puedes modificarlos o rediseñarlos. En windows los compras y no sabes lo que pones.
Pues eso es un fallo: debe ser independiente del sistema, accesible y manipulable desde cualquier sistema que lo soporte. Un sistema de archivos independiente y abierto.
La agilidad es futíl: lo que se busca es calmar las paranoias. Cuando más complicado, mejor :-P
Ah, es que la información es poder :-)
¿Sabes cual es el sistema de cifrado más seguro, para envio de mensajes o cartas? No es el PGP/GPG, sino el cifrado mediante clave de un sólo uso, donde la clave tiene el mismo tamaño que el mensaje. En otras palabras: cada letra del mensaje se cifra con una clave distinta. Cada byte del mensaje se codifica con un byte distinto. Es muy simple: sumas byte a byte sin overflow clave y mensaje.
Interesante... dentro de poco se usarán sistemas cuánticos para estas cosas.
Es el de los espías. Llevaban un librito de claves con hojas, y a cada mensaje arrancaban y tiraban una hojita. El receptor posee el mismo libro, y cada espía es una pareja de libros nueva. Es indescifrable así tengas una galaxia de Crays.
Vaya... según la wiki, una de las divisiones de Cray fue comprada por SGI :-) Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Content-ID:
El 9/01/08, Carlos E. R. escribió:
¿porque no? Es transparente para tí.
Es que yo entiendo el cifrado de datos y la seguridad de una forma más flexible. Si depende de tantos factores (disco, firmware, sistema...) pues como que no me convence... de momento.
Siempre va a depender de todo. Tienes mucho sistemas para elegir: elige.
Entiendo que todavía no es un sistema maduro, y mejorará. También entiendo que tal y como está hoy en día puede servir en ciertos entornos, pero (al igual que sistema de copias de seguridad) debe mejorar en cuanto facilidad de uso y transparencia para el usuario para que se extienda a todos los ámbitos.
No, porque la criptografía siempre cambia con los tiempos, según el estado de la investigación matemática y esas cosas que no entiendo. No puedes estandarizarla porque se vuelve obsoleta pronto.
Claro, igual que si no están cifrados. Siempre dependes por completo de él. ¿O es que te crees que puedes leer un disco con una manivela y una brújula? Dependes por completo del firmware que sabe donde están los sectores y como están marcados, de como magenitizar cada sector, de donde están remapeados los sectores jodidos, etc etc.
A ver, un firmware que mantiene información de cifrado "propietario" (de Seagate) no es igual que un firmware "estándar" que tiene información de control del disco duro. En el primer caso, dependes completamente del fabricante para tener acceso a esos datos (están cifrados con "su sistema"). Y es más sencillo que tenga fallos en esa capa de cifrado y tengas que actualizar (sí o sí) el firmware y al actualizar es más probable que se pueda generar otro problema.. y así.
El firmware de lectura/escritura de disco ya es bastante complicado de por sí, pero funciona muy bien. El encriptado, que no creo que sea fuerte, es un añadido. Si lo venden, y hace años que lo venden, no creo que vaya a tener mayores problemas.
Los sistemas importantes (el almacenamiento de datos lo es) deben ser transparentes (estándares) para evitar estos problemas.
El sistema de grabación de datos en el disco no es estandar, cada fabricante tiene el suyo, y con mucha competencia para conseguir meter más datos en menos micras. No se si te das cuenta de que las magnetizaciones del disco deben ser tan leves que el campo magnético de la tierra, o del coche que petardea en la calle, son más fuertes, y que necesitan software para corregir los continuos errores de lectura que se producen. De todas formas ya dije desde el momento que no sé si cifran, o simplemente protegen el acceso con contraseña. En el segundo caso el plato es legible en otra unidad, porque no están ecriptados.
¿De donde te sacas que tus discos normales no cifran? El mío normalito lo hace, por lo menos los dos grandes que tengo. Otra cosa es que lo active, que no quiero, porque en linux no está comprobado que funcione.
Ah, pues ni idea... ¿y éso desde dónde se activa?
hdparm, lo dije el otro dia no se si en este o en otro hilo: --security-freeze Freeze the drive´s security settings. The drive does not accept any security commands until next power-on reset. Use this function in combination with --secu‐ rity-unlock to protect drive from any attempt to set a new password. Can be used standalone, too. --security-unlock PWD Unlock the drive, using password PWD. Password is given as an ASCII string and is padded with NULs to reach 32 bytes. The applicable drive password is selected with the --user-master switch. THIS FEATURE IS EXPERIMENTAL AND NOT WELL TESTED. USE AT YOUR OWN RISK. --security-set-pass PWD Lock the drive, using password PWD (Set Password) (DANGEROUS). Password is given as an ASCII string and is padded with NULs to reach 32 bytes. The applicable drive password is selected with the --user-master switch and the applicable security mode with the --security-mode switch. THIS FEATURE IS EXPERIMENTAL AND NOT WELL TESTED. USE AT YOUR OWN RISK. --security-disable PWD Disable drive locking, using password PWD. Password is given as an ASCII string and is padded with NULs to reach 32 bytes. The applicable drive password is selected with the --user-master switch. THIS FEATURE IS EXPERIMENTAL AND NOT WELL TESTED. USE AT YOUR OWN RISK. --security-erase PWD Erase (locked) drive, using password PWD (DANGEROUS). Password is given as an ASCII string and is padded with NULs to reach 32 bytes. The applicable drive password is selected with the --user-master switch. THIS FEATURE IS EXPERIMENTAL AND NOT WELL TESTED. USE AT YOUR OWN RISK. --security-erase-enhanced PWD Enhanced erase (locked) drive, using password PWD (DANGEROUS). Password is given as an ASCII string and is padded with NULs to reach 32 bytes. The applicable drive password is selected with the --user-master switch. THIS FEATURE IS EXPERIMENTAL AND NOT WELL TESTED. USE AT YOUR OWN RISK. --user-master USER Specifies which password (user/master) to select. Defaults to master. Only useful in combination with --security-unlock, --security-set-pass, --security- disable, --security-erase or --security-erase- enhanced. u user password m master password THIS FEATURE IS EXPERIMENTAL AND NOT WELL TESTED. USE AT YOUR OWN RISK. --security-mode MODE Specifies which security mode (high/maximum) to set. Defaults to high. Only useful in combination with --security-set-pass. h high security m maximum security THIS FEATURE IS EXPERIMENTAL AND NOT WELL TESTED. USE AT YOUR OWN RISK.
¿Pero que es lo que vas a portar? Sacas el disco y lo enchufas en otro PC: ya lo has portado. O lees los datos y los grabas en otro disco: ya lo has portado.
¿Que quieres portar, el plato giratorio sacarlo y ponerselo a otro disco porque se ha quemado un chip? Venga ya, eso no lo hacen ni los del CSI.
Quiero sacar los datos del disco, pasarlos a una llave usb y que se mantenga el cifrado y la seguridad. Quiero usar esa llave un cualquier sistema operativo y quiero que funcione de forma transparente, sin necesidad de instalar nada.
Lees el disco dando la clave, y lo grabas en el lapiz usb dando la clave del usb, si existe. Fácil. Sin instalar nada, y en cualquier sistema operativo. Fíjate que si lo que dices es que se puedan leer los datos encriptados tal cual del disco original y guardarlos con la misma encriptación en el disco de destino, eso es un fallo de seguridad gordo: el atacante me clona el disco protegido en un descuido, y luego se lo pasa al departamento de la CIA para que lo desencripte a fuerza bruta. ¡No gracias! Si no sabe la password, el disco no lee, punto. El ataque de fuerza bruta lo tiene que hacer sobre el disco original, y tenerlo en su poder los dias o meses o años que le hagan falta.
El disco cifrado en hardware es transparente, igual que los sectores LBA son transparentes para el SO. No tienes acceso a los datos cifrados: de eso se trata precisamente, evita un ataque de fuerza bruta.
Transparente, siempre cuando uses un dispositivo que lo soporte. A mi no me interesa Seagate ni su firmware, me interesa el cifrado de los datos, independientemente de dónde estén almacenados.
Compro un disco y viene con su sistema de protección integrado. O compras un disco y encriptas tú los datos, desde la aplicación, o desde el sistema operativo, Tienes tres niveles de encriptación a elegir: físico, sistema, aplicación. El que tu dices es el último.
Ese es otro tipo de cifrado.
A ver... :-)
A nivel de archivo lo hace la aplicación, no el sistema operativo. Es por ejemplo lo que hace el OOo al grabar un fichero, que lo encripta con GPG si se lo pides. Y es independiente del sistema operativo.
Ya... no, pues tampoco me refiero a eso. Ya sé la idea no existe actualmente, sólo digo cómo me gustaría que fuera.
Pues ya la desarrollarás :-)
No lo veo así... el cifrado no es precisamente una cosa interactiva, tiene que ser limitado. Y en linux al menos tienes acceso a los algoritmos de cifrado y puedes modificarlos o rediseñarlos. En windows los compras y no sabes lo que pones.
Pues eso es un fallo: debe ser independiente del sistema, accesible y manipulable desde cualquier sistema que lo soporte. Un sistema de archivos independiente y abierto.
El ext3 es independiente y abierto: dile a Microsoft que lo use :-P ¡venga ya!
La agilidad es futíl: lo que se busca es calmar las paranoias. Cuando más complicado, mejor :-P
Ah, es que la información es poder :-)
¿Sabes cual es el sistema de cifrado más seguro, para envio de mensajes o cartas? No es el PGP/GPG, sino el cifrado mediante clave de un sólo uso, donde la clave tiene el mismo tamaño que el mensaje. En otras palabras: cada letra del mensaje se cifra con una clave distinta. Cada byte del mensaje se codifica con un byte distinto. Es muy simple: sumas byte a byte sin overflow clave y mensaje.
Interesante... dentro de poco se usarán sistemas cuánticos para estas cosas.
No, eso será la muerte de la criptografía de usuario. El poder de cálculo de un ordenador cuántico destroza los algoritmos a fuerza bruta en tiempos ridículos, frente a los años o siglos de CPU que hacen falta ahora. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.4-svn0 (GNU/Linux) iD8DBQFHhS5XtTMYHG2NR9URAuj4AKCBLIlc5QpF0yD0eZZa3H+NcJv3NwCdG1Jn GuGcJFPisp7MEEdER1NkNn8= =WrdA -----END PGP SIGNATURE-----
El 9/01/08, Carlos E. R. escribió:
Siempre va a depender de todo. Tienes mucho sistemas para elegir: elige.
Sí, bueno, es cierto...
No, porque la criptografía siempre cambia con los tiempos, según el estado de la investigación matemática y esas cosas que no entiendo. No puedes estandarizarla porque se vuelve obsoleta pronto.
Claro que cambia... y cambiará. Pero sea cual fuere la evolución, debe mantenerse estándar y abierta, ser transparente. Sólo así se podría garantizar su funcionamiento, ajeno siempre a las pretensiones particulares de cada fabricante :-).
El firmware de lectura/escritura de disco ya es bastante complicado de por sí, pero funciona muy bien. El encriptado, que no creo que sea fuerte, es un añadido. Si lo venden, y hace años que lo venden, no creo que vaya a tener mayores problemas.
Estaba pensando... el cifrado podría estar, no en el disco (firmware) sino en un dispositivo externo (portable y reutilizable en todo tipo de unidades de almacenamiento) que se encargue de cifrar esos datos a petición del usuario. Es decir, conectas el chisme, detecta las unidades de disco (todas, discos duros, usb, llaveros, memorias, dvd, cd...) y que te permita elegir la que quieres cifrar / descifrar, nivel de seguridad -de cifrado-, tipo de cifrado, a nivel de archivo o toda la unidad, etc... O:-)
El sistema de grabación de datos en el disco no es estandar, cada fabricante tiene el suyo, y con mucha competencia para conseguir meter más datos en menos micras. No se si te das cuenta de que las magnetizaciones del disco deben ser tan leves que el campo magnético de la tierra, o del coche que petardea en la calle, son más fuertes, y que necesitan software para corregir los continuos errores de lectura que se producen.
Al sistema de discos magnéticos y mecánicos ya le queda poco... creo que lo último en ésto lo ha desarrollado Hitachi (antes era la división de discos duros de IBM) y en su nueva unidad de disco ha llegado al tera de capacidad con el sistema perpendicular (cuidado con la cancioncilla* que es muy pegadiza...) y añadiendo más platos:
De todas formas ya dije desde el momento que no sé si cifran, o simplemente protegen el acceso con contraseña. En el segundo caso el plato es legible en otra unidad, porque no están ecriptados.
Hum...
hdparm, lo dije el otro dia no se si en este o en otro hilo:
(...) Ya, pero entonces depende del sistema donde está instalado... me refería mediante jumper o bios, por ejemplo :-?
Lees el disco dando la clave, y lo grabas en el lapiz usb dando la clave del usb, si existe. Fácil. Sin instalar nada, y en cualquier sistema operativo.
Fale.
Fíjate que si lo que dices es que se puedan leer los datos encriptados tal cual del disco original y guardarlos con la misma encriptación en el disco de destino, eso es un fallo de seguridad gordo: el atacante me clona el disco protegido en un descuido, y luego se lo pasa al departamento de la CIA para que lo desencripte a fuerza bruta. ¡No gracias! Si no sabe la password, el disco no lee, punto. El ataque de fuerza bruta lo tiene que hacer sobre el disco original, y tenerlo en su poder los dias o meses o años que le hagan falta.
Vale, sí. Por eso decía que en algunos entornos el sistema actual es válido. Yo lo prefiero más flexible y dinámico, y con varios niveles de cifrado... porque no todos los tipos de datos requieren el mismo tratamiento y confidencialidad... je :-)
Compro un disco y viene con su sistema de protección integrado.
O compras un disco y encriptas tú los datos, desde la aplicación, o desde el sistema operativo,
Tienes tres niveles de encriptación a elegir: físico, sistema, aplicación. El que tu dices es el último.
Aplicación, vale, pero estándar e independiente del sistema O:-)
Pues ya la desarrollarás :-)
Yo pongo la idea (desarrollada de forma muy genérica para que aplique a "tó"), la patento y luego me forro por el uso de la patente :-P
El ext3 es independiente y abierto: dile a Microsoft que lo use :-P
¡venga ya!
Es que Microsoft es una "hipótesis innecesaria" en ésto... :-) ¿quién le tiene en cuenta?
No, eso será la muerte de la criptografía de usuario. El poder de cálculo de un ordenador cuántico destroza los algoritmos a fuerza bruta en tiempos ridículos, frente a los años o siglos de CPU que hacen falta ahora.
Ahí, ahí. Por eso los sistemas actuales de cifrado no sirven :-P * http://www.hitachigst.com/hdd/research/recording_head/pr/PerpendicularAnimat... Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2008-01-10 a las 11:33 +0100, Camaleón escribió:
El 9/01/08, Carlos E. R. escribió:
Siempre va a depender de todo. Tienes mucho sistemas para elegir: elige.
Sí, bueno, es cierto...
No, porque la criptografía siempre cambia con los tiempos, según el estado de la investigación matemática y esas cosas que no entiendo. No puedes estandarizarla porque se vuelve obsoleta pronto.
Claro que cambia... y cambiará. Pero sea cual fuere la evolución, debe mantenerse estándar y abierta, ser transparente. Sólo así se podría garantizar su funcionamiento, ajeno siempre a las pretensiones particulares de cada fabricante :-).
En el caso del hardware, lo dudo; lo mismo que no publican su bios actualmente, tampoco van a publicar eso. Tendrían que hacer la bios del disco duro flasheable, accesible a programación externa... la cagas, se pierden los datos por culpa del cliente, y encima tratan de demandar al farbicante por la perdida de sus datos existenciales. ¡Nanay! Ni en la peor pesadilla del fabricante harían eso.
El firmware de lectura/escritura de disco ya es bastante complicado de por sí, pero funciona muy bien. El encriptado, que no creo que sea fuerte, es un añadido. Si lo venden, y hace años que lo venden, no creo que vaya a tener mayores problemas.
Estaba pensando... el cifrado podría estar, no en el disco (firmware) sino en un dispositivo externo (portable y reutilizable en todo tipo de unidades de almacenamiento) que se encargue de cifrar esos datos a petición del usuario. Es decir, conectas el chisme, detecta las unidades de disco (todas, discos duros, usb, llaveros, memorias, dvd, cd...) y que te permita elegir la que quieres cifrar / descifrar, nivel de seguridad -de cifrado-, tipo de cifrado, a nivel de archivo o toda la unidad, etc... O:-)
Vale, eso lo tiene que integrar la bios o el sistema, y estas entrando en un farragal de cuidado: porque eso casi casi es lo que hace el sistema de protección de medios que querían aplicar las distribuidoras de cine y otras cosas. Un hardware incluido en la CPU, y otro chip especializado, y que si detecta que el fichero no lo has pagado, o tel o bloquea o te lo borra. Está en el disco, pero no puedes leerlo. Cuidadín, que ese tipo de servicios en la placa me dan pánico. Cuando quieren encriptar algo y protegerlo, no se hace así. Fíjate en la multimedia encriptada "new style". Está encriptada en el DVD de nueva generación. Se lee encriptada, sin decodificar, lo lee la cpu, pasa por memoria, buses... siempre encriptada, hasta que llega a la pantalla o la tarjeta de vídeo: ahora es cuando se descifra. Ningún punto del ordenador donde se pueda acceder por software está el flujo de datos en claro: fuera hackers y crakers. Pirateo imposible (supongo que asociado a que el hardware se negará a copiarlo con el chip implantado en la placa). ¿Que no te gusta? Pero a "ellos" sí, asín que ajo y agua pa' nosotros.
El sistema de grabación de datos en el disco no es estandar, cada fabricante tiene el suyo, y con mucha competencia para conseguir meter más datos en menos micras. No se si te das cuenta de que las magnetizaciones del disco deben ser tan leves que el campo magnético de la tierra, o del coche que petardea en la calle, son más fuertes, y que necesitan software para corregir los continuos errores de lectura que se producen.
Al sistema de discos magnéticos y mecánicos ya le queda poco... creo que lo último en ésto lo ha desarrollado Hitachi (antes era la división de discos duros de IBM) y en su nueva unidad de disco ha llegado al tera de capacidad con el sistema perpendicular (cuidado con la cancioncilla* que es muy pegadiza...) y añadiendo más platos:
* http://www.hitachigst.com/hdd/research/recording_head/pr/PerpendicularAnimat...
¡ARGGGHHH! ¿En eso pierden el tiempo y gastan el dinero los fabricantes? ¡Me he sentido en el parvulario! :-P Hace ya tiempo de ese invento, creo que Seagate lo usa también.
De todas formas ya dije desde el momento que no sé si cifran, o simplemente protegen el acceso con contraseña. En el segundo caso el plato es legible en otra unidad, porque no están ecriptados.
Hum...
Lo que se busca es que si te roban el disco no puedan leerte los datos. Un ladronzuielo cualquiera, no. Lo que puede hacer es resetear la password, operación que borra todos los bytes al mismo tiempo, todos los fichero perdidos, con lo cual tu serguridad queda a salvo. Eso está muy bien para portátiles: si funcionase fácil y seguramente, yo me olvidaría de encriptar todo el disco para proteger un portatil, puesto que funciona mucho más rápido sin gasto de cpu. Cada vez que se enciende me pide la password, y listo.
hdparm, lo dije el otro dia no se si en este o en otro hilo:
(...)
Ya, pero entonces depende del sistema donde está instalado... me refería mediante jumper o bios, por ejemplo :-?
Imagino que no está en la bios porque dependerá del fabricante o no será estandard, o no lo han hecho todavía, no se. No depende del sistema operativo, depende del hardware del disco. Son simplemente las llamadas de la utilidad para activarlo las que no funcionan todavía, y no se si tienen esperanzas de conseguirlo o no.
Lees el disco dando la clave, y lo grabas en el lapiz usb dando la clave del usb, si existe. Fácil. Sin instalar nada, y en cualquier sistema operativo.
Fale.
Fíjate que si lo que dices es que se puedan leer los datos encriptados tal cual del disco original y guardarlos con la misma encriptación en el disco de destino, eso es un fallo de seguridad gordo: el atacante me clona el disco protegido en un descuido, y luego se lo pasa al departamento de la CIA para que lo desencripte a fuerza bruta. ¡No gracias! Si no sabe la password, el disco no lee, punto. El ataque de fuerza bruta lo tiene que hacer sobre el disco original, y tenerlo en su poder los dias o meses o años que le hagan falta.
Vale, sí. Por eso decía que en algunos entornos el sistema actual es válido. Yo lo prefiero más flexible y dinámico, y con varios niveles de cifrado... porque no todos los tipos de datos requieren el mismo tratamiento y confidencialidad... je :-)
No, claro.
Compro un disco y viene con su sistema de protección integrado.
O compras un disco y encriptas tú los datos, desde la aplicación, o desde el sistema operativo,
Tienes tres niveles de encriptación a elegir: físico, sistema, aplicación. El que tu dices es el último.
Aplicación, vale, pero estándar e independiente del sistema O:-)
Y lo es. El OpenOffice.org lo hace.
Pues ya la desarrollarás :-)
Yo pongo la idea (desarrollada de forma muy genérica para que aplique a "tó"), la patento y luego me forro por el uso de la patente :-P
Ah, vale. El bote es intereante, a vivir :-)
El ext3 es independiente y abierto: dile a Microsoft que lo use :-P
¡venga ya!
Es que Microsoft es una "hipótesis innecesaria" en ésto... :-) ¿quién le tiene en cuenta?
Si estás hablando de interoperatibilidad...
No, eso será la muerte de la criptografía de usuario. El poder de cálculo de un ordenador cuántico destroza los algoritmos a fuerza bruta en tiempos ridículos, frente a los años o siglos de CPU que hacen falta ahora.
Ahí, ahí. Por eso los sistemas actuales de cifrado no sirven :-P
Yo dudo que puedan existir sistemas de cifrado en software cuando se inventen los ordenadores cuanticos reales. Será la muerte del comercio electrónico. Ojito. - -- Saludos Carlos E.R.
-----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.4-svn0 (GNU/Linux) iD8DBQFHhgKgtTMYHG2NR9URAhZYAJ9T14N6zzt+AAk9+D0e8MbBtwM80wCeJ3AC kEXOeVV3NtIhfRIgkBTDkEE= =T9Vr -----END PGP SIGNATURE-----
Duncan Mac-Vicar Prett escribió:
On Monday 07 January 2008 21:14:44 Pedro Marquina wrote:
¿eso mismo lo pueden hacer desde el windows hacia el linux? ya que si es así un programa malintencionado en windows podría modificar linux y desde ese acceder a la red.
Si instalas ext3fs browser en Windows, puedes hacer lo que te plazca en Linux sin ser root, desde Windows.
Un sistema operativo no puede hacer nada por la seguridad si no esta ejecutando, y si los datos no estan encriptados.
Y mucho menos si no está restringido el acceso físico.
Duncan --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-- Saludos. César Enfréntate a los malos; enfréntate a los crueles; enfréntate a todos, menos a los tontos. Son demasiados y siempre serás derrotado. (Proverbio hindú) --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
participants (9)
-
Camaleón
-
Carlos E. R.
-
csalinux
-
Doctor Nemo
-
Duncan Mac-Vicar Prett
-
J.M.Queralt
-
Pedro Marquina
-
Rafa Grimán
-
Rafa Grimán