Hardware Upgrade Forum - View Single Post

Michelinux · 05-01-2008, 03:21

irciverson sei per caso alle prese con l'esame si S.O.S. ?

Chiacchere a parte, ho trovato che gli algoritmi crittografici usati da EFS sono diversi a seconda della versione del MS-OS montato:

- Windows 2000, utilizza soltanto DESX (eXtended Data Encryption Standard)
- versioni di Windows XP precedenti al SP1 utilizzano soltanto DESX o Triple-DES (3DES)
- Windows XP con SP1 o piu recente può utilizzare DESX, 3DES, o AES

Premetto che non ho molta esperienza su sistemi MS, ma da cio che ho capito EFS usa un device-mapper: un framework generico utilizzato per mappare una periferica a blocchi all’interno di un’altra, e cripta/decripta in tempo reale tutti i dati come in una pipe-line. Questo sistema è supportato soltanto su NTFS. E' l'unico nativo supportato da MS-OS e quindi è gia ben descritto sul sito di MS e non mi dilungo a descriverlo. Volendo si possono installare software di terze parti che possono creare e crittografare partizioni dell'hardisc usando Blowfish o AES 128-256, etc...

Linux offre diversi sistemi per crittografare porzioni di hardisc, come crypto-loop, dm-crypt, loop-AES, svnd (oBSD), GBDE (fBSD).
crypto-loop è un modulo di cifratura del disco che fa uso della CryptoAPI della serie kernel 2.6. La sua funzionalità è incorporata nel device mapper: un framework generico utilizzato per mappare una periferica a blocchi all’interno di un’altra. Questo strumento può creare file system crittografati dentro un file regolare sul FS: una volta che il file è criptato, può essere mosso su un’altro storage device. Questo è reso possibile grazie al loop device, uno pseudo device che permette che un file normale sia montato come se gosse un device fisico. Criptando I/O nel loop device ogni dato a cui verrà fatto accessso dovrà prima essere decrittato prima di passare attraverso il file system regolare, e il contrario vale per la memorizzazione di file nel loop device. Con questo sistema Linux ha introdotto la possibilità di tenere un file di loopback criptato in real-time su disco, demandandone la gestione direttamente al kernel. Non necessita di patch al kernel, è in grado di utilizzare tutti i cifrari supportati dal kernel e lavora in real-time. Il difetto principale è che è sensibile ad attacchi di tipo watermarks, è piu lento degli altri sistemi, non permette di criptare lo swap ed è sconsigliato su FS journaled.
dm-crypt è un sottosistema di cifratura del disco trasparente, a partire dal kernel 2.6. Il sistema si basa sullo stesso principio di crypto-loop, con la differenza che è stato progettato per supportare operazioni in modalità avanzate, come ESSIV e LRW in modo da evitare attacchi di tipo watermarking. Questa applicazione supporta la cifratura di interi dischi, partizioni, volumi logici, cosi come fils e può essere usato con qualsiasi file-system. Supporta la cifratura dello spazio di swap e i FS journaled, ed è piu veloce di crypto-loop.
loop-AES è un sistema sviluppato per sopperire ai problemi rilevati negli altri metodi di gestione dell'encryption con particolare attenzione verso le performance e si basa su una applicazione che legge da stdin e scrive su stdout chiamata aes-pipe. Loop-AES ha un'esecuzione estremamente veloce ed altamente ottimizzata di Rijndael (AES) in linguaggio assembler e quindi fornisce le prestazioni massime su una CPU IA-32 (x86). Quello che fa sostanzialmente Loop AES è basarsi su una applicazione che legge da stdin e scrive su stdout chiamata aes-pipe, ed è quindi molto veloce e adatta al lavoro in real-time di grandi volumi. Tuttavia necessita di patch esterne al kernel ed allo userland, che richiedono molta cura nel setup e nella manutenzione.
svnd è l’equivalente di Loop-AES per oBSD si presta purtroppo ad attacchi offline basati su dizionario. E' molto veloce, ma supporta solo Blowfish
GBDE è equivalente di Loop-AES per fBSD, utilizza crittografia forte con diversi algoritmi, autenticazione a due fattori, e l'utilizzo di un salt per evitare attacchi offline basati su password. E' ritenuta l'implementazione più sicura tra quelle illustrate.

Queste sono alcune tra le tecnologie piu conosciute nel modo GNU linux/unix per la crittografia del FS, ma non esiste una risposta universale. Dipende dal compromesso che riusciamo a stabilire tra necessità di riservatezza, semplicità di utilizzo e funzionalità necessarie disponibili. Inoltre non è possibile utilizzare più di uno di questi meccanismi sullo stesso sistema. Il principale motivo è la personalizzazione degli strumenti in userspace.

Spero di non essere andato [OT]

05-01-2008, 03:21	#7
Michelinux Junior Member Iscritto dal: Sep 2006 Messaggi: 6	irciverson sei per caso alle prese con l'esame si S.O.S. ? Chiacchere a parte, ho trovato che gli algoritmi crittografici usati da EFS sono diversi a seconda della versione del MS-OS montato: - Windows 2000, utilizza soltanto DESX (eXtended Data Encryption Standard) - versioni di Windows XP precedenti al SP1 utilizzano soltanto DESX o Triple-DES (3DES) - Windows XP con SP1 o piu recente può utilizzare DESX, 3DES, o AES Premetto che non ho molta esperienza su sistemi MS, ma da cio che ho capito EFS usa un device-mapper: un framework generico utilizzato per mappare una periferica a blocchi all’interno di un’altra, e cripta/decripta in tempo reale tutti i dati come in una pipe-line. Questo sistema è supportato soltanto su NTFS. E' l'unico nativo supportato da MS-OS e quindi è gia ben descritto sul sito di MS e non mi dilungo a descriverlo. Volendo si possono installare software di terze parti che possono creare e crittografare partizioni dell'hardisc usando Blowfish o AES 128-256, etc... Linux offre diversi sistemi per crittografare porzioni di hardisc, come crypto-loop, dm-crypt, loop-AES, svnd (oBSD), GBDE (fBSD). crypto-loop è un modulo di cifratura del disco che fa uso della CryptoAPI della serie kernel 2.6. La sua funzionalità è incorporata nel device mapper: un framework generico utilizzato per mappare una periferica a blocchi all’interno di un’altra. Questo strumento può creare file system crittografati dentro un file regolare sul FS: una volta che il file è criptato, può essere mosso su un’altro storage device. Questo è reso possibile grazie al loop device, uno pseudo device che permette che un file normale sia montato come se gosse un device fisico. Criptando I/O nel loop device ogni dato a cui verrà fatto accessso dovrà prima essere decrittato prima di passare attraverso il file system regolare, e il contrario vale per la memorizzazione di file nel loop device. Con questo sistema Linux ha introdotto la possibilità di tenere un file di loopback criptato in real-time su disco, demandandone la gestione direttamente al kernel. Non necessita di patch al kernel, è in grado di utilizzare tutti i cifrari supportati dal kernel e lavora in real-time. Il difetto principale è che è sensibile ad attacchi di tipo watermarks, è piu lento degli altri sistemi, non permette di criptare lo swap ed è sconsigliato su FS journaled. dm-crypt è un sottosistema di cifratura del disco trasparente, a partire dal kernel 2.6. Il sistema si basa sullo stesso principio di crypto-loop, con la differenza che è stato progettato per supportare operazioni in modalità avanzate, come ESSIV e LRW in modo da evitare attacchi di tipo watermarking. Questa applicazione supporta la cifratura di interi dischi, partizioni, volumi logici, cosi come fils e può essere usato con qualsiasi file-system. Supporta la cifratura dello spazio di swap e i FS journaled, ed è piu veloce di crypto-loop. loop-AES è un sistema sviluppato per sopperire ai problemi rilevati negli altri metodi di gestione dell'encryption con particolare attenzione verso le performance e si basa su una applicazione che legge da stdin e scrive su stdout chiamata aes-pipe. Loop-AES ha un'esecuzione estremamente veloce ed altamente ottimizzata di Rijndael (AES) in linguaggio assembler e quindi fornisce le prestazioni massime su una CPU IA-32 (x86). Quello che fa sostanzialmente Loop AES è basarsi su una applicazione che legge da stdin e scrive su stdout chiamata aes-pipe, ed è quindi molto veloce e adatta al lavoro in real-time di grandi volumi. Tuttavia necessita di patch esterne al kernel ed allo userland, che richiedono molta cura nel setup e nella manutenzione. svnd è l’equivalente di Loop-AES per oBSD si presta purtroppo ad attacchi offline basati su dizionario. E' molto veloce, ma supporta solo Blowfish GBDE è equivalente di Loop-AES per fBSD, utilizza crittografia forte con diversi algoritmi, autenticazione a due fattori, e l'utilizzo di un salt per evitare attacchi offline basati su password. E' ritenuta l'implementazione più sicura tra quelle illustrate. Queste sono alcune tra le tecnologie piu conosciute nel modo GNU linux/unix per la crittografia del FS, ma non esiste una risposta universale. Dipende dal compromesso che riusciamo a stabilire tra necessità di riservatezza, semplicità di utilizzo e funzionalità necessarie disponibili. Inoltre non è possibile utilizzare più di uno di questi meccanismi sullo stesso sistema. Il principale motivo è la personalizzazione degli strumenti in userspace. Spero di non essere andato [OT]