Šifrování (Flash)

[Brogg]

Zdravím všechny,
mám jasné požadavky, ale nenašel jsem už tak jasné řešení. Budu rád za každou radu či pomoc.

Požadavky:
- flash disk s hw přepínačem pro zápis (více v tomto vlákně)
- šifrování dat na tomto disku (minimální velkost šifrované části 2GB)
- přístup k šifrované části i na pc bez admin práv
- bezpečnost: nevyužívání dočasných adresářů k rozbalení souborů (zejm. bez vědomí uživatele a bez znalosti využitého adresáře)
- podpora wxp a w7
- výhoda: podpora více platforem (Linux, MacOS) i 64-bitového os (např. w7 64bit)
- výhoda: virtual keyboard (ochrana před keyloggery)

Důvody (kdyby někdo chtěl odpovědi na otázku proč to všechno):
- každý den pracuji na pc bez admin práv (politika některých pracovišť)
- pracuji s podklady, které jsou kryty autorskými právy a já mám podklady pouze zapůjčeny (jedná se zejm. o fotografie preparátů a animace biologických procesů, které nejsou běžně k dispozici)
- chci zabránit zcizení materiálů z flash disku, resp. jejich zneužití
- přepínač má zabránit infikování, které se pravidelně opakuje na různých pc pro prezentace

Samozřejmě jsem již hledal a:
1. flash disk s přepínačem a s hw šifrováním je v ČR téměř nedosažitelný (neberu v úvahu pseudošifrování některých značek) - za rady v této oblasti budu obzvláště rád.
2. flash disk s přepínačem a s hw šifrováním je k dispozici v zahraničí a to konkrétně značka Kanguru typ Defender
3. při zakoupení flash disku s přepínačem bez hw šifrování a snaze využít sw řešení jsem narazil:
- na pc bez admin práv nevyužiji přímo šifrovací program (rozumné vysvětlení jsem našel zejm. ze strany Truecrypt)
- pro přístup do šifrovaného svazku mohu využít jiné programy:
Truecrypt-TCExplorer (nejnovější verze truecrypt již není podporována)
FreeOTFE-FreeOTFE Explorer
Rohos Mini Drive (Rohos Disk Encryptiton)-Rohos Disk Browser
Všechny zmíněné programy mají tedy velmi podobné řešení pro situaci bez administrátorských práv.
- možné je použít i archivační programy a jejich portable verze (samozřejmě bez větších možností nastavení šifrování), které lze použít na pc i bez admin práv
- některá řešení nejsou vhodná - např. nastavení souborového systému ext2 na flash bez dalšího šifrování a využití ext2ifs pro přístup z windows nepovažuji za řešení, ale za spoléhání na nevzdělanost lidí (neoznačuji to však za ochranu dat)
Malý přehled šifrovacích programů naleznete např. zde.

Rád bych se zeptal, zda při využití jedné možnosti (FreeOTFE, Rohos) nebo druhé (WinRAR, 7zip), dochází při manipulaci se soubory na pc bez admin práv k jejich rozbalení do dočasných adresářů. Nebo zda práce uvniř šifrovaného svazku je zajištěna jiným způsobem.

Díky za konstruktivní diskuzi.

[Fox!MURDER]

tak nejak se obavam, ze resis neresitelne. teda pokud ti jde o opravdouvou bezpecnost dat.
jedina bezpecna varianta je mala nesifrovana flashka, na kterou si vzdy zkopirujes jen to, co budes prezentovat a nasledne ji zase zformatujes. popripade prezentovat z vlastniho NTB, kterej pripojis jen k projektoru, uz ne do site, nebo nejakyho usb.

data zasifrovana na flashce jsou sice v 'bezpeci', kdyz ti ji nekdo vytahne z kapsy, ale v momente, kdy s tema datama pracujes na neduveryhodnym stroji, je temer automaticky kompromitujes. zvlast, kdyz nemas admin prava, ale ani s admin pravama nemas nic jisty. neni nic jednodussiho, nez udelat memory dump v momente, kdy si tu prezentaci z flashky otviras. data z flashky na disk zkopirujes stejne jednoduse... hledani klice v memory dumpu uz tak trivialni nebude, ale sam rikas, ze sazka na neznalost neni zabezpeceni.

totez vpodstate plati o HW encrypted flashkach. pokud se ti pripoji jako beznej filesystem, tak staci admin prava a vzdalenej pristup na to, abych z ni ty data dostal ven. pokud se pouziva neco na zpusob 'exploreru', tak je asi nejjednodussi chytat provoz na USB a v nem ten klic taky musi probehnout. data uz pak vylovis, nez je flashka vytazena z pc ...

(popisuju to jako uplny triviality, coz vzasade nejsou, resp. jsou pro cloveka, kterej vi co dela. a pokud maji tva data dostatecnou cenu, urcite se da zaplatit)

[Brogg]

Cenu ta data mají, proto se ptám, ale ne zas obrovskou. Na druhou stranu na těch pracovních stanicích je takovej bordel, že ani opakované upozorňování na zavirování k ničemu nevedlo (používají přeci aktualizovaný avg a přesněji šlo o nějakou verzi viru kido). Netbook pro prezentace samozřejmě mám, ale vga kabely k projektoru jsou svázány pod stolem, takže mohu nosit asi vlastní prodlužku...

Vím, že toto video není odpovědí na můj dotaz, ale kéž by to bylo tak jednoduché... Zeptám se tedy jinak, existuje alespoň částečné zapezpečení při dosažitelné ceně? Mám tím na mysli, zda mohu pracovat s daty na pc bez admin práv, aniž by se rozbalily trvale na disk? Nepředpokládám, že by někdo doloval již smazaná data nebo prohledával paměť. Info: po prezentaci vždy mohu pc vypnout.

[brazilterrorist]

Bojím se, že Fox má pravdu. Systém je tak bezpečný, jak je jeho nejslabší část a to je v tvém případě koncová stanice u projektoru. Takže ta prodlužka je sice asi nepohodlná, ale proti ostatním variantám jednoduchá a relativně neprůstřelná.

[Fox!MURDER]

Vím, že toto video není odpovědí na můj dotaz, ale kéž by to bylo tak jednoduché... Zeptám se tedy jinak, existuje alespoň částečné zapezpečení při dosažitelné ceně? Mám tím na mysli, zda mohu pracovat s daty na pc bez admin práv, aniž by se rozbalily trvale na disk? Nepředpokládám, že by někdo doloval již smazaná data nebo prohledával paměť. Info: po prezentaci vždy mohu pc vypnout.

teoreticky by mohlo ... pokud ti teda staci ochrana pred primitivnima utokama.
nevim jak to jde resit ve windows, ale v linuxu by tohle bylo vcelku vpohode realizovatelny i bez temp souboru a admin prav ... predpokladam, ze podobnej trik by mohl jit udelat i s widlema ...

[Brogg]

Není zvláštní, že podobnou situaci řeší více lidí, ale zvláštní už je, že nikdo nenašel vhodné řešení... Ale ano, asi řešíme neřešitelné
Zeptám se tedy jinak. Když budu chtít využít flashku (např. v situaci, kdy se nemohu připojit k projektoru - pro mě to jsou cca dvě situace) a bude to jen pro OS Windows. Požaduji alespoň primitivní ochranu, což znamená:
- data na flash šifrovaná
- při odchodu nezůstanou soubory na disku v žádných temp adresářích
V případě využití FreeOFTE, Rohos Mini Drive nebo archivačních programů (WinRAR, 7zip) mám alespoň toto zajištěno?

[Fox!MURDER]

Není zvláštní, že podobnou situaci řeší více lidí, ale zvláštní už je, že nikdo nenašel vhodné řešení... Ale ano, asi řešíme neřešitelné
Zeptám se tedy jinak. Když budu chtít využít flashku (např. v situaci, kdy se nemohu připojit k projektoru - pro mě to jsou cca dvě situace) a bude to jen pro OS Windows. Požaduji alespoň primitivní ochranu, což znamená:
- data na flash šifrovaná
- při odchodu nezůstanou soubory na disku v žádných temp adresářích
V případě využití FreeOFTE, Rohos Mini Drive nebo archivačních programů (WinRAR, 7zip) mám alespoň toto zajištěno?

winrar/7zip urcite ne - ty pouzivaji temp adresare pro rozbaleni.
ten softik ve videu vypada, ze umi to, co chces.

jeste me tak napadla jedna varianta ... boot linuxu z usb to by byla asi nejbezpecnejsi varianta ze vsech

[Brogg]

Ano, Rohos to umí a navíc má i virtual keyboard, což těší...

EDIT: Celý příspěvek doplněn o další informace, tak aby případně posloužil i ostatním

ROHOS
Citace z oficiálních stránek:

File Virtualization - open files on PC with no Admin rights via Rohos Disk Browser in associated application without first decrypting them into temporary folder.

Pro Disk Browser (program pro použití bez admin práv) platí:

• Double-clicking on a file will decrypt it into a temporary directory (on the USB drive), from which the file will be opened.
• Once you have finished working with Disk Browser, the program will offer to delete the temporary files. You can choose to destroy or to keep them, as you wish.
• The program works only with Rohos disks, in NTFS/ FAT/ FAT32 formats, and in "read-only" (NTFS) and "read-write" (FAT/FAT32) modes.
• The 'save' function can be used to copy one or many files or directories form Rohos Disk Browser into any other directory.

Další citace (článek zde):

• You can double click any file to open it in its associated program. Rohos will temporarily decrypt the file and load it into the temp directory it creates on your USB memory device in order for the system application to access it.
• You can save any file within the Rohos Disk Browser to the local computer by accessing the File›Save function. The software will prompt you to enter the designated folder location to store the decrypted file.
• To copy any file from your local computer to this container file (and encrypt it at the same time), just drag and drop any file from any file directory to the Disk Browser Window.
• To shut down the program, simply close the Browser Window. The software will prompt for confirmation to clean up any decrypted files in the temporary directory.

Nevýhodou je uzavřenost systému (komerční sw), který může mít své slabiny. Pro "primitivní" (chápej základní) ochranu by měl být ale dostatečný.


7-ZIP
Můžete nastavit cestu adresáře dočaných souborů.


WINRAR
Také můžete nastavit cestu adresáře dočaných souborů. Navíc od verze 3.80 má program v nastavení možnost bezpečně odstranit dočasné soubory.

Wipe temporary files" option in "Settings/Security" dialog provides more secure, though slower, way to delete temporary WinRAR files.

FreeOFTE
Nenašel jsem informace, jak program nakládá s dočasnými soubory... Škoda, možná blbě hledám.


BOOT Z USB
Bootování z usb mě samozřejmě napadlo, ale má to háček - musel by ten stroj mít nastaveno bootování z usb a to je trochu problém (občas je situace, kdy je přístup do biosu zaheslovaný, že...). Pokud se mýlím, budu rád, když mě opravíte.