Ma bezny uzivatel dovod na kryptovanie?

[PiT]

Kořka:

Na to snad staci korektne nastaveny operacny system (multiuzivatelsky)...

[xvojta]

Já zkusím shrnout, proč šifrovat jako soukromá osoba. Chápu argumenty všech, všechny jsou pravdivé, ale vetšina je zaměřena na konkrétní cíl/problém či hledá jistá řešení, atd...

Možnost šifrování (důvod) musí mít uživatel z PRINCIPU. Jsou to moje data (moje duševní vlastnictví) a je ÚPLNĚ JEDNO jestli je to jeden soubor a jestli se "dají případně tyto informace vyšmelit či koupit", já prostě nechci aby se dostali k někomu jinému v čitelné podobě a on s nimi mohl jakkoliv nakládat.

Takže principielně KAŽDÝ uživatel MÁ důvod šifrovat. Konkrétní případy a realita je zase trošišku někde jinde. Ale pokud otázka stojí obecně, pak obecná odpověď je ANO.

[PiT]

xvojta:

Jaaa, jaaa, jaaaa, jenom jaaa....

Mas pravdu... z TVOJHO pohladu Nie OBECNA odpoved je ano... ale TVOJA odpoved je ano

[xvojta]

xvojta:

Jaaa, jaaa, jaaaa, jenom jaaa....

Mas pravdu... z TVOJHO pohladu Nie OBECNA odpoved je ano... ale TVOJA odpoved je ano

no a kdo jinej? A vůbec... nějakej důvod se vždycky najde

[Kořka]

Kořka:

Na to snad staci korektne nastaveny operacny system (multiuzivatelsky)...

Tak zrovna kvůli tomuhle se nebudu zdržovat s nějákým loginem při zapínání. Beztak to v podstatě nevypínám. Jde mi prostě o situace kdy je náhodou někdo u mě doma a leze mi na počítači na internet, což už se mi samo o sobě příčí.

[sasha]

par dodatku:
sifrujeteli cely disk, nebo mountujete partition, soubor.. data jsou pristupna je-li system on-line, tzn nabourali se nekdo do systemu a data si stahne mate smulu.. (pr. truecrypt, admin vam kouka remote pod ruku....)
>>
aby je nemohl otevrit, cist zkratka pouzit na sve strane, musite sifrovat data v OS - treba EFS, PGP etc. (asi lepe funkcni v linuxu nez u widli)

co se tyce pristupu ke klici a pouzivani HSM, klic neni mozne ziskat ani precist protoze vsechny operace se deji v ramci HSM (at uz externi nebo pci karta) a na vykonu to neni znat to se nemusite bat... pri jakekoliv nestandartni operaci podle vami zadanych instrukci muze byt zrusen pristup ke klici nebo dokonce smazan, popr cele zarizeni se stane nefunkcni (uz treba pri nasilnem fyzickem otevreni sasi)

kazdopadne vzdy je cely system tak moc bulletproof jako jeho nejslabsi cast - je to dobre vzdy pripomenout protoze ocividne z postu vyse vyplyva boj mezi komfortem a zabezpecenim ale to je klasika i u firem haha

[PiT]

Tak zrovna kvůli tomuhle se nebudu zdržovat s nějákým loginem při zapínání. Beztak to v podstatě nevypínám. Jde mi prostě o situace kdy je náhodou někdo u mě doma a leze mi na počítači na internet, což už se mi samo o sobě příčí.

Tak hladaj chybu u seba... To, ze s tym mas problem, je chyba tvojich navykov prace s PC. A uz aj M$ pomaly zacina chapat, ze ten jeho doterajsi pristup bol/je totalna hlupost a prichodom Vist to dal ciastocne najavo (podla mna nie velmi stastnym sposobom, ale co uz).

[Kořka]

Tak hladaj chybu u seba... To, ze s tym mas problem, je chyba tvojich navykov prace s PC. A uz aj M$ pomaly zacina chapat, ze ten jeho doterajsi pristup bol/je totalna hlupost a prichodom Vist to dal ciastocne najavo (podla mna nie velmi stastnym sposobom, ale co uz).

Připouštím že moje návyky sice nejsou uplně správné, ale pokud vím tak docela běžné. Neznám nikoho, kdo používá login při startu windows. Tady se ale jednalo o situaci kterou popisuje kecinzer tj. že si někdo sedne k mému už nalogovanému pc. Proti tomu mi jě login naprosto na nic, protože nebudu dotyčnemu vysvětlovat, že bych se rád nejdřív odhlásil na jakejsi guest účet, to by si asi lidi mysleli že jsem buď totální nerd a nebo by se zbytečně vyptávali na důvod.

[wong]

Tenhle pripad nevim jak resit, ale login na pocitaci pouzivam, ikdyz su jedinej uzivatel toho PC.
Login jsem nepouzival jenom drive na svem notebooku, kde jsem ale mel poweron password

[Jezevec]

Připouštím že moje návyky sice nejsou uplně správné, ale pokud vím tak docela běžné. Neznám nikoho, kdo používá login při startu windows. Tady se ale jednalo o situaci kterou popisuje kecinzer tj. že si někdo sedne k mému už nalogovanému pc. Proti tomu mi jě login naprosto na nic, protože nebudu dotyčnemu vysvětlovat, že bych se rád nejdřív odhlásil na jakejsi guest účet, to by si asi lidi mysleli že jsem buď totální nerd a nebo by se zbytečně vyptávali na důvod.

a) kdokoli ma fyzickej pristup k HW tak z nej data je schopen dostat.
b) to ze nepouzivas naprosto zakladni bezpecnostni pravidla je jen tvoje chyba. Ja pro zmenu neznam nikoho, kdo se do widli nehlasi. A na to samozrejme nasleduje nastaveni pass na setric + u widli vypestovani navyku, ze kdyz du nekam pryc (a to treba i na minutu) tak pouziju wokno + L.

Nikdy totiz nevis, jakej clovek se kolem zjevi a specialne kdyz delas spravce dat, kterej ma z logiky veci prava na vsechno a vsude (vetsinou), tak si nemuzes dovolit nechat jen tak nekde otevreny rdpcko na server/sql session/...
Je fakt, ze kolikrat mam chut na nekoho neco provist, protoze kdyz du kolem prazdnyho kanclu kde je pustenej a prihlasenej IS .... (kdyby to bylo ciste na me, tak toto by byl duvod k vyhazovu na minutu).


Zabezpeceni dat = cela plejada opatreni. Zacina a konci to samozrejme vzdy uzivatelem, kterejzto je VZDY nejslabsim clankem retezce. Neznam totiz mnoho pripadu prolomeni nejake, byt smesne jednoduche ochrany, ale znam spoustu pripadu, kdy doslo k ziskani dat kvuli hovadu u klavesnice.

Tudiz zabezpeceni OS proti utoku zvenku = rozumny FW, aktualizace.
Zabezpeceni fyzickyho pristupu k HW = zamykani/alarm/....
Zabezpeceni dat pokud dojde k naruseni predchoziho bodu = sifrovani.

v 99% pripadu nema kdokoli moc sanci se dostat k datum na bezicim stroji, takze si jej odnese = vypne ho = v ten okamzik se pro nej stavaji data nedostupna.

[Kořka]

Jezevec: Samozřejmě já připouštím že to nedělám správně, to jsem už napsal Samozřejmě že když má někdo přístup k HW tak data vydoluje, ale tady se bavíme o případu kdy mi u počítače sedí nějáká osoba blízka nebo mně známá u mého domácího počítače a už je přihlášena v systému. Jde o naprosto elementární zamezení přístupu, případně skrytí dat a ne o schování plánů na vojenské využití venuše. Samozřejmě že když budu v práci, škole prostě kdesi v cizím prostředí tak heslo nastaveno na notebooku mám, ale v tomto konkrétním případě je data potřeba zabezpečit tím způsobem, aby nebylo poznat že mám potřebu vůbec nějáká data schovávat. To co jsi tady popsal ty jsou naprosto samozřejmé zásady bezpečnosti želbohu ale ne vžy aplikovatelné. Rozuměj nemůžu říct: vypadni mi od počítače, já se nejdřív odhlásím abys náhodou neviděl co tam schovávám, což samozřejmě zákonitě vzbuzuje pozornost.

[Peca-on-line]

Úplně normálně řekneš "mmnt mám tu rozdělanou práci a nechci aby mi s tím někdo něco omylem proved" a přihlásíš ho na guesta .

[Petrik]

a) kdokoli ma fyzickej pristup k HW tak z nej data je schopen dostat.

Souhlas ze to teoreticky pujde zrejme vzdy (neuvazuji kvantove stroje), ale pri pouziti fungujiciho sifrovani celeho disku je pravdepodobnost prolomeni teto ochrany i pri ziskani fyzickeho pristupu pomerne miziva. Nepredpokladam, ze kazdy zlodej ma u sebe mrazici sprej na RAM a potrebny HW + SW kterym si precte ten klic z pameti, navic u serveru s hodne modulama to muze byt docela obtizne i v idealnich podminkach.

Navic, kdyz jsem cetl debaty o prolomeni AACS, tak nekdo uvazoval o teoreticke moznosti mit desifrovanci klic jen a pouze v registrech CPU, coz by bylo pravdepodobne neprekonatelne alespon co se jeho ziskani z beziciho storje tyka.

[Jezevec]

Za beznych okolnosti ten stroj stejne vypnou (= kradez/domovni prohlidka/...) takze disky se odpoji.

[sasha]

Připouštím že moje návyky sice nejsou uplně správné, ale pokud vím tak docela běžné. Neznám nikoho, kdo používá login při startu windows. Tady se ale jednalo o situaci kterou popisuje kecinzer tj. že si někdo sedne k mému už nalogovanému pc. Proti tomu mi jě login naprosto na nic, protože nebudu dotyčnemu vysvětlovat, že bych se rád nejdřív odhlásil na jakejsi guest účet, to by si asi lidi mysleli že jsem buď totální nerd a nebo by se zbytečně vyptávali na důvod.

ja myslim, ze v tom smyslu, jak by jsi to potreboval tak nejake sifrovani s klicem na usb, budes sifrovat jen urcite adresare a pokud nebudes mit usb klic pripojeny nikdo to neprecte, takze se nemusis zabyvat ucty, logovanim nebo nejakym vysvetlovanim, proste jen vytahnes klicenku a je to.

[kecinzer]

Tak zrovna kvůli tomuhle se nebudu zdržovat s nějákým loginem při zapínání. Beztak to v podstatě nevypínám. Jde mi prostě o situace kdy je náhodou někdo u mě doma a leze mi na počítači na internet, což už se mi samo o sobě příčí.

Tohle jsem přesně taky řešil. Nejlepší je si vytvořit zašifrovaný soubor v TrueCryptu, kam dávám takovéto citlivá data - která by nikdo neměl možnost otevřit, i když přijde na moje PC a já budu přihlášen a on si bude náhodně listovat u mě na disku.
Když mám potřebu se na soubory podívat, namontuji tento soubor jako další disk a po použití zase odmontuji.

Jinak celkově stejně šifruji všechny disky BitLockerem. Jistota je jistota.