Názory k článku
Windows10 posílají klíč disku šifrovaného BitLockerem Microsoftu
-
Myslím, že jde hlavně o tu recovery. Ve chvíli, kdy je systémový disk zašifrován pomocí Device Encryption/BitLockeru a klíč na odemknutí se získává z TPM, nejde se např. dostat do nouzového režimu jinak než právě s pomocí obnovovacího klíče. A ve chvíli, kdy se tento "zálohuje" na servery MS, to může být nedocenitelné.
Osobně si myslím, že tohle je feature mířená hlavně na uživatele, kteří by si šifrování pravděpodobně sami nezapnuli. A tam slouží dobře; ne každý útočník má zároveň přístup k MS účtu oběti a neexistuje záruka, že se k němu nakonec dostane. Nicméně to taky zvyšuje nároky na straně MS, kde si musí dávat extra pozor, když šlapou okolo minového TPM pole, které si tam sami položili (a už to párkrát zvorali).
-
barney (neregistrovaný)
Prosim nesirte hoax. Automaticke sifrovanie disku spolu so zalohovanim kluca na M$ account je zapnute len na zariadeniach, ktore podporuju InstantGo, takze tablety a tabletonotebooky. Funkcia sa nazyva Device encryption. Nemylit si to s Bitlockerom. Nasiel som o tom info len v dokumentacii k Win 8.1, ale je to rovnake ako u Win 10.
"Device encryption is available in all Windows RT 8.1 PCs, and in Windows 8.1 PCs that support InstantGo."
Zdroj: http://windows.microsoft.com/en-us/windows-8/using-device-encryption"How do I turn on device encryption? You need to sign in to your PC with a Microsoft account with administrator permissions to use device encryption."
Zdroj: http://windows.microsoft.com/en-us/windows-8/using-device-encryptionhttps://blogs.windows.com/windowsexperience/2014/06/19/instantgo-a-better-way-to-sleep/
-
Tak jo, ale nejak mi tam chybi to, ze by uzivatel byl pri zapnuti sifrovani varovan, kam je klic odesilan a take nabidka vyberu moznosti ulozeni klice u MS (ktery ho promptne vyda NSA, kdykoliv zamavaji carem papiru) nebo ulozeni klice na mem vlastnim mediu, ktere si zakopu u hrbitovni zdi za bezmesicne noci.
Tento zpusob kryptografie zda se mi byti ponekud nestastnym.
P.S.: Autor zpravicky: Dnesni hrubka "Windows sami" je obzvlaste vypecena.
-
JA (neregistrovaný)
TVL a neni to jedno? Dnes si kazdy vsechna osobni data dava do cloudu a ty jsou taky u ..... (doplnte), tak co ma spolecneho tohle s cimkoliv jinym? U WP je to to same, u iphonu rovnez ...... tohle se navic tyka jen specialnich tabletu, co splnuji hromady pozadavku pro ten lite bitlocker, jinak v user edicich tusim bitlocker vubec neni .... a samozrejme, ze se ke klicum muze dostat PCR atd, kdyz budou chtit, to nekoho prekvapuje? Ja na tom nic spatneho nevidim. Osobne mi nevadi, ze se k tomu muze dostat NSA, PCR atd, ktere nikdy nebudu zajimat ..... spis by me sralo pouzivat nejaky android, kde se mi do toho bude lamat kazdy pubertak:o)
-
ch0wn (neregistrovaný)
Osobně data do cloudu neukládám, takže asi nebudu "každý"... Omlouvat tak vážné bezpečnostní riziko je také trošku zcestné... Klíč bych měl vlastnít jen já - stejně jako ho mám od svého domu... Dám jej pouze tomu, komu chci... Ten kdo si zašifruje disk, musí počítat s tím, že když ztratí klíč, má po srandě...
-
JA (neregistrovaný)
Nikdo te ale nenuti ten disk sifrovat zrovna touhle lite verzi bitlockeru ze? Me uplne zarazi ta lidska hloupost zde na diskuzich! Disk je zasifrovan primarne kvuli ztrate zarizeni .... zadas 5x spatne heslo, 3x zadas spatne i po manualni verifikaci, ze si s tim treba nehraje dite a proste se ti smaze z disku sifrovaci klic, tecka! Stejne tak jak se to udela u telefonu .... kdyz pak nahodou takovy tablet najdes nebo se ti vrati, tak mas jeste moznost si ten klic obnovit a neprijdes o data .... opravdu nechapu, co je na tom k nepochopeni ... tak si bitlocker vypni a mej si to nesifrovane, tim si STRASNE pomuzes! Nebo si kup plnou verzi windows a mej si klasicky bitlocker ..... nebo si to zasifruj cim chces?
Proste nechapu zdejsi diskutujici ..... vlastne neni o cem diskutovat! -
strepty (neregistrovaný)
Ak uz investujem do draheho zariadenia ktore ma uefi a bezi na nom len podpisany software (NSA tam nemoze nic nainstalovat) a este si k tomu zaheslujem disk tak cakam ze moje ucty a nie udaje sa nedostanu nikomu do ruk, to ze si posle M$ len tak po sieti kluc k mojmu super tajnemu zariadeniu cez polovicu zemegule beriem ako podraz. Tiez velmi pochybujem ze M$ uchovava kluce zadarmo len z lasky k uzivatelom.
-
FíkZlatý podporovatelnejen u toho lite, i u normálního BitLockeru ve W10 pro a enterprise, když se přihlašuje k účtu u Microsoftu a ne lokálně (tu Windows radí se raději přihlásit u Microsoftu), a ne do domény
a upozorněn nebyl
-
-
Trident (neregistrovaný)
PCR se nemuze dostat uplne vsude a jsou vyssi zajmy statu a urady ktere stoji nad/na stejne urovni jako PCR. Takze jsou veci do kterych PCR hrabat nemuze ani kdyby se rozkrajela. A pokud by hrabala tak dani lide budou potichu odejiti a slehne se po nich zem. Jak zajistis separaci?
Pokud prekracujes hranice mezinarodnich jurisdikci jak zajistis separaci?
Ani NSA nemuze v ramci USA uplne do vseho. Opet. Jak zajistis separaci?Pockej az nekdy budes cestovat pres USA. To te velmi brzo bude zajimat co o tobe agentury vedi. A staci takova blbost jako ze jsi pyrotechnik co rad studuje koran...
Proste zas vyplod jednoho agilniho nagelovanyho hustodemonsky cloudovyho bublifuka...
-
JA (neregistrovaný)
Pominu zdroj (root.cz) a pravopisne chyby ..... a ....... no, vlastne se neda napsat nic .... je to proste kravina ..... vsechny tablety a telefony od osmicek maji defaultne zapnutou lite verzi bitlockeru (je treba mit uefi secure boot, pamet privarenou na desce atd ....). Tim padem splnuji i naroky na enterprise segment (ktery se obrovskou oklikou vyhyba treba androidu), password policy atd .... klic je samozrejme zalohovan a to bud v cloudu nebo domene, stejne jako to dela treba ios. Klasicky bitlocker tusim ani neni v neenterprise verzich windows a tam se samozrejme zalohuje do domeny!
Ted bych si fakt listil, ze vubec reaguju na tendencni ala tv h@vna picovinu od nejakeho debila ......
-
FíkZlatý podporovatel
Bitlocker právě od 10 je i v Home verzi a tady se bavíme o PC, ne o tabletech.
Viz. pěkná tabulka http://www.anandtech.com/show/9413/windows-10-editions-compared
-
-
FíkZlatý podporovatel
Mně je to celkem ukradený, řeší to na theintercept. Problém je asi v tom, že si koupíš nový w10 home nebo pro (ne nutně eterprise, jak si neznale tvrdil) a jsou zašifrovaný a klíč je i v cloudu, což možná ne všichni věděli nebo chtěli.
Hlavně, že ty jsi wiener :)
-
Ondra Satai NekolaZlatý podporovatelTak určitě.
Protože nikdo v tajných službách pro drtivou většinu cílů neřěší, že je to dražší a víc vidět. -
Ondra Satai NekolaZlatý podporovatel
Další celkem podrobné čtení k tématu včetně řešení: http://arstechnica.com/information-technology/2015/12/microsoft-may-have-your-encryption-key-heres-how-to-take-it-back/
-
Cohen (neregistrovaný)
Jestli jde o řešení, je minimálně sporná záležitost. Pokud dobře chápu, jak funguje ten recovery klíč, tak z něj není možné přímo získat primární šifrovací klíč. Pak je tedy uvedený postup řešením "úniku" recovery klíče do MS cloudu. A jestliže tomu někdo nevěří a je přesvědčen, že se ukládá i primární klíč, tak prostě nevěří MS a neměl by vůbec jeho produkty používat.
Druhá věc je ale způsob, jak je zařízení šifrováno. Jak jsem již psal na Lupě, disk je zřejmě šifrován již při instalaci Windows (nikoliv při upgrade) a není použit TPM, ale tzv "clear key", který umožňuje boot bez hesla. Tudíž kdokoliv, kdo má přístup k disku, může získat primární klíč. Může samozřejmě také na zařízení něco nainstalovat, ale zde je mnohem větší riziko odhalení.
Více než kdy předtím tedy platí, že po koupi je potřeba počítač přeinstalovat. Bohužel zrovna u zařízení, kterých se to týká, to není zrovna snadné.
-
Asi takhle... Tipnu, ze drtiva vetsina z nas kdyz uz sifruji notebook tak primarne kvuli zlodejum/ztrate. I proto mi staci obycejny SATA pass v kombinaci s intel/samsung SSD. Neni to neprustrelne, nepouzivam TPM, kdyz ze me nekdo bude chtit vymlatit heslo tak mu ho rad reknu, ale v pripade ztraty/kradeze nejakou fetkou se mi kdejaky hejsek ve frcu nedostane k datum. To same pro android telefon a sifrovani - mam to jen pres pin takze fakt malo kombinaci pro bruteforce, ale pokud by si s timhle chtel nekdo dat tu praci a vedel jak na to, tak je schopen si to zjistit i jinak (patrne jednodussi bude nekde v baru kam chodim dat kameru spravnym smerem a to heslo si natocit pri zadavani).
