Kryptering av disk og/eller katalog - enterprisenivå
Thomas Bjørseth
Er det noen som kjenner til gode produkter for kryptering av hel
harddisk eller spesifiserte kataloger som tilfredsstiller følgende krav:
- Klientprogramvare for Windows (XP/Vista)
- Sentral administrasjon
- Ikke avhengig av Active Directory
- Sentral lagring av crypto key, eller
- Master key via administrator-konsoll (eller tilsvarende)
- Så transparent som mulig for brukeren
- Støtter TPM
På forhånd takk for alle konstruktive innspill.
Thomas B
--
Thomas Bjørseth
Mail: sp...@bjorseth.no
This message represents the official view of the voices in my head
Clas Mehus
wrote:
>Hallo.
>
>Er det noen som kjenner til gode produkter for kryptering av hel
>harddisk eller spesifiserte kataloger som tilfredsstiller følgende krav:
>
>- Klientprogramvare for Windows (XP/Vista)
>- Sentral administrasjon
>- Ikke avhengig av Active Directory
>- Sentral lagring av crypto key, eller
>- Master key via administrator-konsoll (eller tilsvarende)
>- Så transparent som mulig for brukeren
>- Støtter TPM
>
>På forhånd takk for alle konstruktive innspill.
Wave Trust Suite kanskje? www.wave.com
--
Clas Mehus
- "Den som har flest prylar när han dör vinner..."
Bjørn Mork
> Er det noen som kjenner til gode produkter for kryptering av hel
> harddisk eller spesifiserte kataloger som tilfredsstiller følgende krav:
>
> - Klientprogramvare for Windows (XP/Vista)
> - Sentral administrasjon
> - Ikke avhengig av Active Directory
> - Sentral lagring av crypto key, eller
> - Master key via administrator-konsoll (eller tilsvarende)
> - Så transparent som mulig for brukeren
> - Støtter TPM
Jeg vet dessverre ikke om noe som støtter alle kravene, men denne
artikkelen er ihvertfall et veldig godt utgangspunkt for å sammenligne
de forskjellige løsningene:
http://en.wikipedia.org/wiki/Comparison_of_disk_encryption_software
Du må nødvendigvis fylle ut en del i tillegg for å få det komplette
bildet. Noen av disse løsningene har f.eks. Israel som opphavsland og
er dermed uaktuelle i dagens situasjon.
Bjørn
--
Ban wood-burning stoves
Line Halvorsen
> Hallo.
>
> Er det noen som kjenner til gode produkter for kryptering av hel
> krav:
>
> - Klientprogramvare for Windows (XP/Vista)
> - Sentral administrasjon
> - Ikke avhengig av Active Directory
> - Sentral lagring av crypto key, eller
> - Master key via administrator-konsoll (eller tilsvarende)
> - St�tter TPM
>
> P� forh�nd takk for alle konstruktive innspill.
SafeGuard skulle vel dekke: http://www.utimaco.com
--
LineH
Stein
"Bjørn Mork" <bm...@dod.no> wrote in message
news:87y6wlf...@nemi.mork.no...
> Noen av disse løsningene har f.eks. Israel som opphavsland og
> er dermed uaktuelle i dagens situasjon.
Nei snarere tvert i mot
Israel er meget gode på sikkerhet
Bjørn Mork
Det er de helt klart.
Men Israels sikkerhet er avhengig av at fiendene ikke har tilgang til
den samme teknologien. Ihvertfall ikke uten at Israelske myndigheter
her de nødvendige bakdørene. Programvare som selges fritt i Norge er
også tilgjengelig for de fleste arabiske land.
De fleste som jobber med sikkerhet klarer sikkert å regne ut resten av
dette på egen hånd.
Bjørn
--
Women are inherently superior to men, right
Harald Nordgård-Hansen
> Men Israels sikkerhet er avhengig av at fiendene ikke har tilgang til
> den samme teknologien. Ihvertfall ikke uten at Israelske myndigheter
> her de nødvendige bakdørene. Programvare som selges fritt i Norge er
> også tilgjengelig for de fleste arabiske land.
>
> De fleste som jobber med sikkerhet klarer sikkert å regne ut resten av
> dette på egen hånd.
Heisann.
Har du faktiske eksempler på at dette har skjedd? Hvis ikke er dette
imho bare FUD. (I den grad man holder på med slikt litt systematisk, så
ser det ut til at noen av dem alltid blir avslørt.)
Det begynner å bli ganske godt dokumentert at kineserne holder på slik.
Men det eneste jeg finner på nettet som beskylder Israel for dette
kommer i fra konspirasjons-fantastenes bakgård (sammen med "den sanne
historien om John McCain" og slikt) og virker ikke spesielt troverdig.
-Harald
--
Harald Nordgård-Hansen
Jostein Tveit
> Har du faktiske eksempler på at dette har skjedd?
Man har endel eksempler dersom en går noen år tilbake. Slike
hendelser blir jo som oftest oppdaget mange år etter at
produktene er ute av markedet.
Storbritannia delte ut Enigma-maskiner til såkalte allierte
etter 2. verdenskrig. De visste om svakheter og hadde utstyr for
å dekryptere meldinger.
Crypto AG har et rykte på seg for å putte inn bakdører i utstyret
de selger:
http://en.wikipedia.org/wiki/Crypto_AG#Back-doored_machines
Det går også delvis løse rykter om at NSA har en bakdør i DES:
http://en.wikipedia.org/wiki/Data_Encryption_Standard#NSA.27s_involvement_in_the_design
Det finnes sikkert utallige flere eksempler på dette. Det er
naivt å tro at det ikke finnes bakdører i militært
sikkerhetsutstyr som selges i dag.
--
Jostein Tveit <jost...@pvv.ntnu.no>
Harald Nordgård-Hansen
> Det finnes sikkert utallige flere eksempler på dette. Det er
> naivt å tro at det ikke finnes bakdører i militært
> sikkerhetsutstyr som selges i dag.
Nå var dette snakk om kommersiell sikkerhetsprogramvare i fra Israel, og
om man hadde konkrete eksempler på at dette skulle være mer utsatt enn
tilsvarende løsninger i fra andre land.
Hadde de ellers greie eksemplene dine noen kobling til dette som jeg
ikke fikk med meg?
-Harald
--
Harald Nordgård-Hansen
Bjørn Mork
> Bjørn Mork wrote:
>> Men Israels sikkerhet er avhengig av at fiendene ikke har tilgang til
>> den samme teknologien. Ihvertfall ikke uten at Israelske myndigheter
>> her de nødvendige bakdørene. Programvare som selges fritt i Norge er
>> også tilgjengelig for de fleste arabiske land.
>>
>> De fleste som jobber med sikkerhet klarer sikkert å regne ut resten av
>> dette på egen hånd.
>
> Heisann.
>
> Har du faktiske eksempler på at dette har skjedd?
Nei, det kan jeg selvsagt ikke dokumentere. Like lite som jeg kan
dokumentere at Israel har stått bak drap i Norge. Som det ble påpekt:
De er flinke. Det er det ingen tvil om.
> Hvis ikke er dette imho bare FUD.
OK. Det må jeg bare akseptere. Men jeg vil sterkt oppfordre til å
bruke hodet sammmen med det som finnes av tilgjengelig informasjon.
Du kan jo f.eks. starte med http://www.mossad.gov.il/Eng/AboutUs.aspx
og tenke litt på hvordan man mest effektivt utfører den jobben.
Nå tror ikke jeg at f.eks. NSA er noe spesielt mindre opptatt av denne
type ting. Jeg tror bare ikke de har den samme kontrollen over egen
software-industri. Men det er egentlig all mulig grunn til å sky alle
lukkede sikkerhetsløsninger som pesten. Bruk open source. Da har du
ihvertfall et visst håp om at spesialkonstruerte hull blir oppdaget.
Bjørn
--
How can you say that the CIA killed Nixon
Bjørn Mork
> Jostein Tveit wrote:
>> Det finnes sikkert utallige flere eksempler på dette. Det er
>> naivt å tro at det ikke finnes bakdører i militært
>> sikkerhetsutstyr som selges i dag.
>
> Nå var dette snakk om kommersiell sikkerhetsprogramvare i fra Israel, og
> om man hadde konkrete eksempler på at dette skulle være mer utsatt enn
> tilsvarende løsninger i fra andre land.
Forskjellen på Israel og de fleste andre land i verden er at Israel er i
krig. Det er omtrent like lurt å slike kjøpe varer derfra nå som å
kjøpe tyske sikkerhetsprodukter i 1942.
Men for all del, hvis du driter i at de har bakdører til systemene dine
og i tillegg ønsker å støtte krigføringen økonomisk, så er det jo bare å
kjøpe i vei.
Bjørn
--
I have many young friends
Jostein Tveit
> Nå var dette snakk om kommersiell sikkerhetsprogramvare i fra Israel, og
> om man hadde konkrete eksempler på at dette skulle være mer utsatt enn
> tilsvarende løsninger i fra andre land.
>
> Hadde de ellers greie eksemplene dine noen kobling til dette som jeg
> ikke fikk med meg?
Jeg viste til eksempler på sikkerhetsprodukter med
bakdører. Men jeg har ingen holdepunkter for å si at
sannsynligheten for bakdører i sikkerhetsprodukter fra Israel er
større enn tilsvarende produkter fra andre land.
--
Jostein Tveit <jost...@pvv.ntnu.no>
Jostein Tveit
> Bruk open source. Da har du ihvertfall et visst håp om at
> spesialkonstruerte hull blir oppdaget.
Dersom problemet ligger i selve algoritmene som er implementert
er det ikke fullt så enkelt lenger.
Sjansen for at spesialkonstruerte hull oppdages i open source er
definitivt større enn i lukket kildekode, men det finnes gode
eksempler på at bakdører har sneket seg inn i open source
kildekode også. F.eks. linux-kjernen:
http://www.theregister.co.uk/2003/11/07/linux_kernel_backdoor_blocked/
Heldigvis ble forsøket oppdaget.
--
Jostein Tveit <jost...@pvv.ntnu.no>
Odd H. Sandvik
> Harald Nordgård-Hansen <hha...@pvv.org> writes:
>> Jostein Tveit wrote:
>>> Det finnes sikkert utallige flere eksempler på dette. Det er
>>> naivt å tro at det ikke finnes bakdører i militært
>>> sikkerhetsutstyr som selges i dag.
>>
>> Nå var dette snakk om kommersiell sikkerhetsprogramvare i fra Israel, og
>> om man hadde konkrete eksempler på at dette skulle være mer utsatt enn
>> tilsvarende løsninger i fra andre land.
>
> Forskjellen på Israel og de fleste andre land i verden er at Israel er i
> krig. Det er omtrent like lurt å slike kjøpe varer derfra nå som å
> kjøpe tyske sikkerhetsprodukter i 1942.
Du høres ut som en typisk SV-jødehater. Dette er vel knapt
gruppen for å bedrive din hatpropaganda.
--
Odd H. Sandvik
Bjørn Mork
Hmm, jeg kan ikke se at jeg har sagt noe om hverken SV eller jøder.
Hvor plukker du dette fra?
Bjørn
--
Most mentally retarded people have right wing death squads, huh? So,
the oceans are full of dirty fish
Thore Harald Høye
>
> Sjansen for at spesialkonstruerte hull oppdages i open source er
> definitivt større enn i lukket kildekode, men det finnes gode
> eksempler på at bakdører har sneket seg inn i open source
> kildekode også. F.eks. linux-kjernen:
> http://www.theregister.co.uk/2003/11/07/linux_kernel_backdoor_blocked/
Selvsagt vil folk forsøke, men dette ble jo oppdaget før det var skjedd
noen skade. Det er derfor bare et bevis på den store fordelen med open
source. Hadde kildekoden vært lukket hadde sannsynligvis bare de som har
tilgang OG får betalt for å lese gjennom den det sett akkurat denne delen
av koden. Er hullet ønsket kunne det derfor eksistert i skjult form i
"all evighet".
Dag-Erling Smørgrav
> Det går også delvis løse rykter om at NSA har en bakdør i DES:
De er forlengst avkreftet og motbevist.
DES
--
Dag-Erling Smørgrav - d...@des.no
Dag-Erling Smørgrav
> Nei, det kan jeg selvsagt ikke dokumentere. Like lite som jeg kan
> dokumentere at Israel har stått bak drap i Norge.
Å joda:
http://no.wikipedia.org/wiki/Lillehammer-saken
Kristian Gjųsteen
>Bjørn Mork <bm...@dod.no> writes:
>> Nei, det kan jeg selvsagt ikke dokumentere. Like lite som jeg kan
>> dokumentere at Israel har stått bak drap i Norge.
>
>Å joda:
>
>http://no.wikipedia.org/wiki/Lillehammer-saken
At du og jeg kan taste Lillehammer-saken inn i Google betyr ikke at
Bjørn Mork kan dokumentere at Israel har stått bak drap i Norge.
Elementær logikk.
--
Kristian Gjøsteen
Kristian Gjųsteen
>Jostein Tveit <jost...@pvv.ntnu.no> writes:
>> Det går også delvis løse rykter om at NSA har en bakdør i DES:
>
>De er forlengst avkreftet og motbevist.
Om noe er det motsatte bevist, de som konstruerte DES kjente til angrep
som ikke var offentlig kjent på den tiden.
--
Kristian Gjøsteen
Bjørn Mork
Det var nettopp poenget. Jeg regnet med at alle kjente til den saken.
Men det kan så vidt jeg vet ikke dokumenteres at Israel stod bak. For å
sitere fra nevnte wikipedia-side:
"Israelske myndigheter har aldri offisielt erkjent at Israel sto bak
drapet på Lillehammer i 1973. De israelske regjeringers politikk har
vært ikke å kommentere forhold knyttet til landets hemmelige tjenester."
Dermed er det som står på den siden å regne som FUD hvis man bruker
Harald Nordgård-Hansens strenge dokumentasjonskrav.
Jeg har selvsagt ikke noe problem med det. Det spiller forsåvidt ingen
rolle for meg hva folk tror eller ikke tror om hverken Lillehammer-saken
eller bakdører i kommersiell sikkerhetsprogramvare. Hvis man synes at
verden blir et bedre sted om man lukker øynene, så får man vel bare
gjøre det.
Bjørn
--
Only a jerk like you would say that the Martians killed Reagan
Kristian Gjųsteen
>Dermed er det som står på den siden å regne som FUD hvis man bruker
>Harald Nordgård-Hansens strenge dokumentasjonskrav.
Dette er sludder. En påstand kan sannsynliggjøres, en annen kan ikke.
En påstand er ikke FUD, en er FUD.
--
Kristian Gjøsteen
Dag-Erling Smørgrav
Rettelse: NSA kjente teknikker som hverken IBM (som utviklet DES) eller
noen andre kjente, og endret noen parametre i DES for å gjøre den mer
motstandsdyktig mot disse teknikkene.
Kristian Gjųsteen
Når jeg leser det Coppersmith selv skriver er det klart at IBM kjente
til differensielle angrep og konstruerte DES slik at den skulle være
motstandsdyktig mot slike angrep. Det går ikke klart frem av min kilde
om de hadde funnet ut av det selv, eller om NSA hadde fortalt dem om det,
men de hadde kontakt med NSA.
--
Kristian Gjøsteen
Bjørn Mork
Nå begynner jeg virkelig å lure. Hva er det som gjør den ene påstanden
mer sannsynlig enn den andre? At du har hørt den før? At den står i
Wikipedia? At du kan google den?
Hvis det hjelper deg, så kan jeg godt spa opp samme påstand fra andre
enn meg. Les f.eks: http://www.counterpunch.org/ketcham09272008.html
Bjørn
--
I can't believe how bloated you are
Kristian Gjųsteen
>Kristian Gjøsteen <kristi...@math.ntnu.no> writes:
>> Bjørn Mork <bm...@dod.no> wrote:
>>>Dermed er det som står på den siden å regne som FUD hvis man bruker
>>>Harald Nordgård-Hansens strenge dokumentasjonskrav.
>>
>> Dette er sludder. En påstand kan sannsynliggjøres, en annen kan ikke.
>> En påstand er ikke FUD, en er FUD.
>
>Nå begynner jeg virkelig å lure. Hva er det som gjør den ene påstanden
>mer sannsynlig enn den andre? At du har hørt den før? At den står i
>Wikipedia? At du kan google den?
Bla, bla, bla.
>Hvis det hjelper deg, så kan jeg godt spa opp samme påstand fra andre
>enn meg. Les f.eks: http://www.counterpunch.org/ketcham09272008.html
Uhyre interessant. Drive du med telefonavlytting, sørg for sikkerheten
i utstyret ditt. Ingen har noengang tenkt på det før. Styr forresten
klar av svensk programvare. Hva har dette med diskkryptering og annen
programvare man handler "over disk" å gjøre, forresten.
--
Kristian Gjøsteen
Bjørn Mork
> Uhyre interessant. Drive du med telefonavlytting, sørg for sikkerheten
> i utstyret ditt. Ingen har noengang tenkt på det før.
Driver du med diskkryptering, sørg for sikkerheten i utstyret ditt.
Ingen har noengang tenkt på det før.
Eh, vent... Det holder ikke å tenke på det. Det må *bevises* før man
kan ta hensyn til slikt. Gjelder ikke det telefonavlytting også, da?
> Styr forresten klar av svensk programvare.
Hvorfor det?
> Hva har dette med diskkryptering og annen programvare man handler
> "over disk" å gjøre, forresten.
Ikke stort annet enn at den slags software har et enda større potensial
for å være i bruk på strategiske steder.
Og et par sitater som bør være relevant uansett hva slags software vi
snakker om:
"... Boaz Guttmann, a veteran cybercrimes investigator with the Israeli
national police, tells me. “Trojan horse espionage is part of the way
of life of companies in Israel. It’s a culture of spying.”
"
"Cryptography pioneer Philip Zimmerman warns that “you should never
trust crypto if the source code isn’t published.
"
Uten at det har noe direkte med diskkryptering, så er det også grunn til
å bekymre seg for hvor man får hardwaren sin fra:
http://www.spectrum.ieee.org/may08/6171
Men denne diskusjonen er visst temmelig død nå. Jeg skal prøve å gi
meg. Folk legger vekt på forskjellige faktorer, og for en del er
tydeligvis ikke bakdører viktige så lenge de er usynlige.
Bjørn
--
Let me tell you something, you disease carrier, VMS is a really
felonious operating system, and the intellectual culture is
fascinating
Kristian Gjųsteen
>
>Hvorfor det?
Tast "ericsson greek wiretap" inn i Google...
Vi vet jo alle hva svenskene gjør med datatrafikk som passerer Svenske
grenser.
Spinn litt videre på den, og voila, ikke kjøp svensk programvare.
PS. Svenske biler er sannsynligvis fulle av svensk programvare. For ikke
å snakke om svenske fly. Hva var det Norge ikke kjøpte? Si ikke mer...
PPS. Sverige gikk nesten til krig mot Norge for en tid tilbake.
--
Kristian Gjøsteen
Steinar Haug
> grenser.
Nei. Vi vet en del om hva de (FRA) har *lov* å gjøre. At det er lov
betyr ikke nødvendigvis at det er praktisk gjennomførbart med mindre
de har et *veldig* sterkt ønske/behov for å gjøre det.
Å tappe N x 10 Gbit/s WDM-systemer og kjøre mønstergjenkjenning på
det man får ut krever faktisk en smule ressurser...
Steinar Haug, Nethelp consulting, sth...@nethelp.no
Kristian Gjųsteen
>Nei.
Når noen forsøker å dra igang en ganske ålreit konspirasjonsteori er
det ufint å komme drassende med fakta.
--
Kristian Gjøsteen
Gisle Vanem
> Tast "ericsson greek wiretap" inn i Google...
>
> Vi vet jo alle hva svenskene gjør med datatrafikk som passerer Svenske
> grenser.
Har selv jobbet for LM Ericsson i Finland og kan underskrive på "ryktene" som
fremsettes i denne artikkelen:
http://www.cellular-news.com/story/16540.php
Har ikke selv sett koden eller dokumentasjon for disse bakdørene, men det fløt
slike historier rundt på Ericsson når jeg jobbet der i 1990-91.
Veldig synd at de slipper unna med dritten.
--gv
Torfinn Ingolfsen
> Har selv jobbet for LM Ericsson i Finland og kan underskrive på
> "ryktene" som fremsettes i denne artikkelen:
> http://www.cellular-news.com/story/16540.php
Aha, nå snakker vi her - nå kommer det en person med førstehånds
kjennskap til ryktene.
> Har ikke selv sett koden eller dokumentasjon for disse bakdørene, men
> det fløt slike historier rundt på Ericsson når jeg jobbet der i 1990-91.
Men nei ... bare gjentagelse av ryktene - mer FUD.
> Veldig synd at de slipper unna med dritten.
Tja, noen kunne jo mene at det er ille at ryktemakerne slipper unna også.
--
Torfinn Ingolfsen
Kristian Gjųsteen
>Tja, noen kunne jo mene at det er ille at ryktemakerne slipper unna også.
Hvilke rykter er det du mener mangler dokumentasjon?
--
Kristian Gjųsteen
Harald Nordgård-Hansen
> Har selv jobbet for LM Ericsson i Finland og kan underskrive på
> "ryktene" som
> fremsettes i denne artikkelen:
> http://www.cellular-news.com/story/16540.php
Nå leste jeg gjennom artikkelen, og jeg må dessverre si at jeg ikke
egentlig fant noen rykter om noe som helst. Hva tenker du på?
> Har ikke selv sett koden eller dokumentasjon for disse bakdørene, men
> det fløt slike historier rundt på Ericsson når jeg jobbet der i 1990-91.
Igjen må jeg si at jeg ikke helt vet hva du mener med bakdører her.
Tenker du på støtten for å duplisere datastrømmer i telefon-nettet?
Dette er et standard-krav i det meste av utstyret for telecom, og finnes
vel etter hvert også i de fleste datanett (kikk etter port mirroring).
Det er nyttig både for telefonavlytting for myndighetene (som gjør at
det er et konsesjonskrav å ha det tilgjengelig i nettet i de fleste
land), og for debugging (som er grunnen til at operatørene ønsker det).
> Veldig synd at de slipper unna med dritten.
Jeg tror ikke jeg ser hvilken dritt det er snakk om. Merk altså at
krangelen mellom Ericsson og Vodafone gikk på i hvilken grad Vodafone
hadde fått god nok beskjed om hvilke features som inngikk i en
programvare-oppdatering, hvorpå Vodafone ikke beskyttet tilgangen til
denne godt nok.
Begge fikk også en saftig bot hver av de greske myndighetene, så dette
med "slippe unna" er også litt rart.
(Jeg jobber i Ericsson i Norge, med utstyr for "mobile backhaul". Men
jeg jobber ikke med basestasjoner, og jeg har ingen
førstehånds-kjennskap til denne aktuelle saken, ikke minst siden jeg kom
inn i Ericsson etter at dette skjedde.)
-Harald
--
Harald Nordgård-Hansen
Steinar Haug
> Tenker du på støtten for å duplisere datastrømmer i telefon-nettet?
> Dette er et standard-krav i det meste av utstyret for telecom, og finnes
> vel etter hvert også i de fleste datanett (kikk etter port mirroring).
Og når man har lest en del om port mirroring, anbefales et søk på "lawful
interception". Start f.eks. med Wikipedia artikkelen på:
http://en.wikipedia.org/wiki/Lawful_interception
Det er ikke nødvendig å *like* disse mekanismene - men som påpekt er de
faktisk krav fra myndighetene i mange land. Ja, slik avlytting skjer også
i Norge - det er bare å minne om f.eks. Bhatti-saken.
skrikert
> Forskjellen på Israel og de fleste andre land i verden er at Israel er i
> krig. Det er omtrent like lurt å slike kjøpe varer derfra nå som å
> kjøpe tyske sikkerhetsprodukter i 1942.
Eller amerikanske? Eller engelske?