Vlákno názorů k článku Vzdálené odemykání šifrovaného disku na serveru s Debianem od R.Y. Pák - Když se mluví o serveru, tak by se...
-
Když se mluví o serveru, tak by se měla zmínit i řešení přes remote server management. HP ProLiant servery měly (a teď volitelně mají) vestavěné Integrated Lights-Out (iLO). To jsem používal. IBM a Dell mají něco podobného, ale jmenuje se to jinak. Prodávají se i PCI karty, které remote server management umí. V podstatě je to minipočítač s vlastním Ethernetovým portem a IP adresou, který umí se serverem manipulovat. Administrátoři, kteří s rack-mounted servery pracují, tuto technologii většinou znají. Kdo to nezná, tak se může podívat třeba na video New iLO 5 for ProLiant Gen10 demo, https://youtu.be/_rRdEekFgVA .
Při použití tohoto řešení není třeba zprovozňovat sshd pro zadání klíčů při bootování.
-
Jan HrachStříbrný podporovatelNení, protože jednak nikdo nemůže věřit proprietárnímu neauditovatelnému šifrování, a jednak bude příšerné disaster recovery (nestačí disky přeskládat do libovolného jiného počítače; nelze udělat ekvivalent LUKS header backup a master key file -- takhle jsem už jednou osobně přišel o data)
-
Cituji: "Není, protože jednak nikdo nemůže věřit proprietárnímu neauditovatelnému šifrování".
Když se to napíše takhle, tak je to zavádějící. Pokud vím, tak některé instituce v USA vyžadují, aby šifrovací řešení splňovalo nějaká kritéria. To HP řešení je splňuje (předpokládám, že prošlo nějakým auditem), a proto je pro ty zákazníky přijatelné.
To samozřejmě neříká nic o tom, jestli jsou tam zadní vrátka od NSA nebo zda by to prošlo přísnějšími kritérii třeba pro přísně utajovaná data.
Souhlasím s tím, že si nemůžete udělat bezpečnostní audit, ale otázka je, jaké požadavky na bezpečnost dat mají zákazníci v praxi. Řekl bych, že větší část se spokojí se splněním nějakého bezpečnostního standardu.
HP uvádí:
HPE Smart Array Secure Encryption is designed to meet NIST-approved standards. By example, HPE Smart Array Secure Encryption utilizes the XTS AES 256 bit algorithm for data encryption specified by NIST. The HPE Smart Array Px3x and Px4x family of controllers have completed FIPS 140-2 Level 1 validation, Certificate #2506 (Px4x).HPE Smart Array Secure Encryption enables enterprises to comply with the data privacy and protection requirements associated with the U.S. Health Insurance Portability and Accountability Act (HIPAA) and the Sarbanes-Oxley Act.
Jinak to HIPAA vyžaduje, aby zdravotní informace byly zabezpečené. Takže HP si nemůže dovolit to HW řešení neudržovat. Kdyby se objevila bezpečnostní díra, musí ji odstranit. Asi to bude dělat jen po dobu HW podpory, což může být velká nevýhoda.
-
Jan HrachStříbrný podporovatel
> To samozřejmě neříká nic o tom, jestli jsou tam zadní vrátka od NSA nebo zda by to prošlo přísnějšími kritérii třeba pro přísně utajovaná data.
Nejde o zadní vrátka pro NSA (i když, proč ne), ale o všemožné průšvihy, které jsme viděli - nejčastěji je tím postižen RNG, hardwarové generátory měly chyby (slovenské a estonské občanky; někdy úmyslné - "Dual EC DRBG"), případně byl při implementaci neuvěřitelný diletantismus (1, 2, 3, 4, atd., od renomovaných výrobců a některé i různými způsoby certifikované).
> Kdyby se objevila bezpečnostní díra, musí ji odstranit.
To je k ničemu když zloděj už má ty disky ukradené a zkopírované a updaty instalovat nebude.
-
Jan HrachStříbrný podporovatel
> Při použití tohoto řešení není třeba zprovozňovat sshd pro zadání klíčů při bootování.
Pokud používáte HTML5 videokonzoli, tak to bude strašný opruz dělat a musí se to ručně přes prohlížeč. Pokud používáte sériák a ten to umí někam bezpečně vystrčit a dokážete si nastavit autentizaci (podobně jako v ramdisku máte SSH host keys) a jde to naskriptovat, tak jo, ale přijde mi to také relativně složité, nepřenositelné se systémem a tak to moc výhod nepřináší.
ČLÁNKY DO MAILU