Εμφάνιση 1-7 από 7
  1. #1
    Εγγραφή
    30-01-2005
    Περιοχή
    City of light with thy violet crown
    Ηλικία
    44
    Μηνύματα
    6.973
    Downloads
    23
    Uploads
    0
    Ταχύτητα
    150/30Mbps
    ISP
    BT FTTP
    Router
    pfSense/Openreach ONT
    Καλησπέρα. Είπα λοιπόν να αναβαθμίσω κι εγώ το λαπτόπι με έναν SSD. Προσπαθώ να καταλάβω όμως τι παίζει με το TRIM στην περίπτωση που έχουμε LUKS. Στα παρακάτω links περιγράφονται κάποια θέματα ασφαλείας σε σχέση με την ενεργοποίηση του TRIM σε encrypted SSD:

    https://wiki.archlinux.org/index.php...e_drives_(SSD)
    https://www.reddit.com/r/archlinux/c...ion_on_an_ssd/

    1. Αυτό που δεν έχω καταλάβει ακριβώς είναι αν τελικά υπάρχει περίπτωση να βρεθεί το κλειδί με το TRIM ενεργοποιημένο (το αν μπορεί να ανιχνευθεί ο ελεύθερος χώρος ή τι file system έχει ο δίσκος δε με ενδιαφέρει).
    2. Επίσης για την ενεργοποίηση του TRIM πρέπει να σεταριστεί το discard σε όλη την αλυσίδα boot loader, LVM, crypttab, fstab; Ή αυτό εξαρτάται από τι διανομή;

    Και εν τέλη πόσο χρειάζεται το TRIM σήμερα. Ο SSD που έχω είναι ένας Micron M600, δηλαδή όχι και τόσο καινούργιος (o controller που έχει είναι ο Marvell 88SS9189).
    Όταν ενώνουμε τις δυνάμεις μας, μπορούμε να πετύχουμε το ακατόρθωτο - Παναγιώτης Γιαννάκης

    Never say never, because limits, like fears, are often just an illusion -
    Michael Jordan


  2. #2
    Εγγραφή
    20-12-2005
    Μηνύματα
    3.196
    Downloads
    4
    Uploads
    0
    Τύπος
    VDSL2
    Ταχύτητα
    49997/4997
    ISP
    ΟΤΕ Conn-x
    DSLAM
    ΟΤΕ - ΞΑΝΘΗ
    Router
    Speedport W 724V
    SNR / Attn
    24,4(dB) / (dB)
    Παράθεση Αρχικό μήνυμα από megahead13 Εμφάνιση μηνυμάτων
    Καλησπέρα. Είπα λοιπόν να αναβαθμίσω κι εγώ το λαπτόπι με έναν SSD. Προσπαθώ να καταλάβω όμως τι παίζει με το TRIM στην περίπτωση που έχουμε LUKS. Στα παρακάτω links περιγράφονται κάποια θέματα ασφαλείας σε σχέση με την ενεργοποίηση του TRIM σε encrypted SSD:

    https://wiki.archlinux.org/index.php...e_drives_(SSD)
    https://www.reddit.com/r/archlinux/c...ion_on_an_ssd/
    Ο καθένας μας έχει διαφορετικό threat level οπότε σε θέματα ασφαλείας θεωρείται καλή πρακτική να υπάρχει full disclosure και να αναφέρεται και η παραμικρή απειλή. Μετά εσύ κρίνεις κατά πόσο αυτό αποτελεί απειλή ή όχι (και σε περίπτωση που είναι απειλή, αν η πιθανότητά της είναι ικανή να σε κάνει να θυσιάσεις την βολικότητα).

    Παράθεση Αρχικό μήνυμα από megahead13 Εμφάνιση μηνυμάτων
    1. Αυτό που δεν έχω καταλάβει ακριβώς είναι αν τελικά υπάρχει περίπτωση να βρεθεί το κλειδί με το TRIM ενεργοποιημένο (το αν μπορεί να ανιχνευθεί ο ελεύθερος χώρος ή τι file system έχει ο δίσκος δε με ενδιαφέρει).
    Όταν είναι ενεργοποιημένο το TRIM και "σβηστούν" οι τομείς, τότε μπορεί κάποιος να διαπιστώσει με βάση το ciphertext που βλέπει ποιες περιοχές είναι γραμμένες και ποιες όχι. Έτσι θα έχει μικρότερο όγκο δεδομένων να προσπαθήσει να σπάσει από ό,τι θα είχε με απενεργοποιημένο το trim. Αυτό φυσικά με δεδομένο ότι στην αρχή έγραψες τυχαία σκουπίδια σε όλο το δίσκο (συνήθως σε SSD δεν το κάνουμε αυτό για να μην κάνουμε άσκοπες εγγραφές οπότε δεν ξέρω αν έχει νόημα αυτό το επιχείρημα σε SSD). Επίσης, όπως είπες με βάση το ποιες περιοχές είναι γραμμένες, ίσως μαντέψει ποιο filesystem έχεις οπότε να κερδίσει και από εκεί χρόνο για το σπάσιμο.

    Πάνε χρόνια από τότε που προέκυψε το θέμα και δεν θυμάμαι τι είχα διαβάσει αλλά δεν νομίζω σε καμμία περίπτωση να μπορεί να βρεθεί το κλειδί. Αν ερμήνευσα καλά το link που δίνεις, λέει το ακριβώς αντίθετο. Αν για κάποιο λόγο αλλάξεις τους luks headers (πχ αλλάξεις κωδικό γιατί μαθεύτηκε) και ο SSD γράψει αυτή τη πληροφορία αλλού, τότε χωρίς trim ενδέχεται να υπάρχει στην παλιά θέση το παλιό header οπότε να χρησιμοποιηθεί από κάποιον ενώ με trim θα γραφτούν μηδενικά στην παλαιά θέση. Πιθανώς βέβαια να μην το κατάλαβα σωστά γιατί δεν μπορώ να καταλάβω πώς θα έχει πρόσβαση στην παλιά θέση ο attacker;

    Παράθεση Αρχικό μήνυμα από megahead13 Εμφάνιση μηνυμάτων
    2. Επίσης για την ενεργοποίηση του TRIM πρέπει να σεταριστεί το discard σε όλη την αλυσίδα boot loader, LVM, crypttab, fstab; Ή αυτό εξαρτάται από τι διανομή;
    Εσύ τρέχεις τον fstrim timer ο οποίος τρέχει για κάποιο κατάλογο. Οπότε πρέπει πρώτα το fs και μετά όλα τα από κάτω του layers και ο σκληρός να το υποστηρίζουν. Δεν ξέρω αν οι διανομές για ευκολία το ενεργοποιούν από μόνες τους ή όχι. Αν δεν το κάνουν, στην περίπτωση του LUKS θα πρέπει να ενεργοποιήσεις το allow-discards. Ο LVM νομίζω ότι το υποστηρίζει αυτόματα χωρίς να πειράξεις κάτι.

    Παράθεση Αρχικό μήνυμα από megahead13 Εμφάνιση μηνυμάτων
    Και εν τέλη πόσο χρειάζεται το TRIM σήμερα. Ο SSD που έχω είναι ένας Micron M600, δηλαδή όχι και τόσο καινούργιος (o controller που έχει είναι ο Marvell 88SS9189).
    Ανάλογα πόσο καλό είναι το firmware του ssd, πόσο γεμάτος είναι, πόσος έξτρα χώρος για provisioning υπάρχει στο pcb. Εγώ δεν το έχω ενεργοποιήσει στον SAM850 Evo και δεν έχω δει καμμία μείωση στην ποιότητα τόσο καιρό. Βέβαια το μέγιστο που έχω φτάσει είναι 40-45% γεμάτος οπότε η εμπειρία μου δεν μετράει.

    Λυπάμαι που δεν έγραψα κάτι πιο σαφές αλλά οι SSD είναι λίγο black magic.
    "I like offending people, because I think people who get offended should be offended" - Linus Torvalds

    "Παλιά είχαμε φτωχούς οι οποίοι ζούσανε σε φτωχογειτονιές. Τώρα, η οικονομικά δυσπραγούσα τάξη
    κατέχει στέγες υποδεέστερης ποιότητας σε υποβαθμισμένα αστικά κέντρα" - George Carlin
    Γα.... την πολιτική ορθότητα.

  3. #3
    Εγγραφή
    30-01-2005
    Περιοχή
    City of light with thy violet crown
    Ηλικία
    44
    Μηνύματα
    6.973
    Downloads
    23
    Uploads
    0
    Ταχύτητα
    150/30Mbps
    ISP
    BT FTTP
    Router
    pfSense/Openreach ONT
    Παράθεση Αρχικό μήνυμα από imitheos Εμφάνιση μηνυμάτων
    Όταν είναι ενεργοποιημένο το TRIM και "σβηστούν" οι τομείς, τότε μπορεί κάποιος να διαπιστώσει με βάση το ciphertext που βλέπει ποιες περιοχές είναι γραμμένες και ποιες όχι. Έτσι θα έχει μικρότερο όγκο δεδομένων να προσπαθήσει να σπάσει από ό,τι θα είχε με απενεργοποιημένο το trim. Αυτό φυσικά με δεδομένο ότι στην αρχή έγραψες τυχαία σκουπίδια σε όλο το δίσκο (συνήθως σε SSD δεν το κάνουμε αυτό για να μην κάνουμε άσκοπες εγγραφές οπότε δεν ξέρω αν έχει νόημα αυτό το επιχείρημα σε SSD). Επίσης, όπως είπες με βάση το ποιες περιοχές είναι γραμμένες, ίσως μαντέψει ποιο filesystem έχεις οπότε να κερδίσει και από εκεί χρόνο για το σπάσιμο.
    Απ' οτι είδα το καλύτερο είναι να γίνεται reset σε όλα τα blocks του SSD με hdparm ή τα εργαλεία του κατασκευαστή.

    Παράθεση Αρχικό μήνυμα από imitheos Εμφάνιση μηνυμάτων
    Πάνε χρόνια από τότε που προέκυψε το θέμα και δεν θυμάμαι τι είχα διαβάσει αλλά δεν νομίζω σε καμμία περίπτωση να μπορεί να βρεθεί το κλειδί. Αν ερμήνευσα καλά το link που δίνεις, λέει το ακριβώς αντίθετο. Αν για κάποιο λόγο αλλάξεις τους luks headers (πχ αλλάξεις κωδικό γιατί μαθεύτηκε) και ο SSD γράψει αυτή τη πληροφορία αλλού, τότε χωρίς trim ενδέχεται να υπάρχει στην παλιά θέση το παλιό header οπότε να χρησιμοποιηθεί από κάποιον ενώ με trim θα γραφτούν μηδενικά στην παλαιά θέση. Πιθανώς βέβαια να μην το κατάλαβα σωστά γιατί δεν μπορώ να καταλάβω πώς θα έχει πρόσβαση στην παλιά θέση ο attacker;
    Ακριβώς αυτό που γράφεις καταλαβαίνω κι εγώ, αλλά ήθελα να ρωτήσω κι εδώ μήπως τα 'χω μπλέξει.

    Παράθεση Αρχικό μήνυμα από imitheos Εμφάνιση μηνυμάτων
    Εσύ τρέχεις τον fstrim timer ο οποίος τρέχει για κάποιο κατάλογο. Οπότε πρέπει πρώτα το fs και μετά όλα τα από κάτω του layers και ο σκληρός να το υποστηρίζουν. Δεν ξέρω αν οι διανομές για ευκολία το ενεργοποιούν από μόνες τους ή όχι. Αν δεν το κάνουν, στην περίπτωση του LUKS θα πρέπει να ενεργοποιήσεις το allow-discards. Ο LVM νομίζω ότι το υποστηρίζει αυτόματα χωρίς να πειράξεις κάτι.
    Σε αυτό το σημείο έχω λίγο μπλεχτεί, γιατί κάθε διανομή φαίνεται να έχει μικροδιαφοροποιήσεις στην υλοποίηση συν ότι οι αναφορές που έχω βρει είναι σε διαφορετικές χρονικές περιόδους (πχ, ένας fedoraς στο blog του έχει γράψει 2 ή 3 διαφορετικά ποστ σε διάστημα ~2-3 χρόνων περιγράφοντας τις αλλαγές που έχουν γίνει στη διανομή που χρησιμοποιεί).


    Παράθεση Αρχικό μήνυμα από imitheos Εμφάνιση μηνυμάτων
    Ανάλογα πόσο καλό είναι το firmware του ssd, πόσο γεμάτος είναι, πόσος έξτρα χώρος για provisioning υπάρχει στο pcb. Εγώ δεν το έχω ενεργοποιήσει στον SAM850 Evo και δεν έχω δει καμμία μείωση στην ποιότητα τόσο καιρό. Βέβαια το μέγιστο που έχω φτάσει είναι 40-45% γεμάτος οπότε η εμπειρία μου δεν μετράει.
    Αυτό τελικά καταλαβαίνω κι εγώ. Μάλλον πλέον το TRIM δεν παίζει και τόσο σημαντικό ρόλο όπως παλιότερα, μια και οι controllers και τα firmware τους έχουν βελτιωθεί. Βέβαια όπως είπα ο SSD που βρήκα είναι κάτι χρόνια παλιός (αλλά ελάχιστα χρησιμοποιημένος, μόνο για να μπουτάρει το λειτουργικό χρησιμοποιούταν).

    Παράθεση Αρχικό μήνυμα από imitheos Εμφάνιση μηνυμάτων
    Λυπάμαι που δεν έγραψα κάτι πιο σαφές αλλά οι SSD είναι λίγο black magic.
    Κανένα πρόβλημα. Όντως μαύρα κουτιά είναι οι SSD. Τον Micron που ανέφερα τον βρήκα από ένα Lenovo workstation. H έκδοση firmware του είναι ειδικά για τη Lenovo, και μάλλον δεν πρέπει να υποστηρίζει TCG Opal 2.0 encryption, όπως η κανονική έκδοσή του, αλλιώς ίσως να έπαιζα μπάλα με αυτό αντί για LUKS. Τεσπά, έστειλα κι ένα email στη Micron μπας και πουν περισσότερα.
    Όταν ενώνουμε τις δυνάμεις μας, μπορούμε να πετύχουμε το ακατόρθωτο - Παναγιώτης Γιαννάκης

    Never say never, because limits, like fears, are often just an illusion -
    Michael Jordan


  4. #4
    Εγγραφή
    27-08-2004
    Περιοχή
    internet
    Μηνύματα
    23.371
    Downloads
    58
    Uploads
    17
    Άρθρα
    9
    Ταχύτητα
    49999 / 4999
    ISP
    ΟΤΕ Conn-x
    DSLAM
    ΟΤΕ - ΚΟΥΝΟΥΠΙΔΙΑΝΩΝ
    Ενεργοποίησε το trim. Βοηθά σε 2 πράγματα:

    1. Κάνει το δίσκο πιο γρήγορο αφού το να πανωγράφεις σε μη-zeroed block είναι πιο αργό από το να πανωγράφεις σε zeroed.
    2. Χωρίς trim δεν μπορεί να λειτουργήσει καλά το wear leveling του δίσκου σου, οπότε χαλά πιο γρήγορα.

    Ναι, με trim θεωρητικά είναι πιο εύκολο να σπάσουν το κλειδί —αλλά και πάλι εξαιρετικά δύσκολο—, δεν μπορείς να έχεις plausible deniability σε κάποιες περιπτώσεις κλπ.

    Βάλε trim, βάλε και ένα ωραίο swap partition στον ssd και απόλαυσε τον δίσκο σου.
    Gentoo Linux: mess with the best and you might learn something
    δικτυακή παράσταση | twitter | within specifications
    Αν φτάσω τα 100 και με ρωτήσουν το μυστικό της μακροζωίας θα πω: Πάντα είχα 3 ποτήρια μπροστά μου· ένα με νερό, ένα με καφέ & ένα με αλκοόλ.

  5. #5
    Εγγραφή
    30-01-2005
    Περιοχή
    City of light with thy violet crown
    Ηλικία
    44
    Μηνύματα
    6.973
    Downloads
    23
    Uploads
    0
    Ταχύτητα
    150/30Mbps
    ISP
    BT FTTP
    Router
    pfSense/Openreach ONT
    Παράθεση Αρχικό μήνυμα από mrsaccess Εμφάνιση μηνυμάτων
    Ενεργοποίησε το trim. Βοηθά σε 2 πράγματα:

    1. Κάνει το δίσκο πιο γρήγορο αφού το να πανωγράφεις σε μη-zeroed block είναι πιο αργό από το να πανωγράφεις σε zeroed.
    2. Χωρίς trim δεν μπορεί να λειτουργήσει καλά το wear leveling του δίσκου σου, οπότε χαλά πιο γρήγορα.
    Αυτά είναι γνωστά, αν και για τα πιο τελευταία μοντέλα SSD απ' ότι διαβάζω αρκετοί λένε πως το TRIM δεν έχει τόσο σημασία σήμερα (βελτιωμένοι SSD controllers και firmware όπως έγραψα και πιο πάνω).

    Παράθεση Αρχικό μήνυμα από mrsaccess Εμφάνιση μηνυμάτων
    Ναι, με trim θεωρητικά είναι πιο εύκολο να σπάσουν το κλειδί —αλλά και πάλι εξαιρετικά δύσκολο—, δεν μπορείς να έχεις plausible deniability σε κάποιες περιπτώσεις κλπ.
    Το εξηγείς αυτό σε παρακαλώ;;
    Όταν ενώνουμε τις δυνάμεις μας, μπορούμε να πετύχουμε το ακατόρθωτο - Παναγιώτης Γιαννάκης

    Never say never, because limits, like fears, are often just an illusion -
    Michael Jordan


  6. #6
    Εγγραφή
    27-08-2004
    Περιοχή
    internet
    Μηνύματα
    23.371
    Downloads
    58
    Uploads
    17
    Άρθρα
    9
    Ταχύτητα
    49999 / 4999
    ISP
    ΟΤΕ Conn-x
    DSLAM
    ΟΤΕ - ΚΟΥΝΟΥΠΙΔΙΑΝΩΝ
    Παράθεση Αρχικό μήνυμα από megahead13 Εμφάνιση μηνυμάτων
    Αυτά είναι γνωστά, αν και για τα πιο τελευταία μοντέλα SSD απ' ότι διαβάζω αρκετοί λένε πως το TRIM δεν έχει τόσο σημασία σήμερα (βελτιωμένοι SSD controllers και firmware όπως έγραψα και πιο πάνω).


    Το εξηγείς αυτό σε παρακαλώ;;
    Το ένα σενάριο με το trim είναι πως επειδή δεν μπορείς να κάνεις shred τα διαγραμμένα sectors σου, αν ένα κλειδί έχει γίνει leak στο δίσκο δεν μπορείς να το σβέσεις με βεβαιότητα. Πχ αν σβήσεις ένα compomised κλειδί ή για κάποιο λόγο γίνει το κλειδί leak στον δίσκο —πχ unencrypted swap αν και νομίζω κάτι έχουν κάνει για αυτό, για να μην καταλήγουν κλειδιά στο swap but still. Το άλλο είναι πως το trim ίσως δώσει στοιχεία στον επιτιθέμενο για το layout του δίσκου σου (πχ ελεύθερα sectors, filesystem type, κλπ). Αυτό, πέρα από το ότι διαρρέει κάποιες πληροφορίες που η κρυπτογράφηση συνήθως αποκρύπτει, θα μπορούσε κάποια στιγμή να φανεί χρήσιμο σε κάποιου είδους επίθεση. Τέλος, κάνοντας εικασίες πάντα, δεν ξέρουμε τι είδους side-channel attack μπορεί να εμφανιστεί αύριο που να χρησιμοποιεί τα trimmed sectors. Δύσκολο αλλά δεν έχουμε δει και λίγα.

    Αν πάντως ανησυχείς για την επίπτωση του trim (προσωπικά δεν ανησυχώ), τότε θα πρέπει να σκεφτείς και άλλα, πιο πιθανά σενάρια. Πχ επίθεση στον bootloader. Εκεί τι κάνεις; Πρέπει να ενεργοποιήσεις το secure boot και να κάνεις την προσευχή σου.
    Gentoo Linux: mess with the best and you might learn something
    δικτυακή παράσταση | twitter | within specifications
    Αν φτάσω τα 100 και με ρωτήσουν το μυστικό της μακροζωίας θα πω: Πάντα είχα 3 ποτήρια μπροστά μου· ένα με νερό, ένα με καφέ & ένα με αλκοόλ.

  7. #7
    Εγγραφή
    30-01-2005
    Περιοχή
    City of light with thy violet crown
    Ηλικία
    44
    Μηνύματα
    6.973
    Downloads
    23
    Uploads
    0
    Ταχύτητα
    150/30Mbps
    ISP
    BT FTTP
    Router
    pfSense/Openreach ONT
    Έγινε ευχαριστώ
    Όταν ενώνουμε τις δυνάμεις μας, μπορούμε να πετύχουμε το ακατόρθωτο - Παναγιώτης Γιαννάκης

    Never say never, because limits, like fears, are often just an illusion -
    Michael Jordan


Bookmarks

Bookmarks

Δικαιώματα - Επιλογές

  • Δεν μπορείτε να δημοσιεύσετε νέα θέματα
  • Δεν μπορείτε να δημοσιεύσετε νέα μηνύματα
  • Δεν μπορείτε να αναρτήσετε συνημμένα
  • Δεν μπορείτε να επεξεργαστείτε τα μηνύματα σας
  •  
  • Τα BB code είναι σε λειτουργία
  • Τα Smilies είναι σε λειτουργία
  • Το [IMG] είναι σε λειτουργία
  • Το [VIDEO] είναι σε λειτουργία
  • Το HTML είναι εκτός λειτουργίας