Καλησπέρα. Είπα λοιπόν να αναβαθμίσω κι εγώ το λαπτόπι με έναν SSD. Προσπαθώ να καταλάβω όμως τι παίζει με το TRIM στην περίπτωση που έχουμε LUKS. Στα παρακάτω links περιγράφονται κάποια θέματα ασφαλείας σε σχέση με την ενεργοποίηση του TRIM σε encrypted SSD:
https://wiki.archlinux.org/index.php...e_drives_(SSD)
https://www.reddit.com/r/archlinux/c...ion_on_an_ssd/
1. Αυτό που δεν έχω καταλάβει ακριβώς είναι αν τελικά υπάρχει περίπτωση να βρεθεί το κλειδί με το TRIM ενεργοποιημένο (το αν μπορεί να ανιχνευθεί ο ελεύθερος χώρος ή τι file system έχει ο δίσκος δε με ενδιαφέρει).
2. Επίσης για την ενεργοποίηση του TRIM πρέπει να σεταριστεί το discard σε όλη την αλυσίδα boot loader, LVM, crypttab, fstab; Ή αυτό εξαρτάται από τι διανομή;
Και εν τέλη πόσο χρειάζεται το TRIM σήμερα. Ο SSD που έχω είναι ένας Micron M600, δηλαδή όχι και τόσο καινούργιος (o controller που έχει είναι ο Marvell 88SS9189).
Εμφάνιση 1-7 από 7
-
19-02-19, 14:49 SSD, LVM και LUKS encryption #1Όταν ενώνουμε τις δυνάμεις μας, μπορούμε να πετύχουμε το ακατόρθωτο - Παναγιώτης Γιαννάκης
Never say never, because limits, like fears, are often just an illusion - Michael Jordan
-
19-02-19, 16:37 Απάντηση: SSD, LVM και LUKS encryption #2
Ο καθένας μας έχει διαφορετικό threat level οπότε σε θέματα ασφαλείας θεωρείται καλή πρακτική να υπάρχει full disclosure και να αναφέρεται και η παραμικρή απειλή. Μετά εσύ κρίνεις κατά πόσο αυτό αποτελεί απειλή ή όχι (και σε περίπτωση που είναι απειλή, αν η πιθανότητά της είναι ικανή να σε κάνει να θυσιάσεις την βολικότητα).
Όταν είναι ενεργοποιημένο το TRIM και "σβηστούν" οι τομείς, τότε μπορεί κάποιος να διαπιστώσει με βάση το ciphertext που βλέπει ποιες περιοχές είναι γραμμένες και ποιες όχι. Έτσι θα έχει μικρότερο όγκο δεδομένων να προσπαθήσει να σπάσει από ό,τι θα είχε με απενεργοποιημένο το trim. Αυτό φυσικά με δεδομένο ότι στην αρχή έγραψες τυχαία σκουπίδια σε όλο το δίσκο (συνήθως σε SSD δεν το κάνουμε αυτό για να μην κάνουμε άσκοπες εγγραφές οπότε δεν ξέρω αν έχει νόημα αυτό το επιχείρημα σε SSD). Επίσης, όπως είπες με βάση το ποιες περιοχές είναι γραμμένες, ίσως μαντέψει ποιο filesystem έχεις οπότε να κερδίσει και από εκεί χρόνο για το σπάσιμο.
Πάνε χρόνια από τότε που προέκυψε το θέμα και δεν θυμάμαι τι είχα διαβάσει αλλά δεν νομίζω σε καμμία περίπτωση να μπορεί να βρεθεί το κλειδί. Αν ερμήνευσα καλά το link που δίνεις, λέει το ακριβώς αντίθετο. Αν για κάποιο λόγο αλλάξεις τους luks headers (πχ αλλάξεις κωδικό γιατί μαθεύτηκε) και ο SSD γράψει αυτή τη πληροφορία αλλού, τότε χωρίς trim ενδέχεται να υπάρχει στην παλιά θέση το παλιό header οπότε να χρησιμοποιηθεί από κάποιον ενώ με trim θα γραφτούν μηδενικά στην παλαιά θέση. Πιθανώς βέβαια να μην το κατάλαβα σωστά γιατί δεν μπορώ να καταλάβω πώς θα έχει πρόσβαση στην παλιά θέση ο attacker;
Εσύ τρέχεις τον fstrim timer ο οποίος τρέχει για κάποιο κατάλογο. Οπότε πρέπει πρώτα το fs και μετά όλα τα από κάτω του layers και ο σκληρός να το υποστηρίζουν. Δεν ξέρω αν οι διανομές για ευκολία το ενεργοποιούν από μόνες τους ή όχι. Αν δεν το κάνουν, στην περίπτωση του LUKS θα πρέπει να ενεργοποιήσεις το allow-discards. Ο LVM νομίζω ότι το υποστηρίζει αυτόματα χωρίς να πειράξεις κάτι.
Ανάλογα πόσο καλό είναι το firmware του ssd, πόσο γεμάτος είναι, πόσος έξτρα χώρος για provisioning υπάρχει στο pcb. Εγώ δεν το έχω ενεργοποιήσει στον SAM850 Evo και δεν έχω δει καμμία μείωση στην ποιότητα τόσο καιρό. Βέβαια το μέγιστο που έχω φτάσει είναι 40-45% γεμάτος οπότε η εμπειρία μου δεν μετράει.
Λυπάμαι που δεν έγραψα κάτι πιο σαφές αλλά οι SSD είναι λίγο black magic."I like offending people, because I think people who get offended should be offended" - Linus Torvalds
"Παλιά είχαμε φτωχούς οι οποίοι ζούσανε σε φτωχογειτονιές. Τώρα, η οικονομικά δυσπραγούσα τάξη
κατέχει στέγες υποδεέστερης ποιότητας σε υποβαθμισμένα αστικά κέντρα" - George Carlin
Γα.... την πολιτική ορθότητα.
-
19-02-19, 17:08 Απάντηση: SSD, LVM και LUKS encryption #3
Απ' οτι είδα το καλύτερο είναι να γίνεται reset σε όλα τα blocks του SSD με hdparm ή τα εργαλεία του κατασκευαστή.
Ακριβώς αυτό που γράφεις καταλαβαίνω κι εγώ, αλλά ήθελα να ρωτήσω κι εδώ μήπως τα 'χω μπλέξει.
Σε αυτό το σημείο έχω λίγο μπλεχτεί, γιατί κάθε διανομή φαίνεται να έχει μικροδιαφοροποιήσεις στην υλοποίηση συν ότι οι αναφορές που έχω βρει είναι σε διαφορετικές χρονικές περιόδους (πχ, ένας fedoraς στο blog του έχει γράψει 2 ή 3 διαφορετικά ποστ σε διάστημα ~2-3 χρόνων περιγράφοντας τις αλλαγές που έχουν γίνει στη διανομή που χρησιμοποιεί).
Αυτό τελικά καταλαβαίνω κι εγώ. Μάλλον πλέον το TRIM δεν παίζει και τόσο σημαντικό ρόλο όπως παλιότερα, μια και οι controllers και τα firmware τους έχουν βελτιωθεί. Βέβαια όπως είπα ο SSD που βρήκα είναι κάτι χρόνια παλιός (αλλά ελάχιστα χρησιμοποιημένος, μόνο για να μπουτάρει το λειτουργικό χρησιμοποιούταν).
Κανένα πρόβλημα. Όντως μαύρα κουτιά είναι οι SSD. Τον Micron που ανέφερα τον βρήκα από ένα Lenovo workstation. H έκδοση firmware του είναι ειδικά για τη Lenovo, και μάλλον δεν πρέπει να υποστηρίζει TCG Opal 2.0 encryption, όπως η κανονική έκδοσή του, αλλιώς ίσως να έπαιζα μπάλα με αυτό αντί για LUKS. Τεσπά, έστειλα κι ένα email στη Micron μπας και πουν περισσότερα.Όταν ενώνουμε τις δυνάμεις μας, μπορούμε να πετύχουμε το ακατόρθωτο - Παναγιώτης Γιαννάκης
Never say never, because limits, like fears, are often just an illusion - Michael Jordan
-
20-02-19, 00:19 Απάντηση: SSD, LVM και LUKS encryption #4
- Εγγραφή
- 27-08-2004
- Περιοχή
- internet
- Μηνύματα
- 23.371
- Downloads
- 58
- Uploads
- 17
- Άρθρα
- 9
- Ταχύτητα
- 49999 / 4999
- ISP
- ΟΤΕ Conn-x
- DSLAM
- ΟΤΕ - ΚΟΥΝΟΥΠΙΔΙΑΝΩΝ
Ενεργοποίησε το trim. Βοηθά σε 2 πράγματα:
1. Κάνει το δίσκο πιο γρήγορο αφού το να πανωγράφεις σε μη-zeroed block είναι πιο αργό από το να πανωγράφεις σε zeroed.
2. Χωρίς trim δεν μπορεί να λειτουργήσει καλά το wear leveling του δίσκου σου, οπότε χαλά πιο γρήγορα.
Ναι, με trim θεωρητικά είναι πιο εύκολο να σπάσουν το κλειδί —αλλά και πάλι εξαιρετικά δύσκολο—, δεν μπορείς να έχεις plausible deniability σε κάποιες περιπτώσεις κλπ.
Βάλε trim, βάλε και ένα ωραίο swap partition στον ssd και απόλαυσε τον δίσκο σου.Gentoo Linux: mess with the best and you might learn something
δικτυακή παράσταση | twitter | within specifications
Αν φτάσω τα 100 και με ρωτήσουν το μυστικό της μακροζωίας θα πω: Πάντα είχα 3 ποτήρια μπροστά μου· ένα με νερό, ένα με καφέ & ένα με αλκοόλ.
-
20-02-19, 14:37 Απάντηση: SSD, LVM και LUKS encryption #5Όταν ενώνουμε τις δυνάμεις μας, μπορούμε να πετύχουμε το ακατόρθωτο - Παναγιώτης Γιαννάκης
Never say never, because limits, like fears, are often just an illusion - Michael Jordan
-
22-02-19, 01:06 Απάντηση: SSD, LVM και LUKS encryption #6
- Εγγραφή
- 27-08-2004
- Περιοχή
- internet
- Μηνύματα
- 23.371
- Downloads
- 58
- Uploads
- 17
- Άρθρα
- 9
- Ταχύτητα
- 49999 / 4999
- ISP
- ΟΤΕ Conn-x
- DSLAM
- ΟΤΕ - ΚΟΥΝΟΥΠΙΔΙΑΝΩΝ
Το ένα σενάριο με το trim είναι πως επειδή δεν μπορείς να κάνεις shred τα διαγραμμένα sectors σου, αν ένα κλειδί έχει γίνει leak στο δίσκο δεν μπορείς να το σβέσεις με βεβαιότητα. Πχ αν σβήσεις ένα compomised κλειδί ή για κάποιο λόγο γίνει το κλειδί leak στον δίσκο —πχ unencrypted swap αν και νομίζω κάτι έχουν κάνει για αυτό, για να μην καταλήγουν κλειδιά στο swap but still. Το άλλο είναι πως το trim ίσως δώσει στοιχεία στον επιτιθέμενο για το layout του δίσκου σου (πχ ελεύθερα sectors, filesystem type, κλπ). Αυτό, πέρα από το ότι διαρρέει κάποιες πληροφορίες που η κρυπτογράφηση συνήθως αποκρύπτει, θα μπορούσε κάποια στιγμή να φανεί χρήσιμο σε κάποιου είδους επίθεση. Τέλος, κάνοντας εικασίες πάντα, δεν ξέρουμε τι είδους side-channel attack μπορεί να εμφανιστεί αύριο που να χρησιμοποιεί τα trimmed sectors. Δύσκολο αλλά δεν έχουμε δει και λίγα.
Αν πάντως ανησυχείς για την επίπτωση του trim (προσωπικά δεν ανησυχώ), τότε θα πρέπει να σκεφτείς και άλλα, πιο πιθανά σενάρια. Πχ επίθεση στον bootloader. Εκεί τι κάνεις; Πρέπει να ενεργοποιήσεις το secure boot και να κάνεις την προσευχή σου.Gentoo Linux: mess with the best and you might learn something
δικτυακή παράσταση | twitter | within specifications
Αν φτάσω τα 100 και με ρωτήσουν το μυστικό της μακροζωίας θα πω: Πάντα είχα 3 ποτήρια μπροστά μου· ένα με νερό, ένα με καφέ & ένα με αλκοόλ.
-
22-02-19, 02:51 Απάντηση: SSD, LVM και LUKS encryption #7
Έγινε ευχαριστώ
Όταν ενώνουμε τις δυνάμεις μας, μπορούμε να πετύχουμε το ακατόρθωτο - Παναγιώτης Γιαννάκης
Never say never, because limits, like fears, are often just an illusion - Michael Jordan
Bookmarks