Żyję w innym matriksie...

Po pierwsze – nie lubię tego filmu. Albo inaczej – zupełnie nie rozumiem jego kultowości. Ale ja nie o tym. Podobnież żyję we własnym matriksie (znaczy się w swoim małym, własnym świecie). Tak dzisiaj usłyszałem w wyniku dyskusji o:

Co w moim matriksie się myśli o tych technologiach

Odpowiedź jest krótka – ja ich nie używam i nie zamierzam używać. W moim matriksie są one mało bezpieczne. Hasło na dysk, to pic na wodę, a odciski palców i identyfikacja tożsamości w oparciu o nie jest dla mnie zbyt zawodna.

Hasła na dysk

Mowa tutaj o istniejącej w laptopach funkcji “zahasłowania” dostępu do dysku (fizycznego). Bez podania hasła, dysk nie rusza. Przynajmniej w teorii. Jeśli chwilę poszukać, okazuje się, że dla różnych dysków istnieją różne metody usunięcia tego hasła. Nie mam ochoty się zastanawiać jaka metoda jest dla dysku HTS721060G9SA00 i czy aby na pewno w wersji HTS721060G9SA04, która być może przyjdzie w tym samym modelu laptopa za pół roku, będzie tak samo. Już kompletnie zasłoną milczenia pokrywam ewentualność fizycznej ingerencji w dysk. W efekcie nigdy nie uznam tej funkcji za bezpieczną, nikomu jej nie polecę i co więcej, będę odradzał jej stosowanie, bo daje fałszywe poczucie bezpieczeństwa. Jeśli mam do wyboru podawanie hasła przy starcie komputera, to wolę je podawać do rozwiązania (bo może być to też rozwiązanie sprzętowe), które będzie szyfrowało wszystkie dane na dysku, a nie do jakiejś bezużytecznej zasłony dymnej. Może to być nawet szyfrowanie partycji systemowej wprowadzonej w TrueCrypt 5.0 (tak, już uskuteczniłem szyfrowanie dysku w laptopie “roboczym”).

Palec do uwierzytelnienia

Nie korzystam i nie będę korzystał. Po pierwsze dlatego, że w wielu (jeśli nie we wszystkich) rozwiązaniach margines błędnego rozpoznania jest zbyt duży. Po drugie nie użyję “sejfu” w którym znajdują się moje hasła lub klucze kryptograficzne, do którego dostęp będzie chronił mój fingerprint. Preferuję kryptografię. Nawet jeśli pominiemy karty kryptograficzne, to istnieją algorytmy przekształcania hasła na klucze kryptograficzne (patrz PBKDF2), a z tego co wiem, nie ma funkcji generującej klucze kryptograficzne na podstawie odcisku palca, a przynajmniej nie ma w powszechnym użyciu, bo jakieś patenty w tym temacie są. Jeśli sejf jest chroniony przez hasło, to może być zaszyfrowany długim, wygenerowanym na podstawie źródła dobrej entropii kluczem, który następnie jest chroniony przez mój masterkey generowany na podstawie PBKDF2. Ilość iteracji może być na tyle duża, że atak bruteforce nie skończy się w sensownym czasie. Jestem w stanie zaczekać 5 sekund na wygenerowanie klucza, co mi tam. W potworki “uwalniające” klucze i hasła w oparciu o mój odcisk palca po prostu nie wierzę.

Oryginał tego wpisu dostępny jest pod adresem Żyję w innym matriksie...

Autor: Paweł Goleń