Re: Geli a gbde - pripominky

[Kaminar]

> > Napriklad i ten kdo nezna hesla by mohl zrusit pristup k sifrovanemu disku

Ten kdo je root, tak samozrejme muze disk zlikvidovat, jak chce.

> 	Nemam to nastudovane detailne, ale to preci stejne muze, ne ? Prikaz na 
> zruseni klice nemuze pouzit kazdy, ale ten, kdo ma uz stejne takovy 
> pristup k mediu, ze data muze tak jako tak prepsat.

U mazani klicu vim, ze by to mozna neprineslo asi moc uzitku, ale vychazim
zatim z toho, ze u gbde je heslo vyzadovano, i kdyz je to jina metoda a heslo
tam muze byt vic opodstatnene.


> > nebo si zazalohovat metadata a pozdeji je treba zneuzit...
> 
> 	A znovu, mozna to nemam nastudovane dobre, ale mel jsem dojem, ze 
> zazalohovana data jsou stale chranena - tak jako byla chranena na svem 
> puvodnim umisteni - zaloha je kopie stale zasifrovanych dat. Bud' je 
> tedy dokaze dotycny precist i na puvodnim miste, nebo je nedokaze 
> precist ani ze zalohy.

Jedna se o zalohu metadat, tj. jeden sektor, ktery je pouzivany k ulozeni
informaci o sifrovanem disku, vcetne MasterKey.

Uvazoval jsem napriklad tento pripad:
Uzivatel U1 zasifruje disk heslem H1. Uzivatel U2, ktery bude mit pristup
k disku, ale nebude znat heslo si stahne metadata. Nejakym zpusobem
se proflakne heslo H1 a U1 rychle zmeni heslo z H1 na H2.
A je problem, protoze U2 ma zalohovana metadata s proflaknutym heslem
H1. Takze mu staci obnovit metadata a ma pristup k sifrovanym datum.

Dalsi otazka je, jestli ta metadata jsou sifrovana.
Lze pouzit akci geli dump pro vypis metadat, kde se zobrazi MasterKey.
Na tohle by se mel ale podivat nekdo, kdo neco vi o sifrovani a dokazal by
odpovedet, jestli mu znalost vypisu metadat nahodou neposkytuje klic k
rozsifrovani dat. I kdyz si rikam, ze takovouto diru by snad nikdo neudelal,
tak ale stejne by bylo dobre to proverit.

> 
> 	Opravdu tu implementaci ale nemam detailne nastudovanou, takze to muze 
> byt jinak.
> 
> 	Kazdopadne je treba tvuj pozadavek zkoumat z toho uhlu zda se nahodou 
> nepokousis zabranit necemu co i tak nejde (opravnenemu pristupu k 
> metadatum, ktery by jinak nebyl mozny) nebo naopak, co i tak pujde

Myslim, ze prinejmensim akce backup (mozna i dump) by mela vyzadovat heslo.

> (nejakym jinym zpusobem). Aby se pripadne upravy nedelaly zbytecne, 
> protoze ve vysledku neprinesou zadny vysledny efekt neb fakticky nicemu 
> stejne nezabrani.
> 
> 	Nejsem jisty, jestlis na to pohlednul i z tohohle uhlu.

Samozrejme, ze jsem na to pohledl. Proto jsem to take posilal sem, protoze
vic hlav vic vi. :-) U toho mazani klicu by to asi mozna skutecne neprineslo
o moc vetsi bezpecnost, ale kdo vi (jak jsem uz psal gbde to heslem chrani).


Karel