Dart Raiden
Gold Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
mleo
Цитата: Кто то в суе вспоминал про Trusted Platform Module (TPM)
|
Ох.
Во-первых, если устройством пользуетесь только вы, никто не мешает использовать для BitLocker связку "TPM+пин", причем пин политиками может быть доведен до полноценного пароля. Например, я никогда особо не доверял Windows в плане авторизации (впрочем, в линуксах всё ещё печальнее), поэтому в Windows у меня автовход, а авторизацию осуществляет именно BitLocker. Кроме того, поддерживается физический ключ в виде USB-накопителя. В общем, изучайте BitLocker, а не используйте настройки по умолчанию (по умолчанию предлагается защиту от физического доступа возложить на TPM, а задачу авторизации отдать Windows, что удобно и прозрачно для пользователя).
Во-вторых, атака через DMA блокируется либо политиками ("не подключать автоматически устройства, воткнутые, когда сеанс заблокирован"), либо Kernel DMA Protection на совместимом железе. Выбирайте железо с умом.
TPM это не панацея, но способ усложнить жить атакующему, отчего применяться может и должен. Всё это касается и сабжа: VeraCrypt c TPM надёжнее, чем без. При этом, вам он ничего не стоит, потому что fTPM есть в любой современной материнке, но добавляет геморроя атакущему. И уровень безопасность не снижается, если вы используете TPM в дополнение, а не вместо. |
Всего записей: 6109 | Зарегистр. 20-10-2006 | Отправлено: 00:43 15-02-2021 | Исправлено: Dart Raiden, 01:04 15-02-2021 |
|
