Howard Skrevet 22. april 2008 Rapporter Del Skrevet 22. april 2008 Fujitsu fokuserer på sikkerhet i sin nye harddisk-serie med inntil 320 GB kapasitet. Les mer Lenke til kommentar
3dme Skrevet 22. april 2008 Rapporter Del Skrevet 22. april 2008 Stilig. En fin måte å beskytte private data på. Skal kjøpe meg et par slike med mindre de er veldig bråkete. Lenke til kommentar
zotbar1234 Skrevet 22. april 2008 Rapporter Del Skrevet 22. april 2008 Fujitsu fokuserer på sikkerhet i sin nye harddisk-serie med inntil 320 GB kapasitet. Jeg savnet litt flere tekniske detaljer i Fujitsu sin kunngjøring. Men la oss se: * "The drive implements the AES hardware encryption directly into the processor chip of the hard disk drive, resulting in more robust security and faster system performance than software-based encryption." Artikkelen begrunner dog ikke hvor "robust" og "faster" kommer fra. Men la oss ta en titt videre. * "The conventional response to this problem [== sikring av sensitive data] has been the use of BIOS passwords(4) and software-based encryption. Seeking a more robust form of data security, Fujitsu has now developed 2.5" hard disk drives with hardware-based AES encryption using industry-leading 256-bit key." For det første har BIOS-passord *aldri* vært en løsning for å sikre sensitive data. Det er bare tåpelig å hevde det. For det andre nevner de igjen "robust" uten å underbygge det. cryptsetup-luks + aes-implementasjonen i linux har gjennomgått langt flere revisjoner enn Fujitsu sin firmware. Det er langt større grunn til å tro at open source programvareløsninger for diskkryptering er mer robuste. * "The built-in AES automatically encrypts all data when storing it on the hard disk drive and decrypts the data when read. Unlike software-based encryption, the key does not reside in the computer's memory." Dette er dog et meget godt poeng. Men, de forteller svært lite om hvordan nøkkelen er laget og hvor. * "... This makes it more resistant to attack and imposes no processing overhead on the CPU, optimizing system performance." Tja. Altså, Fujitsu hevder essensielt at hdd-ene deres har en kryptobrikke på seg, som greier å kryptere data raskere enn ca. 40MBps (fordi omtrent dette kan man få med aes256 essiv-cbc på en ussel pentium-m i software). Jeg er litt spent på hvordan de har fått det til. Til slutt, jeg kan ikke bli kvitt følelsen at Fujitsu har gjort noe a la dette her, siden deres påstander virker nokså grandiose, uten at Fujitsu virkelig begrunner dem. Lenke til kommentar
Thorsen Skrevet 22. april 2008 Rapporter Del Skrevet 22. april 2008 Det er ikke noe nytt at krevende matematiske operasjoner ofte kan utføres mye raskere på hardware laget enn i software. En egen dedikert brikke som er eksakt tilpasset operasjonene den skal utføre vil være mye raskere enn en software basert løsning. For eksempel er CRC for bruk i feildeteksjon og korrigering av dataoverføringer mye raskere i hardware enn i software. Jeg betviler ikke at de har klart å lage en brikke som kryperer raskere enn hva man får til i software, men om den nødvendigvis er sikrere skal jeg ikke uttale meg om. Lenke til kommentar
Kahuna Skrevet 23. april 2008 Rapporter Del Skrevet 23. april 2008 For det andre nevner de igjen "robust" uten å underbygge det. cryptsetup-luks + aes-implementasjonen i linux har gjennomgått langt flere revisjoner enn Fujitsu sin firmware. Det er langt større grunn til å tro at open source programvareløsninger for diskkryptering er mer robuste.... Antal revisjoner av softwaren er ikke uten videre noe godt mål på hvor bra produktet er per i dag. Det kan like gjerne være en indikasjon på hvor dårlig "versjon 1" var... Som vanlig bruker kan du nok uten videre kjøpe denne disken og føle deg trygg etterpå, ikke minst høres det herlig ut å slippe det ytelsesdroppet du får ved softwarekryptering. Som datasikkerhetsansvarlig i en virksomhet så må du nok vente på at denne disken blir sertifisert av noen du stoler på. Selv om det teknisk sett skulle være grei skuring å lage denne disken uten sikkerhetshull så kan man jo som kjent aldri være sikker og da må man pent nødt til å støtte seg på ekspertisen. Lenke til kommentar
zotbar1234 Skrevet 23. april 2008 Rapporter Del Skrevet 23. april 2008 Antal revisjoner av softwaren er ikke uten videre noe godt mål på hvor bra produktet er per i dag. Det kan like gjerne være en indikasjon på hvor dårlig "versjon 1" var... Sikkerhetsløsninger som ikke presenteres for dagens lys er i utgangspunktet dårligere enn sikkerhetsløsninger som har vært til offentlig revisjon over lengre tid. Som vanlig bruker kan du nok uten videre kjøpe denne disken og føle deg trygg etterpå, ikke minst høres det herlig ut å slippe det ytelsesdroppet du får ved softwarekryptering. Fujitsu har enda til gode å dokumentere en ytelsesgevinst. Og når det gjelder "trygg etterpå" -- hva skjer den dagen det blir oppdaget et hull i hardwaren som implementerer aes i de diskene? Lenke til kommentar
Kahuna Skrevet 23. april 2008 Rapporter Del Skrevet 23. april 2008 Antal revisjoner av softwaren er ikke uten videre noe godt mål på hvor bra produktet er per i dag. Det kan like gjerne være en indikasjon på hvor dårlig "versjon 1" var... Sikkerhetsløsninger som ikke presenteres for dagens lys er i utgangspunktet dårligere enn sikkerhetsløsninger som har vært til offentlig revisjon over lengre tid. Jada, jada, jada. Det er et standard opensource-dogme som ikke kan bevises eller motbevises. Som vanlig bruker kan du nok uten videre kjøpe denne disken og føle deg trygg etterpå, ikke minst høres det herlig ut å slippe det ytelsesdroppet du får ved softwarekryptering. Fujitsu har enda til gode å dokumentere en ytelsesgevinst. Som bruker av softwarekryptering har jeg førstehånds kjennskap til det ytelsestapet du får ved å kjøre kryptering i software. Hvis fujitsu gjør kryptering i hardware *uten* ytelsetap så er det en reell forbedring men akkurat det får vi vel greie på når de første diskene kommer testere i hende. Inntil videre er jeg svak optimist og satser på at fujitsu ikke har tenkt å levere disker med dårlig ytelse (jf det andre har sagt i denne tråden om spesifikk krypterings hardware så er det i det minste plausibelt at ytelsen er bra) Og når det gjelder "trygg etterpå" -- hva skjer den dagen det blir oppdaget et hull i hardwaren som implementerer aes i de diskene? *Hvis* det skjer må du gjøre akkurat det samme som når det kommer en ny revisjon av krypterings-softwaren, installere ny versjon, dvs flashe firmware på disken. Er fujistu smarte lager de en liten monitor som kan varsle deg om så skjer. Lenke til kommentar
zotbar1234 Skrevet 24. april 2008 Rapporter Del Skrevet 24. april 2008 Sikkerhetsløsninger som ikke presenteres for dagens lys er i utgangspunktet dårligere enn sikkerhetsløsninger som har vært til offentlig revisjon over lengre tid. Jada, jada, jada. Det er et standard opensource-dogme som ikke kan bevises eller motbevises. En sikkerhetsløsning som ønsker å opparbeide tillit (noe ingen sikkerhetsløsning i utgangspunktet har), kan ikke begrunne sine krav om "robust" eller "sikker" bare ved å fastslå at så er tilfellet. Ej heller går det an å begrunne "robust" eller "sikker" ved å henvise til bruken av velkjente algoritmer, da det i seg selv er et av kravene, men er på ingen måte et tilstrekkelig krav. Fujitsu har enda til gode å dokumentere en ytelsesgevinst. Som bruker av softwarekryptering har jeg førstehånds kjennskap til det ytelsestapet du får ved å kjøre kryptering i software. Buhuu... 34.3MBps vs. 29.8MBps. Giganttap. Hvis fujitsu gjør kryptering i hardware *uten* ytelsetap så er det en reell forbedring men akkurat det får vi vel greie på når de første diskene kommer testere i hende. Inntil videre er jeg svak optimist og satser på at fujitsu ikke har tenkt å levere disker med dårlig ytelse (jf det andre har sagt i denne tråden om spesifikk krypterings hardware så er det i det minste plausibelt at ytelsen er bra) Jeg vil bare minne på liksom aes. Tipper at XOR-"krypteringen" går lynkjapt med minimale hardwarekonstander. Og når det gjelder "trygg etterpå" -- hva skjer den dagen det blir oppdaget et hull i hardwaren som implementerer aes i de diskene? *Hvis* det skjer *Når* det skjer... må du gjøre akkurat det samme som når det kommer en ny revisjon av krypterings-softwaren, installere ny versjon, dvs flashe firmware på disken. Er fujistu smarte lager de en liten monitor som kan varsle deg om så skjer. Jeg gjentar -- hva skjer den dagen det blir oppdaget et hull i *hardwaren* som implementerer aes? Hardware, ikke firmware på disken. Lenke til kommentar
Kahuna Skrevet 24. april 2008 Rapporter Del Skrevet 24. april 2008 ...En sikkerhetsløsning som ønsker å opparbeide tillit (noe ingen sikkerhetsløsning i utgangspunktet har), kan ikke begrunne sine krav om "robust" eller "sikker" bare ved å fastslå at så er tilfellet. Ej heller går det an å begrunne "robust" eller "sikker" ved å henvise til bruken av velkjente algoritmer, da det i seg selv er et av kravene, men er på ingen måte et tilstrekkelig krav. Som privatbruker kan man da velge å stole på at Fujitsu ikke skusler bort ryktet sitt ved å levere et usikkert produkt. Som 'proff' må du vente til noen du stoler på har sertifisert produktet (i norge kan det for eksempel være NSM) hvis du da ikke er kapabel til å gjøre det selv. Fujitsu har enda til gode å dokumentere en ytelsesgevinst. Som bruker av softwarekryptering har jeg førstehånds kjennskap til det ytelsestapet du får ved å kjøre kryptering i software. Buhuu... 34.3MBps vs. 29.8MBps. Giganttap. Hvor kommer disse tallene fra? Jeg har som sagt brukt softwarekryptering selv og gjorde en 'morsom' oppdagelse. Hvis du installerte kryptering på et reint system var ytelsedroppet målbart men umerkelig i praksis. Derimot var det svært merkbart når du fikk inn morsomheter som realtime virusscan og all den andre 'skiten' man gjerne har på et reelt system. Og når det gjelder "trygg etterpå" -- hva skjer den dagen det blir oppdaget et hull i hardwaren som implementerer aes i de diskene? *Hvis* det skjer *Når* det skjer... I en verden hvor nesten all software slippes mens den fortsatt er i beta er det lett å tenke at det samme gjelder ting som firmware også. I praksis så er det sjelden jeg har behov for å oppdatere firmware (jeg har ennå til gode å gjøre det på en disk) mens all software jeg bruker har gått gjennom mange revisjoner. En av grunnene til denne forskjellen er at miløet firmware opererer i er fantastisk mye enklere enn en fullverdig datamaskin. Da blir muligheten for at programmereren gjør det riktig første gang tilsvarende mye større. må du gjøre akkurat det samme som når det kommer en ny revisjon av krypterings-softwaren, installere ny versjon, dvs flashe firmware på disken. Er fujistu smarte lager de en liten monitor som kan varsle deg om så skjer. Jeg gjentar -- hva skjer den dagen det blir oppdaget et hull i *hardwaren* som implementerer aes? Hardware, ikke firmware på disken. Hvis ikke de har implementert krypteringen i FPGA, eller noe annet som lett kan reprogrammeres, må de gå til det ydmykende skritt å tilbakekalle alle utsendte disker, sende ut nye kontrollerkort osv. Såpass flaut at de skulle i hvertfall ha motivasjonen i orden for å gjøre det riktig første gang. Lenke til kommentar
zotbar1234 Skrevet 24. april 2008 Rapporter Del Skrevet 24. april 2008 Som privatbruker kan man da velge å stole på at Fujitsu ikke skusler bort ryktet sitt ved å levere et usikkert produkt. Du kan umulig mene at dette skal være et argument for å stole på det som Fujitsu leverer? Industrihistorien har *masse* eksempeler der store selskap har gjort bommerter i gigantklassen som utsatte folks liv i fare (og ikke bare deres privatdata). Som 'proff' må du vente til noen du stoler på har sertifisert produktet (i norge kan det for eksempel være NSM) hvis du da ikke er kapabel til å gjøre det selv. Jepp. Buhuu... 34.3MBps vs. 29.8MBps. Giganttap. Hvor kommer disse tallene fra? hdparm -t på laptopen min med 5400rpm IDE disk. Det første tallet er fra en rå device (/dev/sda). Det andre er fra en virtuell dekrypteringsdevice (satt opp av cryptsetup-luks). Jeg har som sagt brukt softwarekryptering selv og gjorde en 'morsom' oppdagelse. Hvis du installerte kryptering på et reint system var ytelsedroppet målbart men umerkelig i praksis. Derimot var det svært merkbart når du fikk inn morsomheter som realtime virusscan og all den andre 'skiten' man gjerne har på et reelt system. Langt i fra alle har realtime virusscans på sine filsystemer. Jeg har enda til gode å bli plaget av krypteringen på de partisjonen hvor dette er skrudd på. Det er ikke der flaskehalsen ligger for min del. Riktignok er det bare hjemmebruk, men 2.5" disker vil neppe sitte i high-performance I/O-løsninger. I en verden hvor nesten all software slippes mens den fortsatt er i beta er det lett å tenke at det samme gjelder ting som firmware også. Jeg spurte om hardware, ikke om firmware. *Firmware* er triviell å oppgradere (forutsatt at Fujitsu vil lage en bootbar image som er OS-uavhengig for å gjøre dette). Jeg gjentar -- hva skjer den dagen det blir oppdaget et hull i *hardwaren* som implementerer aes? Hardware, ikke firmware på disken. Hvis ikke de har implementert krypteringen i FPGA, eller noe annet som lett kan reprogrammeres, må de gå til det ydmykende skritt å tilbakekalle alle utsendte disker, sende ut nye kontrollerkort osv. Såpass flaut at de skulle i hvertfall ha motivasjonen i orden for å gjøre det riktig første gang. Jeg minnes om en liten historie med en fp-feil hos et lite selskap som lager cpu-er for en stund tilbake. Intel het de, tror jeg. Såmmenlign dette med å oppgradere en programvarepakke (særlig hvis det er snakk om, si, 100+ laptoper i en liten bedrift). Valget er opplagt. Lenke til kommentar
Kahuna Skrevet 24. april 2008 Rapporter Del Skrevet 24. april 2008 Som privatbruker kan man da velge å stole på at Fujitsu ikke skusler bort ryktet sitt ved å levere et usikkert produkt. Du kan umulig mene at dette skal være et argument for å stole på det som Fujitsu leverer? Industrihistorien har *masse* eksempeler der store selskap har gjort bommerter i gigantklassen som utsatte folks liv i fare (og ikke bare deres privatdata). Industrihistorien har nok enda flere eksempler på prosjekter, store som små, som har gått bra men kanskje du vet noe om Fujitsu som jeg ikke vet? Har de en lang og stygg historie med bevisste overtramp mot sine kunder som gjør at du ikke stoler på dem? Jeg minnes om en liten historie med en fp-feil hos et lite selskap som lager cpu-er for en stund tilbake. Intel het de, tror jeg. Det er litt forskjell i kompleksitet på intels nyere CPUer og kontrollerkortet til en harddisk. Det gir selvfølgelig ingen garanti for feilfrie kontrollerkort men oppgaven er i det minste enklere. Det er uansett litt drøyt av deg å avfeie denne disken som søppel før noen som helst har fått anledning til å se på den. Lenke til kommentar
zotbar1234 Skrevet 25. april 2008 Rapporter Del Skrevet 25. april 2008 Industrihistorien har nok enda flere eksempler på prosjekter, store som små, som har gått bra men kanskje du vet noe om Fujitsu som jeg ikke vet? Har de en lang og stygg historie med bevisste overtramp mot sine kunder som gjør at du ikke stoler på dem? Jeg tror vi har litt forskjellig utgangspunkt. Jeg mener at tillitt er noe man må gjøre seg fortjent til, ikke noe man har. I utgangspunktet har *ingen* produsenter tillitt. Derfor er det viktig med uavhengige tredjepartstester og saklig forbrukerbeskyttelselovgiving. Jeg ser ingen grunn til å stole på kryptoløsningen til Fujitsu (i utgangspunktet). Hvis de publiserer den komplette spesifikasjonen av kryptoløsningen deres, vil de gjøre seg fortjent til mer tillitt (fordi man vil kunne undersøke produktet deres helt uavhengig av deres påstander). Hvis det viser seg at de lyver, vil de igjen miste tillitten. Hvis det viser seg at påstandene deres holder vann, vil det være grunn til å feste lit til utsagnene deres. Jeg minnes om en liten historie med en fp-feil hos et lite selskap som lager cpu-er for en stund tilbake. Intel het de, tror jeg. Det er litt forskjell i kompleksitet på intels nyere CPUer og kontrollerkortet til en harddisk. Det gir selvfølgelig ingen garanti for feilfrie kontrollerkort men oppgaven er i det minste enklere. Ja, det er den. Problemet er dog der fremdeles. Hardwarefeil er *vanskelig* å rette. Det er uansett litt drøyt av deg å avfeie denne disken som søppel før noen som helst har fått anledning til å se på den. Ingen *kan* se på den disken, før Fujitsu publiserer en komplett spesifikasjon av kryptoløsningen som er i bruk på denne disken. Det er på en måte kjernen til innvendingen. Lenke til kommentar
Submoose Skrevet 2. mai 2008 Rapporter Del Skrevet 2. mai 2008 Hva er det med all kranglinga her? Fujitsu suger ... Den blir cracka med en gang daaa ... Open Source software er myyyye bedre ... Kan ikke alle her bli enige om at det er mye bedre enn ingenting. Samme som at WEP-kryptering på trådløse nettverk ikke bra, så er det fortsatt bedre enn ingenting ... Mange her får det til å høres ut som at det er sikrere med ingen kryptering i det hele tatt. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå