Hlavní navigace

Názory k článku Kde má Microsoft můj recovery key z BitLockeru? Opravdu v cloudu?

  • Článek je starý, nové názory již nelze přidávat.
  • 30. 12. 2015 16:36

    P2010 (neregistrovaný) ---.net.upcbroadband.cz

    Za prve je treba rozlisovat (plny) BitLocker kde zadavate heslo a Device Encryption. BitLocker je k dispozici pouze na vyssich edicich nez Home https://technet.microsoft.com/en-us/library/dn306081.aspx#BKMK_Encryption

    Ta "senzace" o ktere se zde pise se tyka Windows 8.1 a novejsich, vcetne Home verze http://windows.microsoft.com/en-gb/windows-8/using-device-encryption Pokud zarizeni splnuje podminky pro InstantGo (drive Connected Standby) a zaroven mate zrizeny Microsoft ucet (coz je zvlaste u tabletu pohodlne) a zaroven se prihlasite pod administratorskym uctem, spusti se Device Encryption (coz neni zcela totez co BitLocker) a klic se ulozi do Microsoft uctu. Vse jasne vidite, dokonce se zmeni ikona disku v Exploreru.

    Smyslem je poskytnout pro Home/Bing edice sifrovani dat na prenosnem zarizeni a zaroven ulozit tento klic tak, aby o nej clovek neprisel. Porad mi mene vadi kdyz ma klic Microsoft, nez podvodnik v zastavarne, ktery na falesny doklad vykoupil kradene zarizeni od fetaka.

    Daleko vetsi problem ciha jinde. Totiz ze diky chybam v BIOSech se muze stat, ze BitLocker znenadani prestane fungovat a pak budete radi, ze klic najdete v Microsoft uctu :-) Opravy techto chyb nekteri alespon priznaji a delaji.

  • 31. 12. 2015 10:49

    P2010 (neregistrovaný) ---.net.upcbroadband.cz

    Drtiva vetsina zarizeni s InstantGo / Connected Standby (levnych tabletu) se zacla objevovat az s prichodem Windows 8.1 with Bing edice, coz je vlastne Home ktera byla zdarma pro OEM vyrobce. Prave na tyto zarizeni je Device Encryption mirene.

    Detailni popis kroku co se stane je zde https://technet.microsoft.com/en-us/library/dn306081.aspx Ten automaticky proces lze vypnout.

  • 5. 1. 2016 19:44

    2ephyr (neregistrovaný) 109.75.156.---

    Tak paranoiou to sice zavani, ale obcas neni na skodu.
    Obecne klic v cizim drzeni povazuju za spatnou vec. Tim spis, kdyz to jednomu dela nekdo potichu za zady a poradne mu to nerekne, pak se nelze divit, ze je z toho "senzace ala bulvar".

    K datum se da dostat i bez fyzickeho drzeni zarizeni, to bychom uz v dnesni dobe mohli vedet, ze Kefalin.

    No a na zaver, obecne ta veta o co nejmene subjektech platit muze (a taky zavani paranoiou), ale zrovna u M$ bych rekl, ze mit toho od nich radsi co nejmin. Jinak je to podobna strategie, jako si rict, ze kdyz mam v kompu neco od Adobe, tak si poridim taky vsechno od nich. Toz proc ne, bude to jeden zdroj. Spolehlive deravy jak cednik..

  • 1. 1. 2016 14:41

    klapaciuss (neregistrovaný) ---.net.angelnet.cz

    Docela by mě zajímalo jakou bezpečnostní klasifikaci by data na PC/tabletu musela mít, aby bylo považováno za hrozbu, že šifrovací klíč je uložen na MS cloudu. To by byl samozřejmě problém pro klasifikaci přísně tajné, ale pochybuji, že někdo něco takového nosí na tabletu nebo notebooku. Apropo - šifrujete si telefonní hovory? Tam taky data protékají přes infrsatrukturu třetího subjektu. :-)

  • 31. 12. 2015 0:27

    Cohen (neregistrovaný) ---.antik.sk

    A to já jsem naopak po přečtení uvedených odkazů (především toho prvního) přesvědčen, že se senzace koná. Především jde o BitLocker, jen je v módu "device encryption". To znamená, že BL mají i "home" edice, což je poměrně dobrá zpráva. Horší zprávou je, že jde právě jen o zařízení, která mají TPM a jsou schopna fungovat jako connected standby, tedy se jedná zásadně o tablety. Connected standby umí pouze ARMy a pro tablety určené Atomy.

    Za mnohem horší zprávu považuji nejasnosti ohledně fungování. Z uvedených dokumentů například zřejmě plyne, že disky jsou u těchto zařízení šifrovány vždy, ale je použit tzv. "clear key", tedy hlavní šifrovací klíč není chráněn žádným heslem (pravděpodobně z výkonových důvodů). TPM čip je použit až ve chvíli, kdy se admin přihlásí MS účtem, načež je "clear key" vymazán a nahrazen záznamem, používajícím TPM. Ve spojení se skutečností, že se hlavní šifrovací klíč nedá v podstatě nějak rozumně změnit, je jisté, že když MS mluví o bezpečnosti, mluví o něčem úplně jiném, než si pod tímto pojmem představuji já.

    A teď je otázka, co se stane, když na takto šifrovaném zařízení uživatel či organizace zapne plný BitLocker - bude disk přešifrován s novým hlavním šifrovacím klíčem, nebo bude využit již existující? A co klonování/sysprep?

    Pro mne z toho vyplývá jedna věc - dávat si pozor na connected standby zařízení a kde objevím device encryption, tuto nejprve vypnout, nechat dešifrovat a teprve následně zapínat BitLocker.

  • 1. 1. 2016 17:16

    Tomáš2 (neregistrovaný) ---.cust.vodafone.cz

    aneb jak udělat z komára velblouda, až se probudí bulvár, budou toho noviny plné :-D.

    Ve firemní prostředí je možné klíč ukládat na doménu. Celý postup je již řadu let řádně popsaný v manuálech už od osmiček. Tahle věc tam je jenom kvůli pohodlný uživatelů.

    Ano, občas mi tahle tendenční paranoa připadá dost mimo, na jednu stranu facebook, nechráněné telefony, synchronizace všude možně, nezabezpečený počítač, historie prohlížeče, veřejné wifi, na druhou stranu packet inspection u mobilních operátorů, dns historie, emaily u střetích stran bez alespoň vynuceného ssl/tls atd. a stejně bude lidem nejvíce vadit, když dodavatel operačního systému má teoreticky přístup k mým datům a vůbec jim nevadí, že ten stejný subjekt má přístupné zdrojové kódy a může si klikoliv jakoukoliv slabinu udělat sám a propagovat přes automatické aktualizace.

    Stejně skončím u toho, že buď počítače nebudu používat nebo budu někomu věřit. Obecně je ale dobré věřit co nejméně subjektům, tj. když už mám Windows, raději budu mít co nejvíce softwaru od MS.