Bitlocker è affidabile?

4

La mia domanda non riguarda se la crittografia su Bitlocker funziona o no, ma se sono stati eseguiti controlli di sicurezza sui potenziali backdoor che Microsoft potrebbe aver installato. Non ho molta fiducia che Microsoft non installerebbe backdoor intenzionali nel loro software come questo. So di aver visto alcuni rapporti che il governo ha chiesto a Microsoft di aggiungere backdoor, ma non sono sicuro che qualcosa del genere sia andato avanti.

    
posta J Rozlyn 08.06.2016 - 00:55
fonte

3 risposte

5

Ogni volta che si installa il software da un fornitore o da un progetto si confida nel fatto che il fornitore o il progetto non abbia inserito il codice dannoso e che abbia anche fatto un ragionevole lavoro di messa in sicurezza.

Alcune persone potrebbero suggerire che l'open source è la risposta a questo, ma senza build ripetibili e un audit completo del codice sorgente fatto da qualcuno di cui ti fidi, c'è meno beneficio di quello che potresti pensare agli utenti ordinari.

Come la maggior parte delle cose in sicurezza, questo dipende dal tuo modello di minaccia. Se non ti fidi di Microsoft, allora sicuramente non usare il loro software. Bitlocker è francamente l'ultima delle tue preoccupazioni. se MS vuole comprometterti, può solo aggiornare un aggiornamento di sicurezza (installa aggiornamenti di sicurezza, giusto ...). Ovviamente questo è vero indipendentemente dal sistema operativo e dal software applicativo che usi. OSX, Apple può comprometterti, Debian Linux, il progetto Debian può comprometterti.

Realisticamente una domanda migliore è "è probabile che vogliano"?

    
risposta data 12.06.2016 - 20:52
fonte
4

Se non ti fidi di Microsoft, non utilizzare Windows. L'uso di Bitlocker non ti rende più vulnerabile alle backdoor che Microsoft potrebbe aver introdotto. Il software crittografico in realtà non è il posto migliore per mettere una backdoor: ha un lavoro abbastanza ristretto, sarebbe impossibile nascondere in modo affidabile ciò che sta facendo da qualcuno che esegue un debugger, e sarebbe piuttosto ingombrante estrarre le informazioni che esso memorizza. Certo, Bitlocker potrebbe utilizzare una crittografia più debole di quella che afferma, ma qualcuno che voleva i tuoi dati avrebbe comunque bisogno di avere accesso alla tua macchina per ottenere almeno il testo cifrato.

Se Microsoft vuole piantare una backdoor, può facilmente inserirne una nel kernel di Windows, cosa che ha fatto. È difficile sapere cosa stia facendo il kernel: non ci si può fidare di un debugger che gira dentro Windows, dovresti eseguirlo in una macchina virtuale - e una backdoor furtiva potrebbe funzionare in modo diverso o semplicemente disabilitarsi in una macchina virtuale ( un sacco di malware si disabilita se rileva che è in esecuzione su una VM). Se il sistema continua a estrarre informazioni, anche se ciò è fatto dal kernel, può essere rilevato dall'apparecchiatura di rete. Ma se il kernel ha una backdoor che lo fa iniziare a esfiltrare solo quando riceve un determinato segnale, è praticamente impossibile scoprirlo.

Per dirla in altro modo, "Bitlocker è affidabile?" è la domanda sbagliata. La domanda giusta è "la base attendibile di Bitlocker è affidabile?", E la base affidabile di Bitlocker include gran parte Finestre. Individuare Bitlocker non ha alcun senso. (Forse sospettare che Bitlocker è ciò che "loro" vogliono che tu faccia, in modo da non proteggere i tuoi dati e rendere così il "loro" lavoro più facile!)

    
risposta data 13.06.2016 - 00:48
fonte
2

Is Bitlocker trustworthy?

No, perché non fornisce un codice sorgente, quindi non è possibile verificare con successo se ci sono modi predefiniti di sistema / amministratore per accedervi. Il controllo non può coprire completamente tutti gli aspetti, quindi l'audit è valido solo dal punto di vista della funzionalità.

Esistono alternative che lo pre-definiscono e offrono anche il codice sorgente. Se vuoi davvero qualcosa di affidabile, usa una di queste alternative.

Nota aggiuntiva: dato ciò che sta facendo Windows 10, c'è una probabilità relativamente piccola che Bitlocker non abbia un modo per accedere ai suoi progettisti.

    
risposta data 08.06.2016 - 08:19
fonte

Leggi altre domande sui tag