Esercizi consigliati per la crittografia del laptop: crittografia nidificata?

3

Fino ad ora ho usato un computer portatile che ha una singola cartella crittografata (usando filevault2) contenente le mie password e materiale bancario.

Sto ricevendo un nuovo laptop che incoraggia la crittografia dell'intero disco. Questo sarebbe attraente, ma voglio essere in grado di consegnare il mio portatile a un collega o uno studente per mezz'ora stiamo lavorando a un progetto condiviso e non dobbiamo nemmeno preoccuparci della sicurezza della password.

È plausibile che ciò avvenga disponendo di una cartella crittografata nidificata all'interno della crittografia dell'intero disco (due livelli di crittografia).

Questa è una cattiva idea? La cartella crittografata (dettagli bancari, ecc.) Non è molto utilizzata.

    
posta Bull 24.12.2017 - 02:16
fonte

1 risposta

3

La crittografia annidata è utilizzabile come controllo di accesso, ma non aiuta contro tutti gli altri problemi che si verificano con la condivisione di identità / sistemi, che è qualcosa che si potrebbe voler considerare.

Consegnare un laptop sbloccato a qualcun altro è quasi sempre una cattiva idea, se non altro per l'attribuzione. Non condividere account, inclusi account computer. Praticamente tutti i sistemi moderni consentono un facile calcolo multiutente con una rapida commutazione dell'utente. Se entrambi avete bisogno di lavorare sullo stesso file, Apple, Microsoft e Google supportano questo utilizzando iWork, Office e Documenti.

Computer e account utente sono oggetti personali. Trattali come la tua biancheria intima: dovresti essere l'unico utente.

Per approfondire la parte relativa alla "consegna di un sistema sbloccato", ciò significa sostanzialmente che non si ha più il controllo di ciò che accade da quel punto in poi. Anche senza malizia, questo non è qualcosa che dovresti accettare. Poiché il sistema è "tuo" e il tuo account è "tu", ciò significa che tutto ciò che accade su quel sistema viene attribuito a te. Allo stesso tempo, molti sistemi esterni potrebbero ancora supporre che se si tratta del tuo sistema che accede o fa qualcosa, deve significare che stai facendo la cosa o accedendo a qualcosa. Non può differenziare chi è ai controlli, solo quali richieste sono state fatte e servite.

Uno scenario:

Consegni il tuo sistema sbloccato a qualcun altro e devi fare qualcosa da qualche altra parte dove non hai più la macchina e il suo utente in vista. A quel punto, l'utente (non malintenzionato) potrebbe fare la cosa prevista, come cercare alcuni dati o compilare alcune forme. Potrebbe apparire un popup o un sito che potrebbe essere visitato dopo l'interazione o, a volte anche senza interazione, di malware persistente introdotto nel sistema. L'utente potrebbe non saperlo, o potrebbe non interessarsene, o dimenticarsene o addirittura presumere che ciò sia inteso in quanto il tuo sistema potrebbe essere configurato in un modo diverso da quello a cui questo utente è abituato. Si ritorna e dopo che l'utente ha finito, si lavora sul proprio computer. Il malware persistente ora traccia tutte le attività e alcune informazioni della NDA vengono divulgate. Questa informazione sembra essere filigranata con la tua identità e si presenta da qualche parte. Ora sei a rischio di divulgare informazioni che non dovrebbero essere pubblicizzate e possono dimostrare che è tuo a causa della filigrana. Ora spetta a te dimostrare che è stato rubato / estratto / trapelato e non qualcosa che avresti dovuto accadere.

Anche se spesso può essere risolto, ci vorrà ancora un sacco di tempo, risorse e attenzioni che potrebbero essere state spese per altre cose di tua scelta.

Invece di fare succedere qualcosa di simile, puoi anche semplicemente configurare il sistema in modo da impedire che ciò accada in primo luogo, ma mantenere comunque la possibilità di lavorare insieme sugli stessi dati o applicazioni. Questo può essere fatto in diversi modi, ad esempio:

  • Lavora su account separati, condividi i dati se necessario
  • Lavora su sistemi destinati alla collaborazione
  • Utilizzare l'account guest fornito dal sistema operativo e condividere i dati utilizzando i metodi di archiviazione accessibili ai guest (ovvero le directory di sola lettura pubbliche e di sola lettura su macOS)

Molti dei problemi relativi alla sicurezza si traducono in possibili sprechi di risorse / tempo nel caso qualcosa vada storto, e non immediatamente perdita di risorse / vita / accesso. Prevenire che qualcosa accada usando un metodo di collaborazione adeguato è la chiave nella maggior parte dei casi. Sebbene questa risposta sia piuttosto ampia e possibilmente contenga informazioni duplicate da altri post di Q & A, spero che questo descriva sufficienti motivi per cercare modi migliori per raggiungere il tuo obiettivo.

    
risposta data 24.12.2017 - 03:00
fonte

Leggi altre domande sui tag