Elem, prilicno sam se iznenadio da TrueCrypt, koji mi je do sada bio omiljen alat, jos ne podrzava UEFI sisteme.
Naime, novi Macbook sada i zvanicno podrzava instalaciju Windows-a u native UEFI modu, sto znaci da ni jedan od FDE (full-disc-encryption) programa koji se oslanjaju na MBR bootloader nece raditi :(
Na zalost, posle malo istrazivanja online sam utvrdio da ne samo da TrueCrypt ne podrzava UEFI, vec da skoro ni jedan drugi FDE program ne podrzava isti (ukljucujuci PGP).
Jedina 2 programa koji su zvanicno UEFI kompatibilni su:
- Microsoft BitLocker (koji dolazi sa Windows 8/8.1 Pro i Enterprise kao i Windows Server OS-evima)
- Jetico BestCrypt
Iskreno, do sada nisam bio neki preterani ljubitelj BitLocker-a pre svega zato sto su stare verzije zahtevale ili TPM cip ili USB stick pri boot-u koji bi sluzio za alternativnu autentifikaciju. Ideja da je za boot potreban USB stick (ako nema TPM-a) mi je bila totalno idiotska.
Medjutim, fakat da TC ne podrzava UEFI + alternativa nekog bar meni nepoznatog alata (Jetico) me je motivisala da ponovo proverim BitLocker - i, na srecu, od verzije koja stize sa Windows 8 / Server 2012, BitLocker omogucava normalnu password-baziranu autentifikaciju kao i TrueCrypt.
Sve u svemu - BitLocker enkripcija UEFI sistema je vrlo jednostavna (nema nikakve razlike u odnosu na BIOS sisteme za korisnika) i, jos bitnije, potpuno kompatibilna sa Mac masinama (koje imaju "specijalni" frankenstajn firmware baziran na delovima matore EFI specifikacije sa delovima UEFI 2.x specifikacije koje je Apple prihvatio).
BitLocker FDE je duboko integrisan u Windows OS, tako da se automatski aktivira sa Windows UEFI bootloader-om.
Par stvari koje sam primetio sa Windows 8 / Server 2012 verzijom:
- Default kompresija je AES128, ako zelite AES256 morate to ili rucno navesti preko komandne linije i tako kriptovati drajv ili promeniti kroz group-polisu tako da vazi kao pravilo za sve
- Sa Win8/Srv2012 verzijom je Microsoft izbacio dodatnu zastitu kroz njihov proprietary elephant-diffuser tako da su jedine preostale kripto opcije "cisti" AES128 ili AES256
Sto se ove poslednje stavke tice, sa jedne strane taj diffuser bio dodatni stepen zastite protiv specificnih napada, ali sa druge strane je u pitanju bio proprietary algoritam bez sirokog peer review-a + koriscenje diffuser-a je zahtevalo softversku enkripciju/dekripciju dok cist AES moze da se radi preko specijalizovanih instrukcija poput AES-NI na Intel sistemima (ili specijalizovanim AES crypto akceleratorima na ARM-u).
--
Sve u svemu - BitLocker danas ne pati od ogranicenja od kojih su patile Vista/Win7 verzije na masinama bez TPM cipa + podrzava UEFI sisteme bez ikakvih problema, sto ga cini interesantnom opcijom za corporate IP security na laptopovima.
Mada, nadam se i dalje da ce TrueCrypt ekipa uskoro ubaciti podrsku za UEFI, posto osim sto je otvoren TC takodje dolazi sa prednoscu da su TC drajvovi vidljivi i pod drugim OS-evima.
http://www.digicortex.net/node/1 Videos: http://www.digicortex.net/node/17 Gallery: http://www.digicortex.net/node/25
PowerMonkey - Redyce CPU Power Waste and gain performance! - https://github.com/psyq321/PowerMonkey