Amin 's Blog

Поскольку нормальная защита офисных документов шифрованием есть только в ОпенОффисе (для MSO 2007/2010 надо курить исходники, которых нет, хотя шифрование там заявлено нормальное), да и помнить пароли на кучу документов - убого. Архивы с паролями - тоже говно, потому что распаковка одного файла из архива на 5000 файлов не мгновенна даже на Core i7.
Криптоконтейнеры жестко привязаны к своим программам (всякие PGP Disk, FreeOTFE, TrueCrypt), которые надо СТАВИТЬ. Нативные и унифицированные криптоконтейнеры есть в линуксе (dm-crypt), но оно к винде не прикручиваемо.
Третий вариант - шифрование флешки средствами от вендора, но они а) пиздец кривые б) требуют уёбищного софта в) в 99.99% только венда г) вместо AES может оказаться XOR.
И тут родилась здравая идея - сделать стандарт на шифирование (и аутентификацию заодно) флешек целиком - IEEE 1667.
Детали я пересказывать не буду, оно подробно описано в блоге Azazela:
http://ru.intel.com/business/community/index.php?automodule=blog&blogid=1960&&req=printentry&eid=1505
Но поскольку стандарт писала компания микрософт, получилось как всегда - хорошая и правильная идея реализована как обычно через жопу, непрозрачно, криво и с геморроем.
- Только виста (причем голая виста не катит, нужен Feature Pack) / виндовс-7, и то после 15 минут ожидания установки и настройки для новой для системы флешки.
- Федора-16 и прочие линуксы нативно не тянут, хотя опубликован стандарт аж в 2008. Слабо верю, что за три года никто не пытался реализовать. То есть либо стандарт не настолько стандартный, и есть закрыте фвендорские фичи, либо есть патентная ебля. В моем случае отсутствие на настоящий момент полноценной кроссплатформенности (хотя заявлено совсем иное) - это фатальный недостаток.
- виндоффс ХР видит только после установки драйвера, который автоматом не находится.
- реализация шифрования и управление ключами непрозрачны.
- Защита от перебора - пиздец. Флешка блочится после 50 неудачных попыток, причем после этого флешку можно только сбросить. Правильно, первый же вирус или косячный драйвер - и пиздец данным. Что мешало просто принимать пароль в течении 1 минуты после исчерпания лимита - непонятно.
- описана только аутентификация, пароль нужен только для доступа по USB. Данные похоже вообще не шифруются, то есть против сервисников с паяльниками 1667 - скорее всего абсолютно беспомощное говно.

А началось все с того, что мне принесли флешку, которая на вин-7 просила пароль, а на ХР вообще не открывалась. Поебавшись с виртуальными машинами, выяснил, что это тот самый 1667. Кстати, не надо путать с BitLocker/BitLockerToGo - это похоже совсем другие грабли.
В конечном итоге на этот 1667 забили и сделали обычный TrueCrypt-контейнер, который работает как в винде, так и в линуксе. И который юзает теплый ламповый AES в XTS-режиме, а не хуй знает какое проприетарно-вендорское говно.