|  |
| Автор |
Сообщение |
Sargon2012 ®
Стаж: 12 лет 8 мес.
Сообщений: 67
Ratio: 8.203
Раздал: 2.16 TB
Поблагодарили: 5963
100%
|
Всем привет, хочу спросить совета у заинтересованной аудитории. В настоящее время я участвую в проекте по разработке и производству компактных портативных ПК. Ссылок и картинок вставлять не хочу, чтобы не сочли рекламой, но если совсем кратко – выглядит это как небольшой металлический чемоданчик, есть куча вариантов по компоновке, разной степени компактности, железо может быть самое разнообразное.
Так вот, поскольку я плотно интересуюсь анонимностью и безопасностью, возникло желание делать и предлагать компы с акцентом на это. Например, подобрать совместимое железо под Qubes OS, предустановить и настроить софт. Соответственно, хочется услышать мнение "теневой" аудитории: каким на ваш взгляд должен быть такой ПК? Особенно – что можно сделать на уровне железа, так как почти все вопросы решаются софтом?
С одной стороны, можно достать процессоры Ryzen Pro с шифрованием памяти, максимально заморочиться фичами безопасности, которые есть в железе бизнес-сегмента. С другой стороны, многие не доверяют TPM-модулям и вообще аппаратному шифрованию, предпочитая VeraCrypt, LUKS Nuke и прочее такое.
Рассмотрим любые варианты. Есть даже мысль встроить туда уничтожитель SSD (Импульс-7В, идея пока очень спорная, но не невозможная). В плане анонимности также: какую ОС, софт вы бы хотели видеть на таком ПК? Кроме того, есть в планах сборка для пентестера – Raspberry Pi + Alfa + аккумуляторы, или вариации на тему. Жду предложений и пожеланий.
Проект находится в стадии активного развития, несколько компов (без акцента на безопасность) уже собрали и продали, поэтому хотелось бы серьёзного отношения к вопросу) |
_________________
|
|
 |
Хмур
Стаж: 15 лет 9 мес.
Сообщений: 133
Ratio: 10.891
100%
|
Куча мыслей... и все в разные стороны. Идея насчёт "Импульс-7В" - правильная. _Своевременная._ Пообщаюсь с тру-маньяками и отпишу. Успеха! |
_________________
Рыбы сЪели ОгонЬ и стаЛи Коричневыми Грибами..
|
|
|
|
Flint666
Стаж: 11 лет 3 мес.
Сообщений: 138
Ratio: 96.574
100%
Откуда: 127.0.0.1
|
Железо без бэкдоров, маяков и тп.
Уничтожение SSD без возможности в дальнейшем извлечь инфу из отдельных его модулей, это нормальная идея. Еще бы как то подумал и об экстренном уничожении оперативы, в случае когда захват компа неизбежен и время идет на секунды.
Ну и Линух скорее всего) |
|
|
|
|
dimitriy7
Стаж: 17 лет 4 мес.
Сообщений: 5437
Ratio: 69.743
Раздал: 1.108 TB
Поблагодарили: 368
13.64%
Откуда: Лучший город Земли
|
Sargon2012 писал(а):  | Есть даже мысль встроить туда уничтожитель SSD (Импульс-7В, идея пока очень спорная, но не невозможная). |
По-моему, излишне. Достаточно SSD с аппаратным шифрованием, ключ безвозвратно уничтожается за доли секунды одной командой, после этого уже никто ничего не восстановит. А чтобы это можно было сделать при выключенном ноуте -- сделать маленькую платку с автономным питанием +5В, по нажатию кнопки подающую на диск питание и команду SE. | Sargon2012 писал(а): | С другой стороны, многие не доверяют TPM-модулям и вообще аппаратному шифрованию, |
и правильно делают, ибо аппаратное шифрование -- не значит надёжное. Там везде ГПСЧ вместо ГСЧ. Если действительно нужна максимальная безопасность -- то делайте собственный настоящий ГСЧ (мееедленный, да, но быстрыми они не бывают). | Flint666 писал(а): | Еще бы как то подумал и об экстренном уничожении оперативы, в случае когда захват компа неизбежен и время идет на секунды. |
А зачем? Питание отрубил -- и всё, ОЗУ чиста. Просто вывести на корпус ноута тумблер, физически отключающий питание от начинки, и всё. |
|
|
|
|
asury
Стаж: 11 лет 3 мес.
Сообщений: 269
Ratio: 1.548
8.46%
|
типа iPad Pro 13" c возможностью восстановления из образа (Reset) |
|
|
|
|
TrasserZero
Стаж: 14 лет 2 мес.
Сообщений: 146
Ratio: 12.546
30.56%
|
Плюс отсутствие возможности подключения к любым видам сетей.. |
|
|
|
|
sciensys
Олигарх+
Стаж: 14 лет 7 мес.
Сообщений: 1325
Ratio: 92.184
Раздал: 167.1 TB
100%
|
| Sargon2012 писал(а): | поскольку я плотно интересуюсь анонимностью и безопасностью, возникло желание делать и предлагать компы с акцентом на это |
в качестве гарантии анонимности и безопасности готовы поставить свою жизнь и жизни всех своих родственников? p.s. проект только по анонимности, бюджет переваливает за 10тки млн. $, и даже в случае реализации, что не сложно, кто Вам доверится? - это просто курам на смех. а вопрос безопасности, который уже может перевалить за 100тни млн. $ (это если Вы будете самостоятельно производить все комплектующие, а не покупать у китайцев и корейцев чипы с закладками), тот же вопрос, кто ? кто даст гарантию, что Вы сами не сделали закладки в железо и софт? вопрос анонимности и безопасности не коммерческая сфера, она реализовывалась, реализуется и будет, совершенно по другому. желаю успеха! в остальном, оборудование по стандартам MIL-STD-810 и другим уже давно и так делают. |
|
|
|
|
ProtoAI
Стаж: 5 лет 5 мес.
Сообщений: 154
Ratio: 1519.566
100%
|
| Sargon2012 писал(а): | Соответственно, хочется услышать мнение "теневой" аудитории: каким на ваш взгляд должен быть такой ПК? Особенно – что можно сделать на уровне железа, так как почти все вопросы решаются софтом?
С одной стороны, можно достать процессоры Ryzen Pro с шифрованием памяти, максимально заморочиться фичами безопасности, которые есть в железе бизнес-сегмента. С другой стороны, многие не доверяют TPM-модулям и вообще аппаратному шифрованию, предпочитая VeraCrypt, LUKS Nuke и прочее такое. |
Задача и уровень не определены. От того защищаемся ? Но почти всем таким проектам не хватает главного: Отдельный носитель для ОС, с полным физическим отключением записи. И желательно для использования физическиго переключателя не нужно разбирать и вынимать всё. Те кто в этом разбираются шифрованию "не вручную" не доверяют вообще из-за того, что большинство алгоритмов поточные. Встроенное в процессоры надежным быть не может по определению. Мне кажется вас стоит нанять тех кто в этом разбирается. | Sargon2012 писал(а): | Особенно – что можно сделать на уровне железа |
Очевидно, же. Сделать аппаратное шифрование. Если вам позволит бюджет и... думаю понимаете кто  | Sargon2012 писал(а): | Рассмотрим любые варианты. Есть даже мысль встроить туда уничтожитель SSD (Импульс-7В, идея пока очень спорная, но не невозможная). |
Это ж для порчи любого случайного SSD, а у вас будут заранее известные модели с которыми можно поступать изящнее. | Sargon2012 писал(а): | В плане анонимности также: какую ОС, софт вы бы хотели видеть на таком ПК? |
В плане анонимности всё сложно учитывая, что аудит вы не будете заказывать. Так как это долго и дорого. Либо верить на слово, что это "сама-самая" анонимная ОС и брать любую из них. Либо "никель" или "кобальт". |
|
|
|
|
Sargon2012 ®
Стаж: 12 лет 8 мес.
Сообщений: 67
Ratio: 8.203
Раздал: 2.16 TB
Поблагодарили: 5963
100%
|
| Цитата: | Либо "никель" или "кобальт". |
Нет уж, "сертифицированую ФСТЭК" отечественную операционку – точно не вариант. У меня сразу мысль, что бэкдор для ФСБ там в обязательном наличии. Доверия к TAILS/Whonix/Qubes как-то гораздо больше в этом плане. Впрочем, если заказчик сам пожелает видеть там эту "Росу" или "Астру", то на здоровье. Но я бы не рекомендовал. В нашей стране защищать свои данные хочется в первую очередь от силовиков. |
_________________
|
|
|
|
dimitriy7
Стаж: 17 лет 4 мес.
Сообщений: 5437
Ratio: 69.743
Раздал: 1.108 TB
Поблагодарили: 368
13.64%
Откуда: Лучший город Земли
|
| Sargon2012 писал(а): | В нашей стране защищать свои данные хочется в первую очередь от силовиков. |
А, так вы на криминал хотите работать, а не на честную защиту коммерческой тайны? Ну тогда вы не по адресу. И да, как выше написали -- связываться с бандитами -- это подставлять под угрозу свою жизнь. Думайте сами. |
|
|
|
|
Sargon2012 ®
Стаж: 12 лет 8 мес.
Сообщений: 67
Ratio: 8.203
Раздал: 2.16 TB
Поблагодарили: 5963
100%
|
| dimitriy7 писал(а): |
А, так вы на криминал хотите работать, а не на честную защиту коммерческой тайны?
|
Не хотелось переводить разговор в политическое русло, но достаточно вспомнить обыски в штабах Навального, чтобы понять — надёжная безопасность данных нужна отнюдь не только бандитам. |
_________________
|
|
|
|
Cirill
Стаж: 17 лет 9 мес.
Сообщений: 1321
Ratio: 1.334
100%
Откуда: Москва
|
Абсолютную информационную безопасность может обеспечить только такой ПК: Если же функций вам нужно чуть больше, то вместе с ними неизбежно прийдут и риски. И чем больше этих функций будет и чем сложнее и гибче они будут - тем больше и шансы нарушения их работы. Только зная конкретную модель угрозы можно говорить об оценке опасности/безопасности. Поэтому самое главное в потенциально более-менее безопасном ПК - прозрачность и простота архитектуры, возможность независимого отключения и включения максимального количества функций и средства контроля за работой задействованных подсистем. Нужно сделать так, чтобы тот, кто знает, какие у него ожидаются угрозы, смог индивидуально адаптировать свою систему к своей конкретной ситуации без чрезмерных проблем. Да и вообще, слово "безопасность" - практически синоним слова "предсказуемость"  . |
|
|
|
|
kram
Стаж: 18 лет 1 мес.
Сообщений: 591
Ratio: 0.606
100%
|
SSD диск(и) не должен быть заперт внутри корпуса, а должен быстро вставляться/извлекаться через док, как дискеты раньше, как хот-свап диски на серверах, чтобы можно было его быстро вынуть/заменить/уничтожить. Это удобно, чтобы использовать разные ОС на одном компе, просто и быстро заменяя системный диск. Несколько лет уже так делаю.
В идеале, нужен док на два или три SSD диска (если габариты корпуса позволят) - система, домашняя папка, бэкап. |
|
|
|
|
|
|
|
