PEPAK: pripadne http://imgs.xkcd.com/comics/security.png :)

PROFOR: Špatná implementace samozřejmě může hodně pokazit, o tom není sporu. Ale za sebe říkám, že pokud bych chtěl získat něčí data, tak se na nějaké možné chyby v implementaci SW vykašlu a budu útočit přímo na toho uživatele - budu mu instalovat keyloggery (SW i HW), budu se zabývat odposloucháním elektromagnetického pole atd., a nebudu zkoumat, jestli ten TrueCrypt opravdu je tak neprůstřelný, jak si skoro všichni myslí.

LIBORO: Řekněme, že jsi obyčejný uživatel, který si nesestavuje po nocích atomovou bombu ani neplánuje únos prezidenta Obamy. Přesto bych řekl, že šifrování celého disku pro tebe může mít přinejmenším dva jasné přínosy: 1) Když ti někdo ukradne počítač, nedostane se k datům (např. k přístupům do mailu nebo do banky, ať se nebavíme jen o tvých supertajných plánech na ovládnutí světa). 2) Když ti odejde disk, nemusíš řešit, jak ho bezpečně zlikvidovat, aby se z něj ta data nedala dostat, to budeš mít "zadarmo" v tom, že je všechno zašifrované.

PROFOR: no dobre, ale tady se resi co doporucit lidem, kteri to nevi.

a lidi jsou lini...neumim si predstavit, jak se bezny uzivatel bude patlat s sifrovanim jednotlivych souboru, natozpak aby osetroval ten milion ruznych zpusobu, jak ta data mohou nekde zustat viset. u FDE si to jeste predstavit umim...holt zadaji heslo pred bootem misto po nem (pak klidne mohou mit auto-login)

a nic nebrani tomu obe reseni zkombinovat, tj. FDE + treba truecryptovy kontejner na citlive veci uvnitr.

a to ani nema smysl zminovat situace, kdy clovek ani nevi o tom, ze ma na disku nejaka citliva data hodna ochrany, viz nedavny clanek, ze nejake snad bankovni instituce ukladaly citliva data do localStorage :) nebo jiny clanek, kdy nektere weby resi "remember me" ulozenim jmena a hesla do cookie...bud v plaintextu nebo v hardcore sifrovane base64 podobe :-)

jasne, FDE neresi malware...ale imho to je situace, kde ti nepomuze nic. holt si ten soft pocka nez soubory otevres, pripadne bude logovat vsechna hesla a zkouset je na jine soubory apod.

PROFOR: sifrovat jen konkretni soubory imho nedava smysl - ta data se ti mohou objevit ve swapu, ruzne docasne auto save soubory, indexace pro fulltext search a plno dalsich mist, ktere normalni clovek nema sanci vsechny podchytit.

OVERDRIVE: Ja ti nevim - jako bezpecak (a pracuju v oboru od r. 93 od te doby co delams linuxem) vidim jednu vec: lidi vidi slovo sifrovani a maji za to, ze je poreseno. Poreseno neni nic. Zalezi na implementaci - to je nejvetsi slabina ostatne cehokoliv. Takze ty lidem natlacis do hlavy to, ze maji sifrovat (nic proti tomu - v nekterych pripadech maji) a oni se na to spolehnou a nepremysleji nad tim a citi se bezpecne. Pravem? Nikoliv. Stejne jako mas sam pocit, ze je tvoje komunikace bezpecnejsi. Muze byt. Ale take nemusi. K cemu je ti sifrovani (ted nemyslim zrovna nutne tebe, ale klidne i tak), kdyz mas nekoho na svem pocitaci a vidi data v otevrene podobe?
Nad vecmi je potreba premyslet a misto online sifrovani celeho disku, ktere je ti dobre ve chvili, kdy ti ukradnou pocitac, by se lidi meli zamyslet nad sifrovanim jednotlivych souboru, ktere jsou opravdu citlive. K nim nepristupujes vzdy a nemas je tudiz vzdycky k dispozici systemu, kdyz je nabootovany a disk je pro tebe a sw citelny. Tudiz i pro malware, ktery nemusi byt aktivni stale...

Jinak souhlasim - mas pravdu - propaganda je potreba - ale spousta lidi je vuci ni imunni a potom je lepsi ji delat opatrne a s rozmyslem...