V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  henglinli  ›  全部回复第 2 页 / 共 10 页
回复总数  190
1  2  3  4  5  6  7  8  9  10  
2019-03-13 15:40:04 +08:00
回复了 henglinli 创建的主题 全球工单系统 protomail 出現大量垃圾郵件
大量郵件是 confirm your subscription to 開頭的,是被用來訂閲某些"服務",
粗略瞄了幾頁未見有簡體中文的垃圾郵件.
2019-03-12 21:55:27 +08:00
回复了 trepwq 创建的主题 宽带症候群 境外手机卡大陆漫游 dns 污染问题
@hlz0812 漫游得通过三大运营商吧。不知道漫游数据受不受中国法律约束?运营商怎么建设网络我不清楚,但是他们得遵守中国法律。如果漫游数据用的网络和公网是用的相同的技术栈,那么接入防火墙的可能性和价值应该更高才对。监控无处不在,防火墙阻断链接只是它的部分功能。
2019-03-12 13:11:36 +08:00
回复了 trepwq 创建的主题 宽带症候群 境外手机卡大陆漫游 dns 污染问题
@hlz0812 我倒是相信军方或者 z_f 的技术领先民用技术数十年之久。我更相信我们的 z_f 会不遗余力地实现这个目标。tor 握手墙都能识别(我不能确定是 ip 黑名单,还是墙识别了 tls 后还能继续分辨 ntor ),我能 ping 通的 ipv4 网桥,一个也没有握手成功的,部分 ipv6 网桥也无法握手。基于以上情况我有理由相信 lz 反应的情况是事实或者即将成为事实。
另外,不是有报道说墙已经能识别 ss 了吗。我相信现在用 ss 的都不是裸连而是使用了混淆协议吧。
非对称加密算法公私钥都可用来加解密。
但是主流用法如 tls 是非对称算法签名,即私钥加密公钥解密,其对象是对称算法的密钥。
然而高安全的应用会在 tls 链接之上再做一层认证和密钥交换,比如 tor 的 NTOR 握手。

另外,rsa 是被怀疑有后门的——虽然没有人找出来,
所以建议选择非对称算法时考虑下 curve25519,golang,erlang,openssl 等也都已支持。
本人就毕设是做过 rsa,但是在看过 tor 的设计文档后感觉已经初入门道了,感兴趣的朋友强烈建议阅读参考。

另外,公私钥是有区别的,私钥能轻易推导出公钥,但是公钥却几乎不可能“破解”出私钥,以至于某些实现的私钥数据结构中就包含公钥。
2019-03-08 15:16:57 +08:00
回复了 smallseven 创建的主题 程序员 求助:想了解学习硬件和计算机的底层原理
曾經有這想法,但是放棄了.精力有限,盡量朝著少數甚至一個自己感興趣的方向學習才是正途.

另外,個人認爲應該先學匯編.
@Mirana 推薦的 osdev 也不錯,可以翻看.
2019-03-08 14:42:52 +08:00
回复了 dudor 创建的主题 Linux 紧急求助,不接显示器,系统不能启动
主板固件问题。更新固件后,确认相关 bios 设置。另外,由于 intel nuc 的文档有明确说明它支持无显示器启动,所以还需要查看主板技术规格文档,确认其是否支持该功能。
@dxgfalcongbit 正因为中国有问题,部分中国人才有问题,继而加剧中国的问题。个人的认识本身就是不完整的,何况我们学习到的历史是片面的,不能怪他们。我倾向于看到不同的发言,无论对错,因为这是交流的地方不是法庭。正因为 b 站出现太多涉及政治的视频,我害怕被他们潜移默化,目前正努力减少 b 站的访问。
2019-02-19 14:22:09 +08:00
回复了 henglinli 创建的主题 分享发现 Bitlocker 入坑纪
补充:
看了这个 https://hardenedlinux.github.io/system-security/2018/10/03/platform_firmware_security_defense.html 之后,我估计问题出这里:ftpm 中的哈希值被 BitLocker 认为发生了变动,即安全启动成功了,但是未通过测量启动——如果我的设备支持测量启动的话。重新加密后仍然被 BitLocker 保护判定是可能是因为 ftpm 中的哈希值未被更新。开启 sgx 后,ftpm 出了问题,我估计。我清除 me 后发现其中的 hash 值未被清除,不知道是不是 tpm 就是这么实现的。
2019-02-19 13:41:54 +08:00
回复了 socradi 创建的主题 Linux 关于 SELinux 的疑问
虽然我注重安全和隐身,但是我从来未使用过 selinux,自己编译的 kernel 设置还可以去掉 selinux 的支持而选用 posix acl。有在个人设备上使用 Hardened linux 的朋友请举个手。(发现 hardendlinux 官网首页就有几个中文翻译文档)。
2019-02-19 13:05:27 +08:00
回复了 henglinli 创建的主题 分享发现 Bitlocker 入坑纪
补充:
其实开启 Bitlocker 的前检查是未通过的。。。
错误信息如此:”指定的资料磁碟未在目前的电脑上设定未自动解除锁定,因此无法自动解除锁定。未加密 C:“。

他的意思是要让我先加密数据盘,然后设定数据盘为自动解除锁定,然后再加密系统盘。
我之前估计是在设定自动解除锁定后再加密系统盘的,我在保证检查通过的情况下再加密一次。
2019-02-19 12:53:46 +08:00
回复了 henglinli 创建的主题 分享发现 Bitlocker 入坑纪
补充:
清除 tpm 后,chrome 的需要重新登录,推测 chrome 用到了 tpm。可以肯定的是 chromebook 会用到 tpm,我的 chromebook 的 tpm 是 1.2 的,当处于开发模式时 tpm 会被“禁用”,dmesg |grep tpm 甚至能看到 tpm 模块崩溃了。。。

我的 nuc8i7hnk 的主板上应该是有一个 spi 接口的 dtpm 插座的,如果 tpm 卡片或者芯片通用接口是 spi 的话,估计能添加一个,就可以告别 intel tpp 了,但是这应该在禁用了 me 之后。

这是解密状态的 .\manage-bde.exe -status 的输出:

磁碟區 C: [Win]
[OS 磁碟區]

大小: 48.84 GB
BitLocker 版本: 無
轉換狀態: 已完全解密
加密百分比: 0.0%
加密方法: 無
保護狀態: 保護關閉
鎖定狀態: 已解除鎖定
識別碼欄位: 無
金鑰保護裝置: 找不到

”密钥保护装置“,应该说的就是 tpm,但是 windows defender 上却能查看到,但是状态栏部分的“证明”却标识为“不支持”
。对应的错误信息是:Device health attestation isn't supported on this device. 微软这么说:If you still encounter problems after addressing an error message, contact your device manufacturer for assistance.他让我去找 intel。。。。
不知道这个健康证明是不是就是“测量开机”要用到的,目前好像只能做的“安全开机”。

以上异常估计不会导致 BitLocker 保护判断发生,因为在我未开启 sgx 设置前,BitLocker 可以通过 tpm 来解密并开机的。
之后我会贴出加密后的 .\manage-bde.exe -status 的输出,记得好像“ 識別碼欄位”显示的是不明,但是 protectors get 能显示出来,但是清除 tpm 不会导致其变更。需要我再次加密确认下。
2019-02-19 12:19:06 +08:00
回复了 henglinli 创建的主题 分享发现 Bitlocker 入坑纪
@Osk 其实,目前我未解决该问题。你提供的上述命令我尝试过,无效。重新加密也无效。我做了两点重要的系统级别改动:1,我从 systemd boot chainload 重命名为 bootx.efi 的 bootmgfw.efi ; 2,系统保留分区被我删除了。在这两点改动之后的两次重加密是未出现错误提示的情况下,依然触发 bitlocker 保护。我也尝试过:1,manange bde disable 后重启动,也无效,推测和控制面板的暂停同功能。不过,Reddit 上有报告成功的案例,但是对我的无效。2,windows defender 中清除 tpm,重启后未触发 bitlocker 保护。推测该次开机应该重新测量,但是后续的开机触发了 bitlocker 保护。以下是我存疑的地方:1,我的设备在使用 Windows 开始菜单“关机”后,其实默认不是真正的关机,主板的一个 usb 口仍然可以供电,但是重新开机后 Windows 的系统监视器显示的运行时间是两次开机的和,这和 intel 官方文档描述的电源管理状态是不吻合的。usb 供电部分没有问题,问题是 cpu 运行时间表明其实 cpu 处于休眠状态,而不是掉电关机状态。所以我重新加密是在关机去掉电源线后开机进行的,但是依然触发了 bitlocker 保护。2,由于之前启用了 sgx,期间我开启了 Windows defender 中的内存完整性,如果该功能会用到 sgx 的话(估计不会),它会向 sgx 中写入一个类似于 key 的东西,算是一直固件改动了吧。

是的,我也看到有介绍说 intel ptt 是 me 实现的,但是我对此怀疑,因为未看到说禁用 me 会导致 ftpm 失效的报告。我估计会在今后某个时候折腾禁用 me,因为之前的一台设备默认是禁用了的,让人有点失望。

关于你提供的 bitlocker 案例我大胆的推测:会不会是固件告诉 bitlocker 自己发生变动了的?当 vga 是主板自带的,而 hdmi 是显卡上的时候。如果判定逻辑简单的话,它会发现少了 vga 设备吧。基于 hdmi 的攻击是存在的,参加最近 ps4 的 hdmi 相关的破解。(具体链接目前手机上没有好像 falloverflow 的 blog 就有)。所以我能表示理解这个案例的判定。主要是 hdmi 包含部分电源控制协议。
2019-02-17 17:50:48 +08:00
回复了 henglinli 创建的主题 分享发现 Bitlocker 入坑纪
@sdijeenx nuc8i7hnk 自带的,intel ptt。但是不清楚的是 intel ptt 是固件实现的还是主板芯片组集成的 tpm 模块。
2019-02-17 17:26:07 +08:00
回复了 henglinli 创建的主题 分享发现 Bitlocker 入坑纪
@diguoemo VeraCrypt 影子分区功能很有趣。可是易用性确是没有 Bitlocker 高,但是认为 BitLocker 不靠谱是正确的。
重要数据我还是选择加密后放到 google drive。
2019-02-17 16:44:19 +08:00
回复了 henglinli 创建的主题 分享发现 Bitlocker 入坑纪
@Osk 感谢答复。

1. 目前 1089 版本的组策略描述依然是默认硬件加密。原话如下:

注意:「選擇磁碟機加密方法和加密強度」原則設定不適用於硬體式加密。硬體式加密使用的加密演算法會在磁碟機進行分割時設定。根據預設,BitLocker 會使用磁碟機上設定的演算法來加密磁碟機。「限制硬體式加密允許的加密演算法和加密套件」選項可讓您限制 BitLocker 在硬體式加密使用的加密演算法。如果設定的磁碟機演算法無法使用,BitLocker 會停用硬體式加密。

我看到的报道也说会改为默认软件加密,但是目前使用的情况——加密时 cpu 总占用仅仅%4 以下——来看,应该是默认使用硬件加密。但是不排除使用 aes-ni 时,cpu 不会占用太多的可能。关于有漏洞的 ssd 好像都是不支持 tcg opal 的主控。

2. 看到的评测是开启 aes-ni 的性能是提升 2 到 3 倍。对我而言安全大于性能,况且我认为我的 cpu 性能即使选择节能配置也是过剩。我之前甚至考虑过禁用 2 个核心,但是有人说并不会降低功耗,才没有这么做。

3. “重新添加 bitlocker 保护恢复 tpm 保护“的方法,之前不知道,控制面板没有类似的选项。
暂停 BitLocker 保护后修改固件配置的方法才是正确的,入坑了后就知道了。因之前看到测评说软件加密的 BitLocker aes128 和 aes256 的 cpu 占用差别不明显,所以我选择 aes256 重新加密一下。
2019-02-17 11:06:03 +08:00
回复了 b7898585 创建的主题 分享发现 买了 magicbook,这协议看着难受
我的做法:能联网的设备不买国行。
我的建议:如果退货不可选的话,是的的软件(包括并不限于 os,浏览器,杀毒软件等)不要使用简体中文版。很多简体中文版软件是中国特供版,因为要遵守中国的法律(包括并不限于反恐法,信息保护法等)。
2019-02-11 22:09:47 +08:00
回复了 henglinli 创建的主题 宽带症候群 作为一个 TOR 用户,好奇为什么她依赖 libevent 吗?
@leavic #3 不好意思。我想找点存在感,就多写了些。好在我知道有人会反感,把要分享的说清楚了。后面的无关紧要。
@uyhyygyug1234 #7 喜欢的软件或者算法用她,准确的都应该用“它”吧。
@xmi #7 因为 TOR 是用来“科学上网”的,我以为科学上网的也发在这里。放在其他地方话,知道 TOR 的人也许就更少了,告诉他们这个也没用。

单独回复每一个人更显对人的尊重,但是考虑到单独回复影响需要的人查看,所以一起回复了。
2019-02-11 21:33:17 +08:00
回复了 henglinli 创建的主题 宽带症候群 作为一个 TOR 用户,好奇为什么她依赖 libevent 吗?
@Cytion 闲的蛋疼,想分享下自己最近发现 tor 和 libevent 同作者。就是这样。
2019-02-11 10:38:04 +08:00
回复了 henglinli 创建的主题 云计算 关注 SmartOS 多年,最近才发现其公司名字是 joyent 不是 joynet
@realpg #5
joy ent,英语没你好。也许我是从来没往那方面想吧。
@zingl #1
是的。反正一开始不知道他家还有 nodejs 这个更出名的红牌的。我好奇,你们 nodejs 跑在什么平台?
1  2  3  4  5  6  7  8  9  10  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1133 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 25ms · UTC 19:13 · PVG 03:13 · LAX 11:13 · JFK 14:13
Developed with CodeLauncher
♥ Do have faith in what you're doing.