Buongiorno a tutti.
Devo adeguare il notebook alla direttiva NIS2.
Vorrei iniziare dalla cifratura del disco.
Ora il percorso che vorrei intraprendere (non so assolutamente come
funziona), è di far cifrare il disco (quali tool sono necessari e se ovviamente sono inclusi in stable) con il tpm. Vorrei sfruttare una
sorta di catena di hw/sw per l'autenticazione all'accensione. Quindi se possibile, farei cifrare il disco con il tpm, e per l'autenticazione all'accensione userei tassativamente password e fido2 o in alternativa
al fido2 l'impronta digitale.
Ciò detto, c'è qualcuno che lo ha già fatto e può darmi lumi
(soprattutto su quali pacchetti occorrerebbero).
Perdonatemi se nella mia esposizione ho detto castronerie, ma come detto
non ho assolutamente idea di come funzioni la cosa.

/paride
--- https://keyserver.gnupg.org/pks/lookup?op=get&search=0xf14cd648d16d33c82a7d2ac778c59a24690431d3

Chi e' pronto a rinunciare alle proprie liberta' fondamentali per
comprarsi briciole di temporanea sicurezza non merita ne' la liberta'
ne' la sicurezza.(Benjamin Franklin - dalla Risposta al Governatore,
Assemblea della Pennsylvania, 11 novembre 1755)

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Il 5 ottobre 2024 06:49:53 UTC, Alessandro Baggi <alessandro.baggi@gmail.com> ha scritto:

Il 04/10/24 08:51, Paride Desimone ha scritto:

Buongiorno a tutti.
Devo adeguare il notebook alla direttiva NIS2.
Vorrei iniziare dalla cifratura del disco.
Ora il percorso che vorrei intraprendere (non so assolutamente come funziona), è di far cifrare il disco (quali tool sono necessari e se ovviamente sono inclusi in stable) con il tpm. Vorrei sfruttare una sorta di catena di hw/sw per l'autenticazione

all'accensione. Quindi se possibile, farei cifrare il disco con il tpm, e per l'autenticazione all'accensione userei tassativamente password e fido2 o in alternativa al fido2 l'impronta digitale.

Ciò detto, c'è qualcuno che lo ha già fatto e può darmi lumi (soprattutto su quali pacchetti occorrerebbero).
Perdonatemi se nella mia esposizione ho detto castronerie, ma come detto non ho assolutamente idea di come funzioni la cosa.

/paride

Buongiorno Paride,
mi sono incuriosito e ho letto del NIS2. Quello che non ho trovato è
cosa deve essere implementato nello specifico. Per esempio te hai parlato di cifratura disco con il TPM che sembra essere un requisito.

Premetto che non so come procedere per la tua specifica richiesta ma per la cifratura del disco partirei da LUKS.

Quindi quali sono i requisiti tecnici per adedire al NIS2?

Grazie in anticipo e buon fine settimana.

Alessandro.

Intanto perdona il quoting ma so o su k9mail. La direttiva è la aeguente: <https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32022L2555&from=EN>

Il tpm, non è un requisito. Il requisito è la cifratura del disco. Il tpm, mi fornirebbe le chiavi per la cifratura (sto valutando pro e contro).

Fermo restando però che sono in completo disaccordo sulla frequenza di cambio delle password.

/paride
--
Inviato dal mio dispositivo Android con K-9 Mail. Perdonate la brevità.

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Paride Desimone ha scritto:

Fermo restando però che sono in completo disaccordo sulla frequenza
di cambio delle password.

il NIST ha appena rilasciato delle linee guida[¹] che demoliscono la
pazzia che ha preso tutti gli enti che emettono linee guida o
standard di sicurezza. Da quel che ho capito queste poi diverranno
obbligatorie per tutte le pubbliche amministrazioni USA.

Però manca la regola assurda di non riusare la stessa password o parte
di essa usata nelle 4-5 volte precedente (sulla parte numerica spesso
viene fatto il controllo che quel numero non sia presente, cioè se usi
5, allora le password successive non possono contenere 5! anche se
scrivi 100594!). Ok, se non devi cambiare spesso password, ma
cambiarla solo in casi "estremi", allora la regola di non usare la
stessa password usata nelle 4-5 volte precedenti ci può stare, ma non
quella di porzioni di password, come nell'esempio fatto sopra.

Visto che il NIST è quasi sempre preso come base da cui emettere ogni
linea guida e standard di sicurezza, probabilmente fra un po'
arriveranno anche da noi.

Schneier ne ha fatto un riassunto[²] che riporto qui:

Nota: CSP = credential service providers

1 Verifiers and CSPs SHALL require passwords to be a minimum of eight
characters in length and SHOULD require passwords to be a minimum of
15 characters in length.

2 Verifiers and CSPs SHOULD permit a maximum password length of at least
64 characters.

3 Verifiers and CSPs SHOULD accept all printing ASCII [RFC20] characters
and the space character in passwords.

4 Verifiers and CSPs SHOULD accept Unicode [ISO/ISC 10646] characters in
passwords. Each Unicode code point SHALL be counted as a signgle
character when evaluating password length.

5 Verifiers and CSPs SHALL NOT impose other composition rules (e.g.,
requiring mixtures of different character types) for passwords.

6 Verifiers and CSPs SHALL NOT require users to change passwords
periodically. However, verifiers SHALL force a change if there is
evidence of compromise of the authenticator.

7 Verifiers and CSPs SHALL NOT permit the subscriber to store a hint
that is accessible to an unauthenticated claimant.

8 Verifiers and CSPs SHALL NOT prompt subscribers to use knowledge-based
authentication (KBA) (e.g., “What was the name of your first pet?”) or
security questions when choosing passwords.

9 Verifiers SHALL verify the entire submitted password (i.e., not
truncate it).

Ho visto che molti criticano il punto 5, ma in realtà si permette con
gli altri punti di usare un set di caratteri più vasto. Inoltre per
ottenere quel risultato molti usano la stessa strategia che invalida
tale richiesta per password "forti" (esempio sostituire la A con 4,
la c con ç, far iniziare la password in maiuscolo, ...). Altri invece
usano la stessa combinazione finale che racchiude i caratteri
richiesti.
Inoltre visto che il NIST consiglia l'uso di password generate da
"portachiavi" personali, si avrebbe che queste regole potrebbero
rendere invalide la maggior parte di queste password.

Interessante il confronto tra queste due password:
"Runner678!" e "kbndvueepu"
la prima ha un'entropia di 20 bit, ma potrebbe soddisfare i criteri
di uso di caratteri diversi, mentre la seconda ha un'entropia di 47
bit.

Per chi vuole una striscia di xkcd su questo argomento:
https://xkcd.com/936/

Ciao
Davide

[¹]
https://pages.nist.gov/800-63-4/sp800-63b.html https://www.auditboard.com/blog/nist-password-guidelines/

[²] https://www.schneier.com/blog/archives/2024/09/nist-recommends-some-common-sense-password-rules.html

--
La mia privacy non è affar tuo
https://noyb.eu/it
- You do not have my permission to use this email to train an AI -
If you use this to train your AI than you accept to distribute under AGPL license >= 3.0 all the model trained, all the source you have used to
training your model and all the source of the program that use that model

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Il 06-10-2024 15:13 Davide Prina ha scritto:

Paride Desimone ha scritto:

Fermo restando però che sono in completo disaccordo sulla frequenza
di cambio delle password.

il NIST ha appena rilasciato delle linee guida[¹] che demoliscono la
pazzia che ha preso tutti gli enti che emettono linee guida o
standard di sicurezza. Da quel che ho capito queste poi diverranno obbligatorie per tutte le pubbliche amministrazioni USA.

Guarda, se prendono a modello il NIST, utilizzo fido2 ed arrivederci a
tutti.
Ho tre chiavette fido2 pagate 13.50 euro l'una.

/paride

-- https://keyserver.gnupg.org/pks/lookup?op=get&search=0xf14cd648d16d33c82a7d2ac778c59a24690431d3

Chi e' pronto a rinunciare alle proprie liberta' fondamentali per
comprarsi briciole di temporanea sicurezza non merita ne' la liberta'
ne' la sicurezza.(Benjamin Franklin - dalla Risposta al Governatore,
Assemblea della Pennsylvania, 11 novembre 1755)

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)