保管時(保管時)に特定の分類のデータを暗号化するという要件を指定している場合、すべてのストレージメディアが完全なディスク暗号化を持つライブ(オン)システムにデータが保存されている場合、要件は満たされていると見なす必要がありますか?
ストレージは暗号化されており、システムがオフになっている場合は保護されます(当面は邪悪なメイドタイプの攻撃を無視するか、メモリをフリーズしてキーをキャプチャしてください)。ただし、システムがオンになっている間は、キーロガー、マルウェア、またはシステムが単にアクティブであるという事実によって引き起こされるセキュリティ問題から生じる可能性のあるその他の危険性のために、データが危険にさらされています。
たとえば、ラップトップでディスク全体が暗号化されており、電源が入っている場合、または休止状態またはスリープモードの場合、そのデータは暗号化されていると見なす必要がありますか?これは、フロントエンドのデータ保護とデータ侵害の報告における考慮事項に影響を与えます。泥棒が完全に遮断されていないシステムを盗んだ場合、パスワードの制限とブルートフォースロックアウトのために直接インタラクティブアクセスを取得できない可能性がありますが、リモートアクセスを悪用してローカルアクセスを取得できるネットワークまたはハードウェアの攻撃がある可能性があります、したがって「暗号化された」データに。
保存時の暗号化のより明確なケースは、暗号化コンテナをマウント解除するか、ファイルを暗号化されたZipファイルに保存することです(もちろん、基本的なZipファイルでの弱いパスワード保護とAESのような強力なアルゴリズムを使用します)。より明白なのは、データが保存されているハードドライブまたはUSB接続メディアを削除することです。データは積極的に暗号化を解除する必要があるため、これは保存時の暗号化の要件を完全に満たしているようです。
したがって、完全なディスク暗号化を保存時のデータ要件の暗号化として評価する場合、どのような要素を考慮する必要がありますか?
少なくとも私の会社では、フルディスク暗号化は「保存データ」要件には十分とは言えません。ライブシステムでは、キーや追加の認証情報を提供せずにデータにアクセスできないからです。 FDEに依存しているときに攻撃者が侵入できた場合、その時点でデータを盗むのは非常に簡単で、他の知識が必要ないため、すばやく盗むことができます。
保管されているすべてのデータは、FDEの使用に関係なく、AES(さまざまな方法による)またはPGPを介して暗号化する必要があります。この方法では、実行中のシステムにアクセスするだけでは、保護されたデータを取得するのに十分ではありません。追加の知識(パスワード、キー)が必要です。
施設を離れるシステムではFDEが必要ですが、攻撃者に役立つ可能性のある付随情報(メール、メモなど)またはポリシーに違反して保存されている情報を保護するためにFDEが必要です。
一般に、「休止中」という用語は「転送中」を補足するものであり、データは通常、どちらか一方の状態にあると指定されています。 「転送中」のデータは、通常はどこかのネットワークを介してアクティブに通信されています。 「休止中」のデータはハードドライブまたはRAMに置かれ、通常は比較的安全な境界内にあります。
これらを区別する理由は、データのセキュリティ要件を分類しやすくするためです。転送中のデータに当てはまることは、必ずしも保存中のデータには当てはまりません。たとえば、サーバーにパスワードを送信するためのエンドツーエンドの暗号化(SSLなど)が必要で、そのパスワードをディスク上のサーバーに保存するためのハッシュ(bcryptなど)が必要です。
したがって、決定の一般的な経験則は、「データを保持しているか、またはデータを通信しているか」です。ドライブ暗号化スキームの99%の場合、それは静止していると見なされます。
「静止」または「移動中」としてのデータの分類は、リスク分析のための通常は便利なツールにすぎません。しかし、データが必要に応じて静止状態で100%または転送中100%であり、明確に分離されていることを示すルールはありません。主はnot空を飛び越えて「静止データと転送中のデータを分離させます」。カテゴリーは、普遍性を装うことができない人間の創造物です。
暗号化を扱う際に考えると便利なのは、キーの所在にたどり着くことが多い、解読する力を持つ人です。 「保存中」のデータは、後でアクセスされるデータであり、「後で」に任意の制限はありません。そのため、復号化キーmustは何らかの方法で永続的に保存されます(ストレージはスマートカードの場合がありますが、人間の脳、スマートフォン上のファイル、一枚の紙...しかし、それは具体的な形で存在しています)。一方、「転送中」のデータは、復号化キーin RAM onlyを持ち、そのキーを忘れるシステムによって、ほぼ即座に復号化されることを意味しますほぼ直後に、キーの盗難の影響を受けなくなります。この観点では、暗号化されたディスクは常に「保存データ」です。ただし、同じ定義では、SSL接続はalso "保存データ"、" DHE "暗号スイートが使用されている場合を除き、その場合は"転送中のデータ "になります( perfect forward secrecy のため)。
この問題に関する別の見方は、データが同じシステムに保存されているnotである鍵で暗号化されている場合、データは「保存」時に適切に保護されるというものです。暗号化されたディスクを備えたラップトップは、この要件を満たしますif(およびその場合のみ)シャットダウンされます。復号化キーはパスワードであり、パスワードはラップトップではなく人間のユーザーの頭にあります。ラップトップの電源が入っている場合、「適切に保護されている」わけではありません(ただし、まだ「休止中」)。
完全なディスク暗号化は、保存されているデータを実際に暗号化するものではありません。データはハードドライブ上にあるときに保存されますが、ドライブがオフラインのときのFDE状況でのみ暗号化されます。ドライブをマウントしてアクセスできるようにしている限り、ディスク全体の暗号化はそれを保護しません。 FDEは盗まれたドライブに適しており、ライブシステムにアクセスするハッカーやマルウェアに対しては何もしません。
それはあなたの定義に依存します。 「安静時」対「移動中」は、特定の脅威モデルがなければかなり意味がありません。
@Polynomialは、「休止中」は、データが境界を越えて安全性の低い空間に入っていないこと、つまり「安全」であることを示唆しています。しかし、@ Adamと@Tomは、キーがRAM-脳やHSMよりも安全性の低い場所にあるため、マウントされたファイルシステムは「安全」ではないことを示唆しています。 RAMに保存されている暗号化キーを開示できる攻撃(これらのほとんどは物理的なアクセスが必要です)。
サンディエゴのホテルのラップトップで作業していて、明日チリに行くことを望んでいて、FBIがドアを壊すのではないかと心配している場合、データは間違いなく「転送中」です。チリに到着した後、ネットワークにアクセスせずにTEMPESTケージに閉じ込められた同じラップトップで作業することは「休憩中」です。
FBIが使用する可能性のある次の攻撃を考慮してください。
「Firewireメモリダンプ」を検索します。これは、DMAの大きなブロックを実行できるすべてのデバイスで可能だと思います。 JTAGは、一部のデバイスへの同様のアクセスを提供する場合があります。
QubesOSはこれを停止するためにIO/MMUを使用しようとしますが、現在のハードウェアでのサポートはせいぜい不十分です。 Tailsには緊急シャットダウン機能があり、特定のキーの組み合わせが押されたとき、またはUSBドライブが取り外されたときにRAM=)をすばやくワイプする必要があります。これは活発に研究されている領域であり、常に信頼できるとは限りません。