自己暗号化ドライブについて調べてきましたが、Shadow MBRがセキュリティの問題ではないことを理解できません。
私は これらのスライド を見つけました。これは、シャドウMBRがクリアテキストで保存されていることを示しています(ドライブのロックを解除するためにパスワードを指定する前に提示する必要があるため、これは理にかなっています)。それよりも、ディスク全体の暗号化を無効にする際の Evil Maid Attack に対して脆弱であるように思われます。
その投稿はソフトウェアベースのFDEを扱っていますが、原則は同じである必要があります。暗号化されていないソフトウェアを見つけて、悪意のあるものに置き換えます。
ただし、 この投稿 から、Shadow MBRにアクセスできないことになっています。
MBRシャドウは128 MBの領域であり、完全に「マップから外れています」。 OSまたはウイルスがドライブ上の各LBAをLBA 0からMAX LBAまで読み取る場合でも、それを表示または変更することはできません。
問題が解決しました!例外として、ここで混乱が生じます(私にとって)。 SEDのロック解除 に関するこの投稿には、次のように書かれています。
SEDが起動前認証で構成されている場合、128MB OPAL「MBRシャドウ」ボリュームのみがOSに表示されます
それで、それは何ですか? Shadow MBRは完全に「マップ外」ですか、それともOSから見える唯一のものですか?また、OSレベルで表示およびマウント可能な場合、攻撃者がPBAを自分のものに置き換えるのを阻止するにはどうすればよいでしょうか。
要点は、Shadow MBRはドライブ自体によって提供されるため、読み取り専用にすることができます(または、おそらくファームウェアによって提供される可能性があり、製造元が適切に行った場合、ファームウェアはロック状態で書き込みできなくなります)。 )。それでも、FDEロック解除攻撃を難しくしますが、攻撃者は常にキースティーリングを実行するロックされたドライブの前にSATAフィルターを置くことができます(同じ手順ですが、ソフトウェアではなくハードウェアを使用します)。
thoughただし、ハードウェアチップを直接フラッシュすることによって、おそらくまだそうなることに注意してください。