web-dev-qa-db-ja.com

ハードドライブとフルディスク暗号化のロックを解除

ノートブックの電源を入れると、BIOSのロックを解除するためのパスワードを求められ、ハードドライブのロックを解除するためのパスワードを求められます。

この「ハードドライブのロックを解除するためのパスワード」は、提供される保護の点で、いわゆるフルディスク暗号化とどのように異なりますか?

このハードドライブのパスワード自体がBIOSで設定されているとすれば、誰かがBIOSをリセットできれば(パスワード保護でも簡単だと言われています)、その人はドライブにアクセスできませんか?このロックが暗号化を意味するかどうかはわかりません。

Xanderが提案するように機能する場合、ソリューションはBIOSでパスワードを設定するのと同じくらい簡単なので、フルディスク暗号化で使用するソフトウェアについての全体的な議論はばかげているように見えるためです。

よくわかりません。 :)

encryptiondisk-encryptionbios
14
Strapakowsky

オンブート認証には(通常)3つのタイプがあります。

  • BIOSブートパスワード
  • ドライブロックメカニズム(HP DriveLockなど)
  • フルディスク暗号化(例:TrueCrypt/OpenPGP)

BIOSブートパスワードは、BIOSチップ内の単なる論理チェックであり、BIOSを手動でフラッシュするか、チップを交換することで回避できます。これはソフト保護メカニズムです。

完全ディスク暗号化は、ディスク全体をアクティブに暗号化し、起動時にパスワードまたはその他の認証情報を使用してディスクデータを復号化することを含む適切なセキュリティメカニズムです。これは通常、サードパーティのソフトウェアを介して実行されますが、ディスクハードウェアに統合することもできます。

ドライブロックメカニズムは、(通常)特定のラップトップの独自機能です。 HP DriveLock。これらには、ハードディスクの低セクター、つまりテレメトリーや不良セクターマッピングなどを含むセクターの暗号化が含まれます。これらがスクランブルされている場合、従来のドライブコントローラーはディスクにアクセスできません。これはしないディスクのデータを暗号化します。既知のテレメトリセットからセクターの完全なハードウェアレベルのイメージを作成し、ファイルシステムを手動で切り分けることは可能ですが、それは、最も優れた装備の攻撃者以外のすべてに対する重要な障壁です。

15
Polynomial

以前は、物理ドライブの論理的な制御でした。ドライブの電子回路を交換してもパスワードを回避することはできなかったため、高度なツールを使用するか、ハードウェアをハッキングしてパスワードをバイパスしました。

約5年前、ディスク自体にAES暗号化を開始し、ATA Security Extensionsを使用してディスクを暗号化し、パスワードでキーを暗号化して出荷しました。

日立はこれについて良いFAQこれについて:

バルクデータ暗号化– FAQ

他のメーカーも同様の機能をHDDとSSDで提供しています

http://en.wikipedia.org/wiki/Hardware-based_full_disk_encryption

とはいえ、注意すべきことがいくつかあります。

  • すべてのディスクがこれを行うわけではありません。
  • これはブラックボックス暗号化です

AES128を使用するclaimものの、それを確認する合理的な方法がないため、これはブラックボックスです。そして、彼らはそれを適切に行うためにclaimしていますが、それらの実装を検査する方法はありません。

数年前、私は彼らに簡単な質問を送りました...すべてのドライブが暗号化をオンにして工場から出荷された場合、それらはどのようにしてランダムキーをシードしますか?

答えが得られなかったし、合理的な説明を聞いた人もいなかった。私たちが知る限り、すべてのドライブのすべてのキーは同一です。ドライブの電子回路をバイパスして、未加工の暗号化されたプラッターを読み取る方法がない場合は、決してわかりません。 ATA SEの「完全消去」機能を実行してキーを削除しても、新しいキーがどのように生成されているかはわかりません。

このため、システムを保護するためにこのテクノロジーに依存していません。

6
mgjk

ハードドライブのロックを解除するためのパスワード可能性がありますフルディスク暗号化が機能しています。ハードドライブのロックを解除するために入力するパスワードは、キーの暗号化に使用されるパスワードで、ドライブのコンテンツの暗号化に使用されます。したがって、ドライブが挿入されているマシンからドライブを引き出して別のコンピューターに接続すると、暗号化されたボリュームしか見つからないでしょう。

3
Xander

SEDがどのように機能するかについては多くの噂があります。 mgjkはブラックボックスであることに完全に同意します。あなたは彼が主張することを彼がすることをメーカーに信じさせる必要があります。そして、それがどのように機能するかについての詳細な情報を取得することはさらに困難です。サムスンの840 SSDで暗号化を有効にする方法についての情報を得るために、インターネットと製造元のWebサイトを調査しました。これまでのところ、これを有効にすることに失敗しています。残念ながら、私のノートブックのBIOSはATAセキュリティパスワードをサポートしていません。たとえそれができたとしても、メーカーからの公式情報がないため、暗号化も有効にしたかどうか確信が持てませんでした。一部のサードパーティWebサイトは、OPALに準拠している必要があると主張しています。そこで、OPALドライブを初期化できると主張するソフトウェア、つまりWaveのEmbassy Security CenterとWinMagicのSecureDocを試しました。これらはどれも仕事をしませんでした。どちらもソフトウェア暗号化にフォールバックしましたが、その理由に関する情報はほとんどありませんでした。どちらにも、SEDを初期化する方法に関するドキュメントはほとんどありません。だから今、私は立ち往生しています。

1
Andrew