Intel SSD Encryptionはどの程度安全ですか?
Intel 520シリーズSSDドライブのフルディスク暗号化に既知の欠陥はありますか?
特に、パスワードが設定されていない場合でも、これらのドライブは内部AESキーを自動的に生成するようです。しかし、ATAパスワード( "BIOS HDDパスワード"とも呼ばれます)は、実際に内部AESキーの暗号化に使用されていますか、それともその内部キーはプレーンテキストで保存されていますか?
できるだけ具体的にお答えします。
Intelテクニカルサポートに連絡して、この質問を正確に尋ねました。Intel520のAESキーはATAパスワードで暗号化されていますか。何週間かやり取りした後、私は最終的に彼らから明確な確認を受け取りました。私は引用します:
はい、ATAパスワードはSSD上の暗号化キーストアを暗号化するために使用されます。つまり、暗号化キーはATAパスワードに依存して暗号化を解除します。 ATAパスワードは、データを暗号化するための暗号化キーと組み合わせて使用されません。
このIntelホワイトペーパー http://communities.intel.com/docs/DOC-19512 も見つけました。
自己暗号化ドライブ(SED)の仕組み:Intel®SSD 320シリーズやIntel®SSD 520シリーズなどのSEDにはドライブがあります...ディスク暗号化キーはATA(Advanced Technology Attachment)パスワードで暗号化されているため
私はこのブログ投稿でSED SSDに関する私の発見のほとんどを要約しました: http://vxlabs.com/2012/12/22/ssds-with-usable-built-in-hardware-based-full-disk-暗号化/
私は2つの質問を読みました:
- Intel SSD暗号化はどの程度安全ですか?
- [特定のモデル]のフルディスク暗号化に既知の欠陥はありますか?
「どれほど安全か」についての最初の質問に取り組むことは...それはどんなセキュリティと同様に、答えは常に相対的です。ディスク上のセクターベースの(ハードウェア)暗号化は、ソフトウェアベースのデータセキュリティよりも桁違いに安全です。どうして?アクセス。
私は数年間、データセキュリティソフトウェア会社で働いていました。その会社には、世界で最も優れたルートキットおよびWindows NTFSハッカーが何人かいました。多くの試みの後、ハードウェア/ディスク/セクターベースの暗号化はソフトウェアよりもはるかに安全(かつ複雑ではない)であることを確立して認めました。ソフトウェアは回避され、だまされる可能性があります。特に、取得したスタックの下位(BIOSに至るまで)。インテルなどによるハードウェアベースの暗号化はデバイスベースであるため、BIOSのハッキングが原因である可能性もあります。
軍事および秘密のデータ組織は、「盗まれたラップトップ」問題を解決するために、ディスクベースの暗号化を定期的に要求します。ディスクドライブを取り外し、それらを耐火金庫(実際には一部の組織が行う)に入れるのではなく、Intelなどのデバイスベースの暗号化は、データを完全に保護するための最良の方法です。
私はそのような実装の設計の欠陥を読んだことがなく、それらが野生で発見されたかどうかは大きな見出しになると思います。 NISTおよびその他のグループは、保存されているデータを保護するためのこのテクノロジーの使用を強く推奨し、推奨しています。