私はいくつかの新しいマシンを購入していますが、マシンが物理的に盗まれた場合のデータのセキュリティについて心配しています。ドライブを取り出してイメージを作成し、必要なものを読み取るのは簡単です。
ファイルレベルの暗号化を使用することもできますが、それだけでは不十分です。人々は最終的に各ファイルを暗号化せず、さらに、スワップ、ページファイル、ログ、レジストリ、キャッシュなどに多くのものが保存されます。
BitLockerまたは他のOSのフルディスク暗号化を使用することもできましたが、これにはいくつかの問題があるため、ここでは説明しません。要するに、ソフトウェアではなくハードウェアレベルで何かが欲しいのです。
現在、自己暗号化ドライブ(SED)はまさに私が望んでいるように見えますが、特に非常に大きなサイズ(必要なサイズ)の場合は高価です-1 TB = SED SSD。多くのマシンにBIOS/UEFIの「ハードドライブパスワード」が設定されているようですが、それについてはあまりわかりません。これは、名前が異なるBIOSパスワードだけですか?背後に暗号化がありますか?コントローラレベルでのチェック、ディスクインターフェイス、ドライブを取り出してイメージングすることでバイパスしますか?
ロックを解除するためにドライブエレクトロニクスを交換する必要がある場合(つまり、ドライブハードウェアのロックであり、暗号化されていない場合)、それで十分です。ドライバーとSATAブリッジで無効にできる単なるBIOSパスワードの場合、それは別の話です。
BIOS/UEFIハードドライブのパスワードはどのくらい安全ですか?それらはどのように機能しますか?彼らに対してどのような種類の攻撃が知られていますか?
このパスワードはストレージドライブ自体によって適用されるため、システムファームウェアによって上書きすることはできません。それはそれが信頼されるべきであるという意味ではありません。
ドライブがパスワードを適用する方法はさまざまで、明確な標準はありません(ある場合、ドライブが実際に準拠しているかどうかを確認する簡単な方法はありません)。そのため、ドライブのファームウェアによって強制されるパスワード(背後に暗号化がないため、ファームウェアを交換するだけでデータを開示するのに十分です)か、数日で壊れる可能性のある無防備なセキュリティによる暗号化のいずれかが考えられます。
つまり、これらの自己暗号化ドライブは、暗号化が含まれていないかのように考えてください。強力なもの(MicrosoftとNSA peeking)を気にしない場合はLUKS、TrueCrypt/VeraCryptまたはBitLocker)ですでに暗号化されているデータの上でそれらを使用できますが、次のように使用しないでください。あなたの唯一の保護。
ATAハードドライブのパスワードは、オンオフアクセススイッチにすぎません。これを実装するドライブはデータを暗号化しません。正しいパスワードが入力されるまで、ドライブの電子機器がデータを送信しないというだけです。控えめな価格でこの設定をリセットすることを約束する会社があります(ドライブエレクトロニクスボードを交換することを想定しています)。これらのパスワードをリセットできるソフトウェアがあると思われますが、使用されたことは一度もありません。それらの大ざっぱなサイトからダウンロードしてください。
フルディスク暗号化(SED)は、マザーボード上のTrusted Platform Module(TPM)チップを使用してキーのロックを解除する実際のAES暗号化です。 TPMチップが一般的になる前は、ドライブは事前起動認証(PBA)を使用してキーのロックを解除していました。しかし、泥棒がコンピューター全体を盗む場合は、TPMチップも持っています。その後、ドライブが盗難にあったマシンに接続されている間にシステムを起動し、ドライブがキーを受け取るまで待ち、ドライブの電源を入れたまま(キーが保持される)にし、SATAデータケーブルを選択したマシンに切り替えます。ディスクの暗号化されていないイメージを取得します。このペーパー、「 自己暗号化ディスクは自己復号化リスクをもたらす 」には、PCI、Firewire、またはThunderboltを介したDMA転送を含む、SEDドライブに対するいくつかの異なる攻撃の詳細があります。そして邪悪なメイドMBR攻撃。
別の既知の問題は、ドライブのファームウェアが改ざんされる可能性があることです(Snowdenリークにより、NSAに [〜#〜] iratemonk [〜#〜] と呼ばれる機能があることが明らかになりました)レンダリングSEDの概念全体が無効です。
SEDに投資するかどうかは、認識されている脅威モデルによって異なります。あなたの攻撃者は十分にやる気がありますか?あなたのデータは第三者にとって価値がありますか?または、単にCraigslistでノートパソコンを販売するコーヒーショップの平均的な日和見的な泥棒を恐れていますか?