磁盘加密有哪些好的用例?

信息安全 密码学 加密 磁盘加密
2021-08-28 10:40:35

我一直在研究磁盘/文件系统加密,从表面上看,这对于很多事情来说似乎都是个好主意。但当我进一步挖掘时,它提供的安全性似乎更像是海市蜃楼,而不是真实的。

例如,在某个数据中心的某个地方加密文件系统似乎没有什么意义,因为那里的员工需要对系统有物理访问权才能进行备份,更换故障硬件,诸如此类. 如果服务器重新启动,您必须为其提供密钥/密码才能启动。如果您不给他们那个,您可能必须弄清楚如何通过 ssh 进入或提供其他东西,这是 a) PITA,b) 无论如何都不是那么安全,因为如果他们可以物理访问机器,他们理论上可以读取内存和密钥等。

如果有人通过网络入侵,那么您的数据是否已加密并不重要,因为如果有人拥有 root 权限,他们将看到纯文本。因此,在我看来,更值得努力寻找一个拥有您信任的人员/安全性的数据中心,或者如果您是那种偏执狂,您可以自己托管它。在你没有物理控制权的系统上加密文件系统在我看来与 DRM 一样安全,并且出于类似的原因。

文件系统加密似乎在存储备份方面确实有意义 - 如果您存储在多个异地位置,您可能也无法信任它们,因此欢迎使用加密。如果您将密钥和密码短语的备份存储在不同的区域,那么仍然值得这样做,因为隐藏 USB 密钥比隐藏 HDD 或磁带要容易得多。

另一个似乎有意义的领域是笔记本电脑。如果笔记本电脑被盗,随身携带 USB 密钥以及笔记本电脑上的加密驱动器将是很好的安全措施。永远不要让笔记本电脑离开你的视线可能几乎一样好。

如果您控制物理安全并且可以访问机器(例如,服务器、工作站或家中的台式机),那么加密可能是一个好主意。同样,控制和保护 USB 密钥比保护计算机系统要容易得多。

到目前为止,这些是我得出的结论,但我很有可能忽略了一些东西——这就是我想在这里问的原因。想法?同意?不同意?

4个回答

在数据中心,磁盘加密对于处理旧磁盘很有用:当磁盘发生故障时,您可以简单地丢弃(回收)它,因为它可能仍然包含的数据是加密的,如果没有相应的密钥就无法恢复(假设服务器在其“系统”磁盘或其他设备上的某处具有加密密钥,并且故障磁盘不是系统磁盘)。否则,处理故障磁盘是一个问题(您需要相当于碎纸机,例如装满酸的大锅)。

对于笔记本电脑,磁盘加密只有在笔记本电脑无法通过解密加密狗被盗时才有用这实际上意味着用户必须将加密狗附在手腕上,而不是简单地插在笔记本电脑上。这也意味着必须定期使用加密狗,而不仅仅是在启动时(另外,考虑“睡眠模式”:用户很少重启)。可以预见,用户会主动抵制这样的安全功能(而用户在周围工作的安全系统比根本没有安全系统还要糟糕)。

1)我认为磁盘加密对于任何容易丢失或被盗的便携式媒体都是有意义的。例如用于传输信息的 USB 驱动器,或用于备份笔记本电脑的 USB 驱动器(例如 Mac 的时间机器备份)。

有时此驱动器和源系统不在同一物理位置,并且数据真正处于静止状态(即驱动器未安装)。在这种情况下,磁盘加密似乎很合理。

2)我认为网络文件系统(包括云存储)或 SAN 的磁盘加密出于类似原因可能是有意义的 - 可能有很多人对包含逻辑/物理媒体的系统具有管理员访问权限(例如云提供商的员工),但谁不一定有权访问具有解密密钥并使用数据的端点系统。因此,文件系统级别的加密也可以在这种情况下有所帮助,只要它是在使用数据的端点上执行的。

tl;dr:磁盘加密防止了另一个类型的事件“X公司丢失带有客户机密数据的笔记本电脑,这些现在可以在网上获得”(我知道“事件”和“事件报告”不是同样) - 信任普通用户来保护笔记本电脑是无效的。

另一个似乎有意义的领域是笔记本电脑。如果笔记本电脑被盗,随身携带 USB 密钥以及笔记本电脑上的加密驱动器将是很好的安全措施。永远不要让笔记本电脑离开你的视线可能几乎一样好。

“绝不”?我不认为这个词意味着你认为它的意思。这是非常不切实际的(我只是没有看到自己将笔记本电脑拖到厕所),因此被忽略(“我发誓,我只是转身一秒钟,便便不见了!”)。

我认为磁盘加密实际上很有意义:笔记本电脑更有可能被遗忘在某个地方(机场、出租车、酒吧……有些人只是不关心公司资产),或者被盗通用有价值的物品(来自汽车或行李),而不是特定公司的数据容器。对于这些情况,它实际上提供了不错的保护(假设自动备份,不会丢失太多数据)。

除了备份和重启问题(在这两种情况下,管理员必须解锁加密卷),我还要指出管理/分发/安装密钥给所有需要访问的用户和进程的问题。

如果移动到用户级别不是问题,我发现 PGP netshare 很有用,原因有很多:

  • 加密发生在文件(不是整个磁盘)级别,因此管理员仍然可以完全访问文件(用于备份等),但不能访问其内容。
  • 加密目录模仿操作系统目录(在 Windows 中),并且该解决方案对用户透明地工作
  • 可以为特定人群决定对加密内容的访问,每个人都有自己的密钥。
  • 它具有中央管理,并且似乎可以扩展。

另一方面,当人们需要“签出”东西(“从网络共享中删除”)时,我看到了许多问题,因为他们并不总是意识到什么是加密的,什么不是。移动到用户空间时,预计会出现常见的支持问题。