如果您要指定在静止(存储)时加密特定分类的数据的要求,如果数据存储在所有存储介质都具有全盘加密的实时(打开)系统上,是否应该考虑满足要求?
存储是加密的,如果系统关闭将受到保护(我们暂时忽略邪恶女仆类型的攻击或冻结内存以获取密钥);然而,当系统启动时,数据存在风险,因为系统只是处于活动状态而导致的安全问题可能会导致键盘记录器、恶意软件或其他暴露。
例如,如果笔记本电脑具有全盘加密并且已打开或处于休眠或睡眠模式,那么该数据是否应该被视为加密?这对保护前端数据和数据泄露报告中的注意事项具有重要意义。如果窃贼窃取了一个未完全关闭的系统,由于密码限制和暴力锁定,可能无法获得直接交互访问,但可能存在网络或硬件攻击,允许远程利用获得本地访问权限,从而对“加密”数据。
更明确的静态加密案例是卸载加密容器或将文件存储在加密的 zip 文件中(当然使用强大的算法,如 AES 与基本 zip 文件上较弱的密码保护)。更明显的是移除存储数据的硬盘驱动器或 USB 连接媒体。因为数据必须主动解密,这似乎完全满足静态加密的要求。
因此,如果将全盘加密评估为满足静态数据加密要求,应考虑哪些因素?
至少对我的公司而言,全盘加密不足以满足“静态数据”的要求,因为在实时系统上,无需提供密钥或任何其他身份验证信息即可访问数据。当依赖 FDE 时,如果攻击者能够进入,那么此时窃取数据非常容易,并且可以快速完成,不需要其他知识。
我们要求所有静态数据都使用 AES(通过各种方式)或 PGP 加密,而不考虑使用 FDE。这种方式仅能访问正在运行的系统并不足以检索受保护的数据;需要额外的知识(密码、密钥)。
我们确实要求在离开我们设施的任何系统上使用 FDE,但更多是为了保护可能帮助攻击者的辅助信息(电子邮件、便笺等)或违反政策存储的任何信息。
通常,术语“静止”是对“传输中”的补充,数据通常被指定为处于一种状态或另一种状态。“传输中”的数据正在被积极地传递,通常是通过某个地方的网络。“静止”数据位于硬盘驱动器或 RAM 中,通常位于相对安全的边界内。
我们做出这些区分的原因是它可以更容易地对数据的安全要求进行分类。适用于传输中数据的内容不一定适用于静态数据。例如,您希望端到端加密(例如 SSL)将密码传输到服务器,但您希望散列(例如 bcrypt)将该密码存储在服务器的磁盘上。
因此,决定的一般经验法则是“我是持有数据,还是在传达数据?” 在 99% 的驱动器加密方案的情况下,它应该被认为是静止的。
将数据分类为“静止”或“传输中”只是风险分析的一种通常方便的工具;但是没有规则规定数据必须100% 处于静止状态或 100% 处于传输状态,并且具有清晰的分隔。主并没有横空出世“让静止的数据和传输中的数据分开”。类别是人类的创造,不能假装普遍性。
在处理加密时,有用的是考虑谁有权解密,这通常会渗透到密钥的下落。“静态”数据是稍后访问的数据,对“稍后”没有任意限制,因此必须以某种方式永久存储解密密钥(存储可能是智能卡、人脑、文件一部智能手机,一张纸……但它以有形的形式存在)。另一方面,“传输中”的数据意味着几乎立即被解密,系统只有在 RAM 中拥有解密密钥并且会在之后几乎立即忘记那把钥匙,使其免受不可告人的钥匙盗窃。在这种情况下,加密磁盘始终是“静态数据”。但是,根据相同的定义,SSL 连接也是“静态数据”,除非使用“DHE”密码套件,在这种情况下它变成“传输中的数据”(因为完美的前向保密)。
关于该主题的另一种观点是,如果数据使用未存储在同一系统上的密钥加密,则在“静止”时数据得到适当保护。带有加密磁盘的笔记本电脑在(且仅当)它被关闭时才满足此要求:解密密钥是密码,然后密码在人类用户的头脑中,而不是在笔记本电脑中。如果笔记本电脑开机,则它没有“正确保护”(尽管仍然“处于静止状态”)。
全盘加密并不是真正加密静态数据。数据在硬盘驱动器上时处于静止状态,但仅在驱动器离线时在 FDE 情况下加密。只要您安装了驱动器以进行访问,全盘加密就不会保护它。FDE 适用于被盗驱动器,它对访问实时系统的黑客或恶意软件没有任何作用。