我正在购买一些新机器,如果机器被盗,我担心数据的安全性。取出驱动器、对其进行映像和读取您想要的内容很容易。
我可以使用文件级加密,但这还不够:人们最终不会加密每个文件,此外,交换、页面文件、日志、注册表、缓存等中存储的内容太多。
我可以使用 BitLocker 或其他操作系统全盘加密,但有几个问题,我现在不会讨论。简而言之,我想要硬件级别的东西,而不是软件。
现在,自加密驱动器 (SED) 看起来正是我想要的,但是它们很昂贵,特别是对于非常大的尺寸(我需要)——我什至找不到 1 TB SED SSD。我看到很多机器都有 BIOS/UEFI“硬盘密码”,但我找不到太多关于它的信息。这只是一个不同名称的 BIOS 密码吗?背后有加密吗?是否在控制器级别进行检查?磁盘接口?将驱动器取出并对其进行成像会绕过它吗?
如果打破锁需要更换驱动电子设备(即,它是驱动硬件中的锁,但未加密),这就足够了。如果它只是一个可以用螺丝刀和 SATA 桥接器破解的 BIOS 密码,那就另当别论了。
BIOS/UEFI 硬盘密码的安全性如何?它们是如何工作的?针对它们的已知攻击类型有哪些?
该密码由存储驱动器本身强制执行,因此无法被系统固件覆盖;但这并不意味着它应该被信任。
驱动器如何强制密码变化并且没有明确的标准(如果有,就没有简单的方法来验证驱动器是否真正兼容);所以它很可能只是驱动器固件强制执行的密码(背后没有加密,因此更换固件就足以泄露数据),或者可能会在几天内被破解的低安全性供电加密.
简而言之,将那些自加密驱动器视为不涉及加密。您可以在已经使用强加密(LUKS、TrueCrypt/VeraCrypt 或 BitLocker,如果您不介意 Microsoft 和 NSA 偷看)加密的数据之上使用它们,但不要将它们用作您唯一的保护措施。
ATA 硬盘驱动器密码只不过是一个开关访问开关。实现它的驱动器不会加密数据,只是驱动器电子设备在输入正确的密码之前不会传输数据。有些公司承诺以适中的价格重置此设置(我假设他们更换了驱动电子板。)据说有可以重置这些密码的软件,但我从未见过使用过的软件,我什至没有受到诱惑从那些粗略的网站下载一个。
全盘加密 (SED) 是真正的 AES 加密,它利用主板上的可信平台模块 (TPM) 芯片来解锁密钥;在 TPM 芯片普及之前,驱动器曾经使用预启动身份验证 (PBA) 来解锁其密钥。但是如果小偷偷了整台电脑,他们也有TPM芯片。然后,他们可以在驱动器连接到被盗机器时启动系统,等待它接收密钥,让驱动器通电(因此它保留密钥),将 SATA 数据线切换到他们选择的机器,然后拍摄未加密的磁盘映像。本文“自加密磁盘造成自解密风险”详细介绍了对 SED 驱动器的几种不同攻击,包括通过 PCI、Firewire 或 Thunderbolt 进行的 DMA 传输;和邪恶的女仆MBR攻击。
另一个已知问题是驱动器上的固件可能会被篡改(斯诺登泄密事件表明 NSA 具有称为IRATEMONK的能力),从而导致整个 SED 概念无效。
您是否想投资 SED 取决于您感知到的威胁模型。你的攻击者有足够的动机吗?您的数据对第三方有高价值吗?或者你害怕咖啡店里的普通机会主义小偷,他们只是想在 Craigslist 上卖你的笔记本电脑?