考虑一个支持 Opal 2.0 的驱动器,它与 Microsoft Bitlocker 的“eDrive”功能一起使用。在这种情况下,据推测,加密密钥永远不会离开磁盘(这可能会提高安全性,尽管机器的 RAM 显然需要将“解锁”代码存储在某处)。
是否有证明该技术已经过审核以提供一定程度的篡改保护?SSD 供应商在内部实施加密,因为它有助于平衡物理层的一些电子设备。是否可以从驱动器上的芯片轻松获得数据加密密钥?类似于“轻松”打开并提取关键材料的一些 TPM?
自加密驱动器,防篡改认证?
信息安全
验证
磁盘加密
开机
比特锁
2021-08-18 03:14:11
1个回答
在美国,您在政府和一些监管领域寻找的验证(认证)列在NIST Validated FIPS 140-1 和 FIPS 140-2 Cryptographic Modules列表中。
根据FIPS 140-2 标准,基于篡改的要求从第 2 级开始。
FIPS 140-2 安全级别 2:
安全级别 2 通过增加防篡改要求增强了安全级别 1 密码模块的物理安全机制,其中包括使用防篡改涂层或密封件或在模块的可拆卸盖板或门上使用防撬锁。防篡改涂层或密封件放置在密码模块上,因此必须破坏涂层或密封件才能物理访问模块内的明文密码密钥和关键安全参数 (CSP)。防篡改封条或防撬锁被放置在盖子或门上,以防止未经授权的物理访问。
然后是 FIPS 140-2 安全级别 3:
除了安全级别 2 所需的防篡改物理安全机制外,安全级别 3 还试图阻止入侵者访问加密模块中的 CSP。安全级别 3 所需的物理安全机制旨在以高概率检测和响应对密码模块的物理访问、使用或修改的尝试。物理安全机制可能包括使用坚固的外壳和篡改检测/响应电路,当密码模块的可拆卸盖/门打开时,将所有明文 CSP 归零。
和 4 级,最高:
安全级别 4 提供本标准中定义的最高安全级别。在此安全级别,物理安全机制围绕加密模块提供完整的保护包络,旨在检测和响应所有未经授权的物理访问尝试。从任何方向渗透加密模块外壳都具有很高的被检测到的可能性,导致所有明文 CSP 立即归零。安全级别 4 加密模块对于在物理上不受保护的环境中操作很有用。
有一些 USB 密钥经过 FIPS 140-2 总体 3 级验证;您必须检查实际驱动器,但这就是寻找美国的地方
其它你可能感兴趣的问题