שְׁאֵלָה:
כמה מאובטח החומרה הצפנת דיסק מלא (FDE) עבור כונני SSD
kat
2016-08-22 21:34:48 UTC
view on stackexchange narkive permalink

האם יש מחקר לגבי הצפנת חומרה מאובטחת של SSD - למשל Samsung EVO 850? או לפחות מאמרים שמסבירים איך זה עובד?

הצפנת חומרה?
קשור: [סמסונג SSD 840 Evo הצפנת דיסק] (https://security.stackexchange.com/questions/67284/samsung-ssd-840-evo-disk-encryption), [Samsung SSD 850 EVO.הדרך הטובה ביותר להגן על נתונים אישיים מפני גנבים] (https://security.stackexchange.com/questions/108027/samsung-ssd-850-evo-best-way-to-protect-personal-data-against-thiefs).התמיכה מדווחת גם כמוגבלת: [כיצד לאפשר הצפנת SSD?] (Https://superuser.com/questions/1007792/how-to-enable-ssd-encryption), [האם ניתן להצפין דיסק מלא מלא מבוסס חומרהב- Mac?] (http://apple.stackexchange.com/q/76530)
הנה כמה מידע טוב על SSD באופן כללי: https://media.defcon.org/DEF%20CON%2024/DEF%20CON%2024%20presentations/DEFCON-24-Tom-Kopchak-Sentient-Storage.pdf כאשר הדיון מתפרסםליוטיוב בשבועות הקרובים בערך, כדאי לבדוק זאת גם כן.הבנת האופן שבו SSD פועלת מועילה במענה לשאלתך.והנשיא הזה נכנס ל- SSD עבור Samsungs.
אז בעצם כמה שנים ב- SSD והצפנה עצמית הם עדיין קופסה שחורה ... אז אפשר לקחת בחשבון שלעת עתה FDE מבוסס תוכנה הוא שיטת ההצפנה המועדפת, במיוחד בהתחשב בשניים אין כל כך הרבה הבדלים כמוככל שמתקיף מגיע (לפחות על סמך מה שידוע) - מקור: https://www1.cs.fau.de/sed.
אני לא בטוח מה הבעיה שהיית עם SED / FDE.OPAL 2.0 קיים כבר שנים, ממש כמו [sedutil] (https://github.com/Drive-Trust-Alliance/sedutil) המסייע לכם בשימוש בתמונות PBA (Pre-Boot Authentication).אולי כדאי שתקרא משהו בנושא - [אבטחת כונני SSD עם הצפנת דיסק AES] (https://www.electronicdesign.com/memory/securing-ssds-aes-disk-encryption).סמסונג מספקת מתקן משלה לניהול SED גם כן (מובנה בקוסם סמסונג).
מחקר הולנדי שנערך לאחרונה באוניברסיטת רדבוד הראה כי רבים מה- SSD (של תת קבוצה מוגבלת בהחלט) הם פגיעים ביותר.ראה למשל https://www.zdnet.com/article/flaws-in-self-encrypting-ssds-let-attackers-bypass-disk-encryption/
שתיים תשובות:
UTF-8
2016-09-10 01:00:59 UTC
view on stackexchange narkive permalink

TL; DR: אל תשתמש בהצפנת חומרה בכל אמצעי אחסון, לא משנה אם זה כונן אגודל, כונן קשיח או SSD! זה רעיון ממש ממש גרוע!

יצרני החומרה יודעים שכללו דלתות אחוריות או סתם דבורים מאוד מאוד טיפשות לגבי הצפנת הנתונים. זה מרחיק לכת עד כדי כך שהם פשוט משתמשים באותו מפתח לכל המכשירים שלהם או שהם נותנים למפתחות ההצפנה להסתובב ללא הצפנה בתקווה שאף אחד לא ישנה את הקושחה באופן שיאפשר למישהו לגשת אליהם מבלי לדעת את הסיסמה. שמעתי וקראתי את זה הרבה ולא יכול להראות לך את המקורות האמיתיים שלי, אך הנה מאמר המאשר את מה שטענתי כרגע.

ידועים גם יצרני חומרה. נאלצו להוריד את רמת ההצפנה. באותה דרך שאני יודע זאת כנ"ל ו מאמר זה מאשר זאת.

רק דמיין מה קורה כשמשתמשים בהצפנת חומרה. אתה קונה את המכשיר הקסום הזה ממי שטוען שרק אנשים שיודעים את הסיסמה יכולים לגשת לנתונים המאוחסנים בזה. אותו אדם לא מראה לך איך זה עובד. הם עשויים גם לשקר לך (ראה מאמר המקושר בפסקה הקודמת) כאשר יש לך סיכוי מועט מאוד לגלות אי פעם. אין לך שום דרך לאמת או להפריך טענות אלה.

כמובן, אל תסמכו על הצפנת תוכנה גם על ידי יצרני החומרה. קניתי מקל USB לפני כ -5 שנים מסאנדיסק (עדיין יש אותו והשתמשתי בו לאחרונה לפני שעה) שהגיע עם "תוכנת הצפנה". מעולם לא השתמשתי בתוכנת ההצפנה ההיא, לא רק בגלל שהיא עומדת בכל הסטנדרטים שצריך לשמור על הצפנה (ראו פסקה אחרונה) אלא גם בגלל שלאחר מחקר מועט מאוד מצאתי שהתוכנה ההיא (שעבדה רק עבור MS Windows שהיא עצמה סיבה טובה מאוד לעולם לא להשתמש בזה) כותב 1 או 2 תווים (שכחתי אם זה היה 1 או 2 אבל זה לא משנה) לקובץ שיצר בתיקיית המשתמש של Windows אם הוזנה הסיסמה הנכונה. אותם 1 או 2 תווים הראו את היישום שלמשתמש הייתה הרשאה לגשת לקבצים. אם פשוט כתבת את התוכן הנכון לקובץ (שהוא זהה לכל המשתמשים בתוכנה זו), תוכל לגשת לנתונים המאוחסנים בכונן האגודל בלי לדעת את הסיסמה. אז אל תשתמש גם בזה.

הצפנת תוכנה טובה בהרבה מכיוון שאתה כמשתמש שולט באיזו תוכנה משתמשים. אתה יכול להעיף מבט, לשלם למישהו שיסתכל על זה, אם זה נפוץ (וזה אמור להיות!), אחרים יסתכלו על זה בכל מקרה, ואם זה מפותח בגלוי, יש אנשים שמתווכחים בפומבי על איך זה צריך להיות בטוח ככל האפשר, ואנשים אלה לא סומכים זה על זה.

יתר על כן, יש לך יותר קל לכבות את התוכנה המשמשת להצפנה. אם אתה משתמש בהצפנת חומרה, ברגע שיש לך את החומרה, אתה משתמש בהצפנה הספציפית שמספקת החומרה. אתה תהיה מסרב לבזבז הרבה כסף על רכישת חומרה חדשה ולזרוק את החומרה הישנה, ​​גם אם יתגלה שיש בעיות אבטחה כי "זה לא זה רע." ו"אף אחד לא יתקוף אותי, בכל מקרה. " ואילו היית זורק תוכנה עם ליקויים דומים ומחליפה אותה לתוכנה אחרת תוך יום אחד.

השתמש בתוכנת הצפנה רק אם היא בחינם ומקובלת על מנת להיות מאובטחת. זה בחינם דורש שתוכל להשיג את קוד המקור שלו אם אתה לא יודע את זה. (לא כי היותו קוד פתוח הוא הכרחי, לא מספיק.) אם נשללת ממך גישה לקוד המקור, לעולם אל תסמוך על היישום! זה כולל כמובן אי אמון בכך לגבי הגנה על הנתונים שלך מפני גישה לא מורשית. אם לא מקובל להיות מאובטח, סביר מאוד שהאנשים שיצרו את זה טעו (אפשר לעשות הרבה מאוד טעויות בקשר להצפנה וצריך לעשות עבודה טובה מאוד על מנת להפוך את ההצפנה לאבטחה) או אפילו בזדון הפך אותו לחסר ביטחון שיכול לכלול לא להצפין שום דבר בכלל.

הבעיה היא שאולי לא תחשוב על הכל בעת שימוש בתוכנת הצפנה.אתה לא מתכוון להצפין את האשפה, קצת זיכרון עמוס, כמה גיבויים וכו '... ואילו כל זה מוצפן באמצעות FDE.זה גם מתחרפן לאט אם אתה רוצה לעבוד על נתונים מוצפנים ואילו FDE מואץ על ידי ה- TPM.השתמש ב- FDE, אם מודל האיום שלך כולל את ה- NSA, בצע את שניהם.
@David 天宇 Wong כאשר אתה משתמש בהצפנת הדיסק המוגדרת כברירת מחדל או בהצפנת תיקיית הבית של מערכת ההפעלה שלך, ברור שזה לא נכון.להצפנת הדיסק, זה ברור.לגבי הצפנת תיקיות ביתיות: אני לא מכיר שום הפצת לינוקס שבה האשפה אינה נמצאת בתיקיית הבית של קבצים שהיו בתיקיית הבית לפני כן.ישנם מיקומים שונים לאשפה, אך כולם נמצאים בתיקיית הבית.זה חשוב לביצועים (והימנעות מפעולות קריאה / כתיבה מיותרות).אובונטו בהחלט מצפינה את מחיצת ההחלפה בעת בחירת הצפנת דיסק במהלך ההתקנה.
@David Speed מהירות וונג לא נשאלה בשאלה.השאלה היא עד כמה הצפנת חומרה / תוכנה מאובטחת בהתאמה.מהירות הצפנת התוכנה תלויה במידה רבה אם יש לך האצת חומרה לשיטת ההצפנה שנבחרה.
אני מניח שלכל ארכיטקטורה של 64 סיביות יש AES-NI בימינו אז: |
ועכשיו זה [אישר] (https://www.ru.nl/publish/pages/909282/draft-paper.pdf) על ה- EVO של סמסונג שה- OP מזכיר במיוחד.
@Ploni תודה רבה שסיפקת ראיות התומכות בנקודה שלי.
Aria
2016-08-23 18:23:04 UTC
view on stackexchange narkive permalink

ההצפנה הסימטרית שהיא AES-128 או 256 בטוחה.

עם זאת יש לה פשרות משלה.

להיות מובנה בכונן הקשיח, הסוד מפתח מאוחסן בכונן ומוגן על ידי מפתח. עכשיו העניין הוא שבכל כונן יש דרך לעקוף אותו בדרך כלשהי ולשחזר את המפתח. די לא סביר שספק החומרה ישים הגנה מספקת לכך אפילו שזה אפשרי מבחינה טכנית.

כך שברוב כונני ה- SSD וה- AES, חברות משפטיות יכולות לפענח אותה מבלי לדעת סיסמה או לפצח אותה כלל. מצד שני, הצפנת התוכנה מחייבת אותך להזין את הסיסמה כדי לבטל את נעילת המפתח ואז המפתח נשמר בזיכרון RAM.

מכיוון שאי אפשר לפענח את הכונן, אפשר לפענח ממחשב נייד מושעה עם התקפה של אתחול קר.

אני לא חושב שיש דרך אמינה לעשות זאת. אני חושב שאפשרות אחת תהיה אחסון המפתח ב- TPM, ואז העברתו באמצעות ליבה מהימנה לקושחת הכונן הקשיח. דרך נוספת תהיה להשתמש בסיסמא אקראית של 20 או 40 תווים שהיא מפתח ולאחר שהוזן היא מועברת לקושחת הכונן הקשיח.

בכל מקרה, עם הצפנת תוכנה כמו LUKS יש לך הרבה יותר סיכוי שלא מקבל פענוח כונן כאשר נגנב. אופן השימוש ב- AES עשוי להיות טוב יותר.

מתן כמה ציטוטים והפניות יעשה את תשובתך הרבה יותר חזקה.
כמו גם אזכור של החוליה החלשה ביותר בשרשרת האבטחה, המפעיל האנושי.הנדסה חברתית היא כמעט תמיד איום גדול יותר מאשר התקפות טכניות.
כן, אבל הנושא הוא על ההיבטים הטכניים של ההצפנה, להשאיר את הגורם האנושי בצד.ברור שגם ההצפנה החזקה ביותר היא חסרת תועלת אם אתה נותן את המפתח שלך בחופשיות.
"בהיותו מובנה בכונן הקשיח, המפתח הסודי נשמר בכונן ומוגן על ידי מפתח. עכשיו העניין הוא שבכל כונן יש דרך לעקוף אותו בדרך כלשהי ולשחזר את המפתח. די לא סביר שספק החומרה.הכניסו מספיק הגנה לכך אפילו שזה אפשרי מבחינה טכנית. " לשחזר איזה מפתח באמצעות מעקף?המאסטר בדרך כלל (LUKS לדוגמא) מוצפן על ידי KEK (מפתח הצפנת מפתחות) שמעולם לא מאוחסן בשום מקום, אך נגזר בכל פעם ממשפט סיסמה של המשתמש (או סיכה או סיסמה או קובץ מפתח) ומלח.
LUKS הוא הצפנת תוכנה (במערכת ההפעלה).בעוד שהצפנת הכונן הקשיח היא גם סוג של תוכנה, לעתים קרובות מאוד אין לה עיצוב בוגר חזק כמו LUKS פשוט מכיוון ש- LUKS התבגר במשך זמן רב בעוד שהצפנת HDD / SSD חדשה יחסית ל- LUKS וממשיכה להיות מובסת.
[אתה טועה.] (Https://www.ru.nl/publish/pages/909282/draft-paper.pdf) (המקור סופק במקור ב [תגובה זו] (https://security.stackexchange.com/שאלות / 134564 / איך מאובטח הוא חומרה-הצפנת דיסק מלא-fde-for-ssds / 136390 # comment391899_136390).)


שאלה ותשובה זו תורגמה אוטומטית מהשפה האנגלית.התוכן המקורי זמין ב- stackexchange, ואנו מודים לו על רישיון cc by-sa 3.0 עליו הוא מופץ.
Loading...