Hardwarové šifrování celého disku - Hardware-based full disk encryption

Hardwarové šifrování celého disku (FDE) je k dispozici u mnoha pevný disk (HDD /SSD ) prodejci, včetně: Hitachi, Integrovaná paměť, iStorage Limited, Mikron, Technologie Seagate, Samsung, Toshiba, Viasat UK, Western Digital. The symetrický šifrovací klíč je udržována nezávisle na počítači procesor, což umožňuje šifrování celého úložiště dat a odebrání paměti počítače jako potenciálního útočného vektoru.

Hardware-FDE má dvě hlavní součásti: hardwarový šifrovač a úložiště dat. V současné době se běžně používají čtyři varianty hardwaru FDE:

  1. Jednotka pevného disku (HDD) FDE (samošifrovací jednotka)
  2. Uzavřený pevný disk FDE
  3. Vyjímatelný pevný disk FDE
  4. Most a Chipset (BC) FDE

Hardware navržený pro konkrétní účel může často dosáhnout lepšího výkonu než software pro šifrování disku a hardware šifrování disku může být pro software transparentnější než šifrování prováděné v softwaru. Jakmile je klíč inicializován, hardware by měl být v zásadě pro operační systém zcela transparentní a měl by tedy fungovat s jakýmkoli operačním systémem. Pokud je hardware šifrování disku integrován do samotného média, může být médium navrženo pro lepší integraci. Jedním příkladem takového designu by bylo použití fyzických sektorů o něco větších než logických sektorů.

Hardwarové typy šifrování celého disku

Jednotka pevného disku FDE

Obvykle se označuje jako samošifrovací jednotka (SED). HDD FDE vyrábějí prodejci HDD pomocí OPÁL a podnikové standardy vyvinuté Trusted Computing Group.[1] Správa klíčů probíhá v řadiči pevného disku a šifrovací klíče jsou 128 nebo 256 bit Advanced Encryption Standard (AES). Ověření při zapnutí jednotky musí stále probíhat uvnitř procesor prostřednictvím a software ověřování před spuštěním prostředí (tj. s a softwarové šifrování celého disku komponenta - hybridní šifrování celého disku) nebo s a BIOS Heslo.

Hitachi, Mikron, Seagate, Samsung, a Toshiba nabízejí výrobci diskových jednotek TCG OPÁL SATA pohony. HDD se staly komoditou, takže SED umožňuje výrobcům disků udržovat výnosy.[2] Mezi starší technologie patří proprietární Seagate DriveTrust a starší a méně zabezpečené PATA Standard zabezpečení příkazů dodávaný všemi výrobci disků včetně Western Digital. Verze Enterprise SAS standardu TCG se nazývají disky „TCG Enterprise“.

Uzavřený pevný disk FDE

V rámci standardu formát disku pevného disku v případě šifrovače (BC), klíč obchod a je přiložena komerčně dostupná jednotka pevného disku menšího formátu.

  • Přiložená skříň pevného disku může být zjevná manipulace, takže při načtení si můžete být jisti, že uživatel data nebyla ohrožena.
  • Šifrovací elektronika včetně klíč úložiště a integrovaný pevný disk (pokud je pevné skupenství ) mohou být chráněny jinými tamper respondent opatření.
  • Klíč může být očištěno, umožňující uživateli zabránit jeho parametry autentizace používán bez zničení šifrovaných dat. Později to samé klíč lze znovu načíst do jednotky FDE v uzavřeném pevném disku a načíst tato data.
  • Manipulace není problémem pro SED, protože bez dešifrovacího klíče je nelze číst bez ohledu na přístup k interní elektronice[je zapotřebí objasnění ].

Například: Viasat UK (dříve Stonewood Electronics) s jejich FlagStone a Eclypt[3] disky nebo GuardDisk [4] s RFID žeton.

Vyjímatelný pevný disk FDE

Vloženo Pevný disk FDE umožňuje standard tvarový faktor pevný disk do kterého se má vložit. Koncept je vidět na [5]

  • Toto je vylepšení při odstraňování [nezašifrované] pevné disky od a počítač a ukládat je do bezpečný když se nepoužívá.
  • Tento design lze použít k šifrování více pohony pomocí stejného klíč.
  • Obecně nejsou bezpečně uzamčeny[6] takže rozhraní jednotky je otevřené útoku.

Čipová sada FDE

Šifrovací můstek a čipová sada (BC) je umístěn mezi počítačem a standardní jednotkou pevného disku a šifruje každý sektor, který je do něj zapsán.

Intel oznámila vydání čipsetu Danbury[7] ale od té doby opustil tento přístup.[Citace je zapotřebí ]

Vlastnosti

Hardwarové šifrování, pokud je zabudováno do jednotky nebo do skříně jednotky, je pro uživatele zejména transparentní. Jednotka, s výjimkou ověřování při spuštění, funguje stejně jako kterákoli jednotka bez zhoršení výkonu. Na rozdíl od toho nedochází k žádné komplikaci nebo režii výkonu software pro šifrování disku, protože veškeré šifrování je pro uživatele neviditelné operační systém a hostitel procesor počítače.

Dva hlavní případy použití jsou Data at Rest ochrana a mazání kryptografických disků.

U ochrany Data at Rest je počítač nebo notebook jednoduše vypnutý. Disk nyní chrání všechna data na něm. Data jsou v bezpečí, protože všechna data, dokonce i operační systém, jsou nyní šifrována v zabezpečeném režimu AES a zablokováno čtení a psaní. Jednotka vyžaduje k odemčení autentizační kód, který může mít velikost až 32 bajtů (2 ^ 256).

Sanitace disku

Kryptoměna je praxe ‚mazání 'dat (pouze) odstraněním nebo přepsáním šifrovacích klíčů. Když je zadán příkaz k vymazání (nebo vymazání kryptografického disku) (se správnými přihlašovacími údaji), jednotka sama vygeneruje nový šifrovací klíč média a přejde do stavu „nový disk“.[8] Bez starého klíče se stará data stanou nenahraditelnými, a proto účinným prostředkem jejich poskytování dezinfekce disku což může být zdlouhavý (a nákladný) proces. Například nešifrovaný a nezařazený pevný disk počítače, který vyžaduje sanitaci, aby vyhovoval oddělení obrany Standardy musí být přepsány 3+krát;[9] jeden disk SATA3 Enterprise Terabyte Enterprise by dokončení tohoto procesu trval mnoho hodin. Ačkoli použití rychlejší disky SSD Technologie (SSD) tuto situaci vylepšují, podnikové využití je zatím pomalé.[10] Problém se bude zhoršovat, jak se každý rok zvětšují velikosti disků. U šifrovaných disků trvá úplné a bezpečné mazání dat pouze několik milisekund s jednoduchou změnou klíče, takže lze disk bezpečně a rychle vyměnit. Tato dezinfekční aktivita je v SED chráněna vlastním systémem správy klíčů jednotky zabudovaným do firmwaru, aby se zabránilo náhodnému vymazání dat pomocí potvrzovacích hesel a zabezpečených autentizací souvisejících s požadovaným původním klíčem.

Když klíče jsou generovány náhodně, obecně neexistuje žádná metoda pro uložení kopie, která by umožnila obnova dat. V tomto případě je ochrana těchto dat před náhodnou ztrátou nebo krádeží dosažena prostřednictvím konzistentní a komplexní zásady zálohování dat. Druhá metoda je pro uživatelem definované klíče, pro některé uzavřené jednotky pevného disku FDE,[11] generovat externě a poté načíst do FDE.

Ochrana před alternativními způsoby zavádění

Nedávné obvody hardwarových modelů bootování z jiných zařízení a umožnění přístupu pomocí duálního Master Boot Record (MBR) systém, ve kterém je MBR pro operační systém a datové soubory šifrovány společně se speciálním MBR, který je vyžadován pro zavedení operační systém. V SED jsou všechny požadavky na data zachyceny jejich firmware, který neumožňuje dešifrování, pokud nebyl systém spuštěn ze speciálního SED operační systém který pak načte MBR šifrované části jednotky. Funguje to tak, že máte samostatný rozdělit, skrytý z pohledu, který obsahuje proprietární operační systém pro systém správy šifrování. To znamená, že žádné jiné způsoby zavádění neumožní přístup k jednotce.

Zranitelnosti

Typicky FDE po odemčení zůstane odemčeno, pokud je k dispozici napájení.[12] Výzkumní pracovníci v Universität Erlangen-Nürnberg prokázali řadu útoků založených na přesunutí disku na jiný počítač bez přerušení napájení.[12] Dále je možné restartovat počítač do operačního systému řízeného útočníky, aniž by došlo k přerušení napájení jednotky.

Když je vložen počítač se samošifrovací jednotkou režim spánku, jednotka je vypnuta, ale šifrovací heslo je uchováno v paměti, takže lze jednotku rychle obnovit bez požadavku na heslo. Útočník to může využít k získání snadnějšího fyzického přístupu k jednotce, například vložením prodlužovacích kabelů.[12]

Může dojít k ohrožení firmwaru jednotky[13][14] a tak mohou být ohrožena veškerá data, která jsou do ní zasílána. I když jsou data šifrována na fyzickém médiu jednotky, skutečnost, že je firmware řízen škodlivou třetí stranou, znamená, že ji může tato třetí strana dešifrovat. Pokud jsou data šifrována operačním systémem a jsou odesílána v kódované podobě na jednotku, pak by nezáleželo na tom, zda je firmware škodlivý nebo ne.

Kritika

Hardwarová řešení byla také kritizována za špatnou dokumentaci[Citace je zapotřebí ]. Mnoho aspektů toho, jak se šifrování provádí, prodejce nezveřejňuje. To ponechává uživateli malou možnost posoudit bezpečnost produktu a potenciální metody útoku. Zvyšuje také riziko a zámek dodavatele.

Implementace celosystémového hardwarového šifrování celého disku je navíc pro mnoho společností prohibitivní kvůli vysokým nákladům na výměnu stávajícího hardwaru. To ztěžuje migraci na hardwarové šifrovací technologie a obecně by vyžadovalo jasné řešení migrace a centrální správy pro hardware i software šifrování celého disku řešení.[15] uzavřená jednotka pevného disku FDE a vyměnitelná jednotka pevného disku FDE se však často instalují na základě jedné jednotky.

Viz také

Reference

  1. ^ „Stránka Trusted Computing Group Data Protection“. Trustedcomputinggroup.org. Archivovány od originál dne 2012-02-23. Citováno 2013-08-06.
  2. ^ Skamarock, Anne (2020-02-21). „Je skladování komoditou“. ITWorld.com. Síťový svět. Citováno 2020-05-22.
  3. ^ „Softpedia on Eclypt Drive AES-256“. News.softpedia.com. 2008-04-30. Citováno 2013-08-06.
  4. ^ „Hardwarové šifrování disků pro masy, konečně!“. turbotas.co.uk. Turbotas. 2003-05-30. Citováno 2020-05-22.
  5. ^ „Vyměnitelné disky“. www.Cru-inc.com. CRU. Citováno 2020-05-15.
  6. ^ „Snapphire Cipher Snap-In“. Addonics.com. Addonics. Citováno 2020-05-15.
  7. ^ Smith, Tony (21.09.2007). „Platforma Intel vPro nové generace pro hardwarové šifrování“. Registrace. Citováno 2013-08-06.
  8. ^ Trusted Computing Group (2010). „10 důvodů pro nákup samošifrovacích disků“ (PDF). Trusted Computing Group. Citováno 2018-06-06.
  9. ^ http://www-03.ibm.com/systems/resources/IBM_Certified_Secure_Data_Overwrite_Service_SB.pdf
  10. ^ http://www.researchandmarkets.com/reports/683004/ssd_story_slow_on_the_uptake.pdf
  11. ^ „Interní pevný disk šifrovaný jádrem Eclypt“. Viasat.com. Viasat. 2020. Citováno 2020-05-22.
  12. ^ A b C "Hardwarové zabezpečení šifrování celého disku (ne) | IT-Sicherheitsinfrastrukturen (Informatik 1)". .cs.fau.de. Citováno 2013-08-06.
  13. ^ Zetter, Kim (2015-02-22). „Jak hackerství firmwaru NSA funguje a proč je tak znepokojující“. Kabelové.
  14. ^ Pauli, Darren (2015-02-17). „Vaše pevné disky byly po léta RIDDLED s NSA SPYWARE“. Registrace.
  15. ^ „Closing the Legacy Gap“. Secude. 21. února 2008. Archivovány od originál 9. září 2012. Citováno 2008-02-22. Citovat deník vyžaduje | deník = (Pomoc)