Quanto è sicuro l'hardware Full disk encryption (FDE) per SSD

13

Esiste qualche ricerca su quanto sia sicura la crittografia hardware degli SSD, ad esempio Samsung EVO 850? O almeno qualche articolo che spiega come funziona?

    
posta kat 22.08.2016 - 18:34
fonte

2 risposte

11

TL; DR: non utilizzare la crittografia hardware su alcun supporto di memorizzazione, sia che si tratti di una pen drive, di un HDD o di un SSD! Questa è davvero una pessima idea!

I produttori di hardware sono noti per aver incluso backdoor o semplicemente essere molto, molto stupidi riguardo alla crittografia dei dati. Questo si spinge fino a loro semplicemente usando la stessa chiave per tutti i loro dispositivi o lasciando che le chiavi di crittografia giaccino in modo non criptato e sperando che nessuno cambierà il firmware in un modo che permetta a qualcuno di accedervi senza conoscere la password. Ho sentito e letto molto e non posso mostrarti le mie reali fonti ma ecco un articolo che conferma ciò che ho appena rivendicato .

Anche i produttori di hardware sono stati costretti ad abbassare il livello di crittografia. Allo stesso modo, lo so come sopra e questo articolo lo conferma.

Immagina solo cosa succede quando usi la crittografia hardware. Compra quel dispositivo magico da qualcuno che afferma che solo le persone che conoscono la password possono accedere ai dati memorizzati su questo. Quella persona non ti mostra come funziona. Potrebbero anche mentirti (vedi articolo collegato nel paragrafo precedente) con te che hanno poche possibilità di scoprirlo. Non hai modo di verificare o smentire tali affermazioni.

Naturalmente, non fidarti nemmeno della crittografia del software da parte dei produttori di hardware. Ho comprato una chiavetta USB circa 5 anni fa da SanDisk (ce l'ho ancora e l'ho usata l'ultima ora fa) che è venuto con un "software di crittografia". Non ho mai usato quel software di crittografia, non solo perché è contro tutti gli standard che si dovrebbero sostenere sulla crittografia (si veda l'ultimo paragrafo), ma anche perché dopo pochissime ricerche ho scoperto che quel software (che funzionava solo per MS Windows è anch'esso un'ottima ragione) non usarlo mai) scrive 1 o 2 caratteri (ho dimenticato se era 1 o 2 ma non importa) in un file che ha creato nella cartella utente di Windows se è stata inserita la password corretta. Quei 1 o 2 caratteri mostravano l'applicazione che l'utente aveva il permesso di accedere ai file. Se hai semplicemente scritto il contenuto corretto sul file (che è lo stesso per tutti quelli che utilizzano quel software), puoi accedere ai dati memorizzati sulla pen drive senza conoscere la password. Quindi non usare neanche quello.

La crittografia del software è molto meglio perché tu come utente controlli quale software viene utilizzato. Puoi dare un'occhiata a, pagare qualcuno per dargli un'occhiata, se è comunemente usato (e dovrebbe essere!), Altri lo guarderanno comunque, e se è apertamente sviluppato, ci sono persone che discutono pubblicamente su come dovrebbe essere il più sicuro possibile e quelle persone non si fidano l'una dell'altra.

Inoltre, è più semplice passare il software utilizzato per la crittografia. Se si utilizza la crittografia hardware, una volta che si dispone dell'hardware, si utilizza la crittografia specifica fornita dall'hardware. Sarai riluttante a spendere un sacco di soldi per acquistare nuovo hardware e gettare via il vecchio hardware, anche se viene rivelato che ci sono problemi di sicurezza perché "Non è che cattivo". e "Nessuno mi attaccherà, comunque." mentre avresti gettato fuori un software con difetti simili e lo avresti scambiato con uno diverso in un giorno.

Utilizza solo il software di crittografia se è gratuito e ampiamente accettato per essere sicuro. Che sia gratuito richiede che tu possa ottenere il suo codice sorgente se non lo sai. (Non che essere open source sia necessario, non sufficiente.) Se ti viene negato l'accesso al codice sorgente, non fidarti mai dell'applicazione! Questo ovviamente include non fidarsi della protezione dei dati dall'accesso non autorizzato. Se non è ampiamente accettato di essere sicuro, è molto probabile che le persone che lo hanno creato abbiano commesso degli errori (si possono fare molti errori di crittografia e devono fare un ottimo lavoro per rendere sicura la crittografia) o addirittura ha reso pericolosamente insicuro che può includere non crittografare nulla.

    
risposta data 09.09.2016 - 22:00
fonte
-2

La crittografia simmetrica che è AES-128 o 256 è sicura.

Tuttavia ha i propri trade-off.

Essendo integrato nel disco rigido, la chiave segreta è archiviata sull'unità e protetta da chiave. Ora il fatto è che in ogni drive c'è un modo per bypassarlo in qualche modo e recuperare la chiave. È abbastanza improbabile che il fornitore di hardware abbia messo abbastanza protezione in questo anche se è tecnicamente possibile.

Quindi, con la maggior parte degli SSD e AES, le società forensi potrebbero essere in grado di decrittografarlo senza conoscere la password o craccarla del tutto.

D'altra parte, la crittografia del software richiede l'inserimento della password per sbloccare la chiave e quindi la chiave viene memorizzata nella RAM.

Poiché è impossibile decrittografare l'unità, è possibile decifrare dal laptop in sospeso con un attacco di avvio a freddo.

Non penso che ci sia un modo affidabile per farlo. Penso che un'opzione potrebbe essere memorizzare la chiave nel TPM e quindi trasferirla utilizzando il kernel fidato sul firmware dell'harddrive. Un altro modo sarebbe quello di utilizzare una password casuale di 20 o 40 caratteri che è una chiave e una volta inserita è trasferita nel firmware del disco rigido.

In ogni caso, con la crittografia del software come LUKS hai molte più possibilità di non ricevere decodificati durante il furto. Anche il modo in cui viene utilizzato AES potrebbe essere migliore.

    
risposta data 23.08.2016 - 15:23
fonte

Leggi altre domande sui tag