Esistono difetti noti nella crittografia completa del disco sulle unità SSD della serie 520 Intel?
In particolare, sembra che queste unità generino automaticamente una chiave AES interna, anche quando non è impostata alcuna password. Ma la password ATA (conosciuta anche come "BIOS HDD password") è davvero utilizzata per crittografare la chiave AES interna, o la chiave interna è memorizzata in testo semplice?
Cercherò di rispondere alla tua domanda nel modo più specifico possibile.
Ho contattato il supporto tecnico Intel per porre loro esattamente questa domanda: il tasto AES su Intel 520 è crittografato con la password ATA. Dopo settimane di andata e ritorno, ho finalmente ricevuto una conferma esplicita da parte loro. Cito:
Yes, ATA password is used to encrypt the encryption keys stores on the SSD. In other words: The Encryption Keys depends on the ATA password to decrypt them. The ATA password is not used in combination with the Encryption Keys to encrypt the data.
Ho anche trovato questo white paper Intel link che afferma quanto segue:
How Self-encrypting drives (SEDs) Work: SEDs, such as the Intel® SSD 320 Series and Intel® SSD 520 Series, have a drive ... Because the disk encryption key is encrypted with the ATA (Advanced Technology Attachment) passwords
Ho riassunto la maggior parte delle mie scoperte su SSD SED in questo post del blog: link
Ho letto due domande:
Per rispondere alla prima domanda su "quanto è sicuro" è ... Come per qualsiasi sicurezza, la risposta è sempre relativa. La crittografia basata su settore (hardware) su disco è di ordine di grandezza più sicura rispetto alla sicurezza dei dati basata su software. Perché? L'accesso.
Ho lavorato per diversi anni in un'azienda di software per la sicurezza dei dati che possedeva alcuni dei migliori hacker di root-kit e Windows NTFS al mondo. Dopo molti tentativi, hanno stabilito e ammesso che la crittografia basata su hardware / disco / settore era molto più sicura (e meno complicata) del software. Il software può essere aggirato e ingannato, specialmente quello più in basso nello stack (fino al BIOS). La crittografia basata su hardware di Intel e altri è basata sui dispositivi e come tale non sono nemmeno a conoscenza di un hack del BIOS che può esserci sotto.
Le organizzazioni militari e segrete dei dati richiedono regolarmente la crittografia basata su disco per porre rimedio al problema del "laptop rubato". A parte rimuovendo le unità disco e mettendole in una cassastrong a prova di incendio (che alcune organizzazioni effettivamente fanno), la crittografia basata su dispositivo di Intel e altri è probabilmente il modo migliore per salvaguardare [completamente] i dati.
Non ho letto alcun difetto nella progettazione di tali implementazioni e ho il sospetto che se fossero stati trovati in natura sarebbe un grosso titolo. Il NIST e altri gruppi sostengono e incoraggiano l'uso di questa tecnologia per proteggere i dati a riposo.
La maggior parte dei dispositivi che utilizzano la crittografia AES a 256 bit o superiore è considerata "sicura" perché la lunghezza del bit è abbastanza lunga da mantenere il computer moderno occupato per anni con la decodifica della forza bruta. Il problema è l'idea sbagliata che una volta un HD o SSD è crittografato; l'unico modo per acquisire l'accesso ai dati è attraverso attacchi a forza bruta. Le risposte finora a questa domanda hanno preso esclusivamente in considerazione il lato vulnerabilità software / firmware della crittografia.
In effetti è importante capire la correlazione tra FDE, il BIOS e le password ATA, ma è più importante capire che i lucchetti tengono solo le persone oneste. Un truffatore o le forze dell'ordine che vogliono accedere ai tuoi dati non impiegheranno tempo a cercare di indovinare o forzare la tua password. Il fatto è che un semplice key logger off-the-shelf (nel senso che installa tra la tastiera e il computer) inizierà immediatamente a registrare le chiavi quando viene applicata la seconda potenza, irrilevante dell'esecuzione del bios. Una semplice configurazione di prova composta da un key logger, una tastiera e un alimentatore esterno dimostrerà al registratore di catturare i tratti chiave anche senza essere collegato a un computer.
Ci sono dozzine di tecniche usate per rubare la tua password. Keylogger, telecamere nascoste focalizzate sulla tastiera, phishing, intercettazioni, rottura del braccio, ingegneria sociale, rovistando tra i rifiuti. Non dimenticare di un mandato di comparizione al tuo ISP, provider di posta elettronica, banca, eBay, Paypal, società di carte di credito, ecc. Che richiede la tua password in archivio. Sappi anche che fino ad oggi è possibile rilevare tutta la crittografia su tutti gli HD e SSD anche TrueCrypt. Ciò significa che una volta stabilito che l'unità è crittografata; puoi essere costretto in tribunale o tramite la scoperta a fornire la tua password. Naturalmente hai sempre la possibilità di esercitare il tuo quinto emendamento diritto che può o non può proteggerti dall'autoincriminazione.
La domanda "Quanto è sicura la crittografia SSD Intel" non può essere risolta considerando solo la crittografia hardware AES. La sicurezza dei dati è molto più della crittografia e non dovresti mai memorizzare nulla su un'unità che potrebbe incriminarti, anche temporaneamente perché esistono strumenti in grado di recuperare cose che elimini. Mantenendo il proprio codice crittografato, conservandolo in un luogo sicuro, avendo una password unica che non usi altrove, non condividendo la tua password con nessuno, consapevolezza dell'ingegneria sociale, revisione visiva del tuo ambiente di lavoro, un occhio vigile sull'ambiente circostante per un truffatore, un delinquente o un investigatore e un'ispezione di routine del tuo hardware per i logger, aumenterà notevolmente la sicurezza dei tuoi dati.
Leggi altre domande sui tag storage encryption aes