Quanto è sicura la password del disco fisso BIOS / UEFI? [duplicare]

4

Sto acquistando alcune nuove macchine e sono preoccupato per la sicurezza dei dati nel caso in cui la macchina venga fisicamente rubata. È facile estrarre l'unità, visualizzarla e leggere ciò che desideri.

Potrei usare la crittografia a livello di file, ma questo è insufficiente: le persone finiranno per non crittografare ogni file e, inoltre, c'è troppa memoria nello scambio, nel file di paging, nei registri, nel registro, nella cache, ecc.

Potrei usare BitLocker, o altra crittografia del disco completo del sistema operativo, ma ho diversi problemi con questo, che non passerò ora. In breve, voglio qualcosa a livello hardware, non software.

Ora, le unità Self Encrypting Drives (SED) sembrano esattamente ciò che voglio, ma sono costose, soprattutto per le dimensioni molto grandi (di cui ho bisogno) - Non riesco nemmeno a trovare un SSD SED da 1 TB. Vedo che molte macchine hanno una "password del disco rigido" BIOS / UEFI, ma non riesco a trovarne molte. È solo una password BIOS con un nome diverso? C'è crittografia dietro di esso? È un controllo a livello di controller? L'interfaccia del disco? Prenderà l'unità e l'immaginerà bypassarla?

Se la rottura del blocco richiede la sostituzione dell'elettronica dell'unità (ovvero è un blocco nell'hardware dell'unità, ma non crittografata), è sufficiente. Se è solo una password del BIOS che può essere sconfitta con un cacciavite e un ponte SATA, questa è una storia diversa.

Quanto sono sicure le password del disco rigido BIOS / UEFI? Come funzionano? Che tipo di attacchi sono noti contro di loro?

    
posta SRobert James 18.03.2016 - 18:58
fonte

2 risposte

1

Tale password è applicata dall'unità di archiviazione stessa, quindi non può essere sostituita dal firmware di sistema; ciò non significa che dovrebbe essere considerato affidabile.

Il modo in cui l'unità applica tale password varia e non esiste uno standard chiaro (e se esiste, non ci sarebbe un modo semplice per verificare se l'unità è effettivamente conforme); quindi è molto probabile che sia solo una password imposta dal firmware dell'unità (senza crittografia, quindi la sostituzione del firmware è sufficiente per divulgare i dati) o una crittografia crittografata con sicurezza che potrebbe rompersi nel giro di pochi giorni .

In breve, considera quelle unità con crittografia automatica come se non fosse implicata la crittografia. Puoi usarli sopra i dati già crittografati con qualcosa di strong (LUKS, TrueCrypt / VeraCrypt o BitLocker se non ti dispiace Microsoft e NSA sbirciare), ma non usarli come unica protezione.

    
risposta data 18.03.2016 - 20:20
fonte
0

Una password del disco rigido ATA non è altro che un interruttore di accesso on-off. Un'unità che lo implementa non crittografa i dati, è solo che l'elettronica dell'azionamento non trasmetterà i dati finché non viene immessa la password corretta. Ci sono aziende che promettono di ripristinare questa impostazione a un prezzo modesto (presumo che sostituiscano la scheda elettronica dell'unità). Presumibilmente esiste un software in grado di reimpostare queste password, ma non ne ho mai visto uno usato e non sono nemmeno tentato per scaricarne uno da quei siti abbozzati.

La crittografia completa del disco (SED) è una vera e propria crittografia AES che utilizza il chip TPM (Trusted Platform Module) sulla scheda madre per sbloccare la chiave; prima che i chip TPM diventassero comuni, le unità utilizzavano l'autenticazione pre-avvio (PBA) per sbloccare le loro chiavi. Ma se il ladro ruba l'intero computer, hanno anche il chip TPM. Possono quindi avviare il sistema mentre l'unità è connessa alla macchina rubata, attendere che essa riceva la chiave, lasciare l'unità accesa (in modo da conservare la chiave), passare il cavo dati SATA alla macchina di loro scelta, quindi prendere un'immagine non crittografata del tuo disco. Questo documento, " I dischi con crittografia automatica pongono rischi autodecriptanti " ha dettagli su diversi attacchi alle unità SED, inclusi i trasferimenti DMA tramite PCI, Firewire o Thunderbolt; e cattivi attacchi MBR da cameriera.

Un altro problema noto è che il firmware sul disco può essere manomesso (le perdite di Snowden hanno rivelato che l'NSA ha la capacità chiamata IRATEMONK ) che rende inefficace l'intero concetto SED.

Indipendentemente dal fatto che tu voglia investire in SED dipende dal tuo modello di minaccia percepito. I tuoi attaccanti sono sufficientemente motivati? I tuoi dati di alto valore sono di terze parti? O hai paura del ladro opportunista medio nel coffee shop, che sta semplicemente vendendo il tuo laptop su Craigslist?

    
risposta data 18.03.2016 - 22:13
fonte

Leggi altre domande sui tag