È un TPM che avvia un computer crittografato con disco completo per effettuare l'accesso protetto?

2

Attualmente i laptop in uso sono crittografati utilizzando l'autenticazione pre-avvio, quindi l'intero disco è crittografato. Un utente deve inserire una password prima di avviare il sistema operativo.

Un nuovo concetto suggerisce l'utilizzo del notebook TPM per memorizzare la chiave. Mentre il disco stesso è ancora completamente crittografato, il processo di avvio continua fino alla schermata di accesso di Windows senza l'utente che inserisce una password.

Su questi laptop, le unità USB non vengono bloccate prima del login e il BIOS (cerca di) impedisce l'avvio di sè da un'altra unità (che probabilmente può essere bypassata). Secondo me, questo rende la crittografia Full-Disk sicura come la schermata di login di Windows, che è un notevole downgrade.

La domanda è:

Permette al processo di avvio di continuare fino alla schermata di login di Windows senza richiedere all'utente di inserire una password considerata sicura?

Quali vettori di attacco possono essere utilizzati e sono solo problemi accademici o ragionevolmente possibili?

Supponiamo che i laptop siano dispositivi aziendali, contenenti dati potenzialmente sensibili / interni. Ho sostenuto che qualsiasi difetto nella schermata di login di Windows uccide efficacemente la crittografia Full-Disk. Qualsiasi software come KonBoot può essere utilizzato per annullare la crittografia. Un collega ha menzionato che i dipendenti lasciano i loro dispositivi in modalità di sospensione dell'80-90% delle ore di lavoro non in ufficio, quindi non importa, anche quando si utilizza l'autenticazione di preavvio che è attualmente in funzione.

    
posta GxTruth 10.08.2018 - 09:22
fonte

1 risposta

3

In my opinion, this makes the Full-Disk-Encryption as secure as the Windows login screen, which is a considerable downgrade.

Sì. E in un computer portatile, configurato, riparato, adattato al dominio, questo è abbastanza sicuro.

Poiché il disco è crittografato, non è possibile ignorare facilmente i miei file di configurazione di modifica. Non è possibile decrittografare il disco se il TPM rifiuta di annullare l'apertura, cosa che dovrebbe rifiutare se le opzioni di avvio sono cambiate.

Riduce la sicurezza di dover inserire un codice di accesso all'avvio. Aumenterà anche la convenienza e probabilmente ridurrà il numero di chiamate di supporto. Sicuramente ostacolerà i ladri opportunisti, che troveranno o ruberanno un laptop senza scopo, dalla scoperta del contenuto.

Dovrai bilanciare questo con chi e cosa proteggi. Una risposta applicabile al foglio di calcolo del budget di Mamme & Pop Cornerstore LTD potrebbe non essere applicabile ai disegni tecnici di Boeing - per prendere due esempi estremi.

    
risposta data 10.08.2018 - 10:44
fonte

Leggi altre domande sui tag