Quando un consulente IT dovrebbe utilizzare la crittografia completa del disco?

Naviga le tue risposte
9

In quali circostanze un consulente IT deve crittografare il proprio disco rigido per proteggere il proprio codice / dati dei propri clienti?

Penso che se non si aggiunge molto al carico di lavoro si potrebbe anche utilizzare la crittografia completa del disco con una password "debole" per impedire almeno a qualcuno di accedere ai propri file e-mail e altri documenti se il laptop viene rubato, anche se non avranno accesso a nessun file di database o altri dati molto sensibili.

    
posta John Fischer 29.09.2010 - 07:26
fonte

3 risposte

11

Sono d'accordo sul fatto che la crittografia a disco intero sia buona, specialmente se si hanno dati sensibili sul proprio laptop (probabilmente lo si fa). Quindi, con i nuovi modelli di laptop molto veloci, direi " always ".

Detto questo, ci sono dei caveat:

  • se si dimentica la password, significa che tutti i dati sono finiti (finché non si ricorda di nuovo la password).
  • (corollario: qualsiasi soluzione di crittografia che abbia un'opzione "recupera password" è probabile olio di serpente, non crittografia)
  • password deboli == nessuna protezione (probabilmente i tuoi cow-cow hanno vinto) t tentare di entrare nel tuo computer, ma i dati di un rubato del laptop potrebbero valere qualche soldo, oltre a pass- frasi sono abbastanza forti e facili da ricordare)
  • la crittografia dell'intero disco potrebbe rendere impraticabile la modalità sleep / ibernazione, se non impossibile (controlla il prodotto che intendi utilizzare)
  • alcuni dati potrebbero essere accessibili da posizioni aggiuntive (ad esempio, le tue e-mail potrebbero essere memorizzate su un server, con una copia memorizzata localmente nel tuo computer)
  • la crittografia a disco intero non è una polvere magica per i pixie - non fornisce sicurezza contro altri vettori di attacco, devi comunque indirizzarli separatamente (backup, antivirus, firewall, protezione anti-phishing, social engineering, cryptanalisi del tubo di gomma )

Nota che la crittografia non deve essere vista come un modo per proteggere i dati per sempre da chiunque - il suo obiettivo è solo quello di ritardare un attaccante abbastanza a lungo da rendere l'attacco < em> interessante . Con una crittografia strong, dovrebbero passare anni prima che l'hacker raggiunga i dati con la forza bruta, a quel punto i dati sono così vecchi che è inutile. Sebbene la National Security Agency (o entità similmente potente) possa probabilmente decifrare la crittografia molto più velocemente (dato che può generare enormi quantità di potenza di calcolo), la crittografia full-disk è ancora una buona protezione contro chiunque altro cracking (ad esempio i tuoi concorrenti o un ladro casuale).

Come bonus, la crittografia elimina lo snooping casuale: se dimentichi il tuo laptop (spento) da qualche parte, una persona quasi onesta potrebbe decidere di sfogliare i tuoi file prima di restituirli a te, solo per curiosità. C'è un proverbio che dice "la maggior parte delle serrature sono fatte per mantenere onesta la gente onesta"; le serrature forti lo faranno e manterranno le persone davvero malvagie abbastanza a lungo.

    
risposta data 29.09.2010 - 07:46
fonte
2

1: le password "deboli" non sono un problema reale. La gente non viene in giro per gli uffici e la forza bruta si fa strada nelle macchine. Il vero problema è: 1) ingegneria sociale o 2) registratori di tastiera; entrambi rendono inutile una password "strong". Insegna alle persone meno tecniche del tuo dipartimento IT su queste due cose, su come individuarle e su come gestirle, e non avrai problemi.

2: Se qualcuno ha il disco crittografato nelle loro mani, non importa che sia crittografato. Possono ottenere i dati. È solo una questione di quanto valgono per loro i dati. Se stai proteggendo i codici nucleari o l'algoritmo di ricerca di Google, andrei per le guardie armate e dimenticherò la crittografia delle unità.

    
risposta data 29.09.2010 - 07:56
fonte
0

Francamente, non penso ci sia alcuna scusa per non usando FDE. L'ho usato nel mio computer portatile per anni, praticamente senza problemi.

Uso la crittografia LUKS, che fa parte di Debian (il programma di installazione lo configurerà anche per te).

Per rispondere alle preoccupazioni in altre risposte:

  • se dimentichi la password, questo significa che tutti i tuoi dati sono buoni come sono andati True, ma questo significa solo che devi tenere la tua password scritta in un posto sicuro (o una buona memoria). Dimenticare non è un gran problema, perché devi inserirlo ogni volta che fai il boot.
  • la crittografia dell'intero disco potrebbe rendere impraticabile la modalità di sospensione / ibernazione Nessun problema. Lo stato di sospensione non viene modificato, poiché i contenuti della RAM vengono conservati. La sospensione funziona immediatamente e si iberna in una partizione di swap crittografata.
  • riduce le prestazioni Questo è vero, ma l'impatto è minimo nel normale funzionamento. È visibile solo se la CPU I / O e sono al massimo. L'unica situazione che noto è durante la codifica video, e anche in questo caso l'overhead è solo del 10% circa.
  • qualsiasi crittografia può essere violata Improbabile: se si sceglie una passphrase strong (ad esempio una generata da un programma), non vi è (nel prossimo futuro) modo di forzare la forza.

Secondo me, un laptop con qualsiasi tipo di informazione anche leggermente privata dovrebbe always usare FDE. I computer portatili vengono persi o rubati troppo facilmente.

    
risposta data 14.02.2012 - 16:16
fonte

Leggi altre domande sui tag

Git alternativo a un racket in TFS In che modo le app web creano sottodomini?