Самошифруемый диск (Vgbkonsjrybdw ;nvt)
Самошифруемый диск (англ. self-encrypting drive — SED) — диск, шифрование которого реализовано на методах аппаратного шифрования и полного шифрования диска с условием того, что в контроллер этого диска встроено устройство аппаратного шифрования[1]. Такие диски продаются различными производителями, например Seagate Technology[2], Western Digital[3], Samsung[4], Hewlett-Packard[5], ViaSat (англ.)[6], Hitachi, Toshiba[7]. Многие из таких производителей используют алгоритм шифрования Advanced Encryption Standard (AES) и спецификации Opal Storage Specification (OPAL) (англ.), предоставляемые Trusted Computing Group (TCG) (англ.).
Характеристики
[править | править код]Согласно патенту #: US20110264925 самошифруемые диски состоят из данных, ключа шифрования (находящегося среди данных), процессора, выполняемых инструкций и интерфейса связи[8]. В самошифруемых дисках ключ шифрования генерируется внутри диска и никогда не попадает в память и центральное процессорное устройство (ЦПУ) компьютера[9]. Самошифруемые диски, использующие алгоритм шифрования AES используют 128 или 256 битные ключи для шифрования данных[9].
TCG утверждают, что сам процесс шифрования постоянен и расшифрование, как и шифрование, незаметно для пользователя и для операционной системы[10].Однако, для полноценной работы с диском пользователю необходимо пройти предзагрузочную аутентификацию. Процесс аутентификации неотделим от диска. Разные компании используют различные системы аутентификации, например ATA Security или TSG OPAL[11].Согласно TCG, самошифруемые диски использующие их OPAL спецификации поддерживают многопользовательский доступ и многопользовательское администрирование, каждый из которых с собственным паролем и собственными учётными данными[12].
Согласно патенту #: US20120254602 предзагрузка состоит из предзагрузочной операционной системы (ОС), программного обеспечения (ПО) разблокирования, ПО управления самошифруемого диска, графического интерфейса, системы управления доступом и других средств (подробнее по ссылке).
Работа предзагрузки самошифруемого диска определяется следующим порядком:
- При первой загрузке это ПО запрашивает пользователя ввести номинальные учётные данные и генерирует дисковой ключ сессии (англ. disk session key — DSK), которым шифрует эти пользовательские данные.
- Далее это ПО хеширует номинальные пользовательские учётные данные и шифрует им DSK, который после сохраняет.
- При выключении питания шифрование активируется.
- Когда пользователь запускает компьютер, ПО управления самошифруемого диска запрашивает номинальные учётные данные.
- После получения данных это ПО хеширует их и расшифровывает ключ DSK, которым затем расшифровывает ранее записанные номинальные учётные данные.
- ПО Проверяет соответствие ранее записанных и полученных данных.
- В случае несоответствия пользователю предоставляется ещё несколько (заранее определённое количество) шансов ввести правильные номинальные учётные данные.
- В случае правильности введённых данных отправляется сигнал на расшифрование данных на самошифруемом диске.[13]
Очистка диска
[править | править код]Согласно патенту #: US20120254602 ПО управления самошифруемого диска при получении команды очистки уничтожает ключ шифрования, таким образом данные невозможно расшифровать и они становятся недоступными[13]. С другой стороны согласно патенту #: US20110264925 когда пользователь хочет очистить диск, ему предлагается несколько вариантов очистки (например: удаление ключа шифрования (быстрый способ, но менее безопасный) или замена данных другими)[8]. TCG утверждает что их спецификация при очистке диска стирает имеющийся ключ шифрования и генерирует новый ключ, таким образом информация, которая была ранее записана становится недоступной[14]. Указанный выше способ шифра-очистки (англ. Crypto-erase) является эффективным способом для самошифруемых дисков[15].
Устойчивость к взлому
[править | править код]Многие самошифруемые диски используют общепринятый алгоритм шифрования AES. В нём используются ключи 128 или 256 битные. Данный алгоритм, начиная с 2003 года, АНБ считает достаточно устойчивым для защиты государственной тайны[16]. В случае самошифруемого диска ключ хранится на самом диске в зашифрованном виде, таким образом взломщик не может им завладеть.
Поскольку шифрование происходит на аппаратном уровне, и ключ шифрования никогда не попадает в память и процессор компьютера, то невозможно провести обычные атаки через операционную систему компьютера, память компьютер пользователя, например холодная загрузка и атаку Evil Maid. Более того, после перезагрузки или вхождения в спящий режим диск для продолжения работы вновь запрашивает пароль авторизации.[1]
Уязвимость
[править | править код]Существует несколько уязвимостей у самошифруемых дисков:
- Несмотря на защищённость самошифруемого диска алгоритмом AES, уязвимым местом остаётся авторизация пользователя с помощью пароля.
- Исследователи в университете Эрлангена — Нюрнберга нашли способы возможного взлома самошифруемых дисков. Один из них называется Hot Plug attack. В этом методе атакуемый диск после авторизации должен быть переподключён к компьютеру взломщика без отключения питания диска[11]. Другие же атаки являются адаптированными из уже имеющихся способов для определённых ситуаций[17].
См. также
[править | править код]Примечания
[править | править код]- ↑ 1 2 Müller, Latzo, and Felix, 2012, p. 1.
- ↑ Seagate Technology LLC. Жёсткие диски Seagate Secure с функцией самошифрования обеспечат защиту ваших данных . Seagate Technology LLC. Дата обращения: 19 декабря 2015. Архивировано 22 марта 2021 года.
- ↑ Western Digital Technologies, Inc. My Passport Ultra Metal . Western Digital Technologies, Inc.. Дата обращения: 19 декабря 2015. Архивировано 3 октября 2016 года.
- ↑ SAMSUNG. Protect Your Privacy (англ.). SAMSUNG. Дата обращения: 19 декабря 2015. Архивировано 21 апреля 2016 года.
- ↑ Hewlett-Packard Development Company, L.P. Self Encrypting Drives (англ.). Hewlett-Packard Development Company, L.P. Дата обращения: 19 декабря 2015. Архивировано из оригинала 4 марта 2016 года.
- ↑ Reactive's Solid State Disk Division. Eclypt Freedom . Reactive's Solid State Disk Division. Дата обращения: 21 декабря 2015. Архивировано из оригинала 4 марта 2016 года.
- ↑ Coughlin, 2011, p. 14.
- ↑ 1 2 Russo, Ali, Rios, 2011.
- ↑ 1 2 Müller, Latzo, and Felix, 2012, p. 1,3.
- ↑ 10 Reasons to Buy Self-Encrypting Drives, 2010, p. 8.
- ↑ 1 2 Müller, Latzo, and Felix, 2012, p. 3.
- ↑ 10 Reasons to Buy Self-Encrypting Drives, 2010, p. 7.
- ↑ 1 2 Bhansali et al., 2012.
- ↑ 10 Reasons to Buy Self-Encrypting Drives, 2010.
- ↑ Coughlin, 2011.
- ↑ National Policy on the Use of the Advanced Encryption Standard (AES) to Protect National Security Systems and National Security Information (англ.). Committee on National Security Systems (июнь 2003). Дата обращения: 18 декабря 2015. Архивировано 19 февраля 2012 года.
- ↑ Müller, Latzo, and Felix, 2012, p. 5—9.
Литература
[править | править код]- Tilo Müller, Tobias Latzo, and Felix C. Freiling. Self-Encrypting Disks pose Self-Decrypting Risks (англ.). Hardware-based Full Disk Encryption (In)Security. Friedrich-Alexander University Erlangen-Nürnberg (2012). Дата обращения: 21 декабря 2015.
- Trusted Computing Group. 10 Reasons to Buy Self-Encrypting Drives (англ.). Trusted Computing Group (2010). Дата обращения: 21 декабря 2015.
- Leonard E. Russo, Valiuddin Ali, Jennifer Rios, Lan Wang. Securing data on a self-encrypting storage device (англ.). United States Patent and Trademark Office (27 октября 2011). Дата обращения: 21 декабря 2015.
- Apurva M. Bhansali, Mehul R. Patel, Kamal M. Dhanani, Rajnish S. Chauhan, David Cheung. Methods, Systems, and Apparatuses for Managing a Hard Drive Security System (англ.). United States Patent and Trademark Office (4 октября 2012). Дата обращения: 21 декабря 2015.
- Thomas Coughlin. Solid Security: The Rise of Self-Encrypting Solid State Drives (англ.). SNIA Solid State Storage Initiative (2011). Дата обращения: 21 декабря 2015.
Для улучшения этой статьи желательно:
|