Öntitkosító lemez

Az öntitkosító meghajtó ( SED ) olyan  meghajtó, amelynek titkosítása hardveres titkosítási és teljes lemeztitkosítási módszerekkel valósul meg, feltéve, hogy ennek a lemeznek a vezérlőjébe hardveres titkosító eszköz van beépítve [1] . Ilyen meghajtókat különféle gyártók forgalmaznak, mint például a Seagate Technology [2] , a Western Digital [3] , a Samsung [4] , a Hewlett-Packard [5] , a ViaSat [ 6] , a Hitachi , a Toshiba [ 7] . Ezen szállítók közül sok az Advanced Encryption Standard (AES) titkosítási algoritmust és a Trusted Computing Group ( TCG ) által biztosított Opal Storage Specification-t (OPAL ) használja .

Jellemzők

Az US20110264925 számú szabadalom szerint az öntitkosító lemezek adatokból, titkosítási kulcsból (az adatok között található), processzorból, végrehajtható utasításokból és kommunikációs interfészből állnak [8] . Az öntitkosító lemezeken a titkosítási kulcs a lemezen belül jön létre, és soha nem lép be a számítógép memóriájába és központi feldolgozó egységébe (CPU) [9] . Az AES titkosítási algoritmust használó öntitkosító meghajtók 128 vagy 256 bites kulcsokat használnak az adatok titkosításához [9] .

A TCG azt állítja, hogy maga a titkosítási folyamat állandó, és a dekódolás, akárcsak a titkosítás, a felhasználó és az operációs rendszer számára észrevehetetlen [10] , azonban a lemezzel való teljes körű működéshez a felhasználónak át kell mennie a rendszerindítás előtti hitelesítésen. A hitelesítési folyamat elválaszthatatlan a lemeztől. A különböző cégek különböző hitelesítési rendszereket használnak, mint például az ATA Security vagy a TSG OPAL [11] A TCG szerint az OPAL specifikációkat használó SED-ek támogatják a többfelhasználós hozzáférést és a többfelhasználós adminisztrációt, mindegyik saját jelszavával és hitelesítő adataival [12]. .

Az US20120254602 számú szabadalom szerint a rendszerindítás előtti operációs rendszerből (OS) , feloldó szoftverből (SW) , SED-kezelő szoftverből, grafikus felhasználói felületből, beléptetőrendszerből és egyéb eszközökből áll (további részletek a linken ).

A SED előtöltésének munkáját a következő sorrend határozza meg:

1. Az első rendszerindításkor ez a szoftver névleges hitelesítési adatokat kér a felhasználótól, és létrehoz egy lemezes  munkamenet kulcsot (DSK ) a felhasználói adatok titkosításához.
2. Ezután ez a szoftver kivonatolja a névleges felhasználói hitelesítő adatokat, és ezzel titkosítja a DSK-t, amelyet aztán elment.
3. Az áramellátás kikapcsolásakor a titkosítás aktiválódik.
4. Amikor a felhasználó elindítja a számítógépet, a SED-kezelő szoftver névleges hitelesítési adatokat kér.
5. Az adatok fogadása után ez a szoftver kivonatolja azokat, és visszafejti a DSK-kulcsot, amely visszafejti a korábban rögzített névleges hitelesítő adatokat.
6. Szoftver Ellenőrzi a korábban rögzített és fogadott adatok konzisztenciáját.
   1. Eltérés esetén a felhasználónak még néhány (előre meghatározott számú) esélye van a megfelelő névleges hitelesítő adatok megadására.
   2. Ha a megadott adatok helyesek, akkor a rendszer jelet küld az öntitkosító lemezen lévő adatok visszafejtésére. [13]

Lemezkarbantartás

Az US20120254602 számú szabadalom szerint a SED kezelő szoftver a törlési parancs vételekor megsemmisíti a titkosítási kulcsot, így az adatok nem dekódolhatók és elérhetetlenné válnak [13] . Másrészt az US20110264925 számú szabadalom szerint , amikor a felhasználó meg akarja tisztítani a lemezt, több lehetőséget kínál a tisztításra (például: a titkosítási kulcs törlése (gyors mód, de kevésbé biztonságos) vagy az adatok másokkal való cseréje) [8] . A TCG azt állítja, hogy a specifikációjuk a lemez törlésekor törli a meglévő titkosítási kulcsot és új kulcsot generál, így a korábban írt információk elérhetetlenné válnak [14] . A fenti kripto-törlés módszer egy  hatékony módszer a lemezek öntitkosítására [15] .

Hack ellenállás

Sok öntitkosító meghajtó az általánosan elfogadott AES titkosítási algoritmust használja. 128 vagy 256 bites kulcsokat használ. Az NSA 2003 óta kellően stabilnak tartja ezt az algoritmust az államtitkok védelméhez [16] . Öntitkosító meghajtó esetén a kulcs magán a meghajtón tárolódik titkosított formában, így a támadó nem tudja megszerezni.

Mivel a titkosítás hardver szinten történik, és a titkosítási kulcs soha nem kerül be a számítógép memóriájába és processzorába, lehetetlen hagyományos támadásokat végrehajtani a számítógép operációs rendszerén, a felhasználó számítógépének memóriáján keresztül, mint például a hidegindítás és az Evil Maid támadás . Ezenkívül az újraindítás vagy alvó módba lépés után a lemez ismét hitelesítési jelszót kér a munka folytatásához. [egy]

Sebezhetőség

A SED-ekben számos sebezhetőség található:

1. Az AES algoritmussal ellátott öntitkosító lemez biztonsága ellenére a felhasználó jelszóval történő engedélyezése továbbra is biztonsági rést jelent.
2. Az Erlangen-Nürnbergi Egyetem kutatói módot találtak az öntitkosító lemezek feltörésére. Az egyik az úgynevezett Hot Plug attack . Ennél a módszernél a megtámadott lemezt az engedélyezés után újra kell csatlakoztatni a támadó számítógépéhez a lemez kikapcsolása nélkül [11] . A többi támadást a meglévő módszerekből adaptálják bizonyos helyzetekre [17] .

Lásd még

• Lemeztitkosítás
• Hardveres titkosítás
• Hardveres teljes lemeztitkosítás

Jegyzetek

1. ↑ 1 2 Müller, Latzo és Felix, 2012 , p. egy.
2. ↑ Seagate Technology LLC. A Seagate biztonságos öntitkosító merevlemezei biztonságban tartják adatait . Seagate Technology LLC. Letöltve: 2015. december 19. Az eredetiből archiválva : 2021. március 22. (Orosz)
3. ↑ Western Digital Technologies, Inc. My Passport Ultra Metal . Western Digital Technologies, Inc. Letöltve: 2015. december 19. Az eredetiből archiválva : 2016. október 3.. (Orosz)
4. ↑ Samsung. Védje  személyes adatait . SAMSUNG. Letöltve: 2015. december 19. Az eredetiből archiválva : 2016. április 21..
5. ↑ Hewlett-Packard Development Company, LP Self Encrypting Drives  (angol)  (a hivatkozás nem elérhető) . Hewlett-Packard Development Company, LP Letöltve: 2015. december 19. Az eredetiből archiválva : 2016. március 4..
6. ↑ Reactive Solid State Disk Division. Eclypt Freedom (nem elérhető link) . A Reactive Solid State Disk Division. Hozzáférés dátuma: 2015. december 21. Az eredetiből archiválva : 2016. március 4. (határozatlan) 
7. ↑ Coughlin, 2011 , p. tizennégy.
8. ↑ 1 2 Russo, Ali, Rios, 2011 .
9. ↑ 1 2 Müller, Latzo és Felix, 2012 , p. 1.3.
10. ↑ 10 érv az öntitkosító meghajtók vásárlására, 2010 , p. nyolc.
11. ↑ 1 2 Müller, Latzo és Felix, 2012 , p. 3.
12. ↑ 10 érv az öntitkosító meghajtók vásárlására, 2010 , p. 7.
13. ↑ 12 Bhansali et al., 2012 .
14. ↑ 10 érv az öntitkosító meghajtók vásárlására, 2010 .
15. ↑ Coughlin, 2011 .
16. ↑ Nemzeti politika a fejlett titkosítási szabvány (AES) használatáról a nemzetbiztonsági rendszerek és a nemzetbiztonsági információk védelmére  . Nemzetbiztonsági Rendszerek Bizottsága (2003. június). Hozzáférés dátuma: 2015. december 18. Az eredetiből archiválva : 2012. február 19.
17. ↑ Müller, Latzo és Felix, 2012 , p. 5-9.

Irodalom

• Tilo Müller, Tobias Latzo és Felix C. Freiling. Az öntitkosító lemezek öndekódolási  kockázatot jelentenek . Hardver alapú teljes lemeztitkosítás (beépített) biztonság . Friedrich-Alexander Egyetem Erlangen-Nürnberg (2012). Letöltve: 2015. december 21.
• Megbízható számítástechnikai csoport. 10 ok, amiért érdemes öntitkosító  meghajtókat vásárolni . Trusted Computing Group (2010). Letöltve: 2015. december 21.
• Leonard E. Russo, Valiuddin Ali, Jennifer Rios, Lan Wang. Adatok védelme öntitkosító tárolóeszközön  . Az Egyesült Államok Szabadalmi és Védjegyhivatala (2011. október 27.). Letöltve: 2015. december 21.
• Apurva M. Bhansali, Mehul R. Patel, Kamal M. Dhanani, Rajnish S. Chauhan, David Cheung. Módszerek, rendszerek és berendezések a merevlemez-meghajtó biztonsági  rendszerének kezelésére . Amerikai Egyesült Államok Szabadalmi és Védjegyhivatala (2012-10-4). Letöltve: 2015. december 21.
• Thomas Coughlin. Szilárd biztonság: Az öntitkosító szilárdtestalapú meghajtók térnyerése  . SNIA Solid State Storage Initiative (2011). Letöltve: 2015. december 21.