Русская Википедия:Самошифруемый диск
Самошифруемый диск (Шаблон:Lang-en) — диск, шифрование которого реализовано на методах аппаратного шифрования и полного шифрования диска с условием того, что в контроллер этого диска встроено устройство аппаратного шифрованияШаблон:Sfn. Такие диски продаются различными производителями, например Seagate Technology[1], Western Digital[2], Samsung[3], Hewlett-Packard[4], ViaSat (англ.)[5], Hitachi, ToshibaШаблон:Sfn. Многие из таких производителей используют алгоритм шифрования Advanced Encryption Standard (AES) и спецификации Opal Storage Specification (OPAL) (англ.), предоставляемые Trusted Computing Group (TCG) (англ.).
Характеристики
Согласно патенту #: US20110264925 самошифруемые диски состоят из данных, ключа шифрования (находящегося среди данных), процессора, выполняемых инструкций и интерфейса связиШаблон:Sfn. В самошифруемых дисках ключ шифрования генерируется внутри диска и никогда не попадает в память и центральное процессорное устройство (ЦПУ) компьютераШаблон:Sfn. Самошифруемые диски, использующие алгоритм шифрования AES используют 128 или 256 битные ключи для шифрования данных[6].
TCG утверждают, что сам процесс шифрования постоянен и расшифрование, как и шифрование, незаметно для пользователя и для операционной системыШаблон:Sfn.Однако, для полноценной работы с диском пользователю необходимо пройти предзагрузочную аутентификацию. Процесс аутентификации неотделим от диска. Разные компании используют различные системы аутентификации, например ATA Security или TSG OPALШаблон:Sfn.Согласно TCG, самошифруемые диски использующие их OPAL спецификации поддерживают многопользовательский доступ и многопользовательское администрирование, каждый из которых с собственным паролем и собственными учётными даннымиШаблон:Sfn.
Согласно патенту #: US20120254602 предзагрузка состоит из предзагрузочной операционной системы (ОС), программного обеспечения (ПО) разблокирования, ПО управления самошифруемого диска, графического интерфейса, системы управления доступом и других средств (подробнее по ссылке).
Работа предзагрузки самошифруемого диска определяется следующим порядком:
- При первой загрузке это ПО запрашивает пользователя ввести номинальные учётные данные и генерирует дисковой ключ сессии (Шаблон:Lang-en), которым шифрует эти пользовательские данные.
- Далее это ПО хеширует номинальные пользовательские учётные данные и шифрует им DSK, который после сохраняет.
- При выключении питания шифрование активируется.
- Когда пользователь запускает компьютер, ПО управления самошифруемого диска запрашивает номинальные учётные данные.
- После получения данных это ПО хеширует их и расшифровывает ключ DSK, которым затем расшифровывает ранее записанные номинальные учётные данные.
- ПО Проверяет соответствие ранее записанных и полученных данных.
- В случае несоответствия пользователю предоставляется ещё несколько (заранее определённое количество) шансов ввести правильные номинальные учётные данные.
- В случае правильности введённых данных отправляется сигнал на расшифрование данных на самошифруемом диске.Шаблон:Sfn
Очистка диска
Согласно патенту #: US20120254602 ПО управления самошифруемого диска при получении команды очистки уничтожает ключ шифрования, таким образом данные невозможно расшифровать и они становятся недоступнымиШаблон:Sfn. С другой стороны согласно патенту #: US20110264925 когда пользователь хочет очистить диск, ему предлагается несколько вариантов очистки (например: удаление ключа шифрования (быстрый способ, но менее безопасный) или замена данных другими)Шаблон:Sfn. TCG утверждает что их спецификация при очистке диска стирает имеющийся ключ шифрования и генерирует новый ключ, таким образом информация, которая была ранее записана становится недоступнойШаблон:Sfn. Указанный выше способ шифра-очистки (Шаблон:Lang-en) является эффективным способом для самошифруемых дисковШаблон:Sfn.
Устойчивость к взлому
Многие самошифруемые диски используют общепринятый алгоритм шифрования AES. В нём используются ключи 128 или 256 битные. Данный алгоритм, начиная с 2003 года, АНБ считает достаточно устойчивым для защиты государственной тайны[7]. В случае самошифруемого диска ключ хранится на самом диске в зашифрованном виде, таким образом взломщик не может им завладеть.
Поскольку шифрование происходит на аппаратном уровне, и ключ шифрования никогда не попадает в память и процессор компьютера, то невозможно провести обычные атаки через операционную систему компьютера, память компьютер пользователя, например холодная загрузка и атаку Evil Maid. Более того, после перезагрузки или вхождения в спящий режим диск для продолжения работы вновь запрашивает пароль авторизации.[8]
Уязвимость
Существует несколько уязвимостей у самошифруемых дисков:
- Несмотря на защищённость самошифруемого диска алгоритмом AES, уязвимым местом остаётся авторизация пользователя с помощью пароля.
- Исследователи в университете Эрлангена — Нюрнберга нашли способы возможного взлома самошифруемых дисков. Один из них называется Hot Plug attack. В этом методе атакуемый диск после авторизации должен быть переподключён к компьютеру взломщика без отключения питания диска[9]. Другие же атаки являются адаптированными из уже имеющихся способов для определённых ситуацийШаблон:Sfn.
См. также
Примечания
Литература
- ↑ Шаблон:Cite web
- ↑ Шаблон:Cite web
- ↑ Шаблон:Cite web
- ↑ Шаблон:Cite web
- ↑ Шаблон:Cite web
- ↑ Ошибка цитирования Неверный тег
<ref>
; для сносокSelf-Encrypting Disks pose Self-Decrypting Risks_13
не указан текст - ↑ Шаблон:Cite web
- ↑ Ошибка цитирования Неверный тег
<ref>
; для сносокSelf-Encrypting Disks pose Self-Decrypting Risks_1
не указан текст - ↑ Ошибка цитирования Неверный тег
<ref>
; для сносокSelf-Encrypting Disks pose Self-Decrypting Risks_3
не указан текст