災害復旧におけるFDEの復号化
SEで、職場の倫理に関するホットなネットワークの質問を見ました- 仕事を辞めた後、職場の上司に古い上司にパスワードを教えますか? 私の最初の応答(その質問の回答も同様)は常に[〜#〜] no [〜#〜]です。その理由が強調されており、皆さんも私に同意していると思います。
私の質問は答えの1つですが、フルディスク暗号化について話しています。 TrueCrypt、あるいはBitLockerのようなアイテムの場合。ディスクを暗号化し、パスフレーズを使用してロックを解除します。また、Dell(および他の企業も、きっと)は、BIOSを超えて起動する前に、もう一度パスワードを使用してハードドライブを暗号化できることも知っています。
これらの方法では、明らかにActive DirectoryまたはSambaサーバーでパスワードをリセットするだけではシステムにアクセスできません。 しかし、フルディスク暗号化を許可し、従業員が退職した場合にデータを回復またはアクセスできる(つまり バスでヒットする 、解雇、終了)?それとも他の考慮事項はありますか?
ただし、以前の雇用主の1人がDellハードディスク暗号化パスワードを使用していましたが、これは当社のパスワードに設定されており、いつでも自由に変更できました。従業員が引き継いだ後、現在のすべてのラップトップはパスワードを[〜#〜] one [〜#〜]に変更する必要がありましたが、私はこれを行いません信じる必要があります。でも私が間違っていたら訂正してください。
リカバリの通常の方法は、キーエスクローを使用することです。基本的に、フルディスク暗号化は対称鍵[〜#〜] k [〜#〜]を使用します。ユーザーのパスワードpから別のキーKが導出されますp、これは暗号化に使用されます[〜#〜] k [〜#〜]:ディスクには両方が含まれますデータ([〜#〜] k [〜#〜]で暗号化)およびEKp(K)。ユーザーが自分のパスワードを入力すると、Kpが再構築され、復元に使用されます[〜#〜] k [〜#〜]。 (この間接化により、ディスク全体を再暗号化せずにパスワードを変更できるなど、いくつかの興味深いことが可能になります。)
フルディスク暗号化ソリューションはまた格納EKa(K)、ここでKaは、管理者または「回復エージェント」の暗号化キーです。今回は非対称暗号化がよく使われます(Kaは公開されていますが、対応する復号化キーは回復エージェントだけが知っています)。パスワードが利用できなくなった場合(ユーザーがパスワードを忘れた、ユーザーが解雇された、ユーザーが死亡した、ユーザーがメキシコ国境で371ポンドのマリファナで逮捕されており、数年間利用できなくなる; ...)場合、回復エージェントは自分の秘密鍵を使用して[〜#〜] k [〜#〜]を回復し、データをロック解除できます。
キー[〜#〜] k [〜#〜]は、しばしば「マスターキー」と呼ばれます。 「回復エージェント」は、[〜#〜] k [〜#〜]のコピーが保存されている外部デバイスにすることができます(TrueCryptは、 レスキューディスク )。一部のシステムでは、Kを使用した非対称暗号化aはスキップされ、マスターキーのコピー[〜#〜] k [〜#〜]が直接送信されます回復エージェント(詳細はソフトウェアソリューションと構成オプションによって異なります)。
いずれにせよ、フルディスク暗号化が少なくともいくつかの正式に文書化された回復オプションを提供しない場合は、それを使用しないでください。