フルディスク暗号化と多要素認証
私が調べたすべての深刻なフルディスク暗号化スキームは、認証に静的パスワードを使用しています。たとえば、TrueCryptはキーファイルを使用した2要素認証をサポートしますが、 システムパーティションではありません です。 TrueCryptフルディスクモードで 静的モードのYubikeyを2番目の要素として使用する が可能です。ただし、どちらの場合も、2番目の要素は、ユーザーが記憶しないことを選択した静的パスワードの一部にすぎません。
明らかにフルディスク暗号化では、OSの起動前にユーザーを認証する必要があるため、リモートホストを含むインタラクティブなチャレンジ/レスポンスプロトコルは機能しません。しかし、安全な起動前のワンタイムパスワードメカニズムを実装するための克服できない障害はありません。
フルディスクスキームでは、強力な多要素認証のサポートが一般的ではないのはなぜですか?実行可能な実装はありますか?静的パスワードは、起動前のコンテキストでそれらを破ることができる攻撃者が、認証の後に暗号化キー(認証キーではなく)を回復することができるので、十分な数の要因に関係なく、十分に良いと考えられていますか?
問題は、ほとんどの多要素認証方式がまさにその認証であることです。多くの場合、トークンまたはユーザーが提示する情報の有効性を検証するためにいくつかのコードが必要です。
ただし、ディスク暗号化では、パスワードが実際の暗号化キーになります。ゲートキーパーは関与していません。キーによってデータの暗号化が解除されるか、されません。
私はYubikeyの静的パスワード機能を使用して、32文字のパスワードを作成できます。これはいいことですが、あなたが言っているように、本当の「あなたが持っているもの」は実際にはありません。物理的なトークンが存在せずに傍受されて入りました。
おそらく、実際の認証(PINの入力を要求するなど)を行うHSMを使用して真の2要素認証を行う方法を見つけるか、2要素認証を提供するデバイスにキーファイルを保存することができます。ただし、最終的には、より長いパスワードまたは静的キーファイルを提供するだけです。
Microsoft BitLockerはTPM + PIN unlockをサポートしています。これにより、ハードウェアに保存されている復号化キー(ユーザーが持っているもの)とパスワードの組み合わせ/ PIN起動時に入力されます(あなたが知っている何か)は、ブートボリュームを復号化するために一緒に使用されます。
したがって、TPMを含むハードウェアと、BitLockerをサポートするWindowsのエディションがあれば、答えは「はい」です。
BitLockerには多要素ではない回復キー機能がありますが、適切なキー管理(ローテーション-たとえば、Microsoft BitLockerの管理と監視-MBAMによる)は、この点を効果的に解決できます。
私はここであなたの前提に同意しません:2つの要素は静的応答かチャレンジ応答かにかかわらず2つの要素であり、2つの間に基本的なセキュリティの違いはなく、どちらかが特定のより良い選択となる実際的な違いだけであると私は主張します実装。
たとえば、ローカルコンピューター自体ではなく、コンピューターを介してリモートサーバーに対して認証している場合、ローカルコンピューターでの操作が少ないため、チャレンジレスポンスのセキュリティが少し高くなる可能性があります(これは、サーバー)。しかし、これは実際的な実装の問題であり、基本的なものではありません。
FDE製品でほとんど静的であると考える理由は、ビジネス上の決定だと思います。複数のタイプのチャレンジ/レスポンスをサポートするシステムよりも、複数のタイプの静的トークンをサポートするシステムを開発する方が簡単です。通常、2要素はFDEベンダーによってオプションのエクストラとして配置されているため、複数のブランドのトークンをサポートします。販売に適しています