web-dev-qa-db-ja.com

BIOSハードドライブのパスワードセキュリティ?

Dell Latitude E6400を使用していますが、BIOS HDDパスワードの設定がどの程度安全か知りたいのですが?これはドライブのコンテンツに何らかの暗号化を適用しますか、それともドライブへのアクセスを単純にロックするだけですか?つまりノートブックを紛失したり盗まれたりした場合、ノートブックのデータは、多少の知識がある人がアクセスできますか?

hard-drivepasswordsbios
12
user10762

BIOSパスワードは単純なロックです。パスワードを指定しない場合、BIOSは単に停止し、起動プロセスを続行しません。

この単純なロックを回避するには2つの方法があります。

  1. BIOS/CMOSメモリをクリアします(通常、マザーボードへの直接アクセスが必要です)。

  2. ドライブを取り外し、別のコンピューターに接続します(簡単に)。

更新:Blackbeagleの回答にあるように、ATA仕様の一部として定義されたHDDパスワードがあります。これも単純なロックですが、ドライブに実装されているため、上記のいずれの手順でもバイパスされません。ある程度の技術知識(および場合によっては追加のハードウェア)が必要です。興味があるかもしれません HDDパスワードに関するこの入門記事

BIOSロックは、映画のプロットシナリオの多くでまともな抑止力になります。技術知識が限られた人物、または攻撃者がコンピューターにアクセスできるが、それを解体するのに十分な時間や自由がない状況。同僚や家族がアクセスできないようにするだけの場合、これは機能します。ただし、これは、断固とした攻撃者や無制限の物理的アクセス権を持つユーザーにとって重要な抑止力ではありません。

ATAレベルのロックの方が抑止力は優れていますが、完全ではありません。繰り返しになりますが、十分な時間を与えられた攻撃者がデータを取得します。

フルディスク暗号化が利用可能で、より優れた保護を提供します。 自己暗号化ドライブ ハードウェアでこれを行うものが存在し、ソフトウェアオプションはたくさんあります。データの暗号化は、攻撃者がデータを取得することをはるかに困難にしますが、暗号化を回避する方法は常にあります。 (特に、 Lead-Pipe Cryptanalysis に注意してください。)

11
quack quixote

当然のことながら、BIOSパスワードとHDDパスワードの間には誤解があります。パスワードと暗号化の間のもう1つ。 HDDセキュリティとモボのセキュリティチップの間にもう1つ。

  1. BIOSパスワードは起動プロセスのみを保護します。電源投入シーケンス中にBIOSにパスワードが提供されない場合、電源投入シーケンスは停止します。 BIOS pwdはmoboに保存されます。この段階では、ディスクにはアクセスされていません。 HDDパスワード(実際の名前はATA Security)はドライブからのみ提供され、BIOSからは提供されません。 HDDのパスワードはドライブにのみ保存されます。ただし、BIOSはユーザーにpwdを要求し、それをドライブに渡す必要があります(BIOSでもチェックされません)。 HDDは、ドライブのロックを解除するかどうかを決定します。そうでない場合、データの読み取りまたは書き込みはできません。

  2. HDDパスワードはディスク暗号化とは関係ありません。 ATAセキュリティ機能は、単なるロック/ロック解除メカニズムです。データはシステムによって暗号化されている場合とされていない場合があります。これは、HDD搭載のHDDコントローラーに対して透過的です。一部のHitachi Travelstarディスクは常に暗号化されていますが、保護されていません(暗号化キーはドライブの外では解放されず、ドライブのみがそれを認識します)。目標は、データをスクランブルし、HDDチップのみで読み取らせることですが、すべての人に提供されます。保護は、ATAセキュリティによってのみ利用できます。

  3. 一般に、パスワードと資格情報は、単純なストレージ(ベアEEPROM)またはスマートストレージに格納できます。ベアEEPROMは読み書き可能です。スマートストレージは、有名な "TPM"(Trusted Computing Group標準に準拠)のようなマイクロコントローラーチップ(MMCカードと同様)によって提供されます。TPMはパスワードまたは暗号キーを安全に保存できます。は、使用する前にコンピュータモボに関連付けられているため、コンピュータ間でTPMを交換することはできません。それらを読み取ることはできません。クリアできるのは、クリアすることだけです。確認するパスワードを指定すると、チップは「はい」または「いいえ」と言いますいいえ、ただしどのpwdが「はい」になるかはわかりません。TPMは新しいEFI BIOSによって使用され、起動プロセスが安全であることを確認します。起動ソフトウェアとハ​​ードウェアの署名はTPMに保存されます。起動時にこれらが異なる場合、ユーザーは知らされ、彼/彼女が危険を続けたいことを確認する必要があります。

8
bitlocked

BIOSブートパスワードの場合、正解です。バイパスするのは比較的簡単です。通常、CMOSダウンします。

ハードドライブのパスワードロックの場合-通常、回路基板に小さな暗号チップが付いていると思います。それらを有効にすると、ATA仕様がBIOSに信号を送り返し、制御がチップに渡されます。次に、パスワードを要求します。最初に設定すると、パスワードを取得して暗号化し、ドライブプラッターに保存します。その後、ドライブが起動すると、暗号チップが制御を引き継ぎ、パスワードを照会し、保存されているコピーと照合します。それらが一致する場合、暗号チップはそれ以上の起動を許可します。

ドライブ暗号化解除プログラムがあります。料金はわかりませんが、見たことがあります。ドライブに直接接続し、この種の保護を解読できます。回路基板を交換することは可能かもしれませんが、ドライブの製造元がプラッターと一緒にケーシング内の暗号化チップを移動するのに十分賢い場合、それはうまくいきません。

3
Blackbeagle

HDDパスワードが安全ではないようです。 BIOS設定の[セキュリティ]> [パスワードバイパス]> [再起動バイパス]を変更し、BIOSを終了して起動し、パスワードクエリがある場合はCtrl-Alt-Delを押して再起動すると、パスワードの入力を求められず、ドライブを読み取ることができます。

0
jarno