Samsung SSD 850 EVO。泥棒から個人データを保護する最良の方法
LinuxのSamsung SSD 850 EVOに保存されている個人データを保護する最良の方法は何ですか?
私はいくつかの調査を行い、これを発見しました。
ATAパスワードを設定するには、BIOSにアクセスし、[セキュリティ]メニューに移動して、[起動時のパスワード]を有効にし、[HDDパスワード]を設定します。管理者は、「マスターパスワード」を設定するオプションもあります。これにより、失われたユーザーパスワード(「HDDパスワード」)を回復できます。 「マスターパスワード」は、ドライブのロック解除や消去(設定によって異なります)、データの効果的な破壊、保護に使用できますが、ドライブを再利用できます。
私はあなたのラップトップを盗みます。ハードドライブにパスワードが設定されています。よく見ると、この種類のハードドライブのパスワード暗号化をサポートする別のPCがあります(すべてのテストを実行したDell optiplexなどのビジネスクラスを除いて、すべてのデスクトップが暗号化をサポートしているわけではありません)。 BIOSに入ります。 BIOSに管理者パスワードを設定しました。 PCの電源を切り、ドライブを接続し、電源を入れて、BIOSに入ります。しかし、あなたはWAITを考えています! BIOSに入る前に、ハードドライブのパスワードを要求します! Errrr WRONG!私はハードドライブにMY管理者パスワードを使用し、BIOSにいます。次に、ハードドライブのパスワードに移動し、MY ADMIN PASSWORDとCURRENT PASSWORDを使用してパスワードを変更します。次に、パスワードを設定しないか、パスワードを変更します。私は再起動します、あなたのファイルは私のものです。
( http://www.tomshardware.co.uk/answers/id-2813442/encryption-samsung-840-ev0-ssd.html )
その他の場合、追加のOPALソフトウェアmsedを使用できます( https://vxlabs.com/2015/02/11/use-the-hardware-based-full-disk-encryption-your-tcg-opal-ssd -with-msed / )またはTrueCryptのようなソフトウェアベースの暗号化ユーティリティを使用し、すべてのパフォーマンスの問題を受け入れます。
言い換えると、Samsung EVO 850ハードドライブのパスワードを解読するのは本当に簡単ですか? - msed 使用法は私の場合より安全ですか、それともTrueCryptが唯一のソリューションですか?
Samsung 850ドライブおよびその他のSSDの場合、最善かつ最も安全なオプションは、システムのBIOSでドライブパスワードを有効にすることによりOPALフルディスク暗号化を使用することです。
これらのSSDでの暗号化の仕組みは、ドライブが常に暗号化されるというものです-暗号化キーが生成および設定されて工場から出荷されます。書き込みと読み取りが行われるすべてのデータはこのキーで暗号化/復号化され、暗号化されていないものは書き込まれません。
BIOSでパスワードを設定すると、ドライブは指定されたパスワードで(ドライブコントローラーに格納されている)暗号化キーを暗号化します。したがって、パスワードを入力し、ドライブが独自の暗号化キーを復号化するために必要なキーをドライブに与えるまで、すべてのデータを読み取ることができません(SSD自体に対しても)。さらに、このパスワードを入力しないと、SATAコマンドを発行したり、ドライブをフォーマット/再利用したりすることはできません。
これはオペレーティングシステムに対して透過的であることに注意してください。暗号化はハードウェアレベルで処理され、起動時に復号化はBIOSを介して行われます。 OSは、それが何であるかに関係なく、通常のSSDを参照し、それと正常に対話します。
Samsungソフトウェアを使用してSSDの「安全な消去」を実行する場合、実際には純粋にWordの意味で何も「消去」されません。 SSDを使用すると、セクターの各書き込み/再書き込みをフォレンジック分析によって簡単に回復できます。そのデータが暗号化されている場合でも、暗号化キーを持っている限り、データを回復できます。 「安全な消去」機能は、ドライブの内部AES暗号化キーを新しいキーにリセットすることです。ドライブを効果的にリセットします。したがって、フォレンジックによって回復できたドライブ上のすべての古い情報は、ドライブ自体でも暗号化/読み取り不可能になり、不可能ではないにしても、データの回復は非常に困難になります。
ドライブコントローラ自体がパスワードを処理します。 BIOSがOPALまたはSEDドライブをサポートしている場合、BIOSのスーパーバイザーパスワードを使用してドライブの暗号化をバイパスし、ディスクパスワードを変更することはできません。スーパーバイザーパスワードを使用してBIOSにログインした場合でも、既存のSSDパスワードを指定しないと、OPAL/SED SSDのパスワードを変更できません(BIOSがこれを適切にサポートしている場合)。可能であれば、BIOSがドライブと通信してパスワードを設定することはありません。これが事実である場合、BIOSはOPALをサポートしておらず、SSDを別のコンピューターに接続して、妨げられていないデータをイメージすることもできます。ほとんどのドライブメーカーは、これをチェックしてドライブのステータスが「暗号化」されているかどうか、つまりパスワードが設定されているかどうかを確認するために使用できるツールを提供しています。
TrueCryptが廃止され、プロジェクトのコードベースが政府機関などのエンティティによって侵害された可能性があるかどうかについての憶測が広まっていることに注意してください。または、クリエイターが単に引退した場合。 ここにいくつかの情報がある記事があります。
また、フルディスク暗号化の脆弱性は、暗号化されたデータが使用されていない場合、または暗号化キーがメモリ内にない場合、つまりコンピュータがオンで使用されている場合にデータが保護されることです。攻撃者が実行中にコンピュータを手に入れたら、システムBIOS /ドライブコントローラのメモリからキーを回復することは(困難ではありますが)可能です。
もちろん、フルディスク暗号化は、システムが実行されているときも、マルウェアやその他の侵害の影響からユーザーを保護しません。
リンク
特定のモデルについてはわかりませんが、この回答はほとんどの自己暗号化デバイスに適しています。
SSDの場合、組み込みのSED暗号化を使用する利点は、トリム機能(ウェアレベリング)を利用できることです。
数年前、ドイツの大手コンピュータ雑誌は、ハードドライブの多くの組み込み自己暗号化機能が不適切に実装されていることを示していました http://www.heise.de/security/artikel/Windige-Festplattenverschluesselung-270702.html - http://www.heise.de/security/artikel/Verschusselt-statt-verschluesselt-270058.html 非常に簡単に復号化できます(データがパスワードで保護されているだけでなく、暗号化されている場合でも!)。それらの一部はAESを使用すると主張しましたが、鍵の暗号化にはAESのみを使用しましたが、データには安全でないXOR暗号化を使用しました。また、データにAESを使用する場合、間違ったモード/組み合わせでそれを使用すると、誤ってそれを行う可能性があります。 OPALは、一見すると組み込み関数のみを使用しているようです。
2番目のリンクのように暗号化を回避できるかどうかはわかりませんが、これは暗号化にとって非常に悪い兆候になるでしょう。
したがって、基本的には、データの暗号化があなたにとってどれほど重要であり、組み込みの暗号化をどれだけ信頼するかが問題になります。信頼できる外部セキュリティ会社によるこのモデルのセキュリティ監査がない場合、私はあなたの妻のための秘密のクリスマスプレゼントリストよりも重要なものとしては使用しません。
それ以外の場合は、truecrypt/LUKS/EncFS/...のような独立した暗号化を使用します。 SSDでフルディスク暗号化を使用する場合、ウェアレベリングのために、パーティション化されていないスペースを残します。 EncFSのようなファイルベースの暗号化を使用する場合、攻撃者はファイル/フォルダー構造とファイルサイズに関する情報を入手できます。一部の人にとってはこれは問題であり、一部の人はそうではありません。