Domanda:
Devo acquistare un SSD con crittografia completa del disco basata su hardware?
belford
2015-09-11 02:28:52 UTC
view on stackexchange narkive permalink

Dato che TrueCrypt è "non sicuro", ho cercato un altro modo per crittografare i dati.

ATTENZIONE: Usare TrueCrypt è non è sicuro in quanto potrebbe contenere problemi di sicurezza non risolti Dovresti scaricare TrueCrypt solo se stai migrando dati crittografati da TrueCrypt.

Potresti fornire alcune informazioni sui pro & contro connessi con la crittografia basata su hardware? Cosa succede se il firmware è controllato da un malintenzionato di terze parti? Sarei lieto se potessi consigliare alcuni SSD che coprano i seguenti punti:

  1. Non ci sono problemi con la compatibilità del BIOS.
  2. La qualità della crittografia è simile al TrueCrypt.
  3. Il firmware dell'unità non è stato compromesso.

A proposito ... Hai sentito parlare di TOMB?

Questo sito è stato creato per domande che richiedono consigli specifici sull'hardware in base a una serie di requisiti definitivi. I problemi generali dell'hardware di elaborazione sono trattati in [Super User] (http://superuser.com).
Al momento manca il loro supporto dal lato software. Se non vuoi essere legato solo a Windows, la soluzione migliore è probabilmente la crittografia del disco completo del software + SSD normale.
Lo consiglio vivamente, le prestazioni sono molto migliori rispetto alla crittografia software. Compatibilità BIOS: la maggior parte lo supporta, ma alcune password hash in modo diverso, quindi potresti non essere in grado di utilizzare l'HD crittografato su un computer diverso. Qualità della crittografia / firmware: temo che devi solo prenderlo sulla fiducia, non c'è nulla che un utente finale possa fare per convalidarlo.
Una risposta:
#1
+14
Gilles 'SO- stop being evil'
2015-09-11 05:21:47 UTC
view on stackexchange narkive permalink

Se il firmware è stato compromesso è una preoccupazione valida: succede ( è stato fatto per spettacolo, ed è piuttosto raro ma è stato trovato in natura) .

Ma una preoccupazione maggiore è se il firmware è stato programmato correttamente. Molti firmware SSD non implementano correttamente la cancellazione sicura. Dovresti fidarti di loro per implementare correttamente la crittografia? Non ho visto uno studio affidabile sull'argomento, ma ho sentito (voci private in alcune comunità di sicurezza) che alcune "unità con crittografia automatica" sono in realtà semplici unità protette da password, senza crittografia se si aggira semplicemente il controller . Come consumatore, non c'è assolutamente alcun modo per sapere se un particolare dispositivo funziona correttamente¹.

Il risultato è che non farei affidamento sulle capacità di crittografia di un dispositivo di archiviazione.

Non ha molto senso fare la crittografia sull'unità stessa piuttosto che nella CPU comunque. Non siamo negli anni '90, la maggior parte delle CPU ha molti cicli di riserva, di cui la crittografia costerà solo un po '. I principali sistemi operativi sono dotati di crittografia nativa: Bitlocker in Windows, dm-crypt in Linux e così via. tra sistemi operativi, utilizza uno dei successori di TrueCrypt.

¹ Trovare un modo per attaccare un particolare modello può avere un costo compreso tra $ 10.000 e 100.000, quindi non è qualcosa che puoi fare casualmente, ma una volta trovato l'attacco, eseguirlo su una particolare unità ha un costo incrementale che può essere compreso tra $ 10 e 100, o < $ 1 se si tratta di un attacco software puro su un firmware difettoso.

Bitlocker non è una buona scelta. Grazie per aver segnalato i successori di TrueCrypt.
Ma se vuoi "davvero" utilizzare BitLocker c'è anche la possibilità di installare un Trusted Platform Module (TPM). [http://www.quietpc.com/gc-tpm”:"Facile da installare su schede madri TPM di Gigabyte e ASUS "" Consente il pieno funzionamento della crittografia dell'unità Microsoft BitLocker "" Poiché il TPM utilizza il proprio firmware interno e circuiti logici per l'elaborazione delle istruzioni, non si basa sul sistema operativo e non è esposto a vulnerabilità software esterne ".
Bella risposta. In generale, mi fiderei di una soluzione che puoi controllare su qualcosa che è virtualmente inaccessibile da te come cliente (ad esempio software vs firmware del produttore). Come sempre, ti consiglio di eseguire effettivamente test che simulino da vicino le tue effettive condizioni di utilizzo. In questo modo, puoi assicurarti che, per il ** tuo ** caso d'uso, la soluzione funzioni.


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...