Самозашифрований диск

Самозашифрований диск (англ. self-encrypting drive — SED) — диск, шифрування якого реалізовано на методі апаратного шифрування і повного шифрування диска з умовою того, що в контролер диска вбудовано пристрій апаратного шифрування[1]. Такі диски продаються різними виробниками, наприклад Seagate Technology[2], Western Digital[3], Samsung[4], Hewlett-Packard[5], ViaSat (англ.)[6], Hitachi, Toshiba[7]. Багато з таких виробників використовують алгоритм шифрування Advanced Encryption Standard (AES) і специфікації Opal Storage Specification (OPAL), що надаються Trusted Computing Group (TCG).

Характеристики

Згідно патенту US20110264925 самозашифровані диски складаються із даних, ключа шифрування (знаходиться серед даних), процесора, застосованих інструкцій та інтерфейсу зв'язку.[8] У самозашифрованих дисках ключ шифрування генерується всередині диска та ніколи не потрапляє в пам'ять і центральний процесорний пристрій (ЦПУ) комп'ютера[9]. Самозашифровані диски, що використовують алгоритм шифрування AES, використовують 128 або 256 бітові ключі для шифрування даних.

TCG стверджують, що сам процес шифрування постійний і розшифрування, як і шифрування, непомітне для користувача й для операційної системи[10]. Однак, для повноцінної роботи з диском користувачеві необхідно пройти передзавантажувальну аутентифікацію. Процес аутентифікації невіддільний від диска. Різні компанії використовують різні системи аутентифікації, наприклад ATA Security або TSG OPAL[11]. Згідно TCG, самозашифровані диски, які використовують OPAL специфікації, підтримують доступ багатьох користувачів і багатьох адміністраторів, де кожен з користувачів має власний пароль і власні облікові дані[12].

Згідно патенту US20120254602 передзавантаження складається з передзавантажувальної операційної системи (ОС), програмного забезпечення (ПО) розблокування, управління самозашифрованого диска, графічного інтерфейсу, системи управління доступом та інших засобів (детальніше за посиланням).

Робота передзавантажувального  самозашифрованого диска визначається наступним порядком:

  1. При першому завантаженні це ПЗ просить користувача ввести номінальні облікові дані й генерує дисковий ключ сесії (англ. disk session key — DSK), яким шифрує дані користувача.
  2. Далі це ПЗ гешує номінальні настроювані облікові дані й шифрує їм DSK, який опісля зберігає.
  3. При виключенні живлення шифрування активується.
  4. Коли користувач запускає комп'ютер, ПЗ управління самозашифрованого диска запитує номінальні облікові дані.
  5. Після отримання даних ПЗ гешує їх і розшифровує ключ DSK, яким потім розшифровує раніше записані номінальні облікові дані.
  6. ПЗ перевіряє відповідність раніше записаних і отриманих даних.
    1. У разі невідповідності, користувачеві надається ще декілька (заздалегідь визначена кількість) шансів ввести правильні номінальні облікові дані.
    2. У разі правильності введених даних, відправляється сигнал на розшифровку даних на самозашифрованому диску.[13]

Очищення диска

Згідно патенту US20120254602 ПЗ управління самозашифрованого диска при отриманні команди очищення знищує ключ шифрування, таким чином дані неможливо розшифрувати і вони стають недоступними[13]. З іншого боку згідно патенту US20110264925, коли користувач хоче очистити диск, йому пропонується кілька варіантів очищення (наприклад: видалення ключа шифрування (швидкий спосіб, але менш безпечний) або заміна даних іншими)[8]. TCG стверджує що їх специфікація при очищення диска стирає існуючий ключ шифрування і генерує новий ключ, таким чином інформація, яка була раніше записана стає недоступною[14]. Зазначений вище спосіб очищення (англ. Crypto-erase) є ефективним способом для самозашифрованих дисків[15].

Стійкість до злому

Багато самозашифрованих дисків використовують загальноприйнятий алгоритм шифрування AES. У ньому використовуються ключі 128 або 256 біт. Даний алгоритм, починаючи з 2003 року, АНБ вважає досить стійким для захисту державної таємниці[16]. У випадку самозашифрованого диска, ключ зберігається на диску у зашифрованому вигляді, таким чином зломщик не може ним заволодіти.

Оскільки шифрування відбувається на рівні апаратного забезпечення, і ключ шифрування ніколи не потрапляє в пам'ять та процесор комп'ютера, то неможливо провести звичайні атаки через операційну систему комп'ютера чи пам'ять комп'ютера, наприклад холодна завантаження і атаку Evil Maid. Більш того, після перезавантаження або входження в сплячий режим, диск для продовження роботи знову запитує пароль авторизації.

Уразливість

  1. Незважаючи на захищеність самозашифрованого диска алгоритмом AES, вразливим місцем залишається авторизація користувача за допомогою пароля.
  2. Дослідники університету Ерлангена — Нюрнберга знайшли способи можливого злому самозашифрованих дисків. Один з них називається Hot Plug attack. У цьому методі диск, який атакується, після авторизації повинен бути перепідключений до комп'ютера зломщика без відключення живлення диска. Інші ж атаки є адаптованими з уже наявних способів для певних ситуацій[17].

Див. також

Примітки

  1. Tilo Müller, Tobias Matzo, and Felix C. Freiling - Self-Encrypting Disks pose Self-Decrypting Risks, 2012, с. 1.
  2. Seagate Technology LLC. Жёсткие диски Seagate Secure с функцией самошифрования обеспечат защиту ваших данных. Seagate Technology LLC.
  3. Western Digital Technologies, Inc. My Passport Ultra Metal. Western Digital Technologies, Inc. Процитовано 19-12-2015.
  4. SAMSUNG. Protect Your Privacy. SAMSUNG. Процитовано 19-12-2015.
  5. Hewlett-Packard Development Company, L.P. Self Encrypting Drives. Hewlett-Packard Development Company, L.P. Архів оригіналу за 04-03-2016. Процитовано 19-12-2015.
  6. Reactive's Solid State Disk Division. Eclypt Freedom. Reactive's Solid State Disk Division.
  7. Thomas Coughlin - Solid Security: The Rise of Self-Encrypting Solid State Drives, 2011, с. 14.
  8. Leonard E. Russo, Valiuddin Ali, Jennifer Rios, Lan Wang - Securing data on a self-encrypting storage device, 2011-10-27.
  9. Tilo Müller, Tobias Latzo, and Felix C. Freiling - Self-Encrypting Disks pose Self-Decrypting Risks, 2012, с. 1,3.
  10. 10 Reasons to Buy Self-Encrypting Drives, 2010, с. 8.
  11. Tilo Müller, Tobias Latzo, and Felix C. Freiling - Self-Encrypting Disks pose Self-Decrypting Risks, 2012, с. 3.
  12. 10 Reasons to Buy Self-Encrypting Drives, 2010, с. 7.
  13. Methods, Systems, and Apparatuses for Managing a Hard Drive Security System, 2012-10-04.
  14. 10 Reasons to Buy Self-Encrypting Drives, 2010.
  15. Thomas Coughlin - Solid Security: The Rise of Self-Encrypting Solid State Drives, 2011.
  16. National Policy on the Use of the Advanced Encryption Standard (AES) to Protect National Security Systems and National Security Information. Committee on National Security Systems. June 2003. Архів оригіналу за 19 лютого 2012. Процитовано 18 грудня 2015.
  17. Tilo Müller, Tobias Latzo, and Felix C. Freiling - Self-Encrypting Disks pose Self-Decrypting Risks, 2012, с. 5-9.

Література

This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.