1

Я обдумываю эту настройку:

  • Два SSD с SED (диск с самошифрованием),
  • в программном рейдовом зеркале,
  • Linux (или Grub?) разблокировать два диска одним pwd из Shadow Master Boot Record

Я уже реализовал полное шифрование диска на sw raid, где полученное изображение raid является зашифрованным контейнером luks. Я доволен этим, поскольку он минимизирует незашифрованную поверхность. Он прекрасно работает, но имеет некоторые недостатки: во-первых, я набираю свой пароль дважды - один раз для grub и один раз для ядра linux. Во-вторых, ключ шифрования, вероятно, находится где-то в памяти ядра.

С помощью SED я бы хотел добиться следующего: сохраняйте один и тот же пароль для обоих дисков, чтобы оба можно было разблокировать сразу. После разблокировки пароли больше не нужны. В памяти нет ключей шифрования, они содержатся / защищены SED.

Кто-нибудь делал это или его части? Вы бы порекомендовали это? Каков ваш опыт и процедура?

ОБНОВЛЕНИЕ: обнаружил, что есть Drive Drive Aliance, работающий над sedutil, с приятной игрой на их сайте: «Не должно быть никаких бэкдоров шифрования, только входные двери»

|источник

1 ответ1

0

Есть много способов, как что-то пойдет не так в шифровании, я читал об одном диске SED, который просто сохранял пароль на диске в основном в виде открытого текста (подробнее ниже).

Сон и зимняя спячка тоже иногда доставляют хлопоты Лукам.

Я не уверен, что или где найти хорошего производителя, почти все диски могут быть сделаны 2 компаниями в любом случае, вероятно, в Азии (Samsung? Сейчас WD?)

Просматривая Samsung и жесткие диски, я нашел этот аккуратный список и графику в Википедии Список несуществующих производителей жестких дисков

Образ

Список производителей твердотельных накопителей показывает почти 80 ... По крайней мере, в 2013 году 5 самых влиятельных компаний корпоративного флэш-хранения были Intel, Micron Technology, Samsung, Sandisk и Toshiba.

Во всяком случае, страница Western Digital ведет к этой интересной статье на Vice:

Некоторые популярные жесткие диски с самошифрованием имеют действительно плохое шифрование

  • «Из-за трагикомедии ошибок со стороны [Western Digital] безопасность накопителей на самом деле очень слабая».

  • [T] Самая большая проблема в том, как генерируются ключи шифрования. «[Western Digital] делает это с помощью функции C rand(), которая, как известно, не является криптографически безопасной», - написал он. Rand() - очень простая команда для возврата псевдослучайного числа, и она не справляется с задачей создания достаточно надежного ключа для обеспечения безопасности данных.

    Кроме того, ключ засевается со времени его создания в 32-разрядном формате. «Это означает, что вместо того, чтобы взламывать миллиарды лет, злоумышленник, похитивший ваш диск, сможет за короткое время угадать ключ, используя один компьютер»,

  • После всего этого оказывается, что некоторые модели в любом случае просто хранят пароль на жестком диске. Это означает, что злоумышленнику даже не понадобится ваш пароль для взлома устройства.

После этого стоит подумать и о BIOS, я еще не читал, что там есть какие-то серьезные проблемы безопасности с SED. Может быть, просто придерживаться хорошо проверенного программного шифрования, такого как LUKS, будет безопаснее (по крайней мере, до тех пор, пока больше дисков SED не будут проверены и подтверждены как безопасные). Если бы диск SED позволял linux писать и запускать свой собственный код на диске, это было бы неплохо ...).

[Начал как комментарий, но зашел слишком далеко]

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .