Существует большая путаница в отношении того, как на самом деле работают накопители данных Western Digital с маркировкой "аппаратное шифрование". Я также был сбит с толку после того, как купил 2 из своих моделей по 6 ТБ в продаже, пока не прочитал несколько отчетов сторонних технических специалистов по реинжинирингу, более дерзких, чем я (uber-ботаников), а также комментарии нескольких очень полезных респондентов на нескольких форумах.
Я думаю, что, основываясь на общих выводах этих команд и моем собственном опыте проектирования систем, я бы сказал, что следующие пункты верны. Я приветствую любые исправления, основанные на непосредственном исследовании и проверке от первого лица:
1. Аппаратное шифрование дисков Western Digital WD с аппаратным шифрованием WD, как и некоторые модели "My Book", например, содержит чип шифрования AES, схема которого оптимизирована для применения шифрования AES ко ВСЕМ данным на диске и с него.
Чипы AES теперь производятся серийно, стоят недорого и выполняют свою вычислительную магию быстрее, чем пропускная способность большинства, если не всех, механических приводов.
Таким образом, WD всегда шифрует диск с использованием внутреннего случайного ключа доступа. Из-за вычислительной мощности микросхемы AES наблюдаются незначительные, если таковые имеются, проявления их работы, такие как задержки или сниженная пропускная способность.
2. Всегда зашифрован?
Как диск всегда можно зашифровать, когда он кажется доступным на любом компьютере, к которому я подключаю его, даже не включив шифрование?
Это связано с тем, что в системе накопителей используется фиксированное внутреннее случайное значение ключа доступа, которое в некоторых документах с глубокими изменениями часто называют "K", которое действует как единственный и единственный ключ шифрования для накопителя. Этот пароль используется для шифрования и дешифрования всех данных на диск и с него после первой операции ввода-вывода.
Другими словами, вы не можете ни включить, ни отключить шифрование, ни изменить ключ шифрования. Единственное, что вы можете изменить, - это получить доступ к диску, создав собственный пароль для этого диска. Этот ключ только для доступа. Это не влияет на шифрование, которое всегда включено.
Это отличается от метода, в котором пользователь создает ключ доступа, который используется для шифрования данных. Например, как и в случае популярных программных программ шифрования, таких как Truecrypt (ныне несуществующий), его заменяют Veracrypt с открытым исходным кодом, старый PGP (теперь Norton) и решения для ОС, такие как Windows Bitlocker.
У "всегда зашифрованного" подхода есть умеренный недостаток. В дополнение к риску ожидаемых сбоев механического привода вы также можете потерять данные, если схема AES дисков была повреждена или перегорела. Это может быть не так просто, как извлечь физический диск из корпуса и вставить его в другой корпус. Если модуль AES находится глубоко внутри фактического диска, это может быть спорным вопросом.
Эта проблема не должна быть проблемой, если вы следуете стандартной методологии резервного копирования. Для наглядности: вы всегда должны покупать два диска для резервного копирования. Первый - это резервная копия вашей системы, а второй - резервная копия. Я могу засвидетельствовать, что в прошлом, когда у меня был только один резервный диск, я всю ночь работал на яичной скорлупе, играя ТОЛЬКО в копии моих данных. После извлечения 1 000 файлов или 200 папок, вы можете легко стать жертвой мозгов и удалить файлы с неправильного диска.
Повторите 3 раза: в любое время я потеряю все данные на моем приводе!
4. "БЛОКИРОВКА" зашифрованного диска WD с паролем просто говорит диску, что любой дальнейший доступ потребует от пользователя ввода этого пароля пользователя. Пользовательский пароль не используется для повторного шифрования данных. Данные остаются неизменными и шифруются с использованием того же внутреннего случайного ключа доступа, что и всегда. Пользовательский пароль просто ограничивает доступ к диску. Не больше, не меньше.
5. Насколько это безопасно?
Здесь многие команды и эксперты по безопасности сильно не согласны. Одна из групп реверс-инжиниринга предположила, что есть пара задних дверей - способы получить доступ к внутреннему ключу. Тем не менее, я еще не видел упоминаний о простом автоматизированном способе мгновенного использования такой техники без особых усилий. Одна команда предложила это, но скорее как предположение, а не демонстрацией.
Ключевым моментом, который следует учитывать во всех этих обсуждениях, является то, что еще не существует системы, для которой существует один или несколько трактатов о том, как ее можно взломать или нарушить.
До тех пор, пока кто-то не опишет подтвержденный и проверенный тест метода, который взламывает зашифрованный диск WD с помощью простой программы, которая может быть произведена в массовом порядке, и использует мои данные для доступа к большинству или ко всем дискам WD с использованием этого метода, я буду оценивать уровень безопасности WD Зашифрованный диск My Book типа 7/10 на том основании, что ни одна система еще не гарантирует 10/10, а лучшим из того, о чем я когда-либо читал, может быть 9/10.
6. Экономическая выгода всегда диктуется. Следует также отметить, что еще не разработана недорогая высокопроизводительная система шифрования для потребительского использования, которая не может быть взломана в течение нескольких часов или месяцев кем-либо с бюджетом АНБ, Китая или России. Да, медленные, многоуровневые методы можно сделать практически безотказными, но они также могут быть непрактичными для ежедневного использования.
7. Насколько ты важен на самом деле?
Просто спросите себя: каков необходимый бюджет тех, кого я боюсь пытаться получить доступ к моим данным, и какую угрозу это представляет для вашего благополучия. Ни одно агентство или группа не собирается тратить 4-7 цифр, чтобы получить данные вашего банка, если вы не Билл Гейтс или Уоррен Баффет.
~ плавник ~
