Защита данных на жестком диске: попытка разобраться в соответствующих технологиях

1056
bitlocked

Я пытаюсь понять, как защитить данные от использования в случае кражи компьютера или жесткого диска.

Я ищу разумную защиту от несанкционированного доступа к личным данным (пароли, номера лицензий, номера кредитных карт), я не защищаю промышленные секреты и я не ищу защиту от парней в лабораториях, удаляющих жесткие диски и использующих судебные инструменты, Мне нужно что-то, что не требует физического присутствия устройства, такого как USB-ключ, за исключением цели восстановления, когда учетные данные были утеряны. Мне нужно защитить раздел ОС и другие разделы и / или диски пользовательскими данными.

Полезные советы, которые я могу использовать на практике, приветствуются.

  • Нужно ли шифрование, блокировка жесткого диска или и то, и другое?
  • Если шифрование: жесткое или мягкое?
  • Как настроить решение в контексте LGA 1155 + Windows 7?
  • Доступно для всех типов разделов, включая GPT / разделы большого размера.
  • Как проверить соответствие оборудования? (BIOS / EFI, привод, материнская плата ...)
  • Предполагая, что вор имеет физический доступ к машине, может обойти нормальный процесс загрузки, может переустановить BIOS и ОС, может прочитать жесткий диск на другой машине и т. Д.

Благодарю.

Вещи, на которые я смотрел, прежде чем спрашивать ...

Я вижу, что доступны разные технологии, некоторые из них автономны, другие требуют некоторой совместной работы с компьютера (например, с материнской платы). Я ищу что-то, что можно использовать с материнской платой типа «песчаный мост» (розетка LGA 1155), еще не купленной.

  • SED, самостоятельное шифрование диска: мне не нужно шифрование или безопасное стирание, но если это может помочь заблокировать диск, тогда хорошо.

  • Программное шифрование: то же самое, что и SED, мне не нравится идея замедлить ввод / вывод данных или усложнить ситуацию с помощью дополнительных уровней. Я не очень четко оцениваю последствия программного шифрования: отчеты о размере тома, тип раздела, образ диска, обновления ОС, сторонние приложения и т. Д.

  • ATA Security (контроллер блокирует / разблокирует операции с жесткими дисками с помощью ключевых механизмов), похоже, подходит для моего использования. Есть ли слабость, которую я должен знать? Какая материнская плата / ОС будет поддерживать эту функцию? Как выбрать совместимый жесткий диск? Требуется ли расширение BIOS / EFI для ввода ключа жесткого диска?

  • Проверка подлинности перед загрузкой для разблокировки жесткого диска: что является преимуществом по сравнению с блокировкой безопасности ATA? Как это изменить процесс загрузки, совместим ли он с Windows 7?

  • BitLocker: я думаю, что материнские платы LGA 1155 с TPM недоступны. Некоторые поддерживают аппаратное обеспечение TPM 1.2 (у них есть заголовок TPM), но глубокий поиск в Интернете показывает, что дочерние платы TPM невозможно купить, даже если (очень немногие) сайты, такие как утверждают, что они есть в наличии. Что случилось с доступностью надстройки TPM? BitLocker может использоваться без TPM, но, похоже, не для раздела ОС. Все говорят, что вы можете использовать BL с USB-ключом вместо TPM, но какая польза от того, что USB-ключ остается один день в USB-порту после запуска компьютера и может быть украден вместе с накопителем?

(Пожалуйста, не пытайтесь угадать решение или объясните, что TPM является злом или был взломан.)

3
Вас интересует возможность удаленного удаления / восстановления данных с жесткого диска? Tog 13 лет назад 0
восстановление не требуется, стирание тоже нет, хотя я ищу что-то достаточно сильное, чтобы предотвратить повторное использование данных без ключа / пароля. bitlocked 13 лет назад 0

2 ответа на вопрос

2
sinni800

Есть одна вещь, которая бесплатна для использования и работает со всеми современными операционными системами: TrueCrypt

Он может зашифровать весь жесткий диск, который предлагает поле ввода пароля при запуске компьютера. Шифрование полностью безопасно, вы можете выбрать алгоритм для использования (или несколько алгоритмов). Также шифрование довольно быстрое. Если вы сравните результаты с и без, вы увидите некоторые издержки, но если ваш процессор достаточно сильный (что должно быть, так как это i5 / 7), вы не заметите этого.

Благодарю. Это кажется слишком много для моей необходимости. Я бы пошел по пути программного шифрования, только если жесткий диск не может быть просто и надежно заблокирован (с помощью пароля). Тогда я бы предпочел BitLocker, который поставляется с Seven (хотя я бы предпочел аппаратное шифрование в первую очередь). bitlocked 13 лет назад 0
Для аппаратного шифрования я думаю, что вашей материнской платы недостаточно. Эти решения дороже. sinni800 13 лет назад 0
Под аппаратным обеспечением я подразумеваю аппаратное обеспечение на диске (SED), такое как линия Seagate Constellation. bitlocked 13 лет назад 0
Ох, само шифрование диска. Я не знаю сколько будут стоить эти специальные диски ...? sinni800 13 лет назад 0
SED 1 ТБ можно приобрести в Великобритании за £ 138,64 ($ 220) с интерфейсом SAS 2. Я думаю, что цены будут стремительно падать. Похоже, что существует огромный спрос на хранилище с шифрованием приложений, иными словами, DRM. bitlocked 13 лет назад 0
0
bitlocked

После тщательного поиска, вот мои выводы:

Нужно ли шифрование, блокировка жесткого диска или и то, и другое?

Безопасность жесткого диска достаточно, чтобы предотвратить доступ к данным. Это функция жесткого диска, пароль не хранится на материнской плате и не может быть скомпрометирован или обойден. есть компании, которые могут восстановить пароль в некоторых условиях, но вор не будет их использовать, это угроза только для тех, кто хранит секретную информацию на своих компьютерах. Те, у кого есть только порно файлы и спам-сообщения защищены.

Шифрование также может быть обеспечено жестким диском (самошифрование) или внешним программным обеспечением, таким как TrueCypt или Bitlocker, или PGP. Самошифрование жесткого диска больше не является защитой после того, как жесткий диск был разблокирован, остальные - нет, но они требуют, чтобы пользователь что-то делал при каждом запуске компьютера (пароль или USB-ключ).

Мой выбор - использовать только пароль жесткого диска, без шифрования.

Как настроить решение в контексте LGA 1155 + Windows 7? Как проверить соответствие оборудования? (BIOS / EFI, привод, материнская плата ...)

К сожалению, я не нашел ни одной материнской платы для настольных ПК с BIOS / EFI, поддерживающей пароль жесткого диска. Dell поддерживает, но вы должны купить их собранные компьютеры. IBM тоже поддерживает, но отдельную материнскую плату купить нельзя. Кажется, только ноутбуки поставляются с поддержкой ATA Security. Кажется, что-то не так с производителями BIOS, которые не хотят предоставлять бесплатное решение для своих клиентов. Платит ли другая компания, продающая решения для шифрования, за то, что BIOS поставляется с плохими функциями защиты?

Это ограничение останавливает мои поиски. Соответствие дисков легко проверить на сайте производителя. Почти все диски поддерживают ATA Security.

Похожие вопросы