Proteção de dados no disco rígido: tentando resolver as tecnologias relevantes

3

Estou tentando entender como posso proteger os dados de serem usados se um computador ou um disco rígido for roubado.

Estou procurando uma proteção razoável contra o acesso não autorizado a dados privados (senhas, números de licença, números de cartão de crédito), não estou protegendo segredos industriais e não estou procurando proteção contra caras em laboratórios removendo pratos e usando ferramentas forenses. Preciso de algo que não exija a presença física de um dispositivo como uma chave USB, exceto para fins de recuperação quando as credenciais forem perdidas. Preciso proteger a partição do sistema operacional e outras partições e / ou unidades com dados do usuário.

Os conselhos educados que eu posso usar na prática são bem-vindos.

  • Preciso de criptografia, bloqueio de HDD ou ambos?
  • Se criptografar: hard ou soft?
  • Como configurar a solução em um contexto do LGA 1155 + Windows 7?
  • Disponível para todos os tipos de partições, incluindo partições GPT / tamanho grande.
  • Como verificar a conformidade do hardware? (BIOS / EFI, drive, placa-mãe ...)
  • Supondo que o ladrão tenha acesso físico à máquina, pode ignorar o processo de inicialização normal, pode reinstalar o BIOS e o SO, pode ler o HDD em outra máquina, etc.

Obrigado.

Coisas que eu já vi antes de perguntar ...

Eu vejo que existem diferentes tecnologias disponíveis, algumas são independentes, outras requerem alguma colaboração do computador (por exemplo, da placa-mãe). Eu estou procurando algo que pode ser usado com uma placa-mãe "sandy bridge" (soquete LGA 1155.) ainda não adquirida.

  • SED, criptografia de auto-disco: não preciso da criptografia nem da exclusão segura, mas se isso puder ajudar a bloquear o disco, tudo bem.

  • Criptografia de software: mesmo que SED, não gosto da ideia de diminuir a E / S de dados ou tornar as coisas complexas com camadas adicionais. Eu não avalio claramente qual será a implicação da criptografia de software: relatório de tamanho de volume, tipo de partição, imagem de disco, atualizações do sistema operacional, aplicativos de terceiros, etc.

  • ATA Security (controlador de bloqueio / desbloqueio das operações do disco rígido através de mecanismos-chave), parece ok para meu uso. Existe alguma fraqueza que eu deveria saber? Qual placa-mãe / sistema operacional suportaria esse recurso? Como selecionar um HDD compatível? Isso requer uma extensão BIOS / EFI para inserir a chave do disco rígido?

  • Autenticação pré-inicialização para desbloquear o disco rígido: qual é o benefício comparado ao bloqueio de segurança ATA? Como isso modifica o processo de inicialização, isso é compatível com o Windows 7?

  • BitLocker: placas-mãe LGA 1155 com TPM não estão disponíveis, eu acho. Alguns têm suporte para o hardware do TPM 1.2 (eles têm um cabeçalho TPM), mas uma pesquisa profunda na Internet mostra que as placas de expansão do TPM não podem ser compradas, mesmo que (muito poucos) sites afirmem que possuem algum em estoque. Qual é o problema com a disponibilidade do complemento do TPM? O BitLocker pode ser usado sem o TPM, mas não para a partição do sistema operacional. Todo mundo diz que você pode usar o BL com uma chave USB no lugar do TPM, mas qual a vantagem de ter uma chave USB deixado um dia na porta USB após a inicialização do computador e roubada com a unidade?

(Por favor, não tente adivinhar a solução, ou explique que o TPM é mau ou foi quebrado.)

    
por bitlocked 28.01.2011 / 09:31

2 respostas

0

Após uma pesquisa minuciosa, aqui estão minhas conclusões:

Preciso de criptografia, bloqueio de HDD ou ambos?

A segurança do HDD é suficiente para impedir o acesso aos dados. É um recurso do HDD, a senha não é armazenada pela placa-mãe e não pode ser comprometida ou ignorada. existem empresas que podem recuperar a senha em algumas condições, mas um ladrão não as usa, isso é uma ameaça apenas para aqueles que têm informações classificadas de Defesa em seus computadores. Aqueles que têm apenas arquivos pornográficos e spam são protegidos.

A criptografia também pode ser fornecida pelo HDD (autocriptografia) ou por software externo como TrueCypt ou Bitlocker ou PGP. A auto-criptografia do HDD não é mais uma proteção depois que o HDD foi desbloqueado, os outros são, mas exigem que o usuário faça alguma coisa toda vez que o computador for iniciado (senha ou chave USB).

Minha escolha é usar somente a senha do HDD, sem criptografia.

Como configurar a solução em um contexto do LGA 1155 + Windows 7? Como verificar a conformidade do hardware? (BIOS / EFI, drive, placa-mãe ...)

Infelizmente, não encontrei nenhuma motherboard Desktop com BIOS / EFI que suporte a senha do HDD. A Dell suporta, mas você precisa comprar seus computadores montados. A IBM também suporta, mas nenhuma placa-mãe separada pode ser comprada. Apenas Laptops parecem vir com o suporte do ATA Security. Parece haver algo errado com os fabricantes de BIOS que relutam em fornecer uma solução gratuita para seus clientes. Uma outra empresa que vende soluções de criptografia paga pelo BIOS para ser despachada com recursos de proteção insatisfatórios?

Essa limitação põe fim à minha busca. A conformidade do drive é fácil de verificar no site do fabricante. Quase todas as unidades suportam o ATA Security.

    
por 04.02.2011 / 08:56
2

Existe uma coisa que é livre para usar e funciona com todos os sistemas operacionais modernos: TrueCrypt

Ele pode criptografar todo o disco rígido que oferece uma caixa de entrada de senha ao iniciar o computador. A criptografia é completamente segura, você pode escolher o algoritmo para usar (ou múltiplos algoritmos). Além disso, a criptografia é bem rápida. Se você fizer benchmark com e sem você, verá alguma sobrecarga, mas se o seu processador for strong o suficiente (o que deveria ser, já que é um i5 / 7), você não notará isso.

    
por 28.01.2011 / 10:52