SED registro de inicialização mestre de sombra e linux md raid 1

Navegue suas respostas
1

Estou pensando nesta configuração:

  • Dois SSDs com SED (unidade de criptografia automática)
  • em um espelho de ataque de software,
  • linux (ou grub?) para desbloquear os dois discos com um pwd do registro de inicialização do Shadow Master

Eu já implementei uma criptografia de disco completa em sw raid, onde a imagem de ataque resultante é o container luks criptografado. Estou feliz com isso, pois minimiza a superfície não criptografada. Funciona muito bem, mas tem algumas desvantagens: Primeiro, estou digitando minha senha duas vezes - uma para o grub e outra para o kernel do Linux. Segundo, a chave de criptografia provavelmente está flutuando em algum lugar na memória do kernel.

Com o SED, gostaria de obter o seguinte: Mantenha a mesma senha para as duas unidades, para que ambas possam ser desbloqueadas de uma só vez. Uma vez desbloqueado, não são necessárias mais senhas. Não há chaves de criptografia na memória, elas estão contidas / protegidas pelo SED.

Alguém já fez isso ou partes dele? Você recomendaria isso? Qual é a sua experiência e procedimento?

UPDATE: descobriu que há Drive Trust Aliance trabalhando em sedutil com um bom trocadilho em seu site:" Não deve haver backdoors de criptografia, apenas portas da frente "

    
por Rbjz 30.04.2016 / 11:47

1 resposta

0

Há muitas maneiras de as coisas darem errado na criptografia, eu li de uma unidade SED que apenas armazenava a senha na unidade basicamente em texto simples (mais abaixo).

Sleep & o hibernate é problemático para o LUKS às vezes também.

Não sei o que ou onde encontrar um bom fabricante, quase todas as unidades podem ser feitas por duas empresas, provavelmente na Ásia (Samsung? Now WD?)

Pesquisando Samsung & discos rígidos, eu encontrei esta lista pura & gráfico na Wikipedia Lista de fabricantes de discos rígidos extintos

Lista de fabricantes de unidades de estado sólido mostra quase 80 ... Pelo menos em 2013, o 5 empresas de armazenamento Flash mais influentes da empresa foram Intel, Micron Technology, Samsung, Sandisk e Toshiba.

De qualquer forma, a página Western Digital conduz a este interessante artigo sobre o Vice:

Alguns discos rígidos com autodifusão 'populares' Criptografia Realmente Ruim

  • "[D]ue to a tragicomedy of errors on the part of [Western Digital], the security of the drives is actually very weak.”

  • [T]he worst of the problems is how the encryption keys are generated. “[Western Digital] does it using the C rand() function, which is known not to be cryptographically secure,” he wrote. Rand() is a very simple command for returning a pseudo-random number, and is not up to the task of producing a suitably strong key for keeping data secure.

    On top of this, the key is seeded with the time it was created in a 32-bit format. “That means instead of requiring billions of years to crack, an attacker who steals your drive can guess the key in a short time using a single PC,”

  • After all that, it turns out that some models just store the password on the hard drive anyway. That means an attacker wouldn’t even need your password to break into the device.

Depois disso, há também a BIOS para pensar, eu não li que existem preocupações sérias de segurança com o SED, ainda. Talvez ficar com uma criptografia de software bem testada, como a LUKS, seja mais seguro (pelo menos até que mais unidades SED sejam testadas e confirmadas como seguras. Se uma unidade SED permitisse que o Linux escrevesse e executasse seu próprio código na unidade, isso seria legal ...).

[Começou como um comentário, mas foi um pouco longe demais]

    
por 02.05.2016 / 12:27

Tags

O cpu do Linux usa alto, mas a velocidade do clock é baixa Grave os Hangouts do Google no Chromebook