Оглавление |
---|
Информация |
---|
В данной статье рассматривается использование так называемых "дисков с самошифрованием" и связанные с этим вопросы идентификации пользователей для предоставления доступа к данным. |
Предупреждение |
---|
В данной статье рассматривается использование так называемых "дисков с самошифрованием" и связанные с этим вопросы идентификации пользователей для предоставления доступа к данным. Описанные в данной статье решения не являются сертифицированными решениями для защиты конфиденциальных данных, подвержены уязвимостям и могут обладать недокументированными возможностями, позволяющими получать несанкционированный доступ к данным. Чтобы не вводить читателей в заблуждение, в данной статье по возможности не употребляется термин "шифрование", а если исключить этот термин не представляется возможным, то употребляется исключительно в смысле "защитное преобразование данных". |
Информация |
---|
Данная статья применима к:
|
Накопители данных с "самошифрованием"
Аппаратное защитное преобразование данных на
накопителях данных ("самошифруемый диск", в английской литературе применяются термины FDE, Full-Drive Encription или Self-Encrypting Drive
, SED, являющиеся синонимами) предоставляется сейчас многими производителями накопителей данных, и
позиционируется как общее решение для защиты данных от несанкционированного доступа, в том числе и данных, хранящихся на твердотельных накопителях.
Предупреждение |
---|
Описанные в данной статье решения не являются сертифицированными решениями для защиты конфиденциальных данных, подвержены уязвимостям и могут обладать недокументированными возможностями, позволяющими получать несанкционированный доступ к данным. |
В таких устройствах защитное преобразование данных выполняется специализированными встроенными в контроллер устройства микросхемами "на лету", и все данные на устройстве хранятся преобразованном виде.
Декларируются следующие возможности таких устройств:
- использование устойчивых к взлому алгоритмов преобразования AES 128 бит / AES 256 бит;
- невозможность извлечение ключей шифрования из устройства;
- возможность мгновенного "удаления" всех хранящихся данных простой заменой внутреннего ключа, после чего все данные становтся не подлежащими восстановлению;
Предупреждение |
---|
Наличие всех или некоторых их этих возможностей зависит от производителя и конкретной модели, технические детали обычно не раскрываются, сертификация и проверка недокументированных возможностей не проводится. |
Для разграничения доступа к данным, хранящимся на таких накопителях, требуется использовать механизмы идентификации пользователей. Для этого применяются два основных решения:
- ATA Security - встроенная болкировка/деблокировка накопителя с помощью задаваемого пользователем пароля, передаваемого через команды интерфейса ATA. Поддерживается большинством накопителей, и никак не привязана к наличию или отсутствию в накопителе встроенного преобразования данных;
- TCG OPAL - решение , предусматривающее установку на накопитель предзагрузочного ПО, запускающегося при первом включении устройства для инициализации параметров безопасности, и, далее, при каждом включении устройства, для идентификации пользователя и разблокировки устройства;
Предупреждение |
---|
Данные технологии идентификации несовместимы с режимами пониженного энергопотребления компьютеров, при которых обесточиваются подключенные периферийные устройства (S3 («Suspend to RAM» (STR) в BIOS, «Ждущий режим» («Standby») ). |
Данная статья применима к:
АTA Security
Установка ПО и проверка соответствия оборудования
Для проверки параметров накопителя выполняется инструментом командной строки hdparm, входящим в пакет hdparm. Пакет доступен в дистрибутиве/репозитории ОС ОН Орёл 2.12
и в дистрибутивах ОС СН Смоленск 1.6
и ОС СН Ленинград 8.1.
Установить пакет можно их графического менеджера пакетов или из командной строки
Command |
---|
sudo apt install hdparm |
Подробные параметры накопителя выводятся командой (пример для накопителя /dev/sda):
Command |
---|
sudo hdparm -I /dev/sda |
Пример полного вывода команды:
Раскрыть |
---|
|
Информация о поддерживаемых параметрах безопасности ATA Security содержится в секции "Security":
Информация |
---|
.... |
В приведённом примере указано, что поддерживается защита по парольному доступу ("Master password ... suported"), которая на момент регистрации параметров накопителя отключена ("not enabled").
Установка пароля
Предупреждение |
---|
При установке пароля следует помнить, что на устройствах, подключенных через USB, снятие пароля может не работать. |
Установка пароля выполняется командой (в примере - установка пароля 12345678 на устройство /dev/sdb) :
Command |
---|
sudo hdparm --user-master u --security-set-pass 12345678 /dev/sdb |
Разблокировка
После подключение
Отключение блокировки
TCG OPAL
Установка ПО и проверка соответствия оборудования
Включение блокировки
Разблокировка
Выключение блокировки
Начало работы: установка ПО и проверка оборудованияВключение защиты
Уязвимости
Уязвимость "сохранение питания"
Типичный самозащищенный накопитель, будучи однажды разблокированным, остаётся разблокированным пока на него подается электропитание. Таким образом, при условии сохранении питания, накопитель может быть перенесен куда угодно, оставаясь в разблокированном состоянии. Например, было показано, что при некоторых условиях компьютер может быть перезагружен с запуском другой операционной системы, также демонстрировался перенос накопителя на другой компьютер без отключения питания.
Скомпрометированное встроенное ПО
Встроенное программное обеспечение накопителя может иметь недокументированные возможности, позволяющие получать несанкционированный доступ к данным, а применяемые алгоритмы защитного преобразования остаются на усмотрение производителей.
См. например исследование уязвимостей накопителей.