Khi nào một nhà tư vấn CNTT nên sử dụng mã hóa toàn bộ đĩa?

9

Trong trường hợp nào, Tư vấn CNTT nên mã hóa ổ cứng của họ để bảo vệ mã / dữ liệu của khách hàng?

Tôi nghĩ rằng nếu nó không thêm nhiều vào tải công việc của bạn, bạn cũng có thể sử dụng mã hóa toàn bộ đĩa bằng mật khẩu 'yếu' để ít nhất ngăn ai đó truy cập vào tệp email của bạn và các tài liệu khác nếu máy tính xách tay của bạn bị đánh cắp, ngay cả khi chúng bị đánh cắp sẽ không có quyền truy cập vào bất kỳ tệp cơ sở dữ liệu hoặc dữ liệu rất nhạy cảm khác.

security 
John Fischer
nguồn
3
Bạn cũng có thể sử dụng một cái gì đó như TrueCrypt để tạo khối lượng mã hóa. Vì vậy, thay vì mã hóa toàn bộ ổ đĩa, nó tạo ra các ổ đĩa 'ảo' mà bạn có thể sử dụng để lưu trữ thông tin nhạy cảm. Tôi làm điều đó cho mã nguồn & tài liệu của tôi trên máy tính xách tay của tôi, nếu nó bị đánh cắp.
GrandmasterB
3
Thật không may, khối lượng được mã hóa dễ bị phá vỡ hơn đáng kể so với mã hóa toàn bộ ổ đĩa, thường yêu cầu một số thứ như cuộc tấn công Evil Maid ( schneier.com/blog/archives/2009/10/evil_ Groom_attac.html ) vì có quá nhiều dữ liệu liên quan đến âm lượng chìa khóa trong bộ nhớ hoặc không gian tạm thời! Kiểm tra việc thực hiện của bạn tốt nếu dữ liệu trên máy tính xách tay của bạn rất nhạy cảm!
Rory Alsop
@Rory Alsop: Khối lượng được mã hóa là IMO một sự đánh đổi hợp lý giữa bảo mật và khả năng sử dụng - di động (ví dụ: khối lượng 200 MB TC trên Dropbox), hữu ích cho dữ liệu không thực sự bí mật (nhưng bạn không muốn công khai hoàn toàn). Nói cách khác, tốt hơn một chút so với không mã hóa chút nào - có thể đủ cho một số tình huống.
Piskvor rời tòa nhà

Câu trả lời:

11

Tôi đồng ý rằng mã hóa toàn bộ đĩa là tốt, đặc biệt nếu bạn có dữ liệu nhạy cảm trên máy tính xách tay của mình (bạn có thể làm như vậy). Vì vậy, với các mẫu máy tính xách tay mới có tốc độ nhanh, tôi sẽ nói " luôn luôn ".

Điều đó nói rằng, có những cảnh báo:

  • nếu bạn quên mật khẩu, điều này có nghĩa là tất cả dữ liệu của bạn sẽ hết sạch (cho đến khi bạn nhớ lại mật khẩu).
  • (hệ quả: bất kỳ giải pháp mã hóa nào có tùy chọn "khôi phục mật khẩu" đều có khả năng là dầu rắn, không phải mã hóa)
  • mật khẩu yếu == không có bảo vệ (bò-orkers của bạn có thể sẽ không cố gắng đột nhập vào máy tính của bạn, nhưng một bị đánh cắp dữ liệu máy tính xách tay của có thể là giá trị một số tiền, cộng với, pass- cụm từ khá mạnh và dễ nhớ)
  • mã hóa toàn bộ đĩa có thể làm cho chế độ ngủ / ngủ đông không thực tế, nếu không thể (kiểm tra sản phẩm bạn định sử dụng)
  • một số dữ liệu có thể được truy cập từ các vị trí bổ sung (ví dụ: e-mail của bạn có thể được lưu trữ trên máy chủ, với một bản sao được lưu trữ cục bộ trong máy tính của bạn)
  • Mã hóa toàn bộ đĩa không phải là bụi pixie huyền diệu - nó không cung cấp bảo mật chống lại các vectơ tấn công khác, bạn vẫn cần giải quyết các vấn đề đó một cách riêng biệt (sao lưu, chống vi-rút, tường lửa, bảo vệ lừa đảo, kỹ thuật xã hội, phân tích mật mã ống cao su )

Lưu ý rằng mã hóa không nên được coi là một cách bảo mật dữ liệu mãi mãi từ bất kỳ ai - mục tiêu của nó chỉ là trì hoãn kẻ tấn công đủ lâu để khiến cuộc tấn công không thú vị . Với mã hóa mạnh, phải mất nhiều năm trước khi kẻ tấn công lấy dữ liệu bằng vũ lực, tại thời điểm đó dữ liệu quá cũ đến mức vô dụng. Mặc dù Cơ quan An ninh Quốc gia (hoặc thực thể mạnh tương tự) có thể có thể bẻ khóa mã hóa nhanh hơn nhiều (vì nó có thể ném một lượng lớn năng lượng tính toán vào nó), tiền điện tử toàn đĩa vẫn bảo vệ tốt chống lại bất kỳ ai khác bẻ khóa nó (ví dụ như đối thủ của bạn hoặc một tên trộm ngẫu nhiên).

Như một phần thưởng, mã hóa giúp loại bỏ việc rình mò thông thường: nếu bạn quên máy tính xách tay (tắt nguồn) ở đâu đó, một người gần như trung thực có thể quyết định duyệt qua các tệp của bạn trước khi trả lại cho bạn, chỉ vì tò mò. Có một câu tục ngữ nói rằng "hầu hết các khóa được tạo ra để giữ cho những người trung thực trung thực"; khóa mạnh sẽ làm điều đó, và cũng giữ cho những người thực sự độc hại ra đủ lâu.

Piskvor rời khỏi tòa nhà
nguồn
Một điều xảy ra với tôi khi ký hợp đồng với một công ty tài chính: Máy tính xách tay do công ty tôi phát hành được mã hóa toàn bộ đĩa, khi một phần mềm cài đặt vặn nó lên để nó không khởi động. Vì vậy, không có cách nào để truy cập bất cứ thứ gì trên Windows, vì nó sẽ không khởi động hoặc độc lập, vì nó đã được mã hóa và dân IT không thể tìm ra cách nào để loại bỏ dữ liệu. Có một yêu cầu là bất kỳ máy tính xách tay hoặc đĩa nào được rút ra đều cần phải lưu trữ tất cả dữ liệu, vì vậy chúng không thể xóa và khôi phục. Tôi không biết làm thế nào họ giải quyết nó.
David Thornley
1
@David Thornley: Than ôi, S ** t Xảy ra. Công ty đã có một chính sách dự phòng, tôi sẽ đoán? . , nhưng không thực sự là một sự xuất hiện hàng ngày; một cái gì đó bao gồm trong kế hoạch khôi phục của bạn. (Tôi cũng cho rằng bạn không chạy như một người dùng đặc quyền trong hoạt động hàng ngày))?
Piskvor rời khỏi tòa nhà
Tôi đã không cài đặt; đó là một điều được hệ thống thúc đẩy trong một đêm, và có lẽ nó đang chạy với tư cách quản trị viên, và trở lại vào thời đó, các nhà phát triển đã chạy với tư cách quản trị viên như một lẽ đương nhiên. Phần mềm đang được cài đặt là, IIRC, một phiên bản của Visual Studio, thường là một bản cài đặt khá vô hại, nhưng rõ ràng có thứ gì đó đã bị hỏng. Không có dữ liệu quý giá trên máy tính xách tay, mọi thứ đều được cài đặt sẵn và các công việc thực tế của tôi đã được thực hiện trên một hộp khác. Nếu không tuân thủ các quy định, CNTT có thể bị xóa sổ và tái tạo lại và tất cả sẽ ổn.
David Thornley
2

1: mật khẩu "yếu" không phải là vấn đề thực sự. Mọi người không đến các văn phòng và vũ phu tìm đường vào máy móc. Vấn đề thực sự là: 1) kỹ thuật xã hội, hoặc 2) logger bàn phím; cả hai đều khiến mật khẩu "mạnh" trở nên vô dụng. Dạy cho những người ít kỹ thuật của bộ phận CNTT của bạn về hai điều đó, cách phát hiện ra chúng và cách xử lý chúng, và bạn sẽ không gặp vấn đề gì.

2: Nếu ai đó có đĩa mã hóa của bạn trong tay họ, việc mã hóa nó không thành vấn đề. Họ có thể lấy dữ liệu. Đó chỉ là vấn đề giá trị của dữ liệu đối với họ. Nếu bạn đang bảo vệ mã hạt nhân hoặc thuật toán tìm kiếm của Google, tôi sẽ tìm những người bảo vệ có vũ trang và quên mã hóa ổ đĩa.

orokusaki
nguồn
4
điểm 2: Trong khi bất cứ điều gì có thể bị ép buộc, không có nghĩa là nó có thể bị ép buộc trong vòng 10 năm. Đó là rất nhiều thời gian để dữ liệu trở nên lỗi thời và không thú vị. (NSA có thể bẻ khóa dữ liệu của bạn nhanh hơn, nhưng chuyên gia gián điệp công nghiệp tự xưng (thực ra là một tên trộm vừa đánh cắp đĩa của bạn ) sẽ giơ tay lên trong thất vọng và bỏ cuộc - đó là điểm) ba từ: phòng thủ theo chiều sâu . Tôi có ổ khóa trên cửa xe; điều đó không có nghĩa là tôi sẽ để chìa khóa đánh lửa vào - có nhiều rủi ro và các biện pháp bảo vệ cần phải bổ sung cho nhau.
Piskvor rời khỏi tòa nhà
Tôi đồng ý với Piskvor về điều này - vũ phu buộc mã hóa toàn bộ đĩa có thể không thực tế trong khung thời gian có thể sử dụng được. Nếu thứ gì đó có giá trị, họ sẽ dùng để đe dọa / tra tấn vật lý, v.v. - đó là lý do tại sao nếu nó có giá trị, bạn cũng cung cấp bảo mật vật lý ngoài mã hóa đĩa. Đó là một răn đe nghiêm trọng.
Rory Alsop
@Piskvor @ Rory Alsop - điểm tốt. Tôi đoán rằng tôi chỉ thấy mã hóa ổ đĩa đầy đủ như vậy gây bất lợi rằng tốt hơn hết là bằng chứng trước khi tôi lãng phí thời gian cho nó. Nhưng, nếu những gì tôi bảo vệ là rất có giá trị, thì đáng để bỏ thêm công sức để làm cho nó khó hơn một chút.
orokusaki
Vâng Tuy nhiên, chưa một tháng trôi qua trong năm nay mà một số công ty đã mất một máy tính xách tay không được mã hóa với dữ liệu nhạy cảm (ví dụ rất phong phú, hãy tìm kiếm tin tức cho một cái gần đây - những thứ tôi cung cấp trong I / 2011 có thể đã bị lãng quên khi bạn đọc nó) .
Piskvor rời khỏi tòa nhà
@Pan - Có bọn cướp ngoài kia. Tuy nhiên, tôi không để tất cả đồ đạc của mình vào một nơi an toàn, chỉ là những thứ quan trọng nhất (hộ chiếu, vàng, v.v.). Thay vào đó, tôi có bảo mật để giúp ngăn người khác truy cập vào tất cả đồ đạc của tôi. Điều này giúp tôi tránh khỏi tác dụng phụ của việc phải đi vào két để lấy cốc ra khi tôi muốn uống nước, hoặc quần khi tôi mặc quần áo vào buổi sáng. Tôi sử dụng một mật khẩu khó đoán để khóa an toàn, vì vậy những điều tôi quan tâm nhất ít có khả năng bị đánh cắp.
orokusaki
0

Thành thật mà nói, tôi không nghĩ có bất kỳ lý do nào cho việc không sử dụng FDE. Tôi đã sử dụng nó trong máy tính xách tay của tôi trong nhiều năm, thực tế không có vấn đề gì.

Tôi sử dụng mã hóa LUKS, một phần của Debian (trình cài đặt thậm chí sẽ thiết lập nó cho bạn).

Để giải quyết các mối quan tâm trong các câu trả lời khác:

  • nếu bạn quên mật khẩu, điều này có nghĩa là tất cả dữ liệu của bạn đều tốt như vậy, nhưng điều này chỉ có nghĩa là bạn cần giữ mật khẩu của mình được ghi ở nơi an toàn (hoặc bộ nhớ tốt). Quên không phải là một vấn đề lớn, bởi vì bạn phải gõ nó mỗi khi bạn khởi động.
  • mã hóa toàn bộ đĩa có thể làm cho chế độ ngủ / ngủ đông không thực tế Không có vấn đề. Giấc ngủ không bị ảnh hưởng, vì nội dung RAM được bảo tồn. Ngủ đông hoạt động ra khỏi hộp và ngủ đông đến một phân vùng trao đổi được mã hóa.
  • làm giảm hiệu suất Điều này là đúng, nhưng tác động là tối thiểu trong hoạt động bình thường. Nó chỉ đáng chú ý nếu cả I / O CPU được tối đa hóa. Tình huống duy nhất tôi nhận thấy là trong quá trình mã hóa video, và thậm chí sau đó chi phí chỉ khoảng 10%.
  • bất kỳ mã hóa nào cũng có thể bị bẻ khóa Không có khả năng - nếu bạn chọn một cụm mật khẩu mạnh (nghĩa là một mật khẩu được tạo bởi một chương trình), thì (trong tương lai gần) sẽ không có cách nào để buộc nó.

Theo tôi, một máy tính xách tay với bất kỳ loại thông tin riêng tư nhẹ nào cũng phải luôn sử dụng FDE. Máy tính xách tay quá dễ bị mất hoặc bị đánh cắp.

sleske
nguồn
Giải pháp dễ dàng cho vấn đề "quên cụm mật khẩu": Cài đặt hai khóa, với các cụm mật khẩu khác nhau (cả hai mạnh). Bạn rất khó có thể quên cả hai cùng một lúc.
tdammers
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.