BT danışmanı ne zaman tam disk şifrelemesi kullanmalıdır?

9

BT Danışmanı hangi koşullarda, müşterilerinin kodlarını / verilerini korumak için sabit disklerini şifrelemelidir?

İş yükünüze fazla bir şey eklemezse, en azından birinin dizüstü bilgisayarınız çalınsa bile e-posta dosyalarınıza ve diğer belgelerinize erişmesini önlemek için 'zayıf' parola ile tam disk şifrelemesini kullanabileceğinizi düşünüyorum. herhangi bir veritabanı dosyasına veya diğer çok hassas verilere erişemez.

security 
John Fischer
kaynak
3
Şifrelenmiş birimler oluşturmak için TrueCrypt gibi bir şey de kullanabilirsiniz. Bu nedenle, tüm sürücüyü şifrelemek yerine, hassas bilgileri depolamak için kullanabileceğiniz 'sanal' sürücüler oluşturur. Bunu çalınması durumunda, kaynak kodum ve dizüstü bilgisayarımdaki dokümanlar için yapıyorum.
GrandmasterB
3
Maalesef şifrelenmiş birimlerin kırılması, genellikle Evil Maid saldırısı ( schneier.com/blog/archives/2009/10/evil_maid_attac.html ) gibi bir şey gerektiren tam disk şifrelemesinden çok daha kolaydır. bellekte veya geçici alanda anahtar! Dizüstü bilgisayarınızdaki veriler son derece hassassa uygulamanızı iyi kontrol edin!
Rory Alsop
@Rory Alsop: Şifrelenmiş birimler IMO'dur, güvenlik ve kullanılabilirlik arasında makul bir dengedir - taşınabilir (örneğin Dropbox'ta 200 MB TC birimi), gerçekten gizli olmayan (ancak tamamen herkese açık olmak istemeyeceğiniz) veriler için yararlıdır. Başka bir deyişle, hiç şifrelemeden biraz daha iyi - bazı senaryolar için yeterli olabilir .
Piskvor binadan

Yanıtlar:

11

Tam disk şifrelemenin iyi olduğunu kabul ediyorum, özellikle de bir dizüstü bilgisayarınızda hassas verileriniz varsa (muhtemelen). Yani, yeni dizüstü bilgisayar modelleri çok hızlı olduğu için, " her zaman " diyebilirim .

Bununla birlikte, uyarılar var:

  • şifrenizi unutursanız, bu, tüm verilerinizin gittiği kadar iyi olduğu anlamına gelir (şifreyi tekrar hatırlayana kadar).
  • (sonuç: "şifreyi kurtar" seçeneği olan herhangi bir şifreleme çözümü, şifreleme değil, muhtemelen yılan yağıdır)
  • Zayıf şifreler == hiçbir koruma (düldülün-İşçileri muhtemelen bilgisayarınıza girmeye çalışan, ancak bir çalıntı dizüstü bilgisayarın veri değerinde biraz para da olabilir; artı, pasaportlar ifadeler oldukça güçlü ve hatırlanması kolay)
  • tam disk şifrelemesi imkansız değilse uyku modunu / hazırda bekletme modunu kullanışsız hale getirebilir (kullanmayı planladığınız ürünü kontrol edin)
  • bazı verilere ek konumlardan erişilebilir (örneğin, e-postalarınız bir sunucuda depolanabilir ve bir kopyası bilgisayarınızda yerel olarak saklanabilir)
  • tam disk şifreleme büyülü pixie tozu değildir - diğer saldırı vektörlerine karşı güvenlik sağlamaz, yine de bunları ayrı ayrı ele almanız gerekir (yedeklemeler, antivirüs, güvenlik duvarı, kimlik avı koruması, sosyal mühendislik, kauçuk hortum kriptanalizi )

Şifreleme verilerini muhafaza etmenin bir yolu olarak görülmesi gerektiğini Not sonsuza gelen herkes hedefine sadece saldırı yapmak için yeterince uzun bir saldırganı geciktirmek için - ilginç . Güçlü şifreleme ile, saldırganın kaba kuvvetle verilere ulaşması yıllar alabilir, bu noktada veriler o kadar eski ki işe yaramaz. Her ne kadar Ulusal Güvenlik Ajansı (veya benzer şekilde güçlü bir varlık) şifrelemeyi çok daha hızlı kırabilse de (çok büyük miktarda hesaplama gücü atabileceğinden), tam disk kripto, onu kıran herkese karşı hala iyi bir koruma sağlar (örneğin, rakipleriniz veya rastgele bir hırsız).

Bonus olarak, şifreleme sıradan gözetlemeyi ortadan kaldırır: (kapalı) dizüstü bilgisayarınızı bir yerde unutursanız, neredeyse dürüst bir kişi, size geri dönmeden önce dosyalarınıza göz atmaktan önce göz atmaya karar verebilir. "Dürüst insanları dürüst tutmak için çoğu kilit yapılır" diyen bir atasözü vardır; güçlü kilitler bunu yapar ve aynı zamanda gerçekten kötü niyetli insanları yeterince uzun süre dışarıda tutar.

Piskvor binadan ayrıldı
kaynak
Bir finansal şirket için sözleşme yaparken başıma gelen bir şey: Şirket tarafından verilen dizüstü bilgisayarım tam disk şifreli, bir yazılım yüklemesi berbat olduğunda önyükleme yapmazdı. Bu nedenle, Windows üzerinden herhangi bir şeye erişmenin bir yolu yoktu, çünkü önyüklenmeyecek veya bağımsız olarak şifrelenmiş olduğu için ve BT çalışanları verileri çıkarmak için herhangi bir yol bulamadılar. Tüm verilerin arşivlenmesi için herhangi bir dizüstü bilgisayarın veya diskin çıkarılması gerektiğinden, yalnızca silip geri yükleyemezlerdi. Nasıl çözdüklerini bilmiyorum.
David Thornley
1
@David Thornley: Alas, S ** t Olur. Şirketin bir yedekleme politikası vardı, sanırım? (ve IMHO son kullanıcı, önyükleyici ve / veya sistem içleriyle o kadar derin bir şekilde karıştırılması gereken bir yazılım kurmaz ki, onları bozabilir, bu da bir sürücü arızası yakınında bir yerde sıralanmalıdır: nadir değil , ama gerçekten günlük bir olay değil; kurtarma planlarınıza dahil edilecek bir şey.
Piskvor
Kurulumu yapmıyordum; Bu bir gece sistem tarafından zorlanan bir şeydi ve muhtemelen yönetici olarak çalışıyordu ve o günlerde geliştiriciler elbette yönetici olarak koştular. Yüklenen yazılım, normalde oldukça zararsız bir kurulum olan Visual Studio'nun bir sürümü olan IIRC'ydi, ancak açıkçası bir şey bozuldu. Dizüstü bilgisayarda değerli veriler yoktu, her şey önceden yüklenmiş yardımcı programlardı ve gerçek çalışmam başka bir kutuda yapıldı. Yönetmelikler olmasaydı, BT silinebilir ve yeniden görüntülenebilirdi ve her şey yolunda olurdu.
David Thornley
2

1: "zayıf" şifreler gerçek bir sorun değildir. İnsanlar ofislere gelmiyor ve makinelere kaba kuvvet giriyorlar. Asıl mesele şudur: 1) sosyal mühendislik veya 2) Klavye kaydediciler; her ikisi de "güçlü" bir parolayı işe yaramaz hale getirir. BT departmanınızın bu iki şey, onları nasıl tespit edeceğiniz ve nasıl ele alacağınızla ilgili daha az teknik kişilere öğretin ve sorun yaşamayacaksınız.

2: Birisi şifreli diskinizi ellerine alırsa, şifrelenmesi önemli değildir. Verileri alabilirler. Bu sadece verilerin kendileri için ne kadar değerli olduğu meselesi. Nükleer kodları veya Google'ın arama algoritmasını koruyorsanız, silahlı korumalara gider ve sürücü şifrelemesini unuturdum.

orokusaki
kaynak
4
2. nokta: Bir şey kaba zorla alınabilse de, 10 yıl içinde kaba zorla olabileceği anlamına gelmez. Verilerin modası geçmiş ve ilgisiz hale gelmesi için çok zaman var. (NSA hızlı veri çatlayabilir, ancak kendi kendini ilan endüstriyel casusluk uzmanı (sadece çalmak oldu aslında bir hırsız sizin diski) hayal kırıklığı içinde ellerini yukarı atmak ve vazgeçeceğini - nokta olan) noktası 1 gelince, üç kelime: derinlemesine savunma . Arabanın kapılarında kilitlerim var; Bu, kontak anahtarını bırakacağım anlamına gelmez - birden fazla risk vardır ve korumaların birbirini tamamlaması gerekir.
Piskvor binadan ayrıldı
Bu konuda Piskvor'a katılıyorum - kaba disk tam şifrelemeyi kullanılabilir bir zaman diliminde kullanamaz. Bir şey bu kadar değerliyse, fiziksel korkutma / işkence vb. İçin gideceklerdir - bu yüzden bu kadar değerliyse, disk şifrelemesine ek olarak fiziksel güvenlik de sağlarsınız. Ciddi bir caydırıcıdır.
Rory Alsop
@Piskvor @ Rory Alsop - iyi bir nokta. Sanırım tam disk şifrelemeyi böyle bir zarar verici olarak görüyorum ki üzerinde zaman harcamadan önce tam kanıt olmalıydı. Ancak, koruduğum şey çok değerli ise, onu biraz daha zorlaştırmak için ekstra çaba sarf etmeye değer.
orokusaki
Evet. Yine de, bu yıl hassas verilerle şifrelenmemiş bir dizüstü bilgisayarı kaybetmeden bu yıl bir ay geçmedi (örnekler bol, son zamanlarda haber arayın - I / 2011'de sağladığım bilgiler bunu okuduğunuzda zaten unutulmuş olabilir) .
Piskvor
@Pan - Dışarıda soyguncular var. Ancak, tüm eşyalarımı güvenli bir yere koymuyorum, sadece en önemlilerini (pasaport, altın, vb.). Bunun yerine, birinin tüm eşyalarıma erişmesini önlemeye yardımcı olacak güvenliğim var. Bu beni su istediğimde bir fincan almak için kasaya gitmek zorunda kalmanın yan etkisinden ya da sabah giydiğimde pantolondan kurtarıyor. Kasayı kilitlemek için tahmin etmek zor bir şifre kullanıyorum, bu yüzden en önem verdiğim şeylerin çalınması daha az olası.
orokusaki
0

Açıkçası, herhangi bir bahane sanmıyorum değil FDE kullanarak. Dizüstü bilgisayarımda yıllarca kullanıyorum, neredeyse hiç sorun yaşamadım.

Debian'ın bir parçası olan LUKS şifrelemesini kullanıyorum (yükleyici sizin için bile ayarlayacaktır).

Diğer cevaplardaki endişeleri gidermek için:

  • parolanızı unutursanız, bu, tüm verilerinizin Doğru olduğu kadar iyi olduğu anlamına gelir, ancak bu yalnızca parolanızı güvenli bir yerde (veya iyi bir bellekte) tutmanız gerektiği anlamına gelir. Unutmak pek sorun değil, çünkü her önyüklemenizde bunu yazmak zorundasınız.
  • tam disk şifrelemesi uyku modunu / hazırda bekletme modunu pratik hale getirebilir Sorun yok. RAM içeriği korunduğu için uyku etkilenmez. Hazırda bekletme modu kutudan çıkar çıkmaz çalışır ve şifreli bir takas bölümünde hazırda bekletme moduna geçer.
  • performansı azaltır Bu doğrudur, ancak normal çalışmada etki minimumdur. I / O hem eğer fark edilebilir ve CPU limiti aşılmış edilir. Fark ettiğim tek durum video kodlama sırasında ve o zaman bile ek yük sadece yaklaşık% 10.
  • herhangi bir şifreleme kırılma olasılığı düşüktür - güçlü bir parola (örneğin bir program tarafından oluşturulan) seçerseniz, (öngörülebilir gelecekte) kaba kuvvet uygulamanın bir yolu yoktur.

Bence, her türlü özel bilgi bile olmayan bir dizüstü bilgisayar her zaman FDE kullanmalıdır. Dizüstü bilgisayarlar çok kolay kaybolur veya çalınır.

sleske
kaynak
"Parolayı unuttum" sorununa kolay çözüm: Farklı parolalarla (ikisi de güçlü) iki anahtar takın . İkisini de aynı anda unutmanız pek olası değildir.
tdammers
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.