it-swarm.com.de

Wie sicher ist die Hardware? Full Disk Encryption (FDE) für SSDs

Gibt es Untersuchungen darüber, wie sicher die Hardwareverschlüsselung von SSDs ist - zum Beispiel Samsung EVO 850? Oder zumindest Artikel, die erklären, wie es funktioniert?

17
kat

TL; DR: Verwenden Sie auf keinem Speichermedium Hardwareverschlüsselung, egal ob es sich um ein USB-Stick, eine Festplatte oder eine SSD handelt! Das ist eine wirklich sehr, sehr schlechte Idee!

Es ist bekannt, dass Hardwarehersteller Hintertüren eingebaut haben oder einfach nur sehr, sehr dumm sind, die Daten zu verschlüsseln. Dies geht so weit, dass sie nur den gleichen Schlüssel für alle ihre Geräte verwenden oder die Verschlüsselungsschlüssel unverschlüsselt herumliegen lassen und hoffen, dass niemand die Firmware so ändert, dass jemand auf sie zugreifen kann, ohne das Passwort zu kennen. Ich habe dies viel gehört und gelesen und kann Ihnen unmöglich meine tatsächlichen Quellen zeigen, aber hier ist ein Artikel, der bestätigt, was ich gerade behauptet habe .

Es ist auch bekannt, dass Hardwarehersteller gezwungen waren, die Verschlüsselungsstufe zu senken. Genauso wie ich das wie oben weiß und dieser Artikel bestätigt es.

Stellen Sie sich vor, was passiert, wenn Sie Hardwareverschlüsselung verwenden. Sie kaufen dieses magische Gerät von jemandem, der behauptet, dass nur Personen, die das Passwort kennen, auf die darauf gespeicherten Daten zugreifen können. Diese Person zeigt Ihnen nicht, wie es funktioniert. Sie können Sie auch anlügen (siehe Artikel im vorherigen Absatz), wobei Sie kaum eine Chance haben, es jemals herauszufinden. Sie haben keine Möglichkeit, diese Behauptungen zu überprüfen oder zu widerlegen.

Vertrauen Sie natürlich auch nicht der Softwareverschlüsselung durch Hardwarehersteller. Ich habe vor ungefähr 5 Jahren einen USB-Stick von SanDisk gekauft (habe ihn noch und habe ihn zuletzt vor einer Stunde benutzt), der mit einer "Verschlüsselungssoftware" geliefert wurde. Ich habe diese Verschlüsselungssoftware nie verwendet, nicht nur, weil sie gegen alle Standards verstößt, die man in Bezug auf die Verschlüsselung einhalten sollte (siehe letzter Absatz), sondern auch, weil ich nach sehr wenig Recherche herausgefunden habe, dass diese Software (die nur für MS Windows funktioniert, was selbst ein weiterer sehr guter Grund ist um es niemals zu benutzen) schreibt 1 oder 2 Zeichen (ich habe vergessen, ob es 1 oder 2 war, aber das spielt keine Rolle) in eine Datei, die es im Windows-Benutzerordner erstellt hat, wenn das richtige Passwort eingegeben wurde. Diese 1 oder 2 Zeichen zeigten der Anwendung, dass der Benutzer die Berechtigung hatte, auf die Dateien zuzugreifen. Wenn Sie einfach den richtigen Inhalt in die Datei geschrieben haben (was für alle Benutzer dieser Software gleich ist), können Sie auf die auf dem USB-Stick gespeicherten Daten zugreifen, ohne das Kennwort zu kennen. Also benutze das auch nicht.

Die Softwareverschlüsselung ist viel besser, da Sie als Benutzer steuern, welche Software verwendet wird. Sie können einen Blick darauf werfen, jemanden dafür bezahlen, wenn es allgemein verwendet wird (und sollte es auch sein!), Andere werden es sich sowieso ansehen, und wenn es offen entwickelt ist, gibt es Leute, die öffentlich darüber streiten, wie Es sollte so sicher wie möglich sein und diese Leute vertrauen sich nicht.

Darüber hinaus fällt es Ihnen leichter, die für die Verschlüsselung verwendete Software auszutauschen. Wenn Sie die Hardwareverschlüsselung verwenden, verwenden Sie, sobald Sie über die Hardware verfügen, die von der Hardware bereitgestellte spezifische Verschlüsselung. Sie werden nur ungern viel Geld ausgeben, um neue Hardware zu kaufen und die alte Hardware wegzuwerfen, selbst wenn sich herausstellt, dass es Sicherheitsprobleme gibt, weil "Es ist nicht das schlecht." und "Niemand wird mich sowieso angreifen." Sie hätten jedoch eine Software mit ähnlichen Fehlern herausgeschmissen und sie innerhalb eines Tages gegen eine andere ausgetauscht.

Verwenden Sie Verschlüsselungssoftware nur, wenn sie kostenlos ist und allgemein als sicher anerkannt ist. Damit es kostenlos ist, müssen Sie den Quellcode erhalten, wenn Sie das nicht wissen. (Nicht, dass es Open Source ist, ist nicht ausreichend.) Wenn Ihnen der Zugriff auf den Quellcode verweigert wird, vertrauen Sie niemals der Anwendung! Dazu gehört natürlich auch, dass Sie dem Schutz Ihrer Daten vor unbefugtem Zugriff nicht vertrauen. Wenn es nicht allgemein akzeptiert wird, sicher zu sein, ist es sehr wahrscheinlich, dass die Leute, die es erstellt haben, Fehler gemacht haben (man kann sehr viele Fehler bei der Verschlüsselung machen und muss sehr gute Arbeit leisten, um die Verschlüsselung sicher zu machen) oder sogar böswillig machte es unsicher, was beinhalten kann, überhaupt nichts zu verschlüsseln.

13
UTF-8