Вопрос или проблема
Я читал руководство Gentoo по полному шифрованию диска и не мог не обратить внимание на первую строчку:
Истинное полное шифрование диска не помогает в большинстве моделей угроз, и требует использования отдельного хранилища для хранения всех элементов, необходимых для загрузки.
Будучи человеком, который всегда использовал полное шифрование диска как в профессиональной, так и в личной практике, я вдруг почувствовал себя немного любителем. Я понимаю, что большинство угроз, угрожающих веб-приложениям, связано с принятием “недоверенных входных данных”, но я запутался, почему полное шифрование диска неэффективно в области, в которой оно применяется, например, для защиты физических устройств.
Для полного шифрования диска мы защищаемся от кражи физической инфраструктуры. Если устройство будет украдено, его содержимое недоступно атакующему, верно? Так почему это не помогает в большинстве моделей угроз? Или мое первоначальное предположение верно, что автор обсуждает, что полное шифрование диска не поможет в случае, если кто-то взломает сервер с полным шифрованием диска, пока он работает?
Единственная цель стандартного полного шифрования диска — защитить вашу систему, когда она выключена, в основном от физической кражи.
Во время загрузки обычно происходит одно из двух:
- Весь диск расшифровывается.
- Определяется ключ, который используется для расшифровки диска (например, когда файл открывается).
Это означает, что любое удаленное нападение на вашу систему, пока она активна, может получить доступ к любым расшифрованным данным или к ключу, использованному для расшифровки ваших данных, при условии, что у них есть соответствующие права.
Если, конечно, у вас нет настроек, требующих ввода пароля/фразы при каждом доступе к файлу или определенным файлам.
Ответ или решение
Полное шифрование диска (FDE) имеет свои ограничения и не всегда эффективно в большинстве моделей угроз. Хотя эта технология может значительно повысить уровень безопасности при физической уязвимости, таких как кража устройства, существуют важные аспекты, которые стоит учитывать.
Во-первых, FDE главным образом защищает данные, когда система выключена. Если устройство украдено, его содержимое становится недоступным для злоумышленника. Однако при этом важно понимать, что FDE не защищает данные во время работы устройства. Когда система запущена, шифрование не служит эффективным барьером для удаления данных или доступа к ним с помощью удалённых атак. Злоумышленник, имеющий доступ к работающей системе, может получить доступ к расшифрованной информации, если у него есть соответствующие привилегии.
Во-вторых, процесс шифрования и дешифрования данных приводит к тому, что любые данные, которые активно используются или находятся в памяти, могут быть уязвимы к атакам. Если злоумышленник получает доступ к устройству после его загрузки и аутентификации, он может извлечь расшифрованные данные, включая ключи шифрования, если таковые используются в незащищённом виде.
Третий аспект заключается в том, что FDE требует наличия отдельного хранилища для загрузочных компонентов (например, загрузочного ключа). Это может усложнить процессы восстановления и обслуживания системы, и в некоторых случаях может привести к потере доступа к данным, если ключ будет утерян.
В заключение, FDE обеспечивает высокий уровень защиты именно от физической кражи устройства, но не является панацеей в контексте всех моделей угроз, особенно тех, которые включают удалённый доступ к активной системе. Для повышения безопасности важно использовать дополнительные меры, такие как сетевые защиты, надежные аутентификационные схемы и мониторинг активности, чтобы снизить риски атаки на работающие системы.