ハードウェアベースの FDE に関する質問/懸念

ハードウェアベースの FDE に関する質問/懸念

私の質問基本的には次のようになります。特にセキュリティ監査の観点から、ハードウェアベースのフルディスク暗号化に関する人々の経験はどのようなものでしょうか。

より詳しい情報: 私が特に注目しているのはシーゲイト モメンタス FDE運転するウェーブのエンバシースイート (他の自己暗号化ドライブ (SED) やソフトウェア スイートの使用経験がある場合は、ぜひご意見をお聞かせください。)

事実: 自己暗号化ドライブ(設定されているもの)は、電源がオフになると(コンピュータのシャットダウンや休止状態、またはプラグを抜くだけで)、自動的にロックされます。ドライブ上のデータにアクセスするには、パスワード、トークンなどが必要です。ドライブ上のデータ自体は暗号化されています(通常はAES-128)。ただし、再起動しても、ユーザーはドライブの再認証を行う必要はありません。

Waveからの回答は、ユーザーがスタンバイモードを選択した場合でも、Windows搭載のDellシステムでは休止状態モードを強制するとのこと。しかし、私は次の攻撃シナリオ:

  1. マシンの電源がオン* (ユーザーが画面をロックして少しの間その場を離れた場合など)で、
  2. 誰かがノートパソコンを盗み(電源を入れたまま)、そして
  3. ブート ディスクまたはブート可能な USB スティックを使用してマシンを再起動します。

論点先取:BIOS のブート シーケンスを変更し、BIOS セットアップをパスワードで保護する以外に、攻撃の手段を軽減する方法はありますか?

* 実行中のオペレーティング システムには、ネットワーク経由のシステム サービスに対するバッファ オーバーフロー攻撃など、他にも多くの脆弱性が存在することは承知していますが、特に自己暗号化ドライブが普及するにつれて、単純にブート ディスクを使用する (前述のように) よりも、その攻撃手段の可能性は低くなると思います。

答え1

Wave からこの質問に対する適切な回答が得られなかったため、私たちはラップトップに BitLocker を選択しました。また、同じシナリオはベンダー固有ではない可能性が高いと考えました。

答え2

BIOS セットアップをパスワードで保護し、ブート シーケンスから CD ドライブと USB キーを削除することもできます。

そうすれば、BIOS パスワードをクリアするためにコンピューターをオフにする必要があり (マザーボード上のピンをジャンプさせる)、HD からロックアウトされてしまいます。

関連情報