Meine Fragelautet im Wesentlichen Folgendes: Welche Erfahrungen haben die Leute mit hardwarebasierter Festplattenvollverschlüsselung, insbesondere aus der Sicht der Sicherheitsprüfung?
Mehr Info: Ich betrachte insbesondere dieSeagate Momentus FDEfahren mitWaves Botschaftssuite (Wenn Sie Erfahrungen mit anderen selbstverschlüsselnden Laufwerken (SEDs) und/oder Software-Suiten haben, teilen Sie uns bitte ebenfalls Ihre Meinung mit.)
Fakten: Selbstverschlüsselnde Laufwerke (die konfiguriert wurden) werden automatisch gesperrt, wenn sie ausgeschaltet werden (Computer herunterfahren oder in den Ruhezustand versetzen oder einfach den Stecker ziehen). Ein Passwort, Token oder was auch immer ist erforderlich, um auf die Daten auf dem Laufwerk zuzugreifen, das selbst verschlüsselt ist (normalerweise AES-128). EinEin Neustart führt nicht dazu, dass sich der Benutzer erneut beim Laufwerk authentifizieren muss.
Die Antwort, die ich von Wave erhalten habe, ist, dass sie den Ruhezustand erzwingen (auf Dell-Systemen mit Windows), selbst wenn der Benutzer den Standby-Modus ausgewählt hat. Aber ich mache mir Sorgen über diefolgendes Angriffsszenario:
- die Maschine ist eingeschaltet* (z. B. wenn der Benutzer seinen Bildschirm sperrt und für einen Moment weggeht) und dann
- jemand stiehlt den Laptop (und lässt ihn eingeschaltet) und dann
- startet die Maschine mithilfe einer Bootdiskette oder eines bootfähigen USB-Sticks neu.
Wirft die Frage auf:Gibt es Möglichkeiten, diese Angriffslinie abzuschwächen, die über das bloße Ändern der Startreihenfolge im BIOS und das Kennwortschützen des BIOS-Setups hinausgehen?
* Mir ist bewusst, dass es in laufenden Betriebssystemen noch viele weitere Schwachstellen gibt, wie etwa Pufferüberlaufangriffe auf Systemdienste über das Netzwerk, aber ich halte diesen Angriffsweg für weniger wahrscheinlich als die einfache Verwendung einer Bootdiskette (wie oben beschrieben), insbesondere angesichts der zunehmenden Verbreitung selbstverschlüsselnder Laufwerke.
Antwort1
Wir haben uns für Bitlocker für unsere Laptops entschieden, weil wir von Wave keine gute Antwort auf genau diese Frage bekommen konnten und dachten, dass dieselben Szenarien wahrscheinlich nicht herstellerspezifisch sind.
Antwort2
Sie könnten das BIOS-Setup mit einem Passwort schützen und das CD-Laufwerk und den USB-Stick aus der Startreihenfolge entfernen.
Auf diese Weise müssten sie den Computer ausschalten, um das BIOS-Passwort zu löschen (überbrückende Pins auf der Hauptplatine), sodass ihr Zugriff auf die Festplatte gesperrt wäre.