假设你有一台笔记本电脑,并且你加密了整个硬盘。每次启动时都会要求输入密码,这意味着没有密码就没有人可以访问你的数据。另一方面,如果你的笔记本电脑在睡眠模式下被盗了怎么办?加密可以提供任何保护吗?
谢谢
答案1
一旦启动,加密密钥就会保留在内存中。如果他们真的想要,他们可以直接连接到主板并从内存中提取加密密钥。如果您已经加密了硬盘,我当然希望您将笔记本电脑设置为需要密码才能重新登录。如果您已经设置了(并且它是安全的),那么他们就无法运行程序来窃取密钥。此时他们有两个选择,尝试物理强制密钥出来(通过主板)或重新启动并希望它没有被加密。
如果您启用了硬盘加密,但没有帐户密码(或唤醒时没有询问),或者密码很弱且容易被猜到,那么硬盘加密对您没有太大帮助。
答案2
如果电脑被盗且密钥位于内存中,那么全盘加密就毫无用处。
我最喜欢的演示视频是在安全管上(很棒的资源); http://www.securitytube.net/Cold-Boot-Encryption-Attack-video.aspx
冷启动攻击演示和创造性攻击,涉及冷却内存、将其从笔记本电脑中移除、将其插入另一台笔记本电脑,以及读取其中的数据。不要幻想“断电后内存会立即丢失数据”。这是谬论;数据会逐渐丢失。
答案3
假设您的恢复设备(即交换设备)已加密,则休眠模式可以非常安全。从休眠状态恢复后,系统会要求您输入预启动密码。我试过了,它有效。也不容易受到冷启动攻击(嗯,在第一分钟左右之后就不容易了)。
睡眠模式不太安全;它在进入睡眠状态时不会将内存转储到交换区。它可以在一定程度上保证安全,因为您可以在恢复后要求输入密码才能解锁。但是睡眠模式容易受到冷启动攻击。对机器有物理访问权限的人可以找到密钥并获取您的数据。
因此,根据经验法则,提供您的恢复设备(通常是您的交换设备)是加密的并且需要预启动密码,并且该密码是安全的:
- 冬眠非常安全
- 睡眠(暂停到 RAM)不太安全
请注意,主目录加密(如 eCryptfs 提供的加密,Ubuntu 使用的加密)不会加密您的交换设备。并非所有所谓的“磁盘加密”都会加密您的交换设备。
注意:在 Windows 上,术语有所不同。您的恢复设备在 Windows 上是“休眠文件”,而您的交换设备是“页面文件”。但上述内容仍然适用:如果它们都经过加密,那么休眠应该是安全的。
答案4
请注意,加密并不总是与密码保护和安全存储相关联。您可以同时拥有加密和免费访问内容的权利。
例如我有一台 Thinkpad,众所周知,这种机器的 (Hitachi Travelstar) 驱动器会对内容进行加密,即使您没有激活“HDD 密码”保护,也无法以未加密的形式存储。每个单元都有一个唯一的加密密钥。
即使没有密码,好处是您只需更改加密密钥,内容就无法恢复,但磁盘可以重复使用或扔进垃圾箱。它现在是空的。这是一种在瞬间格式化的方法,无需使用符合国防部要求的扇区擦除和随机重写,以确保即使通过智能分析盘片上的磁场也无法恢复任何东西。
好吧,我不会惊讶于日立和类似制造商会秘密设置后门,但这对于普通罪犯来说是遥不可及的,你需要属于 MI5 才能使用它。而且通常你使用的 DOS 应用程序会一直发出哔哔声,其中每个字符都会出现大量垃圾十六进制代码,并且计算机上会随机闪烁大量深奥的警告灯。你还需要等待几次“访问被拒绝”才能成功,但幸运的是,下一次尝试没有超时。