全盘加密:是否可以将密钥与特定的 BIOS/笔记本电脑绑定?

全盘加密:是否可以将密钥与特定的 BIOS/笔记本电脑绑定?

我所在的公司配备有 FDE 驱动器,即在运行过程中加密数据的驱动器,这样在笔记本电脑被盗的情况下,无法通过移除硬盘驱动器来检索任何数据。虽然这可以保护我们免受恶意外部人员的攻击,但恶意员工仍然可以将驱动器切换到他们拥有的计算机(他们控制该计算机的 BIOS),并在操作系统中为自己启用 root/管理员权限。

简而言之,解决这个问题的方法是将(部分)加密密钥保存在 BIOS 中,这样另一台计算机就无法解密驱动器。有没有办法做到这一点,或者其他组织如何处理这种安全风险?

答案1

我认为你应该看看 TPM(可信平台模块) 解决方案。它们被内置于大多数专业笔记本电脑系列中。

这篇文章明确提到了解决方案 - 磁盘加密

有限数量的磁盘加密解决方案支持 TPM。这些实现可以使用 TPM 包装解密密钥,从而将硬盘驱动器 (HDD) 绑定到特定设备。如果将 HDD 从该特定设备中移除并放入另一个设备,解密过程将失败

相关内容