我正在考虑这种设置:
- 两个带有 SED(自加密驱动器)的 SSD,
- 在软件 RAID 镜像中,
- linux(或者 grub?)使用影子主引导记录中的一个密码解锁两个磁盘
我已经在 sw raid 上实现了全盘加密,其中生成的 raid 映像是加密的 luks 容器。我对此很满意,因为它最大限度地减少了未加密的表面。它工作得很好,但也有一些缺点:首先,我要输入两次密码 - 一次用于 grub,一次用于 linux 内核。其次,加密密钥可能在内核内存中的某个地方浮动。
使用 SED,我希望实现以下目标:为两个驱动器保留相同的密码,以便可以同时解锁两个驱动器。一旦解锁,就不需要其他密码了。内存中没有加密密钥,它们由 SED 包含/保护。
有人做过这个或部分吗?你会推荐这个吗?你的经验和程序是什么?
答案1
加密过程中有很多方法可能导致错误,我读到过一个 SED 驱动器,它基本上以纯文本形式将密码存储在驱动器上(更多内容见下文)。
睡眠和冬眠有时也会给 LUKS 带来麻烦。
我不知道在哪里可以找到好的制造商,无论如何,几乎所有驱动器都可能由两家公司生产,可能在亚洲(三星?现在是 WD?)
查找三星和硬盘时,我在维基百科上找到了这个简洁的列表和图形已停产的硬盘制造商列表
固态硬盘制造商列表显示近 80...至少在 2013 年,5 家最具影响力的企业闪存存储公司分别是英特尔、美光科技、三星、Sandisk 和东芝。
无论如何,西部数据页面指向 Vice 上的这篇有趣的文章:
一些流行的“自加密”硬盘的加密效果非常糟糕
“由于西部数据方面的一系列失误,硬盘的安全性实际上非常薄弱。”
最严重的问题在于加密密钥的生成方式。“[西部数据] 使用 C rand() 函数来生成密钥,而众所周知,该函数在加密方面并不安全,”他写道。Rand() 是一个非常简单的命令,用于返回伪随机数,无法生成足够强的密钥来确保数据安全。
除此之外,密钥以 32 位格式记录创建时间。“这意味着,窃取您驱动器的攻击者无需花费数十亿年的时间才能破解密钥,只需一台 PC 即可在短时间内猜出密钥。”
经过所有这些,我们发现有些型号还是会将密码存储在硬盘上。这意味着攻击者甚至不需要你的密码就可以侵入设备。
除此之外,还有 BIOS 需要考虑,我还没有读到关于 SED 存在任何严重安全问题的文章。也许坚持使用经过良好测试的软件加密(如 LUKS)会更安全(至少在更多 SED 驱动器经过测试并确认安全之前)。如果 SED 驱动器允许 Linux 在驱动器上写入和运行自己的代码,那就太好了……)。
[开始只是一条评论但有点过了]