¿Un disco duro encriptado en un disco completo en un sistema en vivo debe considerarse cifrado en reposo?

12

Si está especificando los requisitos de que cierta clasificación de datos se cifre mientras está en reposo (en el almacenamiento), si se considera que se cumple el requisito si los datos se almacenan en un sistema activo (encendido) donde todos los medios de almacenamiento tienen disco completo cifrado?

El almacenamiento está encriptado y estará protegido si el sistema está apagado (ignoremos por el momento los ataques maliciosos de mucama o congelando la memoria para capturar la clave); sin embargo, mientras el sistema está encendido, los datos están en riesgo debido a la posibilidad de registradores clave, malware u otra exposición que puede resultar de problemas de seguridad causados por el hecho de que el sistema está simplemente activo.

Por ejemplo, si una computadora portátil tiene cifrado de disco completo y está encendida o está en modo de hibernación o suspensión, ¿deberían considerarse los datos encriptados? Esto tiene implicaciones para proteger los datos en el front-end y las consideraciones en los informes de violación de datos. Si un ladrón robó un sistema que no está totalmente apagado, puede que no sea posible obtener acceso interactivo directo debido a las restricciones de contraseña y los bloqueos de fuerza bruta, pero puede haber ataques a la red o al hardware que podrían permitir la explotación remota para obtener acceso local , y por lo tanto a los datos "encriptados".

Un caso más claro de encriptación en reposo sería desmontar un contenedor de encriptación o almacenar el archivo en un archivo zip encriptado (por supuesto, utilizando un algoritmo fuerte, como AES frente a la protección de contraseña más débil en los archivos zip básicos). Más obvio sería eliminar el disco duro o los medios conectados por USB donde se almacenan los datos. Debido a que los datos tendrían que estar activamente sin cifrar, esto parecería cumplir completamente los requisitos para el cifrado en reposo.

Por lo tanto, ¿qué factores deberían considerarse si se evalúa el cifrado completo del disco como el cumplimiento de los requisitos de datos de cifrado en reposo?

    
pregunta Eric G 31.03.2013 - 06:15
fuente

5 respuestas

9

Al menos para mi empresa, el cifrado de disco completo no se considera adecuado para los requisitos de "datos en reposo", ya que en un sistema en vivo se puede acceder a los datos sin proporcionar una clave o cualquier información de autenticación adicional. Al confiar en FDE, si un atacante pudo ingresar, en ese punto es extremadamente fácil robar datos, y hacerlo de manera rápida ya que no se requiere ningún otro conocimiento.

Requerimos que todos los datos en reposo estén encriptados con AES (por varios medios) o por medio de PGP, sin importar el uso de FDE. De este modo, el simple acceso a un sistema en ejecución no es suficiente para recuperar datos protegidos; se requieren conocimientos adicionales (contraseñas, claves).

Necesitamos FDE en cualquier sistema que abandone nuestras instalaciones, pero más para proteger la información auxiliar que podría ayudar a un atacante (correo electrónico, notas, etc.) o cualquier información almacenada en violación de la política.

    
respondido por el Adam Caudill 31.03.2013 - 08:27
fuente
6

En general, el término "en reposo" es un complemento de "en tránsito", y los datos generalmente se especifican en un estado u otro. Los datos "en tránsito" se comunican activamente, generalmente a través de una red en algún lugar. Los datos "en reposo" se colocan en un disco duro o en la memoria RAM, generalmente dentro de un límite relativamente seguro.

La razón por la que hacemos estas distinciones es que facilita la clasificación de los requisitos de seguridad para los datos. Lo que se aplica a los datos en tránsito no necesariamente se aplica a los datos en reposo. Por ejemplo, desea un cifrado de extremo a extremo (por ejemplo, SSL) para transmitir una contraseña a un servidor, pero desea el hashing (por ejemplo, bcrypt) para almacenar esa contraseña en el disco en el servidor.

Por lo tanto, una regla general para decidir es "¿Estoy guardando los datos, o estoy comunicando los datos?" En el caso del 99% de los esquemas de cifrado de unidades, debe considerarse que está en reposo.

    
respondido por el Polynomial 31.03.2013 - 13:01
fuente
5

La clasificación de los datos como "en reposo" o "en tránsito" es solo una herramienta generalmente conveniente para el análisis de riesgos; pero no hay una regla que establezca que los datos sean necesariamente 100% en reposo o 100% en tránsito, con una separación limpia. El Señor no se elevó a través de los cielos "dejó que los datos en reposo y los datos en tránsito se separaran". Las categorías son una creación humana que no puede pretender la universalidad.

En lo que es útil pensar, cuando se trata de cifrado, es quién tiene el poder de descifrar, que a menudo se escurre en el paradero de las claves . Los datos "en reposo" son datos a los que se accederá más adelante, sin limitación arbitraria de los "más adelante", por lo que las claves de descifrado deben deben almacenarse de forma permanente (el almacenamiento puede ser una tarjeta inteligente, un cerebro humano, un archivo en un teléfono inteligente, un pedazo de papel ... pero existe en una forma tangible). Por otro lado, los datos "en tránsito" están destinados a ser descifrados casi inmediatamente, por un sistema que tiene la clave de descifrado solo en RAM y olvidará esa clave casi inmediatamente después, haciéndola inmune a los ocultos. robo de llaves En esa vista, un disco cifrado es siempre "datos en reposo". Pero, con la misma definición, una conexión SSL es también "datos en reposo", a menos que se use un conjunto de cifrado "DHE", en cuyo caso se convierte en "datos en tránsito" (debido a secreto hacia adelante perfecto ).

Otra vista sobre el tema es que los datos se protegen adecuadamente cuando están "en reposo" si están cifrados con una clave que no está almacenada en el mismo sistema. Su computadora portátil con un disco encriptado cumple este requisito si (y solo si) se apaga: la clave de descifrado es la contraseña, que está en la cabeza del usuario humano, no en la computadora portátil. Si la computadora portátil está encendida, entonces no está "correctamente asegurada" (aún "en reposo", sin embargo).

    
respondido por el Tom Leek 31.03.2013 - 16:30
fuente
3

El cifrado completo del disco no es realmente el cifrado de datos en reposo. Los datos están en reposo cuando se encuentran en el disco duro, pero solo se cifran en una situación de FDE cuando la unidad está fuera de línea. Mientras tenga la unidad montada para acceder, el cifrado completo del disco no lo protege. FDE es bueno para las unidades robadas, no hace nada contra hackers o malware con acceso al sistema en vivo.

    
respondido por el Rod MacPherson 29.08.2013 - 20:30
fuente
0

Depende de tus definiciones. "en reposo" v.s. "en tránsito" no tiene ningún significado sin un modelo de amenaza específico.

@Polynomial sugiere que "en reposo" significa que los datos no están cruzando un límite hacia un espacio menos seguro, es "seguro". Pero @Adam y @Tom sugieren que un sistema de archivos montado no es tan "seguro" porque las claves están en la RAM, un lugar menos seguro que su cerebro o un HSM. Es vulnerable a cualquier ataque que pueda revelar claves de cifrado almacenadas en la RAM. (La mayoría de estos requieren acceso físico.)

Si está trabajando en una computadora portátil en un hotel en San Diego, con la esperanza de llegar a Chile mañana, y le preocupa que el FBI rompa su puerta, los datos están definitivamente "en tránsito". Trabajar en la misma computadora portátil encerrada en una jaula TEMPEST sin acceso a la red después de llegar a Chile es "en reposo".

Considere estos ataques que puede usar el FBI:

Busca "volcado de memoria Firewire". Me imagino que esto es posible con cualquier dispositivo que pueda hacer grandes bloques de DMA. JTAG podría proporcionar un acceso similar a algunos dispositivos.

QubesOS intenta usar IO / MMU para detener esto, pero el soporte es irregular en el hardware actual. Tails tiene una función de apagado de emergencia que debe borrar rápidamente la memoria RAM cuando se presiona una determinada combinación de teclas o se extrae la unidad USB. Esto parece ser un área de investigación activa y puede que no siempre sea confiable.

    
respondido por el Terrel Shumway 28.08.2013 - 22:02
fuente

Lea otras preguntas en las etiquetas