¿Existen fallas conocidas en el cifrado completo del disco en las unidades SSD Intel serie 520?
Específicamente, parece que estas unidades generan automáticamente una clave AES interna, incluso cuando no se establece una contraseña. Pero, ¿se utiliza realmente la contraseña ATA (también conocida como "contraseña de BIOS HDD") para cifrar la clave AES interna, o esa clave interna está almacenada en texto sin formato?
Intentaré responder a tu pregunta de la manera más específica posible.
Me contacté con el soporte técnico de Intel para hacerles exactamente esta pregunta: ¿Está la clave AES en el procesador Intel 520 encriptado con la contraseña ATA? Después de semanas de ida y vuelta, finalmente recibí una confirmación explícita de ellos. Cito:
Sí, la contraseña ATA se utiliza para cifrar los almacenes de claves de cifrado en el SSD. En otras palabras: las claves de cifrado dependen de la contraseña ATA Para descifrarlos. La contraseña ATA no se utiliza en combinación con el Claves de cifrado para cifrar los datos.
También encontré este documento técnico de Intel enlace que afirma lo siguiente:
Cómo funcionan las unidades de autocifrado (SED): SED, como el SSD Intel® La serie 320 y la serie SSD 520 de Intel® tienen una unidad ... Porque la La clave de cifrado del disco se cifra con ATA (Advanced Technology Adjunto) contraseñas
Resumí la mayoría de mis descubrimientos sobre SSD de SED en esta publicación del blog: enlace
Leí dos preguntas:
Para abordar la primera pregunta sobre "qué tan seguro" es ... Como con cualquier seguridad, la respuesta es siempre relativa. El cifrado en disco (hardware) basado en sectores es órdenes de magnitud más seguro que la seguridad de datos basada en software. ¿Por qué? Acceso.
Trabajé en una compañía de software de seguridad de datos durante varios años que tenía algunos de los mejores hackers de root-kit y Windows NTFS del mundo. Después de muchos intentos, establecieron y admitieron que el cifrado basado en hardware / disco / sector era mucho más seguro (y menos complicado) que el software. El software puede ser evitado y engañado, especialmente en la parte inferior de la pila que recibe (hasta el BIOS). El cifrado basado en hardware de Intel y otros está basado en dispositivos y, como tal, ni siquiera estoy al tanto de un hackeo de BIOS que pueda obtenerlo.
Las organizaciones militares y de datos secretos regularmente requieren cifrado basado en disco para remediar el problema del "ordenador portátil robado". Además de eliminar las unidades de disco y colocarlas en una caja fuerte a prueba de incendios (como lo hacen algunas organizaciones), el cifrado basado en dispositivos de Intel y otros es probablemente la mejor manera de salvaguardar los datos [por completo].
No he leído ninguna falla en el diseño de tales implementaciones y sospecho que si se encontraban en la naturaleza sería un gran titular. El NIST y otros grupos respaldan y alientan firmemente el uso de esta tecnología para garantizar la seguridad de los datos.
La mayoría de los dispositivos que utilizan cifrado AES de 256 bits o más se consideran "seguros" porque la longitud de los bits es lo suficientemente larga como para mantener a la computadora moderna ocupada durante años ejecutando el descifrado de fuerza bruta. El problema es la idea errónea de que una vez que se encripta un HD o SSD; La única forma de obtener acceso a los datos es a través de ataques de fuerza bruta. Hasta ahora, las respuestas a esta pregunta han sido exclusivamente teniendo en cuenta el lado de la vulnerabilidad del software / firmware del cifrado.
De hecho, es importante entender la correlación entre las contraseñas de FDE, BIOS y ATA, pero es más importante entender que los bloqueos solo mantienen fuera a las personas honestas. Un delincuente o un agente de la ley que quiera acceder a sus datos no pasará tiempo tratando de adivinar o forzar su contraseña. El hecho es que un registrador de llaves de hardware simple (disponible en el sistema que se instala entre el teclado y la computadora) comenzará a registrar las teclas al instante en que se aplica la segunda alimentación, independientemente de la ejecución del BIOS. Una configuración de prueba simple que consiste en un registrador de teclas, un teclado y una fuente de alimentación externa demostrará que el registrador captura los pulsos de teclas incluso sin estar conectado a una computadora.
Hay docenas de técnicas utilizadas para robar tu contraseña. Registradores de teclas, cámaras ocultas enfocadas en su teclado, phishing, escuchas ilegales, romperse el brazo, ingeniería social, hurgar en la basura. No se olvide de una citación a su ISP, proveedor de correo electrónico, banco, eBay, Paypal, compañía de tarjetas de crédito, etc. que requiera su contraseña en el archivo. También tenga en cuenta que hasta la fecha, todo el cifrado se puede detectar en todos los HD y SSD, incluso en Truecrypt. Esto significa que una vez que se determina que su unidad está encriptada; Usted puede ser obligado en el tribunal o mediante el descubrimiento para proporcionar su contraseña. Por supuesto, siempre tiene la opción de ejercer su derecho de Quinta Enmienda que puede o no protegerlo de la autoincriminación.
La pregunta "¿Qué tan seguro es el cifrado de SSD de Intel" no se puede responder solo considerando su cifrado AES de hardware? La seguridad de los datos es mucho más que el cifrado y nunca debe almacenar nada en una unidad que pueda incriminarlo, incluso temporalmente porque existen herramientas que pueden recuperar las cosas que elimine. Mantener su cifrado duro, mantenerlo en un lugar seguro, tener una contraseña única que no use en ningún otro lugar, no compartir su contraseña con nadie, conocimiento de la ingeniería social, revisión visual de su entorno de trabajo, una mirada atenta a su entorno para un ladrón, matón o investigador, y una inspección de rutina de su hardware para los registradores y demás aumentará en gran medida la seguridad de sus datos.
Lea otras preguntas en las etiquetas encryption aes storage