Kriptiranje cijelog diska se u praksi pokazuje kao dobro rješenje za sigurnost

Članak:

http://www.newscientist.com/blogs/onepercent/2011/11/digital-csi-teams-foiled-by-fu.html

Američki forenzičari otkrivaju kako imaju značajnih problema doći do dokaza kada osumnjičeni iste drže na kriptiranim diskovima – jedini način pristupa podacima jest ako se računalo zadrži upaljenim i na drugi način ne uzrokuje zatvaranje pristupa podacima.

Iako se za ovu namjenu može koristiti specijalizirani softver poput popularnog TrueCrypta moguće je da će kroz par godina svi diskovi dolaziti s bržom hardverskom kriptozaštitom. Popularni proizvođači već imaju takve diskove u ponudi, poput npr. Seagatea, Toshibae, Hitachija i drugih. Pažnju treba obratiti i na funkciju samobrisanja koju neki diskovi imaju.

Iako bi netko mogao očekivati da će sigurnosne agencije vršiti pritisak na proizvođače da ugrade “stražnja vrata” /backdoor/, treba imati na umu da je tehnika kriptozaštite takva da je stražnja vrata moguće ugraditi samo na jedan način: pohranom ključa kojim su podaci krptirani u nezaštićenom (ili slabo zaštićenom) obliku uz same kriptirane podatke. Ovo je ekvivalent instaliranja bankovnog sefa i onda čuvanja ključa u vazi prikladno smještenoj ispred sefovskih vrata i svodi cjelokupni proizvod na redikul. Stoga se tako nešto neće dogoditi (a kada bi neki proizođač i počinio takvu pogrešku, budni “hakeri” bi to mogli vrlo brzo razotkriti). Međutim, kod nabavke uređaja koji imaju mogućnost kriptiranja treba pažljivo provjeriti je li proizvođač napravio upravo takvu vrstu propusta, što nije nečuveno (npr. proizođač NAS-ova QNAP je ugradio mogućnost kripitranja u svoje uređaje, ali su zbog pritužbi korisnika koji su izgubili ključ, pa tako i podatke, inicijalno bez obavijesti počeli pohranjivati i sam ključ uz podatke u slabo zaštićenoj varijanti, što je - naravno - kompromitiralo zaštićene podatke).

P.S.

Čisto s tehničkog aspekta - za paranoike - želim napomenuti da je moguće osigurati “stražnja vrata” tako što bi proizvođač na disk pohranio ključ kojim je kriptiran disk, ali u kriptiranom obliku, pri čemu se za kriptiranje ključa koristi asimetrična kriptozaštita javnim ključem, dok tajni ključ posjeduje koja god špijunska organizacija.

Da bi se takvi diskovi i njihovi podaci kompromitirali bi bilo dovljno da tajni ključevi procure. Kroz bilo koji distribucijski kanal kojim se isti dostavljaju proizvođačima. Preskupa operacija.

Međutim, ako bi kriptozaštićeni diskovi postali de-facto standard, proizvođači iz države koja bi nametnula takvu regulaciju bi promptno bili izbačeni iz tržišta od kompanija čije države tu regulaciju nemaju i mogu steći povjerenje kupaca da je stvarno nemaju.

A niti bilo koji ozbiljniji korisnik ne bi koristio takve diskove.

Osobno, koristim TrueCrypt na svim osobnim diskovima.

Koristim ga tako da radim virtualne diskove za foldere sa važnim podacima. Kad radim backup takvih podataka, prvo mi skripta kopira podatke na nezaštićeni volume, napravi se backup, podaci se izbrišu, na tom volumeu napravim “wipe” (prepisivanje volumea slučajnim podacima) pa se na kraju napravi format tog volumea.

Uz dobre lozinke i tjedno mijenjanje istih, sustav je prilično OK. Ustvari, kritična točka su backup mediji, ali backup softver može kriptirati na 256 bit pa mislim i da je to OK…

Uz redovno čišćenje registry baze, logova, raznih history logova te Internet cachea, nekorištenje server-side usluga (kao npr. gmail ili sl.), uvjeren sam da su mi podaci prilično dobro zaštićeni.

Meni šifriranje ne treba jer su mi lozinke od raznih računa najtajniji podaci. Tajnijih nemam. A ako mi ko provali u gmail ili skype uopće me nije briga. Umirovljenik sam i računalo mi je hobi. I da, opasne stvari ne držim u kompu. Npr. podatke za internet bankarstvo i sl.