曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精

<delect id="ygmw2"><rp id="ygmw2"></rp></delect>
      1. <object id="ygmw2"><option id="ygmw2"></option></object>
        <object id="ygmw2"><option id="ygmw2"></option></object>

        您當前的位置:   首頁 > 新聞中心
        密碼安全性研究:磁盤加密
        發布時間:2020-09-28 15:16:23   閱讀次數:

        1-20092Q53522A2.png

        威脅模型

        我們需要首先討論威脅模型。通常,這里的假設是攻擊者可以物理訪問您的設備。盡管某些設備確實具有受密碼控制的遠程訪問,但這不是這里的重點。


        通常,我們可以想到兩種攻擊者訪問方式。

        • 非侵入式:攻擊者不愿意將設備拆開,可能是因為他們只是暫時擁有設備,并且不想留下會警告您的篡改痕跡。

        • 侵入式:攻擊者愿意將設備拆開。在侵入式技術中,攻擊者愿意采取多種侵入性措施,從“打開設備并取出硬盤驅動器”開始,到“從所有芯片上拆下包裝并用電子顯微鏡檢查它們”開始。


        您應該如何擔心取決于您是誰,數據的價值以及面臨的攻擊者的種類。如果您是普通人并且筆記本電腦被盜,那么攻擊可能會很原始,可能會移除硬盤,但可能不會使用電子顯微鏡。另一方面,如果您具有高價值的數據,并且攻擊者專門針對您,那么您應該假定具有相當高的能力。當然,計算機安全領域的人們通常會擔心具有民族國家能力的攻擊者。


        重要的是數據

        將密碼視為一種保護對計算機的訪問的措施是很自然的,但是在大多數情況下,這實際上是對計算機上數據的訪問的問題。如果您復制某人的磁盤副本并將其放在另一臺計算機中,該計算機將非常接近原始磁盤的副本(畢竟這就是備份的副本),并且攻擊者將能夠從磁盤上讀取所有敏感數據,并可能冒充您使用云服務。


        這意味著兩個非常簡單的攻擊:

        • 繞過計算機上的操作系統并直接訪問磁盤。例如,在Mac上,您可以啟動進入恢復模式并僅檢查磁盤。許多UNIX機器都有一種稱為單用戶模式的東西,可以通過管理訪問來啟動。

        • 取出磁盤并將其作為外部磁盤安裝在另一臺計算機上。這在大多數臺式計算機上都是微不足道的,只需要一把螺絲刀(如果需要),在許多筆記本電腦上也是如此。如果您使用的是Mac或移動設備,則該磁盤可能是焊接在閃存驅動器中的,這會使事情變得更難但仍然可行。


        要意識到的關鍵是,計算機上幾乎所有的訪問控制都是由操作系統軟件實現的。如果您可以通過進入管理模式或使用另一臺計算機來繞過該軟件,則可以跳過所有軟件,而直接訪問數據。


        如果您認為這很糟糕,那是對的。解決此問題的方法是加密磁盤。如果您不這樣做,那么基本上對于擁有物理訪問您的設備權限的任何類型的專用攻擊者來說,您的數據都是不安全的。


        基于密碼的密鑰派生

        好消息是,基本上所有操作系統都支持磁盤加密。壞消息是,其實現方式的詳細信息在某些對安全性至關重要的方式中差異很大。我這里不是在談論有關加密算法的具體細節以及如何加密每個單獨的磁盤塊。這是一個有趣的話題(請參閱此處),但是大多數操作系統都可以完成大部分工作。用戶最感興趣的問題是如何處理磁盤加密密鑰以及如何使用密碼來控制對這些密鑰的訪問。


        這樣做的明顯方法以及過去在幾乎所有地方都可以正常工作的方式是直接從密碼生成加密密鑰。[技術說明:您可能真的想生成一個隨機密鑰,并使用從密碼派生的密鑰對其進行加密。這樣,您可以更改密碼而無需重新加密整個磁盤。但是從安全角度來看,它們是相當等效的。]技術術語是基于密碼的密鑰派生功能。,僅表示它需要輸入密碼并輸出密鑰。就我們的目的而言,這與密碼哈希函數相同,并且存在相同的問題:給定加密磁盤,我可以嘗試通過嘗試大量候選密碼來強行使用密碼。結果是您需要具有超長密碼(或通常是密碼短語)才能防止這種攻擊。雖然可以記住足夠長的密碼,但這并不有趣,而且無論何時登錄計算機都很難輸入密碼,更不用說在智能手機或平板電腦上輸入密碼了。結果,大多數人使用的密碼要短得多,這當然會削弱磁盤加密的安全性。


        硬件安全模塊HSM

        正如我們之前所看到的,這里的問題是,攻擊者可以非??焖俚貒L試候選密碼,唯一真正的解決方法是限制其嘗試密碼的速度。這是許多現代設備所做的。它們不僅僅是從密碼中獲取加密密鑰,而是在一塊硬件安全模塊(HSM)內部生成一個隨機的加密密鑰。 “安全”的含義各不相同,但理想情況下是這樣的:

        1. 它可以在內部進行加密和解密,而無需暴露密鑰。

        2. 它抵抗物理攻擊以恢復密鑰。例如,如果您嘗試從HSM卸下外殼,則可能會擦除它們。


        為了實際加密或解密,您首先要使用密碼解鎖HSM,但這并不能給您提供密鑰,而只是讓您使用HSM進行加密和解密。但是,在您輸入密碼之前,它不會執行任何操作。


        HSM的主要功能是限制嘗試密碼的速率。這可能是通過簡單地限制每秒X次嘗試,或者以指數形式退回您嘗試的更多密碼而發生的,或者可能只有少數幾次失?。ǔR?0次失?。?,然后才能擦除自身。如果您曾經從口袋里掏出iPhone,只是看到“ iPhone被禁用,請在5分鐘內重試”,這就是限速機制的作用。無論采用哪種技術,其思想都是相同的:阻止攻擊者快速嘗試大量候選密碼。通過適當設計的速率限制機制,您可以省去短得多的密碼。例如,如果您在手機擦除自身之前只能嘗試10次,那么攻擊者只有1/1000的機會破解4位數PIN碼,更不用說16個字符的密碼了。一些HSM還可以執行生物特征認證以解鎖加密密鑰,TouchID和FaceID等功能就是這樣工作的。


        因此,在HSM中使用加密密鑰對安全性有很大的改進,并且不需要更改用戶界面(只需鍵入密碼)就可以了。不好的是,您的設備是否帶有HSM并不總是很清楚。實際上,新的Apple設備和Google Pixel一樣。Windows 10上的情況也許是,但是許多現代設備都可以。


        需要說的是,HSM并不是魔術:iPhone將密鑰存儲在HSM中,這無疑使解密它們變得更加困難,但是也有一些公司出售出售技術以闖入受iPhone保護的受HSM保護的設備(Cellebrite是可能是最著名的),但是使用這種設備比沒有使用這種設備要好得多。當然,如果有人在未鎖定設備的情況下拿走了您的設備,那么所有的賭注都是關閉的。這就是為什么最好將屏幕設置為在相當短的時間后自動鎖定的原因。顯然,如果您有指紋或面部識別碼,這會方便得多。


        攬閣信息可提供的部分安全產品和解決方案信息

        聯系攬閣信息,您可以獲取到更多滿足全球合規性要求的信息安全產品資料,以及相關的整體解決方案的相關資料。如:


        您還可以得到攬閣信息所提供的優質服務。

        攬閣信息 · 值得您信賴的信息安全顧問!


        相關閱讀

        購買咨詢電話
        021-54410609
        曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精