하드웨어 기반 풀 디스크 암호화

Hardware-based full disk encryption

하드웨어 기반디스크 암호화(FDE)는 다음을 포함한 많은 하드 디스크 드라이브(HDD/SSD) 벤더가 제공하고 있습니다.ClevX, 히타치, 내장 메모리, iStorage Limited, 마이크론, Seagate Technology, 삼성, 도시바, Viasat UK, Western Digital.대칭 암호화 키는 컴퓨터CPU와 독립적으로 유지되므로 전체 데이터 저장소를 암호화하고 잠재적인 공격 벡터로 컴퓨터 메모리를 제거할 수 있습니다.

Hardware-FDE에는 하드웨어 암호화기와 데이터스토어라는2개의 주요 컴포넌트가 있습니다.현재 일반적으로 사용되는 하드웨어 FDE에는 다음 4가지 종류가 있습니다.

  1. 하드 디스크 드라이브(HDD) FDE(자체 암호화 드라이브)
  2. 폐쇄형 하드 디스크 드라이브 FDE
  3. 이동식 하드 디스크 드라이브 FDE
  4. 브리지 및 칩셋(BC) FDE

특정 목적을 위해 설계된 하드웨어는 디스크 암호화 소프트웨어보다 더 나은 성능을 얻을 수 있으며, 디스크 암호화 하드웨어는 소프트웨어에서 실행되는 암호화보다 소프트웨어에 더 투명하게 노출될 수 있습니다.키가 초기화되는 즉시 하드웨어는 원칙적으로 OS에 대해 완전히 투과되어야 하며, 따라서 어떤 OS에서도 작동해야 합니다.디스크 암호화 하드웨어가 미디어 자체에 통합되어 있는 경우 미디어는 보다 나은 통합을 위해 설계될 수 있습니다.이러한 설계의 한 예는 논리 섹터보다 약간 큰 물리적 섹터를 사용하는 것이다.

하드웨어 기반 전체 디스크 암호화 유형

하드 디스크 드라이브 FDE

일반적으로 자체 암호화 드라이브(SED)라고 합니다. HDD FDE는 Trusted Computing [1]Group이 개발한 OPAL 및 Enterprise 표준을 사용하여 HDD 공급업체에 의해 제조됩니다.키 관리는 하드 디스크 컨트롤러 내에서 이루어지며 암호화 키는 128비트 또는 256비트 AES(Advanced Encryption Standard) 키입니다.드라이브의 전원 투입 시 인증은, 기동전의 소프트웨어 인증 환경(즉, 소프트웨어 베이스의 풀 디스크 암호화 컴포넌트 - 하이브리드 풀 디스크 암호화) 또는 BIOS 패스워드를 사용해 CPU내에서 실시할 필요가 있습니다.

Hitachi, Micron, Seagate, Samsung Toshiba는 TCG OPAL SATA 드라이브를 제공하는 디스크 드라이브 제조업체입니다.HDD는 하나의 필수품이 되었기 때문에 SED는 드라이브 제조업체가 [2]수익을 유지할 수 있도록 합니다.오래된 테크놀로지에는 Seagate Drive Trust 독자 사양과 Western Digital을 포함한 모든 드라이브 메이커에서 출하된 오래된 보안 PATA 보안 명령 표준이 포함됩니다.TCG 표준의 엔터프라이즈 SAS 버전은 "TCG Enterprise" 드라이브라고 불립니다.

폐쇄형 하드 디스크 드라이브 FDE

표준 하드 드라이브 폼 팩터 케이스에는 암호화기(BC), 저장소 및 시판되는 소형 폼 팩터 하드 디스크 드라이브가 동봉되어 있습니다.

  • 동봉된 하드 디스크 드라이브의 케이스는 조작이 확실하기 때문에, 취득시에 데이터가 손상되지 않은 을 확인할 수 있습니다.
  • 스토어 및 내장 하드 드라이브(솔리드 스테이트인 경우)를 포함한 암호화기 전자제품은 다른 부정 조작 대응 수단으로 보호할 수 있습니다.
  • 키를 삭제할 수 있으므로 사용자는 암호화된 데이터를 파괴하지 않고 인증 파라미터를 사용할 수 없습니다.나중에 동일한 를 동봉된 하드 디스크 드라이브 FDE에 다시 로드하여 이 데이터를 가져올 수 있습니다.
  • SED에서는 내부 전자[clarification needed] 기기에 대한 접근에 관계없이 암호 해독 키가 없으면 읽을 수 없기 때문에 조작은 문제가 되지 않습니다.

예를 들어 다음과 같습니다.FlagStone 및 Eclypt[3] 드라이브를 탑재한 Viasat UK(구 Stonewood Electronics) 또는 RFID 토큰을 탑재한 GuardDisk.

이동식 하드 드라이브 FDE

삽입된 하드 드라이브 FDE를 사용하면 표준 팩터 하드 디스크 드라이브를 삽입할 수 있습니다.그 개념은 에서 볼 수 있다.

  • 는 컴퓨터에서 [암호화되지 않은] 하드 드라이브를 분리하여 사용하지 않을 때 금고에 보관하는 것을 개선한 것입니다.
  • 이 설계를 사용하여 동일한 키를 사용하여 여러 드라이브를 암호화할 수 있습니다.
  • 일반적으로 드라이브의 인터페이스가 공격받기[6] 쉽도록 안전하게 잠겨 있지 않습니다.

칩셋 FDE

암호화 브리지와 칩셋(BC)은 컴퓨터와 표준 하드 디스크 드라이브 사이에 배치되어 기록된 모든 섹터를 암호화합니다.

인텔은 Danbury[7] 칩셋의 출시를 발표했지만 이후 이 [citation needed]접근방식을 포기했습니다.

특성.

드라이브에 내장되어 있거나 드라이브 인클로저 내에 내장되어 있는 하드웨어 기반 암호화는 사용자에게 매우 투명합니다.부팅 인증을 제외하고 드라이브는 성능 저하 없이 다른 드라이브와 동일하게 작동합니다.모든 암호화는 운영 체제와 호스트 컴퓨터의 프로세서에서 보이지 않기 때문에 디스크 암호화 소프트웨어와 달리 복잡함이나 성능 오버헤드가 없습니다.

2가지 주요 사용 사례는 유휴 데이터 보호와 암호화 디스크 삭제입니다.

미사용 데이터 보호를 위해 컴퓨터 또는 노트북의 전원을 끄기만 하면 됩니다.이제 디스크는 디스크의 모든 데이터를 자체 보호합니다.OS를 포함한 모든 데이터가 AES의 안전한 모드로 암호화되어 읽기 및 쓰기로부터 잠겨 있기 때문에 데이터는 안전합니다.드라이브의 잠금을 해제하려면 32바이트(2^256)의 강력한 인증 코드가 필요합니다.

디스크 위생

암호화 셰이딩은 암호화 키를 삭제하거나 덮어쓰기만 하여 데이터를 '삭제'하는 방법입니다.암호화 디스크 삭제(또는 암호 삭제) 명령이 지정되면(적절한 인증 자격 증명을 사용하여) 드라이브는 새 미디어 암호화 키를 자동으로 생성하고 '새 드라이브'[8] 상태가 됩니다.오래된 키가 없으면 오래된 데이터를 복구할 수 없기 때문에 디스크 관리를 효율적으로 수행할 수 있습니다.이것에 의해, 시간이 걸리는(비용이 많이 드는) 프로세스가 될 가능성이 있습니다.예를 들어, 미암호화 및 미분류 컴퓨터 하드 드라이브는 미국방성 표준을 준수하기 위해 세 번 [9]이상 덮어써야 합니다. 1테라바이트 Enterprise SATA3 디스크는 이 프로세스를 완료하는 데 많은 시간이 걸립니다.보다 빠른 SSD(Solid-State Drive) 기술을 사용하면 이러한 상황이 개선되지만, 지금까지 기업의 점유율은 [10]느렸습니다.디스크 사이즈가 매년 증가하면, 이 문제는 더욱 악화됩니다.암호화된 드라이브를 사용하면 간단한 키 변경으로 완전하고 안전한 데이터 삭제 작업이 몇 밀리초밖에 걸리지 않으므로 드라이브를 매우 빠르게 용도 변경할 수 있습니다.SED에서는 확인 암호를 사용하여 실수로 데이터가 삭제되는 것을 방지하고 필요한 원래 키와 관련된 인증을 보호하기 위해 펌웨어에 내장된 드라이브 자체 키 관리 시스템에 의해 위생 작업이 보호됩니다.

키가 무작위로 자동 생성되는 경우 일반적으로 데이터 복구를 위해 복사본을 저장할 방법이 없습니다.이 경우 데이터를 우발적인 분실이나 도난으로부터 보호하는 것은 일관되고 포괄적인 데이터 백업 정책을 통해 이루어집니다.다른 방법은 일부 동봉된 하드 디스크 드라이브 [11]FDE의 사용자 정의 키를 외부에서 생성하여 FDE에 로드하는 것입니다.

대체 부팅 방법으로부터의 보호

최신 하드웨어 모델에서는 운영체제 및 데이터 파일의 MBR과 운영체제 부팅에 필요한 특수 MBR을 모두 암호화하는 듀얼 마스터 부트 레코드(MBR) 시스템을 사용하여 다른 디바이스로부터의 부팅을 회피하고 접근을 허용합니다.SED에서는 모든 데이터 요청이 펌웨어에 의해 대행 수신되며, 특수 SED 운영 체제에서 시스템을 부팅한 후 드라이브의 암호화된 부분의 MBR을 로드하지 않는 한 암호 해독이 수행되지 않습니다.이것은, 암호화 관리 시스템 전용의 operating system이 격납되어 있는, 다른 파티션에 의해서 기능합니다.즉, 다른 부팅 방법으로는 드라이브에 액세스할 수 없습니다.

취약성

일반적으로 FDE는 잠금이 해제되면 전원이 [12]공급되는 한 잠금이 해제된 상태로 유지됩니다.Universityitét Erlangen-Nürnberg의 연구진은 전력을 [12]절감하지 않고 드라이브를 다른 컴퓨터로 옮기는 것을 바탕으로 여러 가지 공격을 시연했습니다.또, 드라이브의 전원을 절단하지 않고, 공격자가 제어하는 operating system으로 컴퓨터를 재기동할 수도 있습니다.

자체 암호화 드라이브가 있는 컴퓨터를 절전 모드로 전환하면 드라이브의 전원이 꺼지지만 암호화 암호는 메모리에 유지되므로 암호를 요청하지 않고도 드라이브를 신속하게 재개할 수 있습니다.공격자는 이를 이용하여 확장 [12]케이블을 삽입하는 등의 방법으로 드라이브에 물리적으로 쉽게 액세스할 수 있습니다.

드라이브의 펌웨어가 손상되어[13][14] 드라이브에 전송되는 모든 데이터가 위험에 노출될 수 있습니다.데이터가 드라이브의 물리적 매체에서 암호화되어 있더라도 펌웨어가 악의적인 서드파티에 의해 제어된다는 것은 해당 서드파티에 의해 데이터가 해독될 수 있다는 것을 의미합니다.데이터가 운영 체제에 의해 암호화되고 스크램블 형식으로 드라이브로 전송되는 경우 펌웨어가 악의적인지 여부는 중요하지 않습니다.

비판

하드웨어 솔루션은 문서화가[citation needed] 불충분하다는 비판도 받고 있습니다.암호화 방법의 많은 측면은 벤더에 의해 공개되지 않았습니다.따라서 사용자는 제품의 보안 및 잠재적인 공격 방법을 판단할 가능성이 거의 없습니다., 벤더에 의한 구속의 리스크도 높아집니다.

또한 기존 하드웨어를 교체하는 데 비용이 많이 들기 때문에 많은 기업에서 시스템 전체의 하드웨어 기반 풀 디스크 암호화를 구현하는 것은 매우 어려운 일입니다.이로 인해 하드웨어 암호화 테크놀로지로의 이행이 더욱 어려워지고 일반적으로 하드웨어 기반 및 소프트웨어 기반 디스크 암호화 [15]솔루션 모두에 대해 명확한 이행 및 집중 관리 솔루션이 필요합니다.다만, 동봉 하드 디스크 드라이브 FDE 와 리무버블 하드 드라이브 FDE 는, 1 개의 드라이브로 인스톨 되는 경우가 많습니다.

「 」를 참조해 주세요.

레퍼런스

  1. ^ "Trusted Computing Group Data Protection page". Trustedcomputinggroup.org. Archived from the original on 2012-02-23. Retrieved 2013-08-06.
  2. ^ Skamarock, Anne (2020-02-21). "Is Storage a commodity". ITWorld.com. Network World. Retrieved 2020-05-22.
  3. ^ "Softpedia on Eclypt Drive AES-256". News.softpedia.com. 2008-04-30. Retrieved 2013-08-06.
  4. ^ "Hardware Disk Encryption for the Masses, Finally!". turbotas.co.uk. Turbotas. 2003-05-30. Retrieved 2020-05-22.
  5. ^ "Removable Drives". www.Cru-inc.com. CRU. Retrieved 2020-05-15.
  6. ^ "Sapphire Cipher Snap-In". Addonics.com. Addonics. Retrieved 2020-05-15.
  7. ^ Smith, Tony (2007-09-21). "Next-gen Intel vPro platform to get hardware encryption". The Register. Retrieved 2013-08-06.
  8. ^ Trusted Computing Group (2010). "10 Reasons to Buy Self-Encrypting Drives" (PDF). Trusted Computing Group. Retrieved 2018-06-06.
  9. ^ http://www-03.ibm.com/systems/resources/IBM_Certified_Secure_Data_Overwrite_Service_SB.pdf[베어 URL PDF]
  10. ^ "Slow on the Uptake". Retrieved 18 February 2021.
  11. ^ "Eclypt Core Encrypted Internal Hard Drive". Viasat.com. Viasat. 2020. Retrieved 2021-02-17.
  12. ^ a b c "Hardware-based Full Disk Encryption (In)Security IT-Sicherheitsinfrastrukturen (Informatik 1)". .cs.fau.de. Retrieved 2013-08-06.
  13. ^ Zetter, Kim (2015-02-22). "How the NSA's Firmware Hacking Works and Why It's So Unsettling". Wired.
  14. ^ Pauli, Darren (2015-02-17). "Your hard drives were RIDDLED with NSA SPYWARE for YEARS". The Register.
  15. ^ "Closing the Legacy Gap". Secude. February 21, 2008. Archived from the original on September 9, 2012. Retrieved 2008-02-22. {{cite journal}}:Cite 저널 요구 사항 journal=(도움말)