Действительно ли аппаратное шифрование дисков является достаточно надёжным? Верно ли, что в случае хищения закодированного диска нельзя получить доступ к информации на носителе? Попробуем разобраться.
В сентябре 2015 года, коллеги Гуннар Алендал (Норвегия) и Кристиан Кисон (Германия) опубликовали результаты своих исследований на тему “Используете аппаратное шифрование? О (не)безопасности жестких дисков с аппаратным шифрованием”. Для проведения исследований авторы купили несколько жёстких дисков с функцией аппаратного шифрования и по результатам произведённых над ними действий пришли к выводу о ненадёжности аппаратного кодирования в целом для дисков любого производителя. И вот почему.
В некоторых моделях дисков с функцией аппаратного шифрования для доступа к данным даже не запрашивался пароль (опция парольной защиты по умолчанию была отключена). Само допущение подобных настроек делает целесообразность наличия функции аппаратного шифрования весьма сомнительной: данные шифруются, но забрать их с диска может кто угодно без каких-либо сложностей.
При включенной опции парольной защиты пароль, как выяснили исследователи, в зашифрованном виде хранился либо в памяти контроллера диска, либо в его скрытых секторах. И всё бы хорошо, но и тот и другой способ хранения позволяют путём технически несложных действий заполучить этот пароль и расшифровать его простым перебором с помощью стандартных программных инструментов.
Контроллеры винчестеров с аппаратным кодированием заслуживают отдельного внимания. На испытуемых дисках были установлены контроллеры нескольких типов и некоторые из них оказались местом, потенциально уязвимым для взлома. Из одного типа контроллеров исследователям удалось получить зашифрованный пароль просто переведя контроллер в режим обновления прошивки. Другой тип контроллеров применял ключи шифрования со стойкостью 32 бита вместо заявленных 256 (взломать 32-битный ключ очень просто). В ещё одном типе контроллеров ключ шифрования хранился в открытом виде, благодаря чему доступ к информации удалось получить и вовсе без пароля.
В исследовании публикуется информация и о других уязвимостях аппаратного шифрования дисков, но и приведённых выше достаточно, чтобы сделать очевидный вывод: покупка диска со встроенной системой аппаратного шифрования - не повод быть абсолютно спокойным за безопасность своих данных и не повод имея аппаратную защиту пренебрегать программной. И такая защита есть, причём благодаря своей программной природе, она как минимум не хуже, а зачастую гораздо эффективнее и надёжнее чем аппаратная.
Программные средства шифрования не хранят пароли на винчестере, позволяют шифровать лишь ту информацию на диске, которая требует шифрования (а не всю подряд), позволяют шифровать как физическое диски, так и виртуальные, то есть полностью заменяют собой жёсткий диск с аппаратной защитой. Один из примеров - современная профессиональная программа шифрования Cryptic Disk.
Скачать и установить Cryptic Disk можно абсолютно бесплатно на срок до 30 дней. Программа позволяет защитить не только локальные файлы пользователя, но и файлы, находящиеся в облачных хранилищах, например в Dropbox.
В заключение можно сказать, что если из ценной информации у вас на жёстком диске только фотографии с выпускного вечера – вам будет более чем достаточно и встроенного аппаратного шифрования. Но если речь идёт о сохранности действительно ценной информации, утрата которой может привести к непоправимым последствиям или ущербу – задумайтесь о том, кому доверять защиту информации: производителям жёстких дисков или производителям программного обеспечения.