Журнал Витуса. Голосов: 2 Адрес блога: http://vitus-wagner.livejournal.com/ Добавлен: 2008-02-19 12:48:41 блограйдером Lurk

Про FDE

2015-01-13 17:50:57 (читать в оригинале)

Вот не люблю я Full Disk Encryption. Считаю ее абсолютно неприминимой во-первых, для стационарных компьютеров и NAS, во-вторых для смартфонов. И очень ограничено применимой для ноутбуков.

Потому что FDE, как и устройства контроля целостности вроде "Соболя" защищают только выключенный компьютер от несанкционированной попытки включения и загрузки с постороннего носителя.

Соответственно, если у нас андроидный смартфон включен для того, чтобы принимать входящие звонки, потерян он будет (или попадет в руки мимопроходящему злоумышленнику) вместе с находящимся в памяти ключом шифрования. И защищать его будет только пин-код блокировки экрана, а вовсе не всё из себя крутое AES-шифрование SD-карты.

То же самое на стационарном компьютере, который и ломать-то скорее всего будут по сети. При этом FDE - жутко ресурсоемкое мероприятие, хуже только антивирус.

Если мы хотим защитить от несанкционированного доступа какие-то данные на машине, выполняющей более чем одну функцию, то защищать надо только данные, относящиеся к определенной функции. Чтобы в момент когда машина занимается чем угодно другим, в том числе работает со вторым столь же защищенным набором - например с контрактами другого контрагента, конкурента первого, данные относящиеся к первой функции пребывали в зашифрованном виде, и их пассфраза не присутствовала в памяти компьютера.

Всегда есть в десять раз больше задач, которые не требуют использования сенситивных данных. И именно в процессе решения этих задач, где приходится работать с публичными, часто недоверенными данными, больше всего риск словить какого-нибудь трояна или что-то в этом роде.

This entry was originally posted at http://vitus-wagner.dreamwidth.org/1042631.html. Please comment there using OpenID. Now there are comments