我的问题基本上是这样的:人们对基于硬件的全盘加密有何经验,尤其是从安全审计的角度来看?
更多信息: 我特别关注带有Wave 的 Embassy Suite的Seagate Momentus FDE驱动器 (如果您有其他自加密驱动器 (SED) 和/或软件套件的经验,也请提出意见。)
事实: 自加密驱动器(已配置)在断电(计算机关机或休眠,或只是拔掉插头)时会自动锁定。密码、令牌或访问驱动器上任何数据所需的任何东西,驱动器本身是加密的(通常是 AES-128)。但是,重新启动不会导致用户必须重新验证驱动器。
我从 Wave 得到的回应是,即使用户选择了待机模式,它们也会强制休眠模式(在带有 Windows 的戴尔系统上)。但我担心以下攻击场景:
- 机器已开启*(例如,如果用户锁定屏幕并走开一会儿),然后
- 有人偷了笔记本电脑(让它一直开着),然后
- 使用引导光盘或可引导 USB 记忆棒重新启动机器。
提出问题:除了更改 BIOS 中的引导顺序和密码保护 BIOS 设置之外,还有其他方法可以减轻这种攻击途径吗?
* 我了解正在运行的操作系统上存在许多其他漏洞,例如通过网络对系统服务进行缓冲区溢出攻击,但我发现这种攻击途径不太可能比简单地使用引导盘(如上所述),尤其是自加密驱动器变得更加普遍。
