Есть ли такая вещь, как аппаратные средства зашифровали диск набега?
Не делать. Доберитесь perl.i386 пакет, который точно соответствует perl.x86_64 пакет, который уже установлен и устанавливает это.
Да. Вы можете зашифровать том RAID с помощью TrueCrypt или любого другого программного обеспечения для шифрования всего диска. Содержимое тома будет нечитаемым без ключа шифрования, независимо от того, кто включает машину.
Традиционное «преимущество» аппаратного шифрования - это повышенная производительность, а не безопасность. Поскольку многие из современных высокопроизводительных процессоров включают поддержку аппаратного шифрования AES, вы, вероятно, получите аналогичную (или, возможно, даже лучшую) производительность при использовании программного шифрования.
Don't do this.
I'm in the process of trying to recover data from an encrypted RAID array that failed, and it's already cost my employer more than the data's worth. If you must encrypt, either encrypt individual disks, or create an encrypted partition for the important stuff.
Уже один отличный ответ, но я тоже добавлю свой ответ.
Как и в случае с любой другой безопасностью, все сводится к тому, что для вас приемлемо. Какой уровень безопасности действительно нужен вашей системе? Все, о чем вы говорите, можно исправить с помощью лучшей физической безопасности, например, гораздо более совершенной двери, лучшего замка и охраны.
После загрузки системы (я предполагаю, что она действительно иногда загружается) учетная запись SYSTEM в Windows и учетная запись Root в Linux обычно будут иметь полный доступ к содержимому диска независимо от шифрования, если кто-то действительно взломает system и получает одну из этих учетных записей, у которых будет доступ к данным. Что вы действительно собираетесь предотвратить, так это то, что кто-то вытащит диск и физически заберет его.
Если после максимальной безопасности, которую вы можете себе позволить физически, ваши данные требуют (согласно политике компании, закону или контракту) шифрование, тогда вы снова нужно спросить, сколько?
- Следует ли использовать жесткие диски с самошифрованием? Защищен паролем?
- Следует ли использовать TPM для шифрования данных, поступающих в RAID-контроллер?
- Следует ли зашифровать весь диск с помощью TrueCrypt или BitLocker?
- Мне нужно просто зашифровать несколько файлов?
Нужно ли мне отключать кэш памяти на контроллере рейда?
Если вы зашифруете и логический диск (с помощью TrueCrypt), и сам RAID, вы не позволите кому-либо просто заменить незашифрованный жесткий диск и восстановить ключи из репозитория Windows / Linux на стороне программного обеспечения. Им потребуется и то, и другое.
Почему вы не использовали аппаратное обеспечение Raid с резервным зеркалом разности волоконно-оптических каналов?
Да, я знаю, что это не обычное дело, но у него есть много преимуществ ... ваш рейд это просто raid 0 с 6 жесткими дисками (да, удаление), каждый жесткий диск имеет встроенное аппаратное шифрование, поэтому attaquer (в автономном режиме) должен будет угадать 6 паролей, чтобы быть правдой, я предпочитаю жесткий диск с USB-портом для ключа ... слишком дорого я знаю ... для питания на hdd нужен подключенный ключ (1GiB), attaquer понадобится такой 1GiB, hdd скопирует такой гигабайт во внутреннюю оперативную память (да, на hdd есть кеш 2 гигабайта, один для ключа, один для быстрого чтения / записи кеш, он также имеет красный / зеленый диод, когда зеленый вы можете отключить usb от жесткого диска, ключ теперь находится на внутренней оперативной памяти жесткого диска ... с 6 из них вы получаете очень безопасное аппаратное шифрование ... атташе нужно будет угадать до шести гигабайт ключей, ничего себе! Помимо этого, вы используете рейд-контроллер 6 sata-iii с автоматическим дифференциальным удаленным резервным копированием по волоконно-оптическому каналу ... вы получаете лучшее!
Как работает? Просто: включите питание с шестью ключами usb 1 ГБ, подключенными каждый к одному жесткому диску напрямую (на жестком диске для этого есть специальный порт, нет необходимости в слабой кодовой фразе из 64 символов, он использует целую парольную фразу размером 1 гигабайт), так что всего 6 гигабайт ключа , после того, как все горит зеленым, извлеките шесть USB-накопителей и поместите их в безопасное место (например, корпуса банков, но в вашем здании), тогда рейд 0 (чередование) увидит шесть дисков и сделает очень быстрое (около 4 Гбайт / s) большой диск, на котором вы можете разместить свою ОС, теперь я говорю о защите данных от сбоев, отсутствии необходимости в резервных копиях, ни рейде 6 (лучше, чем рейде 5, но также бесполезном),у этого рейд-контроллера, о котором я говорю, есть оптоволоконный канал, подключенный к другому удаленному хранилищу резервных копий, поэтому у вас будет такой огромный зеркальный диск, но с историческим резервным копированием секторов на сектор, так что вы можете онлайн все состояние диска каждую секунду, что вам нужно, произошла авария , ну, просто замените жесткий диск и скажите оптоволоконному каналу, чтобы он видел состояние, которое он имел в определенную секунду определенного времени, он поместит такое состояние на новые диски.
Цена - худшая часть ... контролирует стоимость около 10 тысяч фунтов, каждый диск стоит около 2 тысяч, а объединительная плата для магазина такая разница потребует обслуживания всего здания в другом городе планеты ... стоимость в месяц и гигабайт могут быть слишком высокими, но опять же, дело не в цене, которую я Я говорю, это для защиты.
Ну, чтобы быть правдой, я использую только простой шифр XOR, один байт данных со своим собственным одним используемым байтом ключа, поэтому attaquer увидит длину ключа, равную длине данных, нет необходимость в сложной алгоритмике, достаточно простого XOR, чтобы сделать его более сложным fficoultto attaquer, позиция ключевого байта вычисляется (не равна позиции байта данных) с помощью быстрой алгоритмической обработки .. другими словами: Cyper [X] = Plain [X] XOR Key [MyAlgorith (X)], с длиной ключа> = Обычная длина. Это математически доказуемо, чтобы быть безопасным на 101%. Если вы не знаете ключ, демонстрация так же проста, как эта фраза: вы можете иметь столько разных ключей, сколько возможно состояний данных. Таким образом, если у вас есть флеш-накопитель 8 ГБ, у вас будет ключ 8 ГБ, что делает 2 ^ 8 ГБ разных ключей, и у вас есть 2 ^ 8 ГБ возможных различных состояний данных, каждый бит данных зашифровывается своим собственным битом ключа, каждый бит key используется только для одного бита данных, если вы попробуете грубую силу, все возможные ключи будут набором, который равен набору возможных состояний данных, поэтому невозможно узнать, какой из них правильный. Ключ используется только для такого диска.
Также можно использовать ключ меньшего размера, так как MyAlgorithm будет использовать тот же бит ключа таким образом, что атакующий не будет знать / угадывать, такой алгоритм использует часть ключа для создания перевода XtoY, поскольку несколько значений X будут давать одинаковый Y (остерегайтесь использовать простую операцию модификации, она должна быть более сложной), поэтому простой ключ 8 ГБ будет генерировать тот же набор, что и полный жесткий диск длина ключа, сложно продемонстрировать, но я попробую: учитывая позицию данных X, какой байт ключа будет использоваться? DP Position на ключевые данные, зависит от ключевых данных и на таком X, но таким образом, что X + 1 не является Y + 1, где X - это положение на простых данных, а Y - это возможно на ключевых данных, что потребует грубой силы test каждый байт зашифрованных данных проверяется с каждым байтом тестового ключа, поэтому в конце будет набор с возможными состояниями размера 2 ^ hdd. Базовый: у вас нет такого ключа 8GiB, поэтому вы создаете набор ключей 2 ^ 8GiB, с каждым из этих ключей вы должны протестировать дешифрование, но поскольку положение ключа, используемого для каждого байта данных, также зависит от другой парольной фразы shrot вам необходимо проверить каждый байт данных с 2 ^ (8 * 64) возможными позициями на ключе (длина ключа 8 ГБ = 2 ^ 33), поэтому на практике каждый байт данных должен быть протестирован с каждым байтом ключа, если у ключа есть все возможные значения от 0 до 255 байтов, это уменьшит tes, поэтому каждый байт должен быть XOR с каждым 2 ^ 8 (256) возможных значений, поэтому 256 возможных значений для такого байта получают для каждого байта данных , следовательно, математически невозможно узнать, что является хорошим, и, поскольку эта процедура должна выполняться с каждым байтом, вы получите присоединение грубой силы, которое дает 2 ^ (размер жесткого диска) возможных простых данных, аттакер не сможет угадывать любой простой байт данных.
Алгоритм работает на основе байтов, но такая идея также верна для 512-байтовых слов (вместо 1-байтовых слов), а также любой длины.
Следовательно, для обеспечения безопасности лучше всего иметь ключ огромного размера и хороший алгоритм X-Y, а также использовать простую операцию XOR для шифрования / дешифрования.
Примечание. Резервное копирование выполняется с помощью аппаратное обеспечение, отправляющее каждую операцию записи сектора на исторический удаленный сервер хранения, поэтому вы можете получить состояние в заданную миллисекунду или дату и время ... такая информация, отправленная на удаленный сервер, является реальными данными, которые записываются на диск, поэтому они зашифрованы, а не просто ... это похоже на клонирование информации о пластинах жесткого диска.
Как работает этот волоконный канал? easy: hdd, когда внутренне записывает данные на планшеты, отправляет копию по оптоволоконному каналу на рейд-контроллер, а затем рейд-контроллер повторно отправляет эти данные по внешнему оптоволокну в удаленную большую, очень большую систему хранения.
Как работает восстановление? Легко: controlles запрашивает состояние datetime (точное количество миллисекунд), затем удаленный сервер ищет каждую таблицу секторов жесткого диска (использует самое близкое состояние для такого сектора, с datetime меньшим или равным), этот сектор отправляется контроллеру, а контроллер отправляет его обратно на hdd по оптоволокну, затем hdd запишет его на пластины, ... после перестройки все жесткие диски будут иметь точный клон, который у него был в эту миллисекунду.
Все это работает с точками моментальных снимков на допустимых стабильных состояниях разделов, все вместе, чтобы создать огромная безопасная и безопасная система хранения.
Недельный балл по всем системам:attaquer атакует во время работы системы, посредством подключения среднего человека, с устройствами отладки USB, которые клонируют информацию о шине материнской платы и т.д ... в то время как будет невозможно регистрировать используемые ключи (если администратор, который загружает сервер, не будет идиотом), он может получить чистые данные, поступающие на материнскую плату, но поскольку этого невозможно избежать (физический доступ к материнской плате необходим для атаки), система так же безопасна, как и другие слабые части (подключение к Интернету и т. д.) ... смех, но это правда: идиот-админ загружает компьютер, видя огромное количество кабелей и устройств, подключенных к компьютеру, как такой глупый человек его загрузил? Если вы видите, что компьютер подвергался манипуляциям в автономном режиме, не загружайте его, пока не убедитесь, что такие манипуляции верны и безопасны.
Общая стоимость рабочего проекта (для тестирования такой конфигурации): 1 миллион фунтов в месяц за один год рабочего тестового проекта.
PD: я не уполномочен раскрывать имя рейд-контроллера, но могу найти несколько тестовых (с цензурой) видеороликов в Google и YouTube, я не знаю, разрешены ли ссылки на этом форуме, и я не хочу, чтобы меня считали продавцом.