Szyfrowanie SSD — fakty i mity

Dyski SSD coraz intensywniej wkraczają w powszechne użycie. W ich wypadku stosunek pojemności do ceny nadal jest bardzo niekorzystny względem HDD, jednakże wydajność jaką ze sobą niosą, bardzo często to usprawiedliwia — ktoś, kto spróbuje SSD nie chce wracać do dysków magnetycznych, bo to zupełnie inny komfort pracy dzięki niesamowicie niskim czasom dostępu, ale także ciszy. Producenci tymczasem prowadzą ciągły wyścig na kolejne MB/s w specyfikacjach. Coraz częściej widzi się również informację o sprzętowym szyfrowaniu danych przy użyciu AESa. Co to oznacza, jak tego używać, no i czy czasem nie jest to jedynie marketingowy bełkot o bezpieczeństwie danych, naszych danych?

Po co szyfrować i dlaczego na poziomie dysku?

Na początek tradycyjnie trzeba sobie zadać pytanie: po co szyfrować i czy ja, jako użytkownik, na pewno tego potrzebuję. Ogólnie mówiąc, zaszyfrowane dane w wypadku kradzieży urządzenia, np. laptopa będą bezpieczne. Oczywiście z pewnymi wyjątkami: chronić nie może ich jakieś banalne hasło, a w wypadku laptopów nie powinniśmy używać hibernacji i usypiania aby ustrzec się przed próbami odzyskania kluczy szyfrujących np. z pamięci RAM. Jakiś czas temu, w innym artykule opisywałem różnicę w wydajności oprogramowania do szyfrowania w postaci BitLockera oraz TrueCrypta. Czym to się różni od szyfrowania bezpośrednio na poziomie dysku?

Wymienione programy robiły to w sposób programowy. Potrafiły do tego celu wykorzystać np. instrukcje przyśpieszające szyfrowanie AES zaszyte w nowych procesorach, ale cały czas działały tak naprawdę na strukturze logicznej dysku tj. istniejących partycjach. Ma to pewną wadę. Załóżmy, że obok Windowsa mamy jakąś dystrybucję Linuksa. W tym wypadku musimy szyfrować je zupełnie osobno, oprogramowaniem dla nich przewidzianym.

szyfrowaniessd1

Szyfrowanie na poziomie dysku oznacza, że napęd posiada dedykowany układ zajmujący się szyfrowaniem i robi to na całym dysku niezależnie od tego, jaki system i dane na nim posiadamy. Z informacji które udało mi się znaleźć wynika, że w przypadku szyfrowania na dyskach SSD, mamy do czynienia z ciągłym szyfrowaniem w locie. Kupujemy dysk, wkładamy do komputera, cokolwiek byśmy nie robili, dane są zapisywane w postaci szyfrowanej. Poza tym, działa to o wiele szybciej niż szyfrowanie programowe, nie wpływa również na obciążenie procesora głównego, bo szyfrowaniem zajmuje się wyspecjalizowany do tego układ. Jest jeszcze jedna zaleta, przy operacji Secure Erase, która ma na celu bezpieczne usunięcie danych z dysku, wystarczy zmiana kluczy szyfrujących… Jeżeli ich nie ma, zawartość dysku zamienia się w śmieci. Można więc naprawdę ekspresowo „usuwać dane”.

Jak to powinno być zrobione?

Jakim cudem to więc działa i nie wymaga żadnej autoryzacji ze strony użytkownika? Wbrew pozorom, w dosyć prosty sposób. Klucze szyfrujące są zapisane w kontrolerze dysku i domyślnie po prostu dostępne. Po uruchomieniu komputera kontroler z nich korzysta, również w locie deszyfruje dane i dlatego mamy do nich dostęp. Tutaj przechodzimy do całego dylematu związanego z tym, co mówią nam marketingowcy, a jak wygląda rzeczywistość. Producenci zapewniają, że szyfrowanie na poziomie dysku pozwala na zabezpieczenie naszych danych, ale nikt nie kwapi się z wyjaśnieniem, jak to w ogóle zastosować – przecież jak napisałem, zaraz po zakupie nie ma faktycznej ochrony i przy kradzieży zupełnie nic nam to nie da. Odpowiedzią na pytanie jest HDD password / ATA password, a dokładnie, jego rozszerzona wersja w BIOSach z rozszerzeniem ATASX.

Dopiero ustawienie hasła do dysku pozwala faktycznie aktywować ochronę oferowaną przez wbudowane funkcje szyfrujące, bo wtedy klucze są szyfrowane i chronione właśnie tym hasłem. Niestety, pojawia się kolejny problem. Czy każdy z producentów odpowiednio z tego korzysta? Pomyślny: skoro szyfrowanie odbywa się z użyciem kluczy, to co powinno robić hasło, oprócz blokady dysku? Powinno jak wspomniałem zabezpieczyć klucze szyfrujące, aby nie były one łatwe do odczytania, poprzez ich zaszyfrowanie. Samo hasło powinno być natomiast zapisane jako nieodwracalny hash – weryfikowane przy wprowadzaniu i jeżeli poprawne, używane już te podane przez użytkownika do odszyfrowania kluczy. Okazuje się, że nie każdy producent robi to w odpowiedni sposób, co więcej, w większości wypadków jest naprawdę trudno znaleźć konkretne informacje na ten temat.

A jak to robią producenci?

Sprawę komplikuje fakt, że nie każdy laptop pozwala na wpisanie pełnego, 32-znakowego hasła. Sam miałem takie do dyspozycji dopiero po graniu nieoficjalnego, zmodyfikowanego BIOSu, a na innym laptopie Acera spotkałem się z możliwością ustawienia hasła jedynie 8-znakowego, które nie jest odpowiednim zabezpieczeniem. Wśród producentów bardzo dobrze sprawę opisuje Intel, który w swoich dyskach 320 oraz 520 właśnie poprzez to hasło zabezpiecza klucze szyfrujące. W tym wypadku mamy pewność, że wszystko gra, że dane są odpowiednio zabezpieczone. Plextor oferuje szyfrowanie w dyskach M5P (Pro) i do niedawna nie było wiadomo dokładnie jak to realizuje – obrazek na stronie producenta sugerował ochronę hasłem. Niestety wypowiedź jednego z techników firmy rozwiała te nadzieje, klucze nie są chronione hasłem.

szyfroaniessd2

Popularny Samsung 840 Pro również teoretycznie używa hasła HDD, ale nie ma żadnego potwierdzenia tych słów, tym bardziej że mówi się o wymogu stosowania płyty głównej z układem TPM, a to nie jest wymagane w standardzie (a więc Samsung robi to po swojemu). Na pewno źle jest to realizowane w dyskach OCZ – tak Agility jak i Vertex 2/3/4 ze względu na rozwiązanie w kontrolerach SandForce, które nie dość, że szyfruje tak naprawdę w AES-128, to na dodatek wiadomo, że hasło HDD nie zabezpiecza kluczy szyfrujących. W wypadku Kingstona V+200 mamy do czynienia z szyfrowaniem AES-128 zamiast AES-256, do tego nie wiadomo jak realizowanego.

Podsumowanie — co robić?

Co więc powinniśmy zrobić, skoro tyle tutaj niepewności? Przede wszystkim, BIOS komputera powinien pozwolić nam ustawić pełne, 32-znakowe hasło dysku. Bez tego nie ma możliwości o poprawnej implementacji tej funkcji. Dalej, wybór producenta… no i tutaj pewność mamy tylko w wypadku Intela. Nie chcę faworyzować jednej firmy, sam używam Plextora, no ale taka jest prawda, a informacji za mało. Innym wyjściem jest używanie szyfrowania programowego. Tutaj jednak pojawia się pytanie, czy możemy takim rozwiązaniem zaufać – wystarczy wspomnieć o ostatnich słowach jednego z pracowników Microsoftu, który wyznał, że był proszony o stworzenie backdoora dla BitLockera już w 2005 roku.

Oczywiście to, że w wypadku niektórych dysków klucze szyfrujące nie są chronione hasłem nie oznacza, że dane nie są bezpieczne. Po prostu nie wiadomo, jakie rozwiązania są stosowane, a w tym wypadku ciężko mówić o pełni bezpieczeństwa – nie wiadomo, czy kiedyś z tych firm nie wyciekną informacje pozwalające na uzyskanie dostępu do naszych danych. Nie wiadomo, czy takie dane nie znajdują się gdzieś na biurkach organizacji takich jak NSA…

Usuwanie zapamiętanych sieci w Windows 8

Łączenie z różnymi sieciami bezprzewodowymi to obecnie rzecz zupełnie normalna, w szczególności na urządzeniach przenośnych. Nic więc dziwnego w tym, że systemy są wyposażone z opcję ich zapamiętywania. Sieć powinna być zabezpieczona, ale komu chciałoby się za każdym razem na nowo wpisywać klucz? Dlatego właśnie np. w systemie Windows, domyślnie są one zapamiętywane razem z innymi ustawieniami sieci. Widać to dobrze gdy coś zmienimy w ustawieniach sieci i spróbujemy się z nią ponownie połączyć – wpiszemy odpowiednie dane, sieć się połączy, ale będzie miała już inną nazwę lokalnie na naszym komputerze (np. Nazwa_sieci – 2). Wszystko ładnie, ale czasami przychodzi sytuacja, w której trzeba by zapamiętaną sieć usunąć.
Continue reading “Usuwanie zapamiętanych sieci w Windows 8”

Virtual Wi-Fi w Windows – tworzymy AP

Czy nie zdarzyło się wam znaleźć w sytuacji, w której chcielibyście udostępnić do telefonu czy też innego urządzenia sieci, którą macie do dyspozycji na laptopie? Mogłoby to się wydawać bardzo proste – przecież wystarczy wpiąć się kablowo, no i to udostępnić po Wi-Fi. Niestety, gdy zrobimy to z kreatora w systemie Windows, to np. telefon z Androidem może w ogóle takiej sieci nie widzieć (sprawdzone na 3 modelach). Próbowałem kilku rozwiązań również z użyciem Bluetooth, ale niemal wszystko jest zrobione w celu udostępniania w drugim kierunku tj. telefon tworzy hotspot / udostępnia po BT sieć z tego co ma zapewniane komórkowo. No ale nie chodzi o to, aby mając dostępne inna łącze ciągnąć dane z pakietu. Jeszcze gorzej to wygląda wtedy, gdy sam notebook łączy się z siecią bezprzewodowo. Jest jednak bardzo proste i wygodne rozwiązanie, o którym nie każdy musiał słyszeć.
Continue reading “Virtual Wi-Fi w Windows – tworzymy AP”

XNOTE W350ETQ – Recenzja

Nieco ponad trzy lata temu kupiłem drugiego w swoim życiu laptopa. Pierwszym był HP Pavilion dv5. W sumie na tym powinienem skończyć, bo wielu osobom takie wyjaśnienie z pewnością by wystarczyło. Niestety, ale Paviliony to niespecjalnie udana seria, do tego ja brałem wtedy model z mobilną wersję GF 9600GT. Jak to się skończyło? Był on dosyć głośny, ciepły, a po roku podczas gry w Battlefield 2 ze znajomym karta graficzna spaliła wentylator… Dobrze czytacie, od temperatury spalił się wentylator, a nie żaden układ w lapie. Objęła to oczywiście gwarancja, problemu nie było, no ale niesmak pozostał, przeszkadzało również wiele innych rzeczy, które w międzyczasie wyszły. Jako że miałem na niego chętnego (pomimo znanych mu wad), który za bardzo grać nie zamierzał, pozbyłem się sprzętu i kupiłem nowego laptopa. Był to HP ProBook 6540b… Maszyna o wiele brzydsza niż Pavilion. No ale służyła mi z powodzeniem przez ponad trzy lata, a teraz pracuje u kogo innego. Niewiele złego mogę temu sprzętu zarzucić, no może tylko kartę graficzną ATI Radeon. I w tym wypadku nie obyło się bez serwisu – niestety po pewnym czasie pojawiły się uszkodzone piksele na matrycy, ale HP wymieniło ją razem z górną klapą, więc nie mogę niczego zarzucić.
Continue reading “XNOTE W350ETQ – Recenzja”

Samsung Galaxy Nexus – recenzja

Jakiś czas temu pisałem o pewnym smartfonie. Była to recenzja Samsunga Nexusa S, którego postanowiłem spróbować, aby przekonać się, czy czysty Android może spełnić mojego oczekiwania. Dla tych, którzy wpisu nie czytali skrótowiec: okazało się, że niestety warunek nie został spełniony. Telefon jako taki urzekł mnie wieloma walorami, poczynając od wyglądu, poprzez wykonanie, brzmienie, aż po wyświetlacz (a to była wersja z SLCD!). Postanowiłem więc zostawić przy sobie LG z Windows Phone. Coś jednak we mnie pękło. Ten Nexus wywarł na tyle duże wrażenie, że nawet niektóre idiotyzmy z Androida, czy jego wolne działanie, nie pozwoliły na całkowite zapomnienie o tym, co prezentuje. Jeżeli ktoś powie, że jestem niezdecydowany to będzie miał rację. Po prostu często, aby podjąć jakąś ostateczną decyzję, muszę po prostu czegoś spróbować.
Continue reading “Samsung Galaxy Nexus – recenzja”