TL; DR: Ikke bruk maskinvarekryptering på noe lagringsmedium, uansett om det er en tommelstasjon, en harddisk eller en SSD! Det er en veldig, veldig dårlig idé!

Maskinvareprodusenter vet at de har tatt med bakdører eller bare er veldig, veldig dumme om å kryptere dataene. Dette går så langt som at de bare bruker den samme nøkkelen for alle enhetene sine, eller lar krypteringsnøklene ligge ukryptert og håper at ingen vil endre firmwaren på en måte som lar noen få tilgang til dem uten å vite passordet. Jeg har hørt og lest dette mye og kan umulig vise deg mine faktiske kilder, men her er en artikkel som bekrefter det jeg nettopp hevdet.

Maskinvareprodusenter er også kjent for har blitt tvunget til å senke krypteringsnivået. På samme måte som jeg vet dette som ovenfor, og denne artikkelen bekrefter det.

Bare forestill deg hva som skjer når du bruker maskinvarekryptering. Du kjøper den magiske enheten fra noen som hevder at bare folk som kjenner passordet kan få tilgang til dataene som er lagret på dette. Den personen viser deg ikke hvordan det fungerer. De kan også lyve for deg (se artikkel lenket i forrige avsnitt) med at du har veldig liten sjanse til å finne ut av det. Du har ingen måte å verifisere eller motbevise disse påstandene.

Selvfølgelig, ikke stol på programvarekryptering fra maskinvareprodusenter heller. Jeg kjøpte en USB-pinne for omtrent 5 år siden fra SanDisk (har den fremdeles og brukte den sist for en time siden) som fulgte med en "krypteringsprogramvare". Jeg har aldri brukt den krypteringsprogramvaren, ikke bare fordi det er i motsetning til alle standarder man bør opprettholde om kryptering (se siste avsnitt), men også fordi jeg etter veldig lite forskning fant ut at programvaren (som bare fungerte for MS Windows, som i seg selv er en annen veldig god grunn å aldri bruke den) skriver 1 eller 2 tegn (jeg glemte om det var 1 eller 2, men det betyr ikke noe) i en fil som den opprettet i Windows-brukermappen hvis riktig passord er angitt. Disse 1 eller 2 tegnene viste applikasjonen at brukeren hadde tillatelse til å få tilgang til filene. Hvis du bare skrev riktig innhold til filen (som er det samme for alle som bruker den programvaren), kan du få tilgang til dataene som er lagret på tommelfingerstasjonen uten å vite passordet. Så ikke bruk det heller.

Kryptering av programvare er mye bedre fordi du som bruker kontrollerer hvilken programvare som brukes. Du kan ta en titt på, betale noen for å se på den, hvis den brukes ofte (og det skal være!), Vil andre se på den uansett, og hvis den er åpent utviklet, er det folk som krangler offentlig om det skal være å være så sikker som mulig, og de menneskene stoler ikke på hverandre.

Videre har du lettere for å slå av programvaren som brukes til kryptering. Hvis du bruker maskinvarekryptering, bruker du den spesifikke krypteringen som maskinvaren gir når du har maskinvaren. Du vil være tilbakeholden med å bruke mye penger på å kjøpe ny maskinvare og kaste den gamle maskinvaren, selv om det er avslørt at det er sikkerhetsproblemer fordi "Det er ikke det dårlig." og "Ingen vil angripe meg, uansett." mens du ville ha kastet ut en programvare med lignende feil og byttet den til en annen innen en dag.

Bruk bare krypteringsprogramvare hvis det er gratis og allment akseptert å være sikkert. At det er gratis krever at du kan få tak i kildekoden hvis du ikke vet det. (Ikke at det er åpen kildekode er nødvendig, ikke tilstrekkelig.) Hvis du nektes tilgang til kildekoden, stol aldri på applikasjonen! Dette inkluderer selvfølgelig ikke å stole på det om å beskytte dataene dine mot uautorisert tilgang. Hvis det ikke er allment akseptert å være sikkert, er det veldig sannsynlig at menneskene som skapte det gjorde feil (man kan gjøre veldig mange feil med kryptering og må gjøre en veldig god jobb for å gjøre kryptering sikker) eller til og med skadelig gjorde det usikkert som kan omfatte å ikke kryptere noe i det hele tatt.

Den symmetriske krypteringen som er AES-128 eller 256 er trygg.

Men den har sine egne kompromisser.

Å være innebygd harddisken, hemmeligheten nøkkelen er lagret på stasjonen og beskyttet av nøkkelen. Nå er saken at i hver stasjon er det en måte å omgå den på en eller annen måte og gjenopprette nøkkelen. Det er ganske usannsynlig at maskinvareleverandøren setter nok beskyttelse i dette, selv om det er teknisk mulig.

Så med de fleste SSD-er og AES, kan rettsmedisinske selskaper kanskje dekryptere det uten å vite passord eller knekke det i det hele tatt.

På den annen side krever programvarekrypteringen at du skriver inn passordet for å låse opp nøkkelen, og deretter lagres nøkkelen i RAM.

Da det er umulig å dekryptere stasjonen, er det mulig å dekryptere fra suspendert bærbar PC med kaldstartangrep.

Jeg tror ikke det er noen pålitelig måte å gjøre det på. Jeg tror et alternativ vil være å lagre nøkkelen i TPM, og deretter overføre den ved hjelp av klarert kjerne til harddiskfastvaren. En annen måte ville være å bruke 20 eller 40 tegn tilfeldig passord, som er en nøkkel, og når den først er angitt, blir den overført til harddiskens firmware.

Uansett, med programvarekryptering som LUKS har du mye bedre sjanse for ikke å blir stasjonen dekryptert når den blir stjålet. Måten AES brukes på kan også være bedre.