IT सलाहकार को पूर्ण डिस्क एन्क्रिप्शन का उपयोग कब करना चाहिए?

9

एक आईटी सलाहकार को किन परिस्थितियों में अपने ग्राहकों के कोड / डेटा की सुरक्षा के लिए उनकी हार्ड ड्राइव को एन्क्रिप्ट करना चाहिए?

मैं सोच रहा हूं कि अगर यह आपके काम के बोझ में ज्यादा नहीं जुड़ता है तो आप कम से कम किसी को 'ईमेल' के पासवर्ड का इस्तेमाल करने से कम से कम किसी को अपनी ईमेल फाइलों और अन्य दस्तावेजों को एक्सेस करने से रोक सकते हैं अगर आपका लैपटॉप चोरी हो जाए, तो भी वे किसी भी डेटाबेस फ़ाइलों या अन्य बहुत संवेदनशील डेटा तक पहुँच नहीं मिलेगी।

security 
जॉन फिशर
स्रोत
3
एन्क्रिप्टेड वॉल्यूम बनाने के लिए आप TrueCrypt जैसी किसी चीज़ का उपयोग भी कर सकते हैं। इसलिए संपूर्ण ड्राइव को एन्क्रिप्ट करने के बजाय, यह 'वर्चुअल' ड्राइव बनाता है जिसका उपयोग आप संवेदनशील जानकारी संग्रहीत करने के लिए कर सकते हैं। मैं अपने लैपटॉप पर अपने स्रोत कोड और डॉक्स के लिए ऐसा करता हूं कि क्या यह चोरी हो जाए।
ग्रैंडमास्टरबी
3
दुर्भाग्य से एन्क्रिप्टेड वॉल्यूम पूर्ण डिस्क एन्क्रिप्शन की तुलना में तोड़ने के लिए काफी आसान होते हैं, जिसके लिए आमतौर पर ईविल मैड अटैक ( schneier.com/blog/archives/2009/10/evil_maid_attac.html ) की आवश्यकता होती है क्योंकि वॉल्यूम के लिहाज से अभी भी बहुत अधिक प्रासंगिक है स्मृति या अस्थायी स्थान में कुंजी! यदि आपके लैपटॉप पर डेटा अत्यधिक संवेदनशील है, तो अपने कार्यान्वयन को अच्छी तरह से जांचें!
रोर अलसॉप
@Rory Alsop: एन्क्रिप्ट किए गए वॉल्यूम IMO सुरक्षा और प्रयोज्य के बीच एक उचित व्यापार है - पोर्टेबल (जैसे ड्रॉपबॉक्स पर एक 200 एमबी टीसी की मात्रा), डेटा के लिए उपयोगी है जो वास्तव में गुप्त नहीं है (लेकिन जो आप पूरी तरह से सार्वजनिक नहीं होना चाहते हैं)। दूसरे शब्दों में, किसी भी एन्क्रिप्शन की तुलना में थोड़ा बेहतर है - जो कुछ परिदृश्यों के लिए पर्याप्त हो सकता है।
पिस्कवर ने 9

जवाबों:

11

मैं मानता हूं कि फुल-डिस्क एन्क्रिप्शन अच्छा है, खासकर यदि आपके लैपटॉप पर संवेदनशील डेटा है (आप शायद करते हैं)। इसलिए, नए लैपटॉप मॉडल बहुत तेज़ होने के साथ, मैं " हमेशा " कहूंगा ।

उस ने कहा, कैवियट हैं:

  • यदि आप अपना पासवर्ड भूल जाते हैं, तो इसका मतलब है कि आपके सभी डेटा चले गए हैं (जब तक आप पासवर्ड फिर से याद नहीं करते)।
  • (कोरोलरी: कोई भी एन्क्रिप्शन सॉल्यूशन जिसमें "पुनर्प्राप्त पासवर्ड" विकल्प होता है, वह संभवत: सांप का तेल है, एन्क्रिप्शन नहीं)
  • कमज़ोर पासवर्ड == कोई सुरक्षा नहीं (अपने गाय-orkers शायद अपने कंप्यूटर में तोड़ने की कोशिश नहीं है, लेकिन एक चोरी लैपटॉप के डेटा कुछ पैसे के लायक हो सकता है, के साथ साथ, दर्रा वाक्यांशों काफी मजबूत और आसानी से याद कर रहे हैं)
  • फुल-डिस्क एन्क्रिप्शन स्लीप मोड / हाइबरनेशन को अव्यवहारिक बना सकता है, यदि असंभव नहीं है (जिस उत्पाद का आप उपयोग करने की योजना बनाते हैं उसे जांचें)
  • कुछ डेटा अतिरिक्त स्थानों से सुलभ हो सकते हैं (जैसे आपके ई-मेल सर्वर पर संग्रहीत हो सकते हैं, आपके कंप्यूटर में स्थानीय रूप से संग्रहीत एक प्रति के साथ )
  • फुल-डिस्क एन्क्रिप्शन जादुई पिक्सी डस्ट नहीं है - यह अन्य हमलावर वैक्टरों के खिलाफ सुरक्षा प्रदान नहीं करता है, आपको अभी भी उन लोगों को अलग से संबोधित करना होगा (बैकअप, एंटीवायरस, फ़ायरवॉल, फ़िशिंग सुरक्षा, सोशल इंजीनियरिंग, रबर नली क्रिप्टानालिसिस )

ध्यान दें कि एन्क्रिप्शन को किसी से हमेशा के लिए डेटा हासिल करने के तरीके के रूप में नहीं देखा जाना चाहिए - इसका लक्ष्य सिर्फ एक हमलावर को काफी देर करना है ताकि हमले को निर्बाध बनाया जा सके । मजबूत एन्क्रिप्शन के साथ, हमलावर बल द्वारा डेटा को प्राप्त करने से पहले वर्षों का समय लेना चाहिए, जिस बिंदु पर डेटा इतना पुराना है कि बेकार है। यद्यपि राष्ट्रीय सुरक्षा एजेंसी (या समान रूप से शक्तिशाली इकाई) शायद एन्क्रिप्शन को बहुत तेज़ी से क्रैक कर सकती है (क्योंकि यह उस पर कंप्यूटिंग शक्ति की भारी मात्रा को फेंक सकता है), फुल-डिस्क क्रिप्टो अभी भी किसी और के खिलाफ इसे संरक्षण देने के लिए अच्छी सुरक्षा है (जैसे आपके प्रतियोगियों या एक यादृच्छिक चोर)।

एक बोनस के रूप में, एन्क्रिप्शन आकस्मिक स्नूपिंग को समाप्त कर देता है: यदि आप अपने (संचालित-बंद) लैपटॉप को कहीं भूल जाते हैं, तो एक लगभग-ईमानदार व्यक्ति आपकी फ़ाइलों को माध्यम से ब्राउज़ करने का निर्णय कर सकता है, इसे वापस करने से पहले, जिज्ञासा से बाहर। एक कहावत है कि "अधिकांश ताले ईमानदार लोगों को ईमानदार रखने के लिए बनाए जाते हैं"; मजबूत ताले ऐसा करेंगे, और वास्तव में दुर्भावनापूर्ण लोगों को लंबे समय तक बाहर रखेंगे।

पिस्कॉर भवन छोड़ दिया
स्रोत
एक बात जो एक वित्तीय कंपनी के लिए अनुबंध करते समय मेरे साथ हुई थी: मेरी कंपनी द्वारा जारी किया गया लैपटॉप फुल-डिस्क-एन्क्रिप्टेड था, जब एक सॉफ़्टवेयर इंस्टॉल ने इसे खराब कर दिया था तो यह बूट नहीं होगा। इसलिए विंडोज से इस पर कुछ भी एक्सेस करने का कोई तरीका नहीं था, क्योंकि यह बूट नहीं होगा, या स्वतंत्र रूप से, क्योंकि इसे एन्क्रिप्ट किया गया था, और आईटी लोग डेटा को प्राप्त करने के लिए किसी भी तरह का पता नहीं लगा सकते थे। एक आवश्यकता थी कि सभी डेटा को संग्रहीत करने के लिए किसी भी लैपटॉप या डिस्क को बाहर निकाला जाए, ताकि वे सिर्फ पोंछ और पुनर्स्थापित न कर सकें। मुझे नहीं पता कि उन्होंने इसे कैसे हल किया।
डेविड थॉर्नले
1
@ डेविड थॉर्नले: एलास, एस ** टी हैपन्स। कंपनी की एक बैकअप नीति थी, मैं अनुमान लगाऊंगा? (और IMHO अंत उपयोगकर्ता बहुत बार एक सॉफ़्टवेयर स्थापित नहीं करेगा जिसे बूटलोडर और / या सिस्टम इंटर्नल के साथ गड़बड़ करने की आवश्यकता होती है ताकि यह उन्हें गड़बड़ कर सके, जो इसे ड्राइव विफलता के आसपास के क्षेत्र में कहीं भी रैंक करना चाहिए: असामान्य नहीं , लेकिन वास्तव में एक रोजमर्रा की घटना नहीं है; आपकी पुनर्प्राप्ति योजनाओं में शामिल करने के लिए कुछ। (मैं यह भी मान रहा हूं कि आप दिन-प्रतिदिन के ऑपरेशन में एक विशेषाधिकार प्राप्त उपयोगकर्ता के रूप में नहीं चल रहे थे))?
पिस्कोर ने
मैं स्थापित नहीं कर रहा था; एक रात एक सिस्टम-पुशेड चीज़ थी, और यह शायद प्रशासक के रूप में चल रहा था, और उन दिनों में डेवलपर्स निश्चित रूप से व्यवस्थापक के रूप में भाग गया। सॉफ्टवेयर स्थापित किया जा रहा था, आईआईआरसी, विजुअल स्टूडियो का एक संस्करण, जो सामान्य रूप से काफी हानिरहित स्थापित है, लेकिन जाहिर है कि कुछ खराब हो गया था। लैपटॉप पर कोई मूल्यवान डेटा नहीं था, सब कुछ पूर्व-स्थापित उपयोगिताएं थीं, और मेरा वास्तविक काम दूसरे बॉक्स पर किया गया था। यदि यह नियमों के लिए नहीं होता, तो आईटी को मिटाया जा सकता था और फिर से नकल किया जा सकता था और सभी ठीक हो जाते थे।
डेविड थॉर्नले
2

1: "कमजोर" पासवर्ड एक वास्तविक मुद्दा नहीं है। लोग कार्यालयों के आसपास नहीं आते हैं और मशीनों में अपने तरीके से बल देते हैं। असली मुद्दा है: 1) सोशल इंजीनियरिंग, या 2) कीबोर्ड लॉगर; जो दोनों एक "मजबूत" पासवर्ड को बेकार करते हैं। अपने आईटी विभाग के कम तकनीकी लोगों को उन दो चीजों के बारे में सिखाएं, उन्हें कैसे स्पॉट करें, और उन्हें कैसे संभालें, और आपको कोई समस्या नहीं होगी।

2: अगर किसी को आपके हाथों में एन्क्रिप्टेड डिस्क मिलती है, तो यह कोई फर्क नहीं पड़ेगा कि यह एन्क्रिप्टेड है। वे डेटा प्राप्त कर सकते हैं। यह केवल एक बात है कि डेटा उनके लिए कितना मूल्य है। यदि आप परमाणु कोड या Google के खोज एल्गोरिदम की सुरक्षा कर रहे हैं, तो मैं सशस्त्र गार्डों के लिए जाऊंगा और ड्राइव एन्क्रिप्शन को भूल जाऊंगा।

orokusaki
स्रोत
4
पुनः बिंदु 2: जबकि कुछ भी जानवर-मजबूर किया जा सकता है, इसका मतलब यह नहीं है कि यह 10 साल के भीतर जानवर-मजबूर हो सकता है। डेटा को पुराना और निर्बाध बनने में काफी समय है। (एनएसए आपके डेटा को तेज़ी से क्रैक कर सकता है, लेकिन स्व-घोषित औद्योगिक-जासूसी विशेषज्ञ (वास्तव में एक चोर जो आपकी डिस्क चोरी करने के लिए हुआ था ) अपने हाथों को निराशा में फेंक देगा और छोड़ देगा - जो कि बिंदु है) 1 के रूप में, तीन शब्द: गहराई में रक्षा । मेरे पास कार के दरवाजों पर ताले हैं; इसका मतलब यह नहीं है कि मैं इग्निशन कुंजी छोड़ दूँगा - इसमें कई जोखिम हैं, और सुरक्षा को एक दूसरे के पूरक की आवश्यकता है।
पिस्कोर ने बिल्डिंग
मैं इस पर पिस्कोवर से सहमत हूं - पूर्ण डिस्क एन्क्रिप्शन को मजबूर करने वाली जानवर के उपयोग करने योग्य समय सीमा में अव्यावहारिक होने की संभावना है। यदि कुछ ऐसा है कि वे भौतिक भय / यातना आदि के लिए जायेंगे - यही कारण है कि यदि यह मूल्यवान है तो आप डिस्क एन्क्रिप्शन के अलावा भौतिक सुरक्षा भी प्रदान करते हैं। यह एक गंभीर बाधा है।
रॉरी अलसॉप
@Piskvor @ Rory Alsop - अच्छी बात है। मुझे लगता है कि मैं सिर्फ पूर्ण ड्राइव एन्क्रिप्शन को इस तरह के प्रतिबंध के रूप में देखता हूं कि इससे पहले कि मैं इस पर समय बर्बाद करूं, बेहतर होगा। लेकिन, अगर मैं जो रक्षा कर रहा हूं, वह बहुत मूल्यवान है, तो इसे पाने के लिए थोड़ा कठिन प्रयास करना भी अतिरिक्त है।
orokusaki
हाँ। फिर भी, इस साल एक महीना भी नहीं बीता है जब कुछ कंपनी बिना संवेदनशील डेटा के साथ एक अनएन्क्रिप्टेड लैपटॉप खो रही है (उदाहरण बहुतायत से हैं, हाल के एक के लिए समाचार खोजें - जो मैं I / 2011 में प्रदान करूंगा, जब आप इसे पढ़ते हैं तो पहले से ही भूल सकते हैं) ।
पिस्कोर ने भवन
@Pan - वहाँ लुटेरे हैं। हालाँकि, मैं अपने सभी सामानों को एक तिजोरी में नहीं रखता, बस सबसे महत्वपूर्ण (पासपोर्ट, सोना, आदि)। इसके बजाय, मेरे पास अपने सभी सामानों तक किसी को पहुंचने से रोकने में मदद करने के लिए सुरक्षा है। यह मुझे एक कप निकलने के लिए तिजोरी में जाने के साइड इफेक्ट ओवरहेड से बचाता है, जब मैं पानी चाहता हूं, या जब मैं सुबह कपड़े पहनता हूं तो पैंट। मैं सुरक्षित को लॉक करने के लिए पासवर्ड का अनुमान लगाने के लिए कड़ी मेहनत का उपयोग करता हूं, इसलिए जिन चीजों की मैं सबसे अधिक परवाह करता हूं, उनमें चोरी होने की संभावना कम होती है।
orokusaki
0

सच कहूँ तो, मुझे नहीं लगता कि FDE का उपयोग करने का कोई बहाना है । मैंने वर्षों से अपने लैपटॉप में इसका उपयोग किया है, व्यावहारिक रूप से कोई समस्या नहीं है।

मैं एलयूकेएस एन्क्रिप्शन का उपयोग करता हूं, जो डेबियन का हिस्सा है (इंस्टॉलर यहां तक ​​कि आपके लिए इसे स्थापित करेगा)।

अन्य उत्तरों में चिंताओं को दूर करने के लिए:

  • यदि आप अपना पासवर्ड भूल जाते हैं, तो इसका मतलब है कि आपका सभी डेटा उतना ही अच्छा है जितना कि ट्रू है, लेकिन इसका मतलब केवल यह है कि आपको अपना पासवर्ड एक सुरक्षित जगह (या अच्छी मेमोरी) में लिखा होना चाहिए। भूल जाना कोई समस्या नहीं है, क्योंकि आपको हर बार बूट करते समय इसे टाइप करना होगा।
  • फुल-डिस्क एन्क्रिप्शन स्लीप मोड / हाइबरनेशन अव्यावहारिक बना सकता है कोई समस्या नहीं है। नींद अप्रभावित है, क्योंकि रैम सामग्री संरक्षित है। हाइबरनेशन बॉक्स से बाहर काम करता है, और एक एन्क्रिप्टेड स्वैप विभाजन को हाइबरनेट करता है।
  • प्रदर्शन को कम करता है यह सच है, लेकिन प्रभाव सामान्य ऑपरेशन में कम से कम है। यह केवल ध्यान देने योग्य है अगर I / O और CPU दोनों को अधिकतम किया जाता है। एकमात्र स्थिति जो मैंने नोटिस की है वह वीडियो एन्कोडिंग के दौरान है, और फिर भी ओवरहेड केवल 10% है।
  • किसी भी एन्क्रिप्शन को क्रैकलीली अनलाइक किया जा सकता है - यदि आप एक मजबूत पासफ़्रेज़ चुनते हैं (यानी किसी प्रोग्राम द्वारा उत्पन्न), तो वहाँ (निकट भविष्य में) इसे ब्रूट-फोर्स करने का कोई तरीका नहीं है।

मेरी राय में, किसी भी तरह की मामूली निजी जानकारी वाले लैपटॉप को हमेशा एफडीई का उपयोग करना चाहिए । लैपटॉप बहुत आसानी से खो जाते हैं या चोरी हो जाते हैं।

sleske
स्रोत
"भूल गए पासफ़्रेज़" समस्या का आसान समाधान: अलग-अलग पासफ़्रेज़ (दोनों मजबूत) के साथ, दो कुंजी स्थापित करें । आप दोनों को एक ही समय में भूलने की बहुत संभावना नहीं है।
tdammers
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.