![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
vitus_wagnerВот не люблю я Full Disk Encryption. Считаю ее абсолютно неприминимой во-первых, для стационарных компьютеров и NAS, во-вторых для смартфонов. И очень ограничено применимой для ноутбуков.
Потому что FDE, как и устройства контроля целостности вроде "Соболя" защищают только выключенный компьютер от несанкционированной попытки включения и загрузки с постороннего носителя.
Соответственно, если у нас андроидный смартфон включен для того, чтобы принимать входящие звонки, потерян он будет (или попадет в руки мимопроходящему злоумышленнику) вместе с находящимся в памяти ключом шифрования. И защищать его будет только пин-код блокировки экрана, а вовсе не всё из себя крутое AES-шифрование SD-карты.
То же самое на стационарном компьютере, который и ломать-то скорее всего будут по сети. При этом FDE - жутко ресурсоемкое мероприятие, хуже только антивирус.
Если мы хотим защитить от несанкционированного доступа какие-то данные на машине, выполняющей более чем одну функцию, то защищать надо только данные, относящиеся к определенной функции. Чтобы в момент когда машина занимается чем угодно другим, в том числе работает со вторым столь же защищенным набором - например с контрактами другого контрагента, конкурента первого, данные относящиеся к первой функции пребывали в зашифрованном виде, и их пассфраза не присутствовала в памяти компьютера.
Всегда есть в десять раз больше задач, которые не требуют использования сенситивных данных. И именно в процессе решения этих задач, где приходится работать с публичными, часто недоверенными данными, больше всего риск словить какого-нибудь трояна или что-то в этом роде.
Потому что FDE, как и устройства контроля целостности вроде "Соболя" защищают только выключенный компьютер от несанкционированной попытки включения и загрузки с постороннего носителя.
Соответственно, если у нас андроидный смартфон включен для того, чтобы принимать входящие звонки, потерян он будет (или попадет в руки мимопроходящему злоумышленнику) вместе с находящимся в памяти ключом шифрования. И защищать его будет только пин-код блокировки экрана, а вовсе не всё из себя крутое AES-шифрование SD-карты.
То же самое на стационарном компьютере, который и ломать-то скорее всего будут по сети. При этом FDE - жутко ресурсоемкое мероприятие, хуже только антивирус.
Если мы хотим защитить от несанкционированного доступа какие-то данные на машине, выполняющей более чем одну функцию, то защищать надо только данные, относящиеся к определенной функции. Чтобы в момент когда машина занимается чем угодно другим, в том числе работает со вторым столь же защищенным набором - например с контрактами другого контрагента, конкурента первого, данные относящиеся к первой функции пребывали в зашифрованном виде, и их пассфраза не присутствовала в памяти компьютера.
Всегда есть в десять раз больше задач, которые не требуют использования сенситивных данных. И именно в процессе решения этих задач, где приходится работать с публичными, часто недоверенными данными, больше всего риск словить какого-нибудь трояна или что-то в этом роде.
no subject
Date: 2015-01-14 07:17 pm (UTC)no subject
Date: 2015-01-14 07:25 pm (UTC)Второй вариант - приходишь к контрагенту с ноутбуком, монтируешь диск с данными который FDE и отбегаешь, скажем в туалет...
Речь-то у нас тут в основном о мобильных устройствах.
no subject
Date: 2015-01-14 07:37 pm (UTC)Хотя да, для защиты данных от недалеких офисных планктонных(тут наверно надо подобрать какое-то другое слово, но у меня не выходит,сорри) людей может быть и эффективно, но наверно лучше стоит им вообще данные не доверять. Ну правда, это всё случае какие-то самосебебуратинные.
З.ы. еще раз прошу прощения за столь эмоциональность в комменте