1. BIOS/UEFI (firmware):
* Η πιο συνηθισμένη τοποθεσία: Αυτό είναι το πιο συχνό μέρος που θα βρείτε κωδικούς εκκίνησης/power-on. Το BIOS (βασικό σύστημα εισόδου/εξόδου) ή η σύγχρονη αντικατάστασή του, το UEFI (Unified Extensible Firmware Interface), είναι ένα πρόγραμμα υλικολογισμικού που εκτελείται όταν ενεργοποιείτε για πρώτη φορά τον υπολογιστή σας. Αρχικοποιεί το υλικό και στη συνέχεια παραδίδει τον έλεγχο στο λειτουργικό σύστημα.
* Μη πτητική αποθήκευση: Ο κωδικός πρόσβασης (συχνά μια έκδοση που έχει χασμουρητό, για ασφάλεια) αποθηκεύεται σε μη πτητική μνήμη μέσα στο τσιπ του υλικολογισμικού της μητρικής πλακέτας. Αυτή η μνήμη διατηρεί το περιεχόμενό της ακόμη και όταν ο υπολογιστής είναι ενεργοποιημένος. Οι συνήθεις τύποι μη πτητικής μνήμης που χρησιμοποιείται περιλαμβάνουν το EEPROM (ηλεκτρικά διαγραφές προγραμματιζόμενη μνήμη μόνο για ανάγνωση) και μνήμη flash.
* Πώς λειτουργεί: Όταν ξεκινήσει ο υπολογιστής, ο BIOS/UEFI ελέγχει για έναν κωδικό πρόσβασης. Εάν έχει οριστεί, το σύστημα θα ζητήσει από το χρήστη να το εισαγάγει * πριν * φορτώνει το λειτουργικό σύστημα. Εάν καταχωρηθεί ο σωστός κωδικός πρόσβασης, συνεχίζεται η διαδικασία εκκίνησης. Εάν ένας λανθασμένος κωδικός πρόσβασης έχει εισαχθεί πάρα πολλές φορές, το σύστημα μπορεί να κλειδώσει ή να απαιτήσει έναν ειδικό κωδικό διαχειριστή για να επαναφέρει τον κωδικό πρόσβασης (εάν έχει ρυθμιστεί κάποιος).
* Σκέψεις ασφαλείας: Ενώ είναι βολικό, η αποθήκευση του κωδικού πρόσβασης στο BIOS/UEFI δεν είναι απόλυτα ασφαλής. Υπάρχουν μέθοδοι (αν και συχνά απαιτούν φυσική πρόσβαση στον υπολογιστή) για να παρακάμψουν ή να επαναφέρουν έναν κωδικό πρόσβασης BIOS/UEFI, όπως:
* Επαναφορά μπαταρίας CMOS: Η αφαίρεση της μπαταρίας CMOS στη μητρική πλακέτα (μια μικρή μπαταρία σε σχήμα νομισμάτων) θα επαναφέρει συχνά τις ρυθμίσεις του BIOS, συμπεριλαμβανομένου του κωδικού πρόσβασης. Ωστόσο, αυτό επαναφέρει και άλλες ρυθμίσεις του BIOS, οπότε δεν είναι ιδανικό.
* Ρυθμίσεις Jumper: Ορισμένες μητρικές πλακέτες έχουν jumpers ότι, όταν αναδιαμορφωθεί, μπορούν να αναγκάσουν μια επαναφορά BIOS.
* BIOS Αναβοσβήνει: Σε ορισμένες περιπτώσεις, είναι δυνατόν να επαναπροσδιορίσετε το τσιπ BIOS με μια νέα εικόνα υλικολογισμικού, διαγράφοντας αποτελεσματικά τον παλιό κωδικό πρόσβασης. Πρόκειται για μια πιο προηγμένη τεχνική και έχει κίνδυνο να τούφου της μητρικής πλακέτας, αν δεν γίνει σωστά.
* Hardware Hacking: Οι εκλεπτυσμένοι επιτιθέμενοι με εξειδικευμένο εξοπλισμό μπορούν μερικές φορές να έχουν άμεση πρόσβαση και να χειριστούν τα περιεχόμενα του τσιπ υλικολογισμικού.
2. TPM (μονάδα αξιόπιστης πλατφόρμας):
* Ασφάλεια βάσει υλικού: Ένα TPM είναι ένα ειδικό τσιπ ασφαλείας στη μητρική πλακέτα που παρέχει χαρακτηριστικά ασφαλείας που βασίζονται σε υλικό. Μπορεί να χρησιμοποιηθεί για την ασφαλή αποθήκευση κρυπτογραφικών πλήκτρων, συμπεριλαμβανομένων εκείνων που σχετίζονται με τον έλεγχο ταυτότητας.
* μετρημένη εκκίνηση: Τα TPMs χρησιμοποιούνται συχνά σε συνδυασμό με διαδικασίες "μετρούμενης εκκίνησης" ή "ασφαλούς εκκίνησης". Σε αυτή την περίπτωση, το TPM μετρά τη διαδικασία εκκίνησης, λαμβάνοντας κρυπτογραφικά χτυπήματα του Bootloader, του πυρήνα του λειτουργικού συστήματος και άλλων κρίσιμων στοιχείων. Αυτές οι μετρήσεις αποθηκεύονται στο TPM και το TPM μπορεί να ρυθμιστεί ώστε να απελευθερώνει μόνο ορισμένα πλήκτρα εάν η διαδικασία εκκίνησης θεωρείται "αξιόπιστη" (δηλ. Οι μετρήσεις αντιστοιχούν στις αναμενόμενες τιμές). Αυτό βοηθά στην προστασία από το κακόβουλο λογισμικό εκκίνησης.
* bitlocker (Windows) και παρόμοια κρυπτογράφηση: Τα TPMs χρησιμοποιούνται συνήθως για την αποθήκευση των κλειδιών για τεχνολογίες κρυπτογράφησης πλήρους δίσκου όπως το Microsoft BitLocker. Ενώ ο ίδιος ο Bitlocker χρησιμοποιεί έναν κωδικό πρόσβασης ή PIN, το πλήκτρο * για να αποκρυπτογραφήσει τη μονάδα δίσκου συχνά αποθηκεύεται στο TPM. Αυτό σημαίνει ότι εάν το TPM ανιχνεύσει την παραβίαση με τη διαδικασία εκκίνησης, μπορεί να αρνηθεί να απελευθερώσει το κλειδί, εμποδίζοντας την αποκρυπτογράφηση της μονάδας.
* Ενισχυμένη ασφάλεια: Η αποθήκευση των κλειδιών σε ένα TPM είναι γενικά πιο ασφαλές από την αποθήκευση τους απευθείας στο BIOS, καθώς το TPM είναι ένα ειδικό τσιπ ασφαλείας με χαρακτηριστικά ανθεκτικά στην παραβίαση.
3. Λογισμικές βασισμένες σε λογισμικό κρυπτογράφησης (FDE) Λιές:
* Επίπεδο λειτουργικού συστήματος: Λύσεις όπως η Veracrypt, η Luks (Linux Unified Key Setup) και η FileVault (MACOS) κρυπτογραφούν ολόκληρο τον σκληρό δίσκο. Ο κωδικός πρόσβασης που εισάγετε για να ξεκλειδώσετε τη μονάδα δίσκου χρησιμοποιείται για να αντλήσει το κλειδί αποκρυπτογράφησης.
* Αποθήκευση κλειδιού: Το ίδιο το κλειδί κρυπτογράφησης (ή ένα τμήμα του) * μπορεί να αποθηκευτεί στο δίσκο σε κρυπτογραφημένη μορφή, προστατευμένη από τον κωδικό πρόσβασής σας. Ωστόσο, οι καλές υλοποιήσεις χρησιμοποιούν λειτουργίες παραγωγής κλειδιών (KDFs) που καθιστούν την υπολογιστικά δύσκολη την εξαγωγή του κλειδιού αποκρυπτογράφησης μόνο από τον κωδικό πρόσβασης. Συχνά, απαιτούν τόσο τον κωδικό πρόσβασης * και * κάποιο μυστικό ειδικό για το υλικό (όπως ένα TPM).
* Τροποποίηση bootloader: Αυτές οι λύσεις συχνά τροποποιούν το bootloader για να σας ζητήσουν τον κωδικό πρόσβασης * πριν * φορτώνει το λειτουργικό σύστημα. Αυτό επιτρέπει να αποκρυπτογραφηθεί ολόκληρη η μονάδα πριν ξεκινήσει το λειτουργικό σύστημα.
* Πολυπλοκότητα κωδικού πρόσβασης: Η ασφάλεια αυτών των λύσεων εξαρτάται σε μεγάλο βαθμό από τη δύναμη του κωδικού πρόσβασής σας. Ένας αδύναμος κωδικός πρόσβασης καθιστά πολύ πιο εύκολο για έναν εισβολέα να βυθιστεί το κλειδί και να αποκρυπτογραφήσει τη μονάδα δίσκου.
4. Έξυπνες κάρτες/μάρκες υλικού:
* Εξωτερική ασφάλεια: Ορισμένα συστήματα υποστηρίζουν τον έλεγχο ταυτότητας χρησιμοποιώντας έξυπνες κάρτες ή μάρκες υλικού. Αυτές οι συσκευές αποθηκεύουν τα πλήκτρα ελέγχου ταυτότητας με ασφάλεια και απαιτούν φυσική κατοχή της συσκευής για σύνδεση.
* Πώς λειτουργούν: Όταν ξεκινάτε τον υπολογιστή, θα σας ζητηθεί να εισαγάγετε την έξυπνη κάρτα ή να συνδέσετε το διακριτικό υλικού. Το σύστημα επικοινωνεί με τη συσκευή για να επαληθεύσει την ταυτότητά σας.
* υψηλή ασφάλεια: Οι έξυπνες κάρτες και τα μάρκες υλικού παρέχουν υψηλό επίπεδο ασφάλειας, καθώς τα πλήκτρα ελέγχου ταυτότητας δεν αποθηκεύονται στον ίδιο τον υπολογιστή.
Συνοπτικά:
* Πιθανότατα: Ο κωδικός εκκίνησης/power-on αποθηκεύεται στο υλικολογισμικό BIOS/UEFI.
* όλο και πιο κοινή: Τα TPMs γίνονται όλο και πιο διαδεδομένα για την εξασφάλιση των κλειδιών, ειδικά σε συνδυασμό με την κρυπτογράφηση πλήρους δίσκου.
* Ελεγχόμενο λειτουργικό σύστημα: Οι λύσεις κρυπτογράφησης πλήρους δίσκου αποθηκεύουν κλειδιά (ή κρυπτογραφημένες εκδόσεις των κλειδιών) στο δίσκο, συχνά με τη βοήθεια ενός TPM.
* Υψηλότερη ασφάλεια: Έξυπνες κάρτες/υλικό Tokens Store Κλειδιά ταυτότητας με ασφάλεια έξω από τον υπολογιστή.
Σημαντικές εκτιμήσεις:
* δύναμη κωδικού πρόσβασης: Ανεξάρτητα από το πού αποθηκεύεται ο κωδικός πρόσβασης, χρησιμοποιήστε έναν ισχυρό, μοναδικό κωδικό πρόσβασης.
* Πρακτικές ασφαλείας: Ενεργοποιήστε τις λειτουργίες όπως η Secure Boot και η υποστήριξη TPM στις ρυθμίσεις BIOS/UEFI, εάν είναι διαθέσιμες.
* Φυσική ασφάλεια: Προστατέψτε τη φυσική ασφάλεια του υπολογιστή σας για να εμποδίσετε τους εισβολείς να αποκτήσουν πρόσβαση στο υλικό.
* Δημιουργία αντιγράφων ασφαλείας και ανάκτησης: Βεβαιωθείτε ότι έχετε ένα σχέδιο αντιγράφων ασφαλείας και αποκατάστασης σε περίπτωση που ξεχάσετε τον κωδικό πρόσβασής σας ή τις δυσλειτουργίες του συστήματός σας. Για κρυπτογραφημένες μονάδες δίσκου, ακολουθήστε προσεκτικά τις διαδικασίες ανάκτησης που περιγράφονται από το λογισμικό κρυπτογράφησης. Η απώλεια του κλειδιού κρυπτογράφησης ισοδυναμεί με την απώλεια όλων των δεδομένων στη μονάδα δίσκου.
Οι συγκεκριμένοι μηχανισμοί τοποθεσίας και ασφαλείας εξαρτώνται από τις ρυθμίσεις του συστήματος υλικού, λογισμικού και ασφαλείας. Συμβουλευτείτε την τεκμηρίωση του υπολογιστή σας ή την τεκμηρίωση για το συγκεκριμένο λογισμικό κρυπτογράφησης για περισσότερες πληροφορίες.
Πνευματικά δικαιώματα © Γνώση Υπολογιστών Όλα τα δικαιώματα κατοχυρωμένα