28. tammikuuta 2017

Noin kolme tapaa salata SSD-levy rautapohjaisesti


Käytännössä kaikissa nykyään myytävissä SSD tai M.2 levyissä on sisäänrakennettu ja jo automaattisesti päällä oleva salaus. Salauksessa käytetään yleensä AES256 rautapohjaisesti toteutettuna, joten sen käyttö ei de facto hidasta levyä lainkaan. Salauksesta on tällä tapaa se hyöty, että levy voidaan "tyhjentää" sekunnissa vain yksinkertaisesti pyyhkimällä salausavain helvettiin ilman, että jokaista levyn bittiä pitää suoranaisesti päällekirjoittaa. Salauksesta ei kuitenkaan tällä tapaa ole hyötyä tiedostojen salaamiseen, koska kiintolevy sylkee mitään kyselemättä sisältönsä ulos oletuksena.

Mutta mitäpäs, jos haluaisi myös suojata koko kiintolevyn sisällön esimerkiksi varkaita tai muita rikollisia, kuten poliisia vastaan? Mitenkäs se onnistuu käytännössä tätä hyödyntäen?

Ensimmäinen ja helpoin keino on käyttää BIOS:ssa olevaa vaihtoehtoa asettaa kiintolevylle salasana, jos sellainen vaihtoehto sieltä löytyy ja salasanaksi voi laittaa vähintään 16 merkkiä pitkän rimpsun. Ainakin kaikki Samsungin ja Intellin SSD/M.2 levyt näet nappaavat tuon salasanan syöttövaiheessa ja muodostavat siitä salaus/purkuavaimen pääsalausavaimelle, jolla koko kiintolevyn sisältö on salattu. Salasanan yksisuuntainen kryptografinen tiivistearvo tallennetaan myös yleensä kiintolevylle ATA-salasanaksi, mutta siitä ei voida alkuperäistä salasanaa palauttaa, koska kyseessä on todellakin yksisuuntainen funktio. Näin tehden käyttäjän pitää joka kerta konetta sammuksista käynnistäessään syöttää oikea salasana tai salauksen ja ATA-salasanan ja pääsalausavaimen purku ei onnistu ja levyn sisältö pysyy ummessa ja salattuna. On tärkeää muistaa, että pitää asettaa nimenomaan kiintolevyn salasana, ei BIOSsin salasanaa, vaikka ilmeisesti jotkin tietyt SSD-levyt osaavat napata myös BIOS:in salasanan tuohon tarkoitukseensa.

Mikäli BIOS ei tue kiintolevyn salasanan asettamista, siihenkin löytyy konsti. BIOS voidaan näet virittää sellaiseksi, että se nimenomaan tukee ja osaa käyttää kiintolevyn salasanaa. Tähän tarkoitukseen pitää emolevyn BIOS tai emolevyn verkkokortin BIOS päivittää/virittää ATA Security eXtension BIOS:illa.

Toinen ja hitusen hankalampi, mutta sitäkin turvallisempi ja varmempi keino on bootata tietokone esimerkiksi Knoppix Linuxiin tai vastaavaan ja käyttää Linuxin hdparm-komentoa ja määritellä sillä levy maxsecurity-tilaan käyttäjä- ja adminsalasanat levylle määritellen, jne. Tämän jälkeen kone käynnistetään uudelleen - huomaa, käynnistetään uudelleen, ei sammuteta välissä - ja se boottaa nätisti tuolta kiintolevyltään sen sisältämään käyttöjärjestelmään ilman ongelmia. Kun tietokone sitten joskus myöhemmin sammutetaan, kyseinen SSD/M.2 levy salausavain tuhoutuu sen muistista ja kiintolevyä ei voi avata eikä sen sisältöä lukea (vaikka sen voisikin jotenkin avata). Avatakseen uudestaan ko. kiintolevyn pitää taas käynnistää Knoppix Linux ja käyttää edellä mainittuja hdparm-komentoja ja oikeita salasanoja sen avaamiseen - jonka jälkeen tietokone käynnistetään uudelleen - huomaa, käynnistetään uudelleen, ei sammuteta välissä. Tälläkin kikalla voi hienosti kiertää sen ongelman, että BIOS ei tue kiintolevyn salasanaa tai kiintolevyn salasanaksi ei voi valita kuin jotain 4-8 merkkiä pitkää, eli turvatonta rimpsua.

Kolmas ja paskin tapa käyttää hyväksi SSD/M.2 levyjen salausta on käyttää Windows 8.1 tai Windows 10. Ne nimittäin käyttävät sitä yleensä jo oletuksena automaattisesti hyväkseen, mutta vain, jos kirjaudut Microsoftin tilille - jonne Microsoft imee salausavaimen "turvaan" (ja viranomaisten saataville). Voit toki mennä itse tilillesi ja poistaa sieltä tuon avaimen ja yrittää luottaa siihen, että Microsoft oikeasti poistaa sen sieltä, eikä säilytä toista kopiota jossain jemmassa...

Rautapohjaisen salauksen vaihtoehdoksi voi toki aina asentaa Veracryptin ja käyttää koko kiintolevyn salausta sillä. Nykyaikaiset prosessorit hallitsevat AES256 kiihdytyksen, joten jos valitset salausalgoritmiksi sen, nopeuseron salaamattomaan levyyn ei pitäisi olla kovinkaan suuri. Toki voit myös käyttää Windowsin omaa Bitlockeria (jos omaat sellaisen Windowsin version, jossa se on, eli lähinnä Pro-version) TPM-sirulla varustetussa tietokoneessasi tai myöskin sellaisessa, jossa TPM-sirua ei ole (tällöin tietokoneeseen pitää käynnistyksen yhteydessä liittää usb-tikku tai muistikortti, jossa Bitlocker-avain on).

Kaikista näistä vaihtoehdoista kaikkein turvallisin lienee Bitlocker TPM-sirulla ja muilla kilkkeillä, mutta hyvänä kakkosena tulee kyllä Veracrypt. Näiden kahden systeemin toimintavarmuus ja luotettavuus on näet tutkittu, todennettu ja hyväksi havaittu. Toisin kuin SSD/M.2 levyjen rautakrypton toteutus, joissa on aina pieni epävarmuus, koska niiden tarkkaa toimintamekanismia ei ole suostuttu juurikaan raottamaan ilmeisesti kilpailijoiden pelon vuoksi.

Miten sitten voi tietää, onko salaus TODELLA käytössä kuten pitäisikin? Siihen ei valitettavasti ole kuin yksi täysin varma keino: SSD/M.2 levy pitää irroittaa tietokoneestasi ja törkätä kiinni johonkin toiseen tietokoneeseen, jossa pyörii joku käyttöjärjestelmä jo päällä. Sitten sinun pitää koettaa mennä ko. kiintolevyysi ja katsoa, mitä tapahtuu. Jos pääset sinne ja voit katsoa tiedostojasi, salaus ei tietenkään ole onnistunut. Jos sen sijaan et pysty edes näkemään koko kiintolevyä tai ainakaan sen tiedostojasi, onneksi olkoon, salaus toimii kuten pitääkin.

11 kommenttia:

Suoli Niinistö kirjoitti...

Kiitos näistä vinkeistä...Olet Rehellinen ja Peräänantamaton Kansalainen....Siitä syystä nuo PASKALAKIT ovat Sun perässä...Ne Epärehelliset Pelkurit ovat kateellisia...

Ps...Minä EN pidä Ydinvoimasta...Seuraa Arto Laurin Kirjoituksia,Videoita aiheesta...Niin ymmärrät Miksi..!

Anonyymi kirjoitti...

Oliko sun kovalevyt suojattu, kun poliisi vei ne? Entä nyt?

Anonyymi kirjoitti...

Onpas vaikeeta pc-maailmassa. Macillä saa koko käynnistyslevyn salattua klikkaamalla paria nappulaa. Salaus avataan kirjottamalla oman käyttäjätunnuksen salasana. Prosessissa voi valita, että säilyttääkö salauksen purkuavaimen itse vai apple id tilillä.

Anonyymi kirjoitti...

Onhan muuuten Windowsissakin Bitlocker, jossa salausavainta ei tallenneta pilveen ja salaus on helppo kytkeä päälle. Unohdit sen vaihtoehdon kokonaan tuosta. Sitä tosin ei ole Home-versiossa

Markus Jansson kirjoitti...

> Oliko sun kovalevyt suojattu, kun poliisi vei ne? Entä nyt?

Ei sen/tämän nettikoneen kovalevyt olleet, koska tätä käytän vain Facebookkiin, pelaamiseen jne. tms. enkä mihinkään tärkeään tai arkaluontoiseen koskaan. Läppärini kovalevyt olivat kryptattu Linuxin natiivikryptolla, joten niistä ei poliisi koostunut mitään.

> Macillä saa koko käynnistyslevyn salattua klikkaamalla paria nappulaa.

Eikä saa, mäkki kryptaa vain käyttäjän kotihakemiston, ei koko kiintolevyä.

> Onhan muuuten Windowsissakin Bitlocker, jossa salausavainta ei tallenneta
> pilveen ja salaus on helppo kytkeä päälle. Unohdit sen vaihtoehdon kokonaan
> tuosta. Sitä tosin ei ole Home-versiossa

Enkä unohtanut, sanoin selvästi:
"Toki voit myös käyttää Windowsin omaa Bitlockeria (jos omaat sellaisen Windowsin version, jossa se on, eli lähinnä Pro-version) TPM-sirulla varustetussa tietokoneessasi tai myöskin sellaisessa, jossa TPM-sirua ei ole (tällöin tietokoneeseen pitää käynnistyksen yhteydessä liittää usb-tikku tai muistikortti, jossa Bitlocker-avain on). Kaikista näistä vaihtoehdoista kaikkein turvallisin lienee Bitlocker TPM-sirulla ja muilla kilkkeillä, mutta hyvänä kakkosena tulee kyllä Veracrypt."

Anonyymi kirjoitti...

>> Oliko sun kovalevyt suojattu, kun poliisi vei ne? Entä nyt?

> Ei sen/tämän nettikoneen kovalevyt olleet, koska tätä käytän vain Facebookkiin, pelaamiseen > jne. tms. enkä mihinkään tärkeään tai arkaluontoiseen koskaan.

Amatöörivirhe.

Anonyymi kirjoitti...

Macissä on ollut koko käyttislevyn salaus ainakin jo vuodesta 2012 (FileVault 2). Tiedän asian itse oikein hyvin, kun käytän Maciä.

Anonyymi kirjoitti...

Tarkennus edelliseen. Macissä koko käyttislevyn kryptaus on ollut 2011 kesäkuusta lähtien

Anonyymi kirjoitti...

Uudessa Macissä koko levyn salaus on myös oletuksena päällä, jos kirjautuu Apple ID:llä. Silloin tosin palautusavain tallentuu Applen palvelimelle. Normaalit rikolliset toki pysäyttää, mutta ei valtio-nimistä rikollisjärjestöä

Markus Jansson kirjoitti...

AI perkele, joo Filevault 2 näköjään pystyy tuohon! Korjaan! :D

Anonyymi kirjoitti...

Älkää kukaan valittako että vanha keskustelu. Miten on salaus jälkikäteen SSD:ikä? Siinähän ei oikein tiedä että missä kohti tieto on tai on "ollut". Poisto vastaa ikään kuin "roskakorin tyhjennystä" perinteisellä...