» Аппаратное шифрование (FDE)

Доброго времени суток, уважаемые форумчане! Прошу совета в организации шифрования.
На ноутбуке будут храниться оч. важные данные и даже в случае кражи ноута НИКТО не должен получить к ним доступ. Ноут asus K50ij, ОС - Win7 professional. Часть данных будет храниться в файловом виде, а часть на SQL-сервере.

Для организации шифрования присматриваюсь к дискам от SEAGATE серии "momentus" с аппаратным шифрованием. Кто-нибудь ими пользовался? Какие остались впечатления? Насколько они надежны в плане работы? Насколько сложно получить доступ к зашифрованной информации не зная пароля (в том числе специалистам Seagate)?

а программное чем хуже? DiskCryptor тот же...

SevereK20

Да, программка очень интересная, спасибо. Особенно круто звучит"Шифрование системных и загрузочных разделов с предзагрузочной аутентификацией")). Обязательно её потестирую!!

Я вижу такие преимущества аппаратного решения над программным:
1) Производительность: в аппаратных hdd шифрование производится на уровне устройства, не загружая при этом ЦП. Не спорю, я не HD-видео пишу на диск, так что пользователь разницы не почувствует.
2) Надежность: Аппаратное шифрование не подвержено влиянию программных изменений(вирусы...). А вот вероятность того, что в результате каких-либо программных изменений перестанет работать программное шифрование ИМХО есть. Тут, правда, надо почитать, как работает DiskCryptor, чтобы делать однозначные выводы. Но в любом случае, узко специализированное коммерческое аппаратное решение всегда надежнее аналогичного софтверного

samba777
Апаратное шифрование, очень слабое по защите.
Нужно же шифровать быстро, на лету. Невозможно применить сложные системы шифрования.
По свой сути оно такое же программное, только выполняются микропрограммой харда, и так же подвержено различным сбоям.
По крайней мере все решения, которые пока попадались на хардах с аппаратным шифрованиям, сильно затрудняют, но не препятствуют получитить доступ к данным.
Хард не может выборочно шифровать, шифрует сразу все, что надо и не надо.
И файлы подкачи, кучи системных и временных файлов.
А пользователю в целом нужно защитить только его данные. Так что программы криптования только конкретных файлов, более лучше защищают данные. Но очень уязвимы в плане сбоев. Сам потом ничего не прочтешь. Копии нужно делать постоянно.

samba777
Собсно, все зависит от "важности" конторы. Если данные защитить
от рядового жулика - любое подойдет. Но лучше защита, ключ от
которой хранится в голове или на карточке доступа.
Если данные заинтересуют сильных мира сего - проще всего доступ
отжать из владельца ключа. И уровень защиты будет играть роль
только при потере владельца ключа...

tomset:

Цитата:

все решения, которые пока попадались на хардах с аппаратным шифрованиям, сильно затрудняют, но не препятствуют получитить доступ к данным.

AES128 ломать научились?
Они сильно затрудняют доступ при известном пароле, а речь о случае, когда пароль неизвестен.

samba777:
По поводу сравнения: http://www.seagate.com/staticfiles/docs/pdf/whitepaper/tp596_128-bit_versus_256_bit.pdf
Но в России эти харды запрещены вообще-то.
Да, и специалисты Seagate не занимаются доступом к зашифрованной информации не зная пароля.

tomset
Согласен, и HDD, и программа, которая шифрует системный раздел, будут шифровать "ненужные" данные типа файла подкачки, НО решение в этом случае получится более "комплексным" что ли, надежным, поскольку дает право на ошибку пользователю, что особенно важно для человека, который не очень дружит с ПК.
Представьте, что пользователь в силу определенных причин оставил на рабочем столе или где-либо в открытой области важные данные, типа пароля к программе шифрования или паролей к интернет-банкам. В результате вся система защиты идёт насмарку.

Т.е. поместить все важные данные под замок шифрования - наилучший вариант.

AntiMember
Действительно, для защиты от простого жулика, конкурента будет достаточно просто зашифровать данные. Но нужно свести к минимуму возможность халатности пользователя. А для гарантированной защиты данных от "сильных" придётся использовать эл/магнитный уничтожитель данных.

LeoT

Цитата:

AES128 ломать научились?

Вполне возможно, что производитель ПО/железа оставил себе какую-нить лазейку. Как вариант, впаяли какую-нибудь незаметную микросхему, которая в определенном формате дублирует ключ администратора, используя который можно получить доступ к диску.

Цитата:

в России эти харды запрещены

В DNS'е ЖД SEAGATE серии momentus открыто продаются, что и подозрительно, учитывая отношение "сильных" к средствам криптозащиты.

samba777

Цитата:

возможно, что производитель ПО/железа оставил себе какую-нить лазейку

Производителю это не нужно. Он не думал о получении лицензии ФСБ, даже не знал о такой необходимости.

Цитата:

В DNS'е ЖД SEAGATE серии momentus открыто продаются

Я не увидел там хардов с FDE.