Vitajte na [www.pocitac.win] Pripojiť k domovskej stránke Obľúbené stránky
1. BIOS/UEFI (firmvér):
* Najbežnejšia poloha: Toto je najčastejšie miesto, kde nájdete heslá spustenia/zapnutia. BIOS (základný vstupný/výstupný systém) alebo jeho moderná výmena, UEFI (Unified Extensible Firmware Interface), je firmvérový program, ktorý spustí pri prvom zapnutí počítača. Inicializuje hardvér a potom odovzdá ovládací prvok do operačného systému.
* neprchavé úložisko: Heslo (často jeho hashed verzia pre zabezpečenie) sa ukladá v neprchavej pamäti v čipe firmvéru základnej dosky. Táto pamäť si zachováva svoj obsah, aj keď je počítač vypnutý. Medzi bežné typy použitej pamäťovej pamäte patrí EEPROM (elektricky vymazateľná programovateľná pamäť iba na čítanie) a pamäť flash.
* Ako to funguje: Keď sa počítač spustí, BIOS/UEFI skontroluje heslo. Ak je niekto nastavený, systém vyzve používateľa, aby ho zadal * pred * načítaním operačného systému. Ak je zadané správne heslo, proces zavádzania pokračuje. Ak je zadané nesprávne heslo, systém by sa mohol uzamknúť alebo vyžadovať špeciálny kód správcu na resetovanie hesla (ak je nakonfigurovaný).
* Bezpečnostné úvahy: Aj keď je pohodlné, ukladanie hesla do BIOS/UEFI nie je úplne bezpečné. Existujú metódy (aj keď často vyžadujú fyzický prístup k počítaču) na obídenie alebo resetovanie hesla BIOS/UEFI, napríklad:
* CMOS Reset Battery: Odstránenie batérie CMOS na základnej doske (malá batéria v tvare mince) často resetuje nastavenia BIOS vrátane hesla. To však tiež resetuje ďalšie nastavenia BIOS, takže to nie je ideálne.
* Nastavenia prepojky: Niektoré základné dosky majú skoky, ktoré pri rekonfigurácii môžu vynútiť reset BIOS.
* blikanie BIOS: V niektorých prípadoch je možné znovu zafarbiť čip BIOS s novým obrázkom firmvéru, čím efektívne vymaže staré heslo. Jedná sa o pokročilejšiu techniku a predstavuje riziko, že sa babtuje základná doska, ak sa to neurobí správne.
* hacking hacking: Sofistikovaní útočníci so špecializovaným zariadením môžu niekedy priamo pristupovať a manipulovať s obsahom firmvérového čipu.
2. TPM (Modul dôveryhodnej platformy):
* Hardvérová bezpečnosť: TPM je špecializovaný bezpečnostný čip na základnej doske, ktorý poskytuje hardvérové bezpečnostné funkcie. Môže sa použiť na bezpečné ukladanie kryptografických kľúčov vrátane kmeňov týkajúcich sa autentifikácie.
* Namerané bootovanie: TPM sa často používajú v spojení s procesmi „merané bootovanie“ alebo „zabezpečené bootovanie“. V tomto prípade TPM meria proces bootovania, pričom sa zavádza kryptografické hashy bootloaderu, jadra operačného systému a ďalšie kritické komponenty. Tieto merania sú uložené v TPM a TPM môže byť nakonfigurovaný tak, aby uvoľnil určité klávesy, iba ak sa proces zavádzania považuje za „dôveryhodný“ (t. J. Merania zodpovedajú očakávaným hodnotám). Pomáha to chrániť pred škodlivým softvérom na bootovanie.
* BitLocker (Windows) a podobné šifrovanie: TPM sa bežne používajú na ukladanie klávesov pre technológie šifrovania plného disku, ako je Microsoft BitLocker. Zatiaľ čo samotný BitLocker používa heslo alebo PIN, na dešifrovanie jednotky * je často ukladaný v TPM. To znamená, že ak TPM zistí manipuláciu s procesom zavádzania, môže odmietnuť uvoľniť kľúč, čím zabráni dešifrovaniu jazdy.
* Vylepšená bezpečnosť: Ukladanie klávesov v TPM je vo všeobecnosti bezpečnejšie ako ich ukladanie priamo do systému BIOS, pretože TPM je špecializovaný bezpečnostný čip s funkciami odolnými voči neoprávnení.
3. Riešenia šifrovania (FDE) založené na softvéri:
* Úroveň operačného systému: Riešenia ako Verarypt, Luks (Linux Unified Key Nastavenie) a FileVault (MacOS) šifrujú celý pevný disk. Heslo, ktoré zadáte na odomknutie jednotky, sa používa na odvodenie dešifrovacieho kľúču.
* Kľúčové úložisko: Samotný šifrovací kľúč (alebo jeho časť) * by sa mohol uložiť na disk v šifrovanom formulári, ktorý je chránený vašim heslom. Dobré implementácie však používajú funkcie derivácie kľúčov (KDF), ktoré sťažujú výpočtovo odvodenie dešifrovacieho kľúču iba z hesla. Často vyžadujú heslo * aj * nejaké hardvérové tajomstvo (ako TPM).
* Modifikácia bootloaderu: Tieto riešenia často upravujú bootloader tak, aby vyzval heslo * pred * načítam operačného systému. To umožňuje dešifrovanie celej jednotky pred začiatkom OS.
* Zložitosť hesla: Bezpečnosť týchto riešení do značnej miery závisí od sily vášho hesla. Slabé heslo uľahčuje útočníkovi Brute-Force kľúč a dešifruje jednotku.
4. Inteligentné karty/hardvérové tokeny:
* Externá bezpečnosť: Niektoré systémy podporujú autentifikáciu pomocou inteligentných kariet alebo hardvérových tokenov. Tieto zariadenia bezpečne ukladajú autentifikačné kľúče a vyžadujú si fyzické držanie zariadenia na prihlásenie.
* Ako fungujú: Po spustení počítača sa zobrazí výzva na vloženie inteligentnej karty alebo pripojiť hardvérový token. Systém komunikuje so zariadením na overenie vašej identity.
* Vysoká bezpečnosť: Inteligentné karty a hardvérové tokeny poskytujú vysokú úroveň bezpečnosti, pretože autentifikačné kľúče nie sú uložené v samotnom počítači.
v súhrne:
* najpravdepodobnejšie: Heslo spustenia/napájania je uložené vo firmvéri BIOS/UEFI.
* stále bežnejšie: TPM sa stávajú častejšími pri zabezpečovaní kľúčov, najmä v spojení s šifrovaním plného disku.
* Ovládaný operačný systém: Klávesy na šifrovanie plného disku ukladajú kľúče (alebo šifrované verzie kľúčov) na disku, často pomocou TPM.
* najvyššia bezpečnosť: Smart Cards/Hardware Tokens Store Authentication Keys bezpečne mimo počítača.
Dôležité úvahy:
* Sila hesla: Bez ohľadu na to, kde je heslo uložené, použite silné a jedinečné heslo.
* bezpečnostné postupy: Povoľte funkcie ako Secure Boot a TPM Support v nastaveniach BIOS/UEFI, ak sú k dispozícii.
* Fyzická bezpečnosť: Chráňte fyzickú bezpečnosť vášho počítača, aby ste zabránili útočníkom získať prístup k hardvéru.
* zálohovanie a zotavenie: Uistite sa, že máte plán zálohovania a obnovy v prípade, že zabudnete svoje heslo alebo poruchy systému. V prípade šifrovaných jednotiek starostlivo postupujte podľa postupov obnovenia načrtnutými šifrovacím softvérom. Strata šifrovacieho kľúču je rovnocenná so stratou všetkých údajov na jednotke.
Konkrétne mechanizmy polohy a bezpečnosti závisia od nastavení hardvéru, softvéru a zabezpečenia systému. Viac informácií nájdete v dokumentácii svojho počítača alebo dokumentácii pre váš konkrétny šifrovací softvér.