ソフトウェアもSEDも駄目だと言われたら、HBA暗号化しか残ってないので。

 今回は前回ネタの続きみたいなもの。
 前記事で「ソフトウェアに依存せず起動ドライブも使えるSED」というネタを取り上げたが、今回は「他にないのか」という意味で。

 ・・・あるにはあるんですよ。そういう需要が極めて限定的ながらもゼロではないので。
 HDDに書き込む時に暗号化して、読み出す時に復号する、そんなハードウェアが。

 メリットは安価で入手も容易なSED非対応のHDDを使えること。
 何しろSED対応ドライブの入手性はあまり宜しくないので、本気で運用するなら、故障対応の為に手元に大量のストックを抱えることも考えなくてはいけなくなったりするし。これは辛い。
 一方SED非対応で良ければ(エンタープライズ品でも)代理店や商社だけでなくアキバの濃いめの店舗にも在庫があったりするので、手元の予備ドライブは最低限持っていれば後はどうにかなる。

 但しこの便利さのトレードオフとして、完全に各メーカの独自実装になってしまうんですわ。
 ということで、余程のことでもない限り「考慮外」にされてしまいそうなのだが。
 その余程のことが起こったら、ということで。

 まず、ネタというレベルで済まされる代物なら探せば結構あったりする。
 台湾や中国のOEM/ODMの会社のサイトなんかを見ると、商品として掲載されていたり。
 セキュリティ専業の会社のラインナップの中に入っていたり。
 その他にも、出所不明だが取り敢えず動く代物とか。
 ところが最低でも「真面目な使用」に耐えうる品質を「特別なことはせず」入手しようとなると、なかなか厳しい。

 ◇

 で、Adaptecはそこに目を付けたようで、MaxCryptoなるモノを作ってきたのであり。
 これ、HBA上のハードウェアキーを暗号化キーとして、HDDへの読み書きをリアルタイムで暗号化/復号する機能です。
 暗号化関連部分が完全にハードウェア上にあるので、ソフトウェアからは完全透過でHDD上のデータが暗号化されるということですな。勿論OSブートも可能。

 但し現状、このMaxCryptoというハードウェア暗号化が実装されているのがRAID機能を持たないHBAだけなので、SEDを使用した時のように「暗号化ディスクを使いRAIDする」ということが出来ないという何ともハンパな状況なのであり。
 それでも良いならば、まともな品質のハードウェア暗号化HBAが比較的低価格で手に入る、実質的に唯一と言って良い選択肢です、はい。

 ちなみにこれ、個人的には結構面白いモノだと思っていますが、実際に何かしようと考えるとRAIDカードでないのというのが厳しくて。
 まぁ商品の企画意図として、上位レイヤで冗長性は担保するからHBAだけあれば良い、って用途を想定しているのは分かるんですが。要するにストレージシステムやアプライアンスなんかへの組込用途がメインターゲットなんでしょう。

 とはいえ、ディスク丸ごと暗号化が低価格で出来るようになると、色々便利なことが多いんですよ。
 ちょっとセキュアで大きなデータを扱う現場なんかでは、問答無用で全HDDが暗号化されていたら運用面なんかでもだいぶラクになれることが多いし。

 ・・・ということで、12G SAS対応でRAIDカードも8シリーズが出るだろうから、その時はRAIDカードにもMaxCrypto対応入れて下さいな>Adaptec。

Share

Self Encription Driveの知名度が低過ぎて。

 寂しい思いをしたので、ちょっとボヤいてみる。

 そもそも、Self Encryption Drvieって何じゃいという話。
 一言で言うと、暗号化機能を内蔵したHDD。
 入力されたデータを、暗号化してからプラッタに書き込みます。読むときは復号するのね。
 で、データの暗号化に使うキーは内部に持っています。

 とまぁこれだけじゃ何のメリットがあるか不明だと思いますが。
 ポイントは、このHDDはパスワード(パスフレーズ)を使った認証機能を持っているんですよ。
 初めて使う時にパスワードを登録して、次からはそのパスワードで認証されないと読み書きどころか一切の操作が出来ないので、HDDを勝手に持ち出してデータを盗み出す・・・なんて手法に対抗できるんですな。

 勿論、通常はこのパスワード認証は対応したHBA(ホストバスアダプタ)が自動的に実施するので、ユーザは最初のパスワード登録の時以外は特にSEDの存在を意識する必要はない。
 つまりソフトウェアからは完全透過なので、起動領域であっても普通に暗号化出来るし、OS依存も無く、CPU負荷とかパフォーマンス絡みの問題も発生しないワケなのです。

 ちなみに一部Server用・Workstation用マザーとMobile Workstation(=高いノートPC)ではBIOSが機能を持っていたりして、その場合はオンボードSATAでSEDが使えたりします。
 更に、Windows8/Server 2012からはSEDドライブの管理がWindows上で出来るようになり、BitLockerと統合されてドライブ暗号化を提供していたり・・・これも全然知られてないですけどね。

 ◇

 とはいえ・・・通常殆どの場合で暗号化が必要なのはデータ領域だけで、それならハードウェアに依存しないソフトウェア暗号化ボリュームなんてモノがあるワケだし(その上暗号化によるCPU負荷も最近では事実上問題にならないことが多いし)、ソフトウェアから完全透過というSEDの利点が活きる場面ってのも、実際には結構限られている。

 言わば超絶ニッチではあるのだが、仕組みが登場してそろそろ「こなれてきた」こともあり、今では導入コストも大騒ぎする程ではない(と思う)。そんなに特別なものと身構えずに、必要ならピンポイントで導入していけば良いと思いますよ、個人的にはね。
 ・・・一番の問題はSED対応HDDの入手性だったりするのだが。

 ♯LSI製SAS RAID HBA+暗号化ライセンスに、SeagateのSaviio(2.5)かConstellation ES(3.5)の対応モデルの組み合わせが定番ですな。

 ◇

 で、突然こんなネタを書いたのは、今回、こういう話が聞こえてきたので。

 ・結構アレなデータも入る可能性があるシステムがある。
 ・データ領域は暗号化ボリュームを使うとして、自動マウントの為にシステム領域に暗号化ボリュームの鍵を置かざるを得ない。
 ・鍵がバレるのがイヤなのでシステム領域を含めて全HDDを丸ごと暗号化したい。
 ・でも起動領域はOSから普通のHDDとして見えるようにしたい(でないとメンテが手に負えない)。
 ・ドライブ故障時の回復に出来るだけ手間をかけたくない(でないとやっぱりメンテが手に負えない)。
 ・¥のお高い暗号化対応FCストレージとかは勘弁して。

 ・・・え~っと、すっごいレアケースだとは思うのだが、こういう時こそ超絶ニッチのSEDがハマるワケですよ。
 ところがまぁ、SED自体の知名度がとっても低いせいで・・・以下略、と。

 #つかそこまで求めるなら物理的なセキュリティ管理とか運用面での管理とか、その辺りがきっちり出来ているのが大前提な、念のため。

 ◇

 とはいえ、こういう設計は正直あんまり「スジが良い」とは言えないですな。
 問題の元凶は「システム領域に暗号化ボリュームの鍵を置かざるを得ない」ってトコなので、これさえどうにかなればニッチなSEDなんてモノを選ばなくともどうにでもなるワケで。

 例えば:
 ・そもそも再起動=暗号化ボリュームの再マウントなんてそんなに頻度高い作業ではないので、暗号化キー(=パスフレーズ)をシステム上に持たず、再起動の都度入力する
 ・サーバ内部のUSBコネクタにまともなUSBフラッシュメモリ等を接続し、暗号化キーだけはそこに格納する

 とか。どちらも条件付きながらそこまで悪くはないソリューションだと思うんだけど。
 まぁシステムが求める要件なんてのは千差万別なので、諸事情が寄せ集まった結果こういうことになってしまうのも仕方ないこともあるのだけど、ね。

 ♯「まともな」USBフラッシュメモリなら通電さえしておけばデータ消滅の心配はまず無いですよ。ESXiもUSBフラッシュで供給される時代だし。
  ・・・安物だといつ吹っ飛んでも知らんけど。

Share

微妙に惜しい完成度、CloudFogger。

 最近ふと思うところがあったので、CloudFoggerというOn-The-Flyの暗号化ツールを導入してみた。
 このツール、今のところ英語版しか無いか、特に日本語環境でも問題なし。
 が・・・微妙に惜しい、惜しかったのよこの完成度が。

 このツールのウリは名前通り、オンラインストレージと一緒に使うことを想定していることと、透過的暗号化という技術を実装していること。
 後者はコレ極論言うとrootkitなんかにも使われている技術で、ユーザから見ると暗号化されているファイルが見えない、つまり意識する必要が無いということですな。

 ところがこの透過的暗号化技術がどうにも惜しいことに。
 この機能とDropboxは相性が悪いらしく、更新されたファイルがアップロードされなかったり、といった事態が頻発。同期が取れるのが大前提のオンラインストレージでこれはキツい。

 結局、少なくとも現時点のDropBoxとの組み合わせでは、透過的暗号化機能は使えないということに。

 とはいえ、フォルダリストに暗号化済ファイルしか見えなくとも特に困らないワケで。
 Auto-Foggだけ切ってそのまま使い続けています、はい。

 #しかしまぁ、やれ認証だ暗号化だと、便利になってんだか不便になってんだかね。

Share

モバイルするならセキュリティ強化。

 TrueCryptで80GBの暗号化Diskファイルを作成しようとしたら、大体61GBぐらいで「システムリソースが足りません」と言われて失敗するのって、どうして?
 ちなみにフォーマットは無しでもNTFSでもFATでも結果は一緒。
 パーティションの暗号化なら全然問題ないのに。

 突然何故こんな話が出てきたかというと、大容量バッテリ以外の条件が全て揃ったLOOX Uを実際にモバイルするに当たって、データ領域の暗号化を行っていたため。

 モバイルPCの場合、デスクトップPCと違って最悪「盗難」「紛失」という事態が発生し得る。片や個人PCなので個人情報満載。
 これはそのままでは危険なので暗号化しましょうということなのだが。

 法人用途ではPointSecって結構使われてますな。HDD丸ごとAES暗号化するソフト。でもこれ、個人向けじゃないし。

 ということで、以下は当方の場合。

 Windows本体:
 WindowsのLMハッシュを無効にして、長いパスワードを採用。
 まあ15文字越えれば黙っていてもLMハッシュは無効になるので、TrueCryptの警告ライン「20文字以上」ってのは一つの目安になるのかも。
 この辺りの詳細は@ITででも。

 本体内HDD:
 データ領域はXPのEFSを使って暗号化。
 ・・・ってコレ、ファイルのプロパティの「詳細設定」ボタンを押したら出てくる「暗号化する」のチェックを入れるだけだけ。
 お手軽だが、正規ユーザでログインさえされなければ意外と強力なんですなコレ。

 SDカード、USB-HDD:
 TrueCryptで暗号化。
 まあド定番ということで。CPU負荷はそれなりにかかるが、セキュリティってそんなものだし。
 それよりポイントは、Win32だけでなくWin64やLinux等でも使えること。
 HDDがBuffalo製なのでSecureLockWareも使えるけども、アレはWin32だけなのよね、環境が。

 まあ個人レベルなら、この辺りで大体の対策はOKなんじゃないでしょうか。
 データを盗まれないことが大前提で、跡形もなく消去されてしまえばある意味目的は達成されているワケだしね。

Share