我一直在寻找和研究,但我找不到任何信息,如果有任何操作系统,可以加密所有的数据,包括RAM和交换分区,以保护东西,当操作系统启动和运行。我发现了有关磁盘加密、文件加密等方面的信息,但我似乎很难找到与“操作系统保护的完整系统”相关的信息。
简单地说:我想知道是否有可能用这样的操作系统来保护计算机系统--当任何人在网络服务器运行时偷取硬盘时,窃贼就不能解密这些数据。
有什么东西像一个完全加密的操作系统,还是因为某种原因而不可能(S)?如果,那是什么原因(S)呢?
发布于 2016-09-14 13:48:01
让我们一步一步地看一遍你的要求:
因此,如果有人偷了硬盘...,他就无法解密数据。
这在现代操作系统中得到了广泛的支持,被称为全磁盘加密。在Windows上,您可以使用像Bitlocker这样的工具来执行这项任务,而在Linux上,类似于dm-crypt这样的东西应该能起作用。但是,请注意,这将需要在每次启动服务器时输入密码。
我的意思是,所有这些都是加密的,也是...交换
任何体面的全磁盘加密系统都会将自己连接到驱动程序堆栈中,并在驱动器实际调用写入驱动器之前对该堆栈中的所有内容进行加密,因此,由于交换空间通常是写入驱动器上的,所以大多数全磁盘加密程序也会对其进行加密。
我的意思是所有这些都是加密的,还有内存...
这是事情变得棘手的地方,答案变成“不”。
您可以在RAM中加密数据,因为它只是数据,而算法并不关心数据驻留在哪里。然而,这也意味着将密钥留在RAM中,这使得这有点毫无意义。但是,还有英特尔SGX和AMD即将推出的内存加密技术(PDF白皮书)。他们都认为操作系统是一个对手,因此,即使在RAM中,也能提供对他的保护。因此,将标准加密和基于SGX的加密结合起来,您可以得到很大一部分RAM只保存加密的内容,但SGX也需要外部管理,因此您不能对RAM中的所有内容进行加密(目前而言),只要您不在CPU和RAM之间放置加密芯片。还要注意:由于这些技术是最近才出现的,所以现在使用这些技术的产品并不多,特别是因为Intel需要与SGX生产用户签订业务合同。
从理论上讲,“加密一切”听起来不错,但并不可行。我们需要做一些权衡。全磁盘加密将保护您免受攻击者窃取物理磁盘和读取其内容和RAM -保护最多可以防御攻击者谁获得根访问和/或物理窃取和试图读取RAM (请注意RAM不保存数据很长时间),但技术还没有(还)。
https://crypto.stackexchange.com/questions/39974
复制相似问题