全磁盘加密和磁盘删除

Question

假设一台带有热可换硬盘驱动器的全磁盘加密计算机已开启(即由受信任的用户在启动时解密)，但屏幕被锁定。

在这种情况下，如果具有物理访问权限的攻击者要移除其中一个磁盘(不是整台计算机，只是一张磁盘)，他们是否可以自由访问存储在其中的数据？就像，把磁盘装到另一台电脑上，然后开始浏览？如果答案是肯定的，那么是否有任何方法可以减轻这种特定情况？

注意:我知道，具有物理访问权限的攻击者除了我提到的攻击向量之外，还有无数的攻击矢量，因此“不允许物理访问”是首要的缓解措施。我能找到的唯一的相似问题是整个计算机都被抓走了，而不仅仅是磁盘。

Answer 1

全磁盘加密在rest.

中加密数据

这是这项技术的基本部分，也是为什么它在世界各地被各国政府及其部门所使用的原因。

当您与FDE一起使用驱动器时，通常会发生的是数据被“动态解密”。它通过使用系统存储器(RAM)暂时保存加密数据，并让CPU/GPU对其进行解密。

这意味着，即使在使用机器时，如果可以对磁盘进行原始访问，则驱动器仍将被加密。显然，我可以尝试用存储在RAM中的加密密钥来解密它。

因此，是的，您的数据仍然受到保护，而计算机是“活的”。数据和加密密钥存储在RAM中。