暗号化とかその辺
2chの暗号化仮想ドライブ作成スレより
http://www.securevm.org/svms2.html
- Copy-and-paste attack
暗号文を所有権のある暗号文にコピーして複号可能にする
- Copy-and-paste attack
暗号文を暗号文のまま改竄する。改竄したい位置をあらかじめ知っとく必要が有る
- XTS-AES
上記に対する対策として。セクタ番号を暗号に含める様。ディスク間のコピーができなくなると思われるのだが…コピペアタックを防ぐには仕方ないのか。
Venus概要 | Venus solution
http://www.venustech.co.jp/outline/index.html
概要から推察するにX-windowのサーバクライアントでサーバ側でwindowsをエミュレート&クライアントで表示するのではないだろうか。(推測です)
サーバも高性能化、低価格化したとはいえ初期費用の大きさはちょっとネックとなるのではないだろうか。
しかし、消費電力の低減や管理の容易化、もちろんセキュリティのために仮想PCのメリットもあるので、これはこれでありなのかもしれない。
雑記
企業で情報の流出を防ごうと思った場合、上記のBitVisorやvenusを使うっててもあるが結構費用がかかりそうだ。
俺だったら
- HDDの書き込みにはオープンソースのTrueCryptを使用する
- USBドライバを改造して書き出し時に強制的にTrueCryptで暗号化
- 復号キーとして特定のファイルサーバに置いたキーファイルを用いる
といった仕様で安価にセキュアな環境を提供できそうだ。
もちろんドライバやUIを新たに作成する必要があるだろうが工数としては半年かからないはずだ。このブログ見てる人どうでしょうか?開発資金だしません?(笑)
もし作る仮定して問題点としては
- メール添付/Webアップローダーでの漏洩は防げない。
これはおそらくBitVisorやvenusでも同様の問題を抱えているはず(サーバor本体にネットワークの制限を設けて対処してるかも)
→これはファイアウオールで対処する- 企業によってはフリーソフトを使えない所もある
事業化するとしたらredhat linuxのようにサポートでバックアップする必要が有る
といった所か
あとはまあ細かい仕様
- 未暗号化USBのアクセスをどうするか。読むだけ/特定のユーザの許可/etc
- 特殊なドライバを必要とするUSBメモリへの対処。→OSの権限でドライバのインストールを制するのが手っ取り早いだろうな。管理者のスキルも様々なので必要なら設定ツールも用意
- 新USBドライバが既存のドライバを使用する形をとるとするとリネームで対処されてしまうかも。XP以上ではDLLのマニフェストに引っかかるかも。(winはよく知らないのです)
- キーファイルのやりとりでのセキュリティの確保。SSL、公開鍵暗号で暗号化は当然として、管理者のみキーファイルの内容にアクセスできクライアントに知られない。しかもソフトはクライアント上で動かなくてはいけない。さらにはオープンソースで。これはかなり厳しい条件。どうしたものか。
結構難しそうである。以上メモ終わり