Дисково криптиране
Шифроване на диске технология за информационна сигурност, която преобразува данните на диска в нечетлив код, който нелегален потребител не може лесно да дешифрира. Дисковото криптиране използва специален софтуер или хардуер, който криптира всеки бит от паметта.
Изразътпълно дисково криптиране (FDE)обикновено означава, че всичко на диска е криптирано, включително стартиращи системни дялове.
Съдържание
На пазара има много реализации на пълно дисково криптиране, те могат да се различават значително по възможности и сигурност, могат да бъдат разделени на софтуерни и хардуерни [1] . Хардуерът от своя страна може да бъде разделен на такива, които са внедрени в самото устройство за съхранение, и други, например шинен адаптер [2] .
Хардуерно реализираните системи за пълно криптиране вътре в диска се наричат самокриптиращи се (Self-Encrypted Drive - SED). За разлика от софтуерно реализирания FDE, SED е по-производителен [3] . Освен това ключът за криптиране никога не напуска устройството, което означава, че е недостъпен за вируси в операционната система [1] .
За SED има Opal Storage Specification (OPAL) на Trusted Computing Group, която предоставя стандарти, приети в индустрията.
Прозрачното криптиране, наричано още криптиране в реално време или криптиране в движение, е метод, който използва някакъв вид софтуер за криптиране на диск [4] . Думата „прозрачен“ означава, че данните се криптират или декриптират автоматично, когато се четат или записват, което обикновено изисква работа с драйвери, които изискват специални разрешения за инсталиране. Въпреки това, някои FDEsведнъж инсталирани и конфигурирани от администратор, позволяват на обикновените потребители да криптират устройства [5] .
Има няколко начина за организиране на прозрачно криптиране: криптиране на дялове и криптиране на ниво файл. Пример за първото би било криптиране на целия диск, второто би било криптираща файлова система (EFS). В първия случай цялата файлова система на диска е криптирана (имена на папки, файлове, тяхното съдържание и метаданни) и без правилния ключ не можете да получите достъп до данните. Вторият криптира само данните от избраните файлове [4] .
Криптирането на ниво файлова система (FLE) е процес на криптиране на всеки файл в хранилището. Шифрованите данни могат да бъдат достъпни само след успешно удостоверяване. Някои операционни системи имат свои собствени приложения за FLE и са налични много реализации на трети страни. FLE е прозрачен, което означава, че всеки с достъп до файловата система може да види имената и метаданните на криптирани файлове, които могат да бъдат използвани от нападател [6] .
Криптирането на ниво файлова система е различно от криптирането на целия диск. FDE защитава данните, докато потребителят завърши изтеглянето, така че ако дискът бъде изгубен или откраднат, данните ще бъдат недостъпни за атакуващия, но ако дискът бъде дешифриран по време на работа и атакуващият получи достъп до компютъра, тогава той получава достъп до всички файлове в хранилището. FLE защитава, докато потребителят не бъде удостоверен за определен файл, когато работи с един файл, останалите все още са криптирани, така че FLE може да се използва заедно с пълно криптиране за по-голяма сигурност [7] .
Друга важна разлика е, че FDEавтоматично криптира всички данни на диска, докато FLE не защитава данните извън криптираните файлове и папки, така че временните и суап файловете може да съдържат некриптирана информация [7] .
Модулът за надеждна платформа (TPM) е защитен крипто процесор, вграден в дънната платка, който може да се използва за удостоверяване на хардуерни устройства. Може също така да съхранява големи двоични данни, като секретни ключове, и да ги асоциира с конфигурацията на целевата система, в резултат на което те ще бъдат криптирани и ще бъде възможно да се дешифрират само на избраното устройство [8] .
Има FDE, които използват TPM, като BitLocker, и такива, които не го използват, като TrueCrypt [9] .
Когато инсталирате софтуерно реализиран FDE на диска за зареждане на операционна система, която използва главния запис за зареждане (English master boot record, MBR), FDE трябва да пренасочи MBR към специална среда преди зареждане (English pre-boot environment, PBE), за да приложи удостоверяване преди зареждане (English Pre-Boot Authentication, PBA). Едва след преминаване на PBA секторът за зареждане на операционната система ще бъде дешифриран. Някои реализации осигуряват PBA през мрежата [10] .
Системите за криптиране на дискове изискват сигурни и надеждни механизми за възстановяване на данни. Внедряването трябва да осигури лесен и сигурен начин за възстановяване на пароли (най-важната информация), в случай че потребителят я забрави.
Повечето реализации предлагат решения, базирани на паролата на потребителя. Например, ако има защитен компютър, той може да изпрати специален код на потребителя, който е забравил паролата, който след това използва за достъп до сайта за възстановяване на данни. Сайтът ще попитана потребителя таен въпрос, на който потребителят е отговорил преди това, след което ще му бъде изпратена парола или еднократен код за възстановяване на данни. Това може да се осъществи и като се свържете с поддръжката [13] .
Повечето системи за пълно криптиране, базирани на софтуер, са уязвими на атака при студено рестартиране, при която ключовете могат да бъдат откраднати [16] . Атаката се основава на факта, че данните в RAM могат да се съхраняват до няколко минути след изключване на компютъра. Времето за съхранение може да се увеличи чрез охлаждане на паметта [17] . Системите, използващи TPM, също са уязвими на такава атака, тъй като ключът, изискван от операционната система за достъп до данни, се съхранява в RAM [18] .
Софтуерните реализации също са трудни за защита срещу хардуерни кийлогъри. Има реализации, които могат да ги открият, но те зависят от хардуера [19] .