Criptarea discului

Criptarea discului  este o tehnologie de securitate a informațiilor care convertește datele de pe un disc într-un cod care nu poate fi citit pe care un utilizator ilegal nu îl poate decripta cu ușurință. Criptarea discurilor folosește software sau hardware special care criptează fiecare bit de stocare.

Expresia criptare completă a discului (FDE) înseamnă de obicei că totul de pe disc este criptat, inclusiv partițiile de sistem bootabile .

Clasificare

Există multe implementări de criptare completă a discurilor pe piață, ele pot varia foarte mult ca capabilități și securitate, pot fi împărțite în software și hardware [1] . Hardware-ul, la rândul său, poate fi împărțit în cele care sunt implementate în dispozitivul de stocare în sine și altele, de exemplu, un adaptor de magistrală [2] .

Sistemele de criptare completă implementate de hardware în interiorul discului se numesc auto-criptare (Self-Encrypted Drive - SED). Spre deosebire de FDE implementat prin software, SED este mai performant [3] . Mai mult, cheia de criptare nu părăsește niciodată dispozitivul, ceea ce înseamnă că este inaccesibil virușilor din sistemul de operare [1] .

Pentru unitățile cu auto-criptare, există Trusted Computing Group Opal Storage Specification (OPAL) care oferă standarde acceptate în industrie .

Criptare transparentă

Criptarea transparentă , numită și criptare în timp real sau criptare în timp real, este o metodă care utilizează un fel de software de criptare a discurilor [ 4] . Cuvântul „transparent” înseamnă că datele sunt criptate sau decriptate automat atunci când sunt citite sau scrise, ceea ce necesită de obicei lucrul cu drivere care necesită permisiuni speciale pentru instalare . Cu toate acestea, unele FDE, odată instalate și configurate de către un administrator, permit utilizatorilor obișnuiți să cripteze unitățile [5] .

Există mai multe moduri de a organiza criptarea transparentă: criptarea partiției și criptarea la nivel de fișier. Un exemplu al primului ar fi criptarea întregului disc, al doilea ar fi Encrypting File System ( EFS ). În primul caz, întregul sistem de fișiere de pe disc este criptat (nume de foldere, fișiere, conținutul acestora și metadate ), iar fără cheia corectă , nu puteți accesa datele. Al doilea criptează doar datele fișierelor selectate [4] .

Criptarea discurilor și criptarea sistemului de fișiere

Criptarea la nivel de sistem de fișiere ( FLE ) este procesul de criptare a fiecărui fișier din stocare. Datele criptate pot fi accesate numai după autentificarea cu succes. Unele sisteme de operare au propriile aplicații pentru FLE și sunt disponibile multe implementări de la terți. FLE este transparent, ceea ce înseamnă că oricine are acces la sistemul de fișiere poate vizualiza numele și metadatele fișierelor criptate, care pot fi exploatate de către un atacator [6] .

Criptarea la nivel de sistem de fișiere este diferită de criptarea completă a discului. FDE protejează datele până când utilizatorul finalizează descărcarea, astfel încât, dacă discul este pierdut sau furat , datele vor fi inaccesibile atacatorului, dar dacă discul este decriptat în timpul operațiunii și atacatorul obține acces la computer, atunci el va avea acces. la toate fișierele din stocare. FLE protejează până când utilizatorul este autentificat pentru un anumit fișier, atunci când lucrează cu un fișier, restul sunt încă criptate, astfel încât FLE poate fi utilizat împreună cu criptarea completă pentru o mai mare securitate [7] .

O altă diferență importantă este că FDE criptează automat toate datele de pe disc, în timp ce FLE nu protejează datele din afara fișierelor și folderelor criptate, astfel încât fișierele temporare și de schimb pot conține informații necriptate [7] .

Criptare disc și modul de platformă de încredere

Trusted Platform Module (TPM) este un procesor cripto securizat încorporat în placa de bază care poate fi utilizat pentru autentificarea dispozitivelor hardware. De asemenea, poate stoca date binare mari , cum ar fi chei secrete, și le poate asocia cu configurația sistemului țintă, drept urmare acestea vor fi criptate și va fi posibilă decriptarea lor numai pe dispozitivul selectat [8] .

Există FDE-uri care folosesc TPM, cum ar fi BitLocker , și altele care nu, cum ar fi TrueCrypt [9] .

Criptare completă și înregistrare principală de boot

Când instalează un FDE implementat prin software pe discul de pornire al unui sistem de operare care utilizează înregistrarea de pornire principală ( înregistrarea de pornire master în limba engleză  , MBR ), FDE trebuie să redirecționeze MBR-ul către un mediu special de pre-pornire (mediu de pre-boot în engleză  , PBE). ), pentru a implementa autentificarea pre-pornire ( autentificarea pre-boot în engleză  , PBA ). Numai după trecerea PBA va fi decriptat sectorul de boot al sistemului de operare. Unele implementări oferă PBA în rețea [10] .

Cu toate acestea, modificarea procesului de pornire poate duce la probleme. De exemplu, acest lucru poate preveni pornirea multiplă sau conflictul cu programele care în mod normal își salvează datele pe spațiul de disc unde, odată ce FDE este instalat, va fi localizat PBE. De asemenea, poate interfera cu Wake on LAN , deoarece PBA este necesar înainte de pornire. Unele implementări FDE pot fi configurate pentru a ocoli PBA, dar acest lucru creează vulnerabilități suplimentare pe care un atacator le poate exploata. Aceste probleme nu apar atunci când se utilizează discuri cu auto-criptare [11] . La rândul său, acest lucru nu înseamnă avantajul auto-criptării unităților față de alte unități. Pentru a salva sisteme de operare cu pornire multiplă din diferite familii, nu este necesară configurarea procesului software de criptare înainte de instalarea sistemului de operare: criptarea completă a discului cu conservarea multi-boot poate fi aplicată cu sistemele deja instalate. [12]

Mecanisme de recuperare a parolei/datelor

Sistemele de criptare a discurilor necesită mecanisme sigure și fiabile de recuperare a datelor . Implementarea ar trebui să ofere o modalitate ușoară și sigură de a recupera parolele (cele mai importante informații) în cazul în care utilizatorul o uită.

Majoritatea implementărilor oferă soluții bazate pe parola utilizatorului. De exemplu, dacă există un computer securizat , atunci acesta poate trimite unui utilizator care a uitat parola un cod special, pe care apoi îl folosește pentru a accesa site-ul de recuperare a datelor. Site-ul va adresa utilizatorului o întrebare secretă, la care utilizatorul a răspuns anterior, după care i se va trimite o parolă sau un cod unic de recuperare a datelor. Acest lucru poate fi implementat și contactând serviciul de asistență [13] .

Alte abordări de recuperare a datelor tind să fie mai complexe. Unele FDE oferă capacitatea de a restaura datele fără a contacta asistența. De exemplu, folosind carduri inteligente sau jetoane criptografice . Există, de asemenea, implementări care suportă un mecanism local de recuperare a datelor cu întrebări și răspunsuri [14] . Dar astfel de abordări reduc securitatea datelor, așa că multe companii nu permit utilizarea acestora. Pierderea autentificatorului poate duce la pierderea accesului la date sau la accesul atacatorului la acestea [15] .

Probleme de securitate

Majoritatea sistemelor de criptare completă bazate pe software sunt vulnerabile la un atac de repornire la rece , prin care cheile pot fi furate [16] . Atacul se bazează pe faptul că datele din RAM pot fi stocate până la câteva minute după ce computerul este oprit. Timpul de stocare poate fi mărit prin răcirea memoriei [17] . Sistemele care folosesc TPM sunt, de asemenea, vulnerabile la un astfel de atac, deoarece cheia cerută de sistemul de operare pentru a accesa date este stocată în RAM [18] .

Implementările software sunt, de asemenea, greu de protejat împotriva keylogger-urilor hardware . Există implementări care le pot detecta, dar sunt dependente de hardware [19] .

Vezi și

• Criptare
• Teoria criptării discurilor
• Criptare hardware
• Criptare hardware completă a discului
• Disc cu auto-criptare
• Criptarea unității BitLocker
• TrueCrypt

Note

1. ↑ 1 2 Discurile cu auto-criptare prezintă riscuri de auto-decriptare. Cum să spargeți criptarea completă a discului bazată pe hardware, 2012 , p. unu.
2. ↑ Maxcrypto Techbrief
3. ↑ B. Bosen: FDE Performance Comparison. Hardware versus software Full Drive Encryption, 2010 , p. 9.
4. ↑ 1 2 A. M. Korotin: DESPRE METODE DE IMPLEMENTARE A CRIPTĂRII TRANSPARENTE DE FIȘIERE PE BAZĂ DE CIDS CERTIFICATE PENTRU SISTEMUL DE OPERARE LINUX, 2012 , p. 62.
5. ↑ File System Encryption with Integrated User Management, 2001 , p. unu.
6. ↑ K. Scarfone, M. Souppaya, M Sexton: Guide to Storage Encryption Technologies for End User Devices, 2007 , p. 3-4.
7. ↑ 1 2 K. Scarfone, M. Souppaya, M Sexton: Guide to Storage Encryption Technologies for End User Devices, 2007 , pp. 3-5 - 3-6.
8. ↑ J. Winter: Eavesdropping Trusted Platform Module Communication, 2009 , pp. 2-3.
9. ↑ Stark Tamperproof Authentication to Resist Keylogging, 2013 , p. 3.
10. ↑ K. Scarfone, M. Souppaya, M Sexton: Guide to Storage Encryption Technologies for End User Devices, 2007 , p. 3-1.
11. ↑ K. Scarfone, M. Souppaya, M Sexton: Guide to Storage Encryption Technologies for End User Devices, 2007 , pp. 3-2 - 3-3.
12. ↑ Criptarea completă a discului a sistemelor instalate Windows Linux. Multiboot criptat (link inaccesibil - istoric ) . habr.com. (Rusă) 
13. ↑ K. Scarfone, M. Souppaya, M Sexton: Guide to Storage Encryption Technologies for End User Devices, 2007 , p. 4-5.
14. ↑ Symantec: Cum funcționează criptarea Wholedisk, p. 3"
15. ↑ K. Scarfone, M. Souppaya, M Sexton: Guide to Storage Encryption Technologies for End User Devices, 2007 , p. 4-6.
16. ↑ Stark Tamperproof Authentication to Resist Keylogging, 2013 , p. 12.
17. ↑ Lest We Remember: Cold Boot Attacks on Encryption Keys, 2008 , p. 5.
18. ↑ Lest We Remember: Cold Boot Attacks on Encryption Keys, 2008 , p. 12.
19. ↑ Stark Tamperproof Authentication to Resist Keylogging, 2013 , p. 13.

Literatură

• K. Scarfone , M. Souppaya , M. Sexton. Ghid pentru tehnologiile de criptare a stocării pentru dispozitivele utilizatorului final . - Publicatia speciala 800-111. - Institutul Național de Standarde și Tehnologie, 2007. - 40 p. Arhivatpe 17 octombrie 2011 laWayback Machine
• A. M. Korotin. DESPRE METODE DE IMPLEMENTARE A CRIPTĂRII TRANSPARENTE DE FIȘIERE PE BAZĂ DE CIPF CERTIFICAT PENTRU SISTEMUL DE OPERARE LINUX  // Securitatea tehnologiilor informaționale. - 2012. - Nr. 2012-2 . - S. 62-66 .
• B. Bosen. Comparație de performanță FDE. Hardware versus software Criptare completă a unității . - 2010. Arhivat la 22 decembrie 2015.
• Stefan Ludwig , prof. Dr. Winfried Kalf. Criptarea sistemului de fișiere cu management integrat al utilizatorilor . — 2001.
• Tilo Müller , Tobias Latzo , Felix C. Freiling. Discurile cu auto-criptare prezintă riscuri de auto-decriptare. Cum să spargeți criptarea completă a discului bazată pe hardware  // Raport tehnic pentru discursul german „(Un)Sicherheit Hardware-basierter Festplattenverschlüsselung”. — 2012.
• Tilo Müller , Hans Spath , Richard M¨ackl , Felix C. Freiling. Autentificare Stark Tamperproof pentru a rezista înregistrării tastelor . — 2013.
• J. Iarna. Comunicarea cu urechea la modulul platformei de încredere. — 2009.
• J. Alex Halderman , Seth D. Schoen , Nadia Heninger , William Clarkson , William Paul , Joseph A. Calandrino , Ariel J. Feldman , Jacob Appelbaum , Edward W. Felten. Lest We Remember: Cold Boot Attacks on Encryption Keys  // Simpozion de securitate USENIX. — 2008.
• Tabăra Poul Henning. GBDE - Criptare pe disc bazată pe GEOM  // BSDCon. — 2003.

Link -uri

• Ghid pentru tehnologiile de criptare de stocare pentru  dispozitivele utilizatorului final