Podaj hasło a powiem ci co masz na dysku

Systemy do sprzętowego szyfrowania informacji zapisywanych na dyskach wciąż nie należą do rozwiązań popularnych i masowo wykorzystywanych. Jednak na rynku zaczęły się pojawiać napędy dyskowe ze zintegrowanymi mechanizmami szyfrującymi i być może już wkrótce takie zabezpieczanie danych stanie się regułą.

Systemy do sprzętowego szyfrowania informacji zapisywanych na dyskach wciąż nie należą do rozwiązań popularnych i masowo wykorzystywanych. Jednak na rynku zaczęły się pojawiać napędy dyskowe ze zintegrowanymi mechanizmami szyfrującymi i być może już wkrótce takie zabezpieczanie danych stanie się regułą.

Najczęściej stosowanym zabezpieczeniem danych składowanych na dyskach lokalnych jest szyfrowanie zawartości dysku za pomocą odpowiedniego oprogramowania. W Computerworld (CW nr 43 i 44/2006 oraz CW nr 4/2007) były już opisywane techniki umożliwiające programowe zaszyfrowanie pojedynczych zbiorów, katalogów, partycji, a nawet całego dysku w sposób programowy. Ale w użyciu są także rozwiązania sprzętowe, które podnoszą poprzeczkę bezpieczeństwa znacznie wyżej niż systemy czysto programowe.

Warto zauważyć, że na rynku zaczęły się pojawiać napędy dyskowe dla notebooków, wyposażone w zintegrowane układy sprzętowe do szyfrowania danych. Na razie są one instalowane w nielicznych modelach wysokiej klasy sprzętu przeznaczonego do zastosowań korporacyjnych lub specjalnych, ale jeśli popyt na takie rozwiązania będzie rósł, to być może już za kilka lat szyfrowanie informacji zapisywanych na dysku komputera stanie się standardem.

Technologie szyfrowania sprzętowego nie są oczywiście nowością, a stopień zabezpieczenia oferowany przez niektóre od dawna dostępne na rynku specjalizowane rozwiązania jest na tyle wysoki, że znajdują one zastosowanie w instytucjach przetwarzających dane niejawne.

Program dobry, sprzęt lepszy

Sprzętowy system szyfrowania twardego dysku ma kilka znaczących zalet w stosunku do czysto programowych rozwiązań. Najważniejszym z nich jest przezroczystość samego procesu szyfrowania, który przebiega przy użyciu mikroprocesora zainstalowanego w karcie szyfrującej, zatem nie obciąża procesora komputera. Chociaż moc obliczeniowa obecnych komputerów bardzo wzrasta, nadal przy szyfrowaniu dużych ilości danych można zauważyć widoczne, często trudne do zaakceptowania obciążenie. Daje się to zauważyć zwłaszcza wtedy, gdy komputer posiada niewielką ilość pamięci RAM i korzysta z pliku wymiany. Na szczęście w sprzęcie nowej generacji opóźnienie to nie jest najczęściej zbyt duże, niemniej jednak karta szyfrująca dane nie powoduje takich opóźnień w ogóle. W pewnych przypadkach użytkownik nie może nawet stwierdzić faktu szyfrowania zawartości dysku badając samą pracę systemu operacyjnego.

Opóźnienie nie jest najpoważniejszą wadą rozwiązań programowych. Gdy system operacyjny pracuje, w pamięci znajduje się kod odpowiedzialny za szyfrowanie i deszyfrowanie danych wysyłanych magistralą do dysku. Ponieważ istnieją możliwości odczytania pamięci systemu operacyjnego podczas jego pracy, większość narzędzi programowych jest podatna na atak. Można w tym celu użyć np. odczytania zawartości pamięci z użyciem urządzeń FireWire. Atak nie zawsze się powiedzie, ale istnieje prawdopodobieństwo sukcesu. Nawet tak wyczekiwane narzędzie jak Bitlocker nie będzie do końca pozbawione wad - według niektórych ekspertów, oprogramowanie firm trzecich jest pod wieloma względami lepsze, choć trzeba za nie dodatkowo zapłacić.

Urządzenia sprzętowe, gdzie zarówno klucz, jak i cały proces szyfrowania odbywa się poza pamięcią komputera, są bardzo mało wrażliwe na ataki polegające na analizie systemu operacyjnego. Jest to ich bardzo poważna zaleta.

Kolejną z zalet technologii sprzętowych jest ich przenośność. Wiele rozwiązań polegających na włączaniu karty między kontroler dysku a dysk jest całkowicie niezależnych od systemu operacyjnego. Dla systemu operacyjnego nie ma żadnych zmian między instalacją w środowisku szyfrowanym a takim, które nie posiada karty szyfrującej. To także bardzo poważna zaleta, bowiem system operacyjny (każdy) pracuje stabilniej na typowym sprzęcie, do którego sterowniki ładowane do jądra systemu są bardzo dobrze dopracowane. Tak samo analiza procesu uruchamiania komputera na podstawie zawartości dysku niewiele da. Dzięki separacji procesu szyfrowania od konstrukcji systemu operacyjnego nie ma znaczenia, czy w takim środowisku uruchamia się system Windows, Linux czy BSD. Gdy karta jest dostosowana do standardowych dysków, tę technologię można także zastosować w komputerach Mac z systemem MacOS. Za każdym razem jest to taka sama karta, nie wymagająca żadnych modyfikacji w jądrze systemu operacyjnego. Żadne z rozwiązań programowych nie ma takiej elastyczności jak moduł szyfrujący instalowany między kontrolerem dysku a dyskiem i posługujący się kluczami w sposób całkowicie odseparowany od systemu operacyjnego. Klucz nigdy nie znajduje się ani na dysku, ani w pamięci komputera, ponieważ jest pobierany do karty bezpośrednio z obiektu, gdzie jest przechowywany (karta inteligentna, urządzenie USB). Jednocześnie jest to wadą, bowiem utrudnia wsparcie techniczne - odzyskanie danych w razie utraty klucza bez fizycznej obecności serwisanta przy komputerze.

W innych zastosowaniach stosuje się kontrolery do dysku twardego zawierające moduły szyfrujące dane. Jest to dobre rozwiązanie, gdyż zapewnia lepszą ochronę elektromagnetyczną niż uniwersalne karty (dane nie przepływają w długich przewodach IDE bez szyfrowania), ale w pewnych przypadkach wymaga specjalnych sterowników. O ile sterowniki takie są dostępne dla najczęściej używanych systemów, takich jak Windows 2000/XP lub Linux, o tyle karty takiej nie zawsze można użyć w systemach takich jak projektowany pod kątem bezpieczeństwa system OpenBSD. Niektóre z tych kart nie mają wspomnianej wady, gdyż dla systemu są standardowym podwójnym kontrolerem dyskowym.