Najczęściej stosowanym zabezpieczeniem danych składowanych na dyskach lokalnych jest szyfrowanie zawartości dysku za pomocą odpowiedniego oprogramowania. W użyciu są także rozwiązania sprzętowe, które podnoszą poprzeczkę bezpieczeństwa znacznie wyżej niż systemy czysto programowe.

Warto zauważyć, że na rynku zaczęły się pojawiać napędy dyskowe dla notebooków, wyposażone w zintegrowane układy sprzętowe do szyfrowania danych. Na razie są one instalowane w nielicznych modelach wysokiej klasy sprzętu przeznaczonego do zastosowań korporacyjnych lub specjalnych, ale jeśli popyt na takie rozwiązania będzie rósł, to być może już za kilka lat szyfrowanie informacji zapisywanych na dysku komputera stanie się standardem.

Technologie szyfrowania sprzętowego nie są oczywiście nowością, a stopień zabezpieczenia oferowany przez niektóre od dawna dostępne na rynku specjalizowane rozwiązania jest na tyle wysoki, że znajdują one zastosowanie w instytucjach przetwarzających dane niejawne.

Program dobry, sprzęt lepszy

Sprzętowy system szyfrowania twardego dysku ma kilka znaczących zalet w stosunku do czysto programowych rozwiązań. Najważniejszym z nich jest przezroczystość samego procesu szyfrowania, który przebiega przy użyciu mikroprocesora zainstalowanego w karcie szyfrującej, zatem nie obciąża procesora komputera. Chociaż moc obliczeniowa obecnych komputerów bardzo wzrasta, nadal przy szyfrowaniu dużych ilości danych można zauważyć widoczne, często trudne do zaakceptowania obciążenie. Daje się to zauważyć zwłaszcza wtedy, gdy komputer posiada niewielką ilość pamięci RAM i korzysta z pliku wymiany. Na szczęście w sprzęcie nowej generacji opóźnienie to nie jest najczęściej zbyt duże, niemniej jednak karta szyfrująca dane nie powoduje takich opóźnień w ogóle. W pewnych przypadkach użytkownik nie może nawet stwierdzić faktu szyfrowania zawartości dysku badając samą pracę systemu operacyjnego.

Opóźnienie nie jest najpoważniejszą wadą rozwiązań programowych. Gdy system operacyjny pracuje, w pamięci znajduje się kod odpowiedzialny za szyfrowanie i deszyfrowanie danych wysyłanych magistralą do dysku. Ponieważ istnieją możliwości odczytania pamięci systemu operacyjnego podczas jego pracy, większość narzędzi programowych jest podatna na atak. Można w tym celu użyć np. odczytania zawartości pamięci z użyciem urządzeń FireWire. Atak nie zawsze się powiedzie, ale istnieje prawdopodobieństwo sukcesu. Nawet tak wyczekiwane narzędzie jak Bitlocker nie będzie do końca pozbawione wad - według niektórych ekspertów, oprogramowanie firm trzecich jest pod wieloma względami lepsze, choć trzeba za nie dodatkowo zapłacić.

Urządzenia sprzętowe, gdzie zarówno klucz, jak i cały proces szyfrowania odbywa się poza pamięcią komputera, są bardzo mało wrażliwe na ataki polegające na analizie systemu operacyjnego. Jest to ich bardzo poważna zaleta.

Kolejną z zalet technologii sprzętowych jest ich przenośność. Wiele rozwiązań polegających na włączaniu karty między kontroler dysku a dysk jest całkowicie niezależnych od systemu operacyjnego. Dla systemu operacyjnego nie ma żadnych zmian między instalacją w środowisku szyfrowanym a takim, które nie posiada karty szyfrującej. To także bardzo poważna zaleta, bowiem system operacyjny (każdy) pracuje stabilniej na typowym sprzęcie, do którego sterowniki ładowane do jądra systemu są bardzo dobrze dopracowane. Tak samo analiza procesu uruchamiania komputera na podstawie zawartości dysku niewiele da. Dzięki separacji procesu szyfrowania od konstrukcji systemu operacyjnego nie ma znaczenia, czy w takim środowisku uruchamia się system Windows, Linux czy BSD. Gdy karta jest dostosowana do standardowych dysków, tę technologię można także zastosować w komputerach Mac z systemem MacOS. Za każdym razem jest to taka sama karta, nie wymagająca żadnych modyfikacji w jądrze systemu operacyjnego. Żadne z rozwiązań programowych nie ma takiej elastyczności jak moduł szyfrujący instalowany między kontrolerem dysku a dyskiem i posługujący się kluczami w sposób całkowicie odseparowany od systemu operacyjnego. Klucz nigdy nie znajduje się ani na dysku, ani w pamięci komputera, ponieważ jest pobierany do karty bezpośrednio z obiektu, gdzie jest przechowywany (karta inteligentna, urządzenie USB). Jednocześnie jest to wadą, bowiem utrudnia wsparcie techniczne - odzyskanie danych w razie utraty klucza bez fizycznej obecności serwisanta przy komputerze...

***

Pełna treść artykułu dostępna jest w serwisie SecurityStandard.pl