Diskkryptering

Den aktuelle version af siden er endnu ikke blevet gennemgået af erfarne bidragydere og kan afvige væsentligt fra den version , der blev gennemgået den 27. juni 2021; checks kræver 2 redigeringer .

Diskkryptering  er en informationssikkerhedsteknologi, der konverterer data på en disk til en ulæselig kode, som en ulovlig bruger ikke nemt kan dekryptere. Diskkryptering bruger speciel software eller hardware , der krypterer hver enkelt lagerplads .

Udtrykket fuld diskkryptering (FDE) betyder normalt, at alt på disken er krypteret, inklusive bootbare systempartitioner.

Klassifikation

Der findes mange implementeringer af fuld diskkryptering på markedet, de kan variere meget i muligheder og sikkerhed, de kan opdeles i software og hardware [1] . Hardware kan til gengæld opdeles i dem, der er implementeret i selve lagerenheden, og andre, for eksempel en busadapter [2] .

Hardware-implementerede systemer med fuld kryptering inde i disken kaldes selvkryptering (Self-Encrypted Drive - SED). I modsætning til software-implementeret FDE er SED mere effektiv [3] . Desuden forlader krypteringsnøglen aldrig enheden, hvilket betyder, at den er utilgængelig for vira i operativsystemet [1] .

For selvkrypterende drev er der Trusted Computing Group Opal Storage Specification (OPAL), som leverer industriaccepterede standarder .

Transparent kryptering

Transparent kryptering , også kaldet real-time kryptering eller on-the-fly kryptering, er en metode, der bruger en form for diskkrypteringssoftware [ 4] . Ordet "gennemsigtig" betyder, at dataene automatisk krypteres eller dekrypteres, når de læses eller skrives, hvilket normalt kræver arbejde med drivere , der kræver særlige tilladelser for at installere . Men nogle FDE'er, når de er installeret og konfigureret af en administrator, tillader almindelige brugere at kryptere drev [5] .

Der er flere måder at organisere gennemsigtig kryptering på: partitionskryptering og kryptering på filniveau. Et eksempel på det første ville være kryptering af hele disken, det andet ville være Encrypting File System ( EFS ). I det første tilfælde er hele filsystemet på disken krypteret (navne på mapper, filer, deres indhold og metadata ), og uden den korrekte nøgle kan du ikke få adgang til dataene. Den anden krypterer kun dataene i de valgte filer [4] .

Diskkryptering og filsystemkryptering

Kryptering på filsystemniveau ( FLE ) er processen med at kryptere hver fil på lager. Krypterede data kan kun tilgås efter vellykket godkendelse. Nogle operativsystemer har deres egne applikationer til FLE, og mange tredjepartsimplementeringer er tilgængelige. FLE er transparent, hvilket betyder, at alle med adgang til filsystemet kan se navne og metadata på krypterede filer, som kan udnyttes af en angriber [6] .

Kryptering på filsystemniveau er forskellig fra kryptering på fuld disk. FDE beskytter data, indtil brugeren fuldfører overførslen, så hvis disken mistes eller stjæles , vil dataene være utilgængelige for angriberen, men hvis disken dekrypteres under drift og angriberen får adgang til computeren, så får han adgang til alle filer på lageret. FLE beskytter indtil brugeren er autentificeret for en bestemt fil, når man arbejder med én fil, er resten stadig krypteret, så FLE kan bruges sammen med fuld kryptering for større sikkerhed [7] .

En anden vigtig forskel er, at FDE automatisk krypterer alle data på disken, mens FLE ikke beskytter data uden for krypterede filer og mapper, så midlertidige filer og swap-filer kan indeholde ukrypteret information [7] .

Diskkryptering og Trusted Platform Module

Trusted Platform Module (TPM) er en sikker kryptoprocessor indbygget i bundkortet , som kan bruges til at godkende hardwareenheder. Det kan også lagre store binære data , såsom hemmelige nøgler, og knytte dem til konfigurationen af ​​målsystemet, som et resultat af hvilket de vil blive krypteret, og det vil kun være muligt at dekryptere dem på den valgte enhed [8] .

Der er FDE'er, der bruger TPM, såsom BitLocker , og dem, der ikke gør, såsom TrueCrypt [9] .

Fuld kryptering og master boot record

Når du installerer en softwareimplementeret FDE på opstartsdisketten i et operativsystem, der bruger master boot record ( engelsk  master boot record, MBR ), skal FDE omdirigere MBR til et specielt pre-boot miljø ( engelsk  pre-boot miljø, PBE ), for at implementere pre-boot-godkendelse ( engelsk  Pre-Boot Authentication, PBA ). Først efter bestået PBA vil opstartssektoren af ​​operativsystemet blive dekrypteret. Nogle implementeringer giver PBA over netværket [10] .

Ændring af opstartsprocessen kan dog føre til problemer. For eksempel kan dette forhindre multi-booting eller konflikt med programmer, der normalt gemmer deres data på diskpladsen, hvor PBE'en vil blive placeret, når først FDE er installeret. Det kan også forstyrre Wake on LAN , da PBA er påkrævet før opstart. Nogle FDE-implementeringer kan konfigureres til at omgå PBA, men dette skaber yderligere sårbarheder, som en angriber kan udnytte. Disse problemer opstår ikke ved brug af selvkrypterende diske [11] . Til gengæld betyder dette ikke fordelen ved selvkryptering af drev frem for andre drev. For at gemme multi-boot-operativsystemer fra forskellige familier, er det ikke nødvendigt at konfigurere krypteringssoftwareprocessen før installation af operativsystemet: fuld diskkryptering med multi-boot-bevaring kan anvendes med allerede installerede systemer. [12]

Adgangskode/datagendannelsesmekanismer

Diskkrypteringssystemer kræver sikre og pålidelige datagendannelsesmekanismer . Implementeringen skal give en nem og sikker måde at gendanne adgangskoder (de vigtigste oplysninger), hvis brugeren glemmer det.

De fleste implementeringer tilbyder løsninger baseret på brugerens adgangskode. For eksempel, hvis der er en sikker computer , så kan den sende en bruger, der har glemt adgangskoden, en særlig kode, som han derefter bruger til at få adgang til datagendannelsesstedet. Siden vil stille brugeren et hemmeligt spørgsmål, som brugeren tidligere har svaret på, hvorefter han får tilsendt en adgangskode eller en engangskode til datagendannelse. Dette kan også implementeres ved at kontakte supporttjenesten [13] .

Andre datagendannelsestilgange har en tendens til at være mere komplekse. Nogle FDE'er giver mulighed for at gendanne data uden at kontakte support. For eksempel ved at bruge smart cards eller kryptografiske tokens . Der er også implementeringer, der understøtter en lokal spørgsmål-og-svar-datagendannelsesmekanisme [14] . Men sådanne tilgange reducerer datasikkerheden, så mange virksomheder tillader ikke, at de bruges. Tab af autentificering kan føre til tab af adgang til dataene eller til hackerens adgang til dem [15] .

Sikkerhedsproblemer

De fleste softwarebaserede fuldkrypteringssystemer er sårbare over for et kold-genstartangreb , hvorved nøgler kan stjæles [16] . Angrebet er baseret på, at data i RAM kan gemmes i op til flere minutter efter, at computeren er slukket. Lagringstiden kan øges ved at afkøle hukommelsen [17] . Systemer, der bruger TPM, er også sårbare over for et sådant angreb, da den nøgle , som operativsystemet kræver for at få adgang til data, er gemt i RAM [18] .

Softwareimplementeringer er også vanskelige at beskytte mod hardware keyloggere . Der er implementeringer, der kan detektere dem, men de er hardwareafhængige [19] .

Se også

Noter

  1. 1 2 Selvkrypterende diske udgør selvdekrypterende risici. Sådan brydes hardwarebaseret fuld diskkryptering, 2012 , s. en.
  2. Maxcrypto Techbrief
  3. B. Bosen: FDE Performance Comparison. Hardware Versus Software Fuld Drive Encryption, 2010 , s. 9.
  4. 1 2 A. M. Korotin: OM METODER TIL IMPLEMENTERING AF TRANSPARENT FILKRYPTERING PÅ BASIS AF CERTIFICEREDE CIDS TIL LINUX-operativsystemet, 2012 , s. 62.
  5. Filsystemkryptering med integreret brugerstyring, 2001 , s. en.
  6. K. Scarfone, M. Souppaya, M Sexton: Guide to Storage Encryption Technologies for End User Devices, 2007 , s. 3-4.
  7. 1 2 K. Scarfone, M. Souppaya, M Sexton: Guide to Storage Encryption Technologies for End User Devices, 2007 , s. 3-5 - 3-6.
  8. J. Winter: Eavesdropping Trusted Platform Module Communication, 2009 , s. 2-3.
  9. Stark Tamperproof Authentication to Resist Keylogging, 2013 , s. 3.
  10. K. Scarfone, M. Souppaya, M Sexton: Guide to Storage Encryption Technologies for End User Devices, 2007 , s. 3-1.
  11. K. Scarfone, M. Souppaya, M Sexton: Guide to Storage Encryption Technologies for End User Devices, 2007 , s. 3-2 - 3-3.
  12. Fuld diskkryptering af Windows Linux installerede systemer. Krypteret multiboot (utilgængelig link- historie ) . habr.com. 
  13. K. Scarfone, M. Souppaya, M Sexton: Guide to Storage Encryption Technologies for End User Devices, 2007 , s. 4-5.
  14. Symantec: How Wholedisk Encryption Works, s. 3"
  15. K. Scarfone, M. Souppaya, M Sexton: Guide to Storage Encryption Technologies for End User Devices, 2007 , s. 4-6.
  16. Stark Tamperproof Authentication to Resist Keylogging, 2013 , s. 12.
  17. Lest We Remember: Cold Boot Attacks on Encryption Keys, 2008 , s. 5.
  18. Lest We Remember: Cold Boot Attacks on Encryption Keys, 2008 , s. 12.
  19. Stark Tamperproof Authentication to Resist Keylogging, 2013 , s. 13.

Litteratur

Links

 Symmetriske kryptosystemer
Stream-cifre
Feistel netværk
SP netværk
Andet
 Offentlig nøgle kryptosystemer
Algoritmer
Faktorisering af heltal
Diskret logaritme
Kryptografi på gitter
Andet
Teori
Standarder
Emner
 Hash funktioner
generelle formål
Kryptografisk
Nøglegenereringsfunktioner
Tjek nummer ( sammenligning )
Hashes