Bir dizüstü bilgisayarda yazı yazan eller
SSD Şifrelemesi Nedir ve Nasıl Çalışır?
Arka planda bir cep telefonu kullanan bir kişinin başında durduğu dizüstü bilgisayarın yandan görünümü

İşletmelerden devletlere kadar günümüzde dünya genelinde herkes için ortak olan bir şey var: önemli kişisel ve özel bilgileri güvenceye alma gereksinimi ve isteği. İster saklanıyor ister taşınıyor olsun veri koruması mutlak bir gereksinimdir. Veri ihlalleri, korsan saldırıları ve kaybolan ya da çalışan dizüstü/masaüstü bilgisayarın yarattığı finansal maliyetler ve itibar kaybı müthiş yüksek olabilir.

Kötü amaçlı bilgisayar korsanları ve kurumsal veri ihlallerine karşı koruma sağlamak için hem aktarılan hem de saklanan verilerin şifrelenmesi gereklidir. Şifreleme bir bilgisayar ağına ya da veri saklama cihazına bir şekilde yetkisiz erişim hakkı verilmesi durumunda güçlendirilmiş bir koruma katmanı sağlar. Bu durumda bilgisayar korsanı verilere erişemez. Bu yazıda yazılım tabanlı şifrelemeye, Kendinden Şifrelemeli Sürücülere (Self Encrypting drive - SED) ve SSD şifrelemesinin nasıl çalıştığı ile ilgili temel açıklamalara odaklanıyoruz.

Şifreleme Nedir?

Uzman olmayan kişiler açısında bakıldığında şifreleme, bir dijital cihaza girilen bilgileri anlamsız görünen veri bloklarına dönüştürür. Şifreleme işlemi ne kadar gelişmişse, şifrelenmiş veriler o kadar okunamaz ve şifresi çözülemez haldedir. Tam tersi, şifre çözme, şifrelenmiş verileri yeniden orijinal haline getirerek okunur olmasını sağlar. Şifrelenmiş bilgiye genellikle şifrelenmiş metin, şifrelenmemiş bilgilere ise düz metin adı verilir.

Bir asma kilidin bulunduğu devre kartının dijital çizimi.

Yazılım Tabanlı Şifreleme ile Donanım Tabanlı Şifrelemenin Karşılaştırılması

Yazılım tabanlı şifrelemede mantıksal birim üzerindeki verileri şifrelemek için çeşitli yazılım programları kullanılır. Bir sürücü ilk kez şifrelendiğinde benzersiz bir anahtar belirlenir ve bilgisayarın hafızasında saklanır. Anahtar, bir kullanıcı parolası ile şifrelenir. Kullanıcı parolayı girdiğinde anahtarın kilidi açılır ve sürücüdeki şifrelenmemiş verilere erişim sağlanır. Anahtarın bir kopyası sürücüye de yazılır. Yazılım şifrelemesi, uygulamanın verileri cihazdan okuması ya da cihaza yazma sırasında aracı olarak görev yapar. Veri sürücüye yazılırken, diske fiziksel olarak yazılmadan önce anahtarla şifrelenir. Veri sürücüden okunurken, şifresi, programa verilmeden önce aynı anahtarla çözülür.

Yazılım şifrelemesi uygun maliyetli olmasına karşın yalnızca kullanıldığı cihaz kadar güvenlidir. Bir bilgisayar korsanı kodu ya da parolayı kırarsa, şifrelenmiş verileriniz ifşa olur. Ayrıca şifreleme ve şifre çözme işlemci tarafından gerçekleştirildiğinden tüm sistem yavaşlar. Yazılım şifrelemesinin bir diğer açığı, sistem açılışında anahtarın bilgisayarın belleğinde saklanmasıdır. Bu durum düşük seviye saldırılar için bir hedef haline gelmesine neden olur.

Kendinden şifrelemeli sürücülerde (Self Encrypting drive - SED) kullanıcı verilerinin şifrelenmesine daha bütüncül bir yaklaşım getiren donanım tabanlı şifreleme kullanılır. SED’lerde, verileri yazılmadan önce şifreleyen ve doğrudan NAND ortamından okunmadan önce şifresini çözen dahili bir AES şifreleme yongası bulunur. Donanım tabanlı şifreleme sürücüde yüklü işletim sistemi ile sistem BIOS’u arasında yer alır. Sürücü ilk şifrelendiğinde bir şifreleme anahtarı oluşturulur ve NAND flash’da saklanır. Sistem ilk açıldığında özel bir BIOS yüklenir ve kullanıcı parolasının girilmesini gerektirir. Parola girildiğinde sürücünün içeriğinin şifresi çözülür ve işletim sistemine ve kullanıcı verilerine erişim izni verilir.

Kendi kendini şifreleyen sürücüler, NAND flash’a verilmeden önce verileri şifrelemekten ve okunmadan önce şifresini çözmekten sorumlu bir dahili şifreleme yongası ile anında veri şifreleme/şifre çözme işlemlerini gerçekleştirir. Ana CPU, şifreleme işleminde kullanılmaz ve bu sayede yazılım şifrelemesinde ortaya çıkan performans düşüşünü azaltır. Çoğu durumda sistem açılışında şifreleme anahtarı SSD’nin dahili hafızasına kaydedilerek alınmasını daha karmaşık ve düşük seviye saldırılara karşı daha az açık hale getirir. Bu donanım tabanlı şifreleme yöntemi, kullanıcı tarafından görünmediğinden daha yüksek bir veri güvenliği seviyesi sunar. Kapatılamaz ve performansı etkilemez.

AES 256-Bit Donanım Tabanlı Şifreleme

AES (Advance Encryption Standard - Gelişmiş Şifreleme Standardı), simetrik bir şifreleme algoritmasıdır (yani şifreleme ve şifre çözme anahtarları aynıdır). AES bir blok şifreleyici olduğundan veriler 256 bit anahtarla şifrelenmeden önce 128-bit bloklara bölünür. AES 256-bit şifreleme, üstün veri güvenliği sağlayan uluslararası bir standarttır ve birçok diğer ülkenin yanı sıra ABD hükümeti tarafından tanınmaktadır. AES-256 şifrelemesi temelde kırılamaz ve bu sayede piyasadaki en güçlü endüstri standardıdır.

Şifre neden kırılamaz? AES, AES-128, AES-192 ve AES-256’dan oluşur. Sayılar, her şifreleme ve şifre çözme bloğundaki anahtar bitlerini temsil eder. Her eklenen bit için olası anahtar sayısı ikiye katlanır; yani 256 bit şifreleme ikinin 256. üssüne eşdeğerdir! Ya da çok, çok büyük sayıda olası anahtar varyasyonları sunar. Sonrasında her anahtar biti, farklı bir tur sayısına sahiptir. (Her tür, düz metnin şifreli metne dönüştürülmesi işlemidir.) 256-bit için on dört tur bulunmaktadır. Yani bir bilgisayar korsanının, on dört kez karıştırılan 2256 biti doğru sırada bulması, en hafif tabiriyle çok çok düşüktür. Bunu gerçekleştirmek için gereken süreyi ve işlem gücü de dikkate alınmalıdır.

TCG Opal 2.0 Yazılım Tabanlı Şifreleme

TCG, karşılıklı olarak birbiriyle çalışabilir güvenilir bilişim platformları için donanım tabanlı güven temelini tanımlayan bir uluslararası endüstri standartları grubudur. Bu protokol, Symantec™, McAfee™, WinMagic® vb. gibi TCG Opal 2.0 güvenlik yönetimi çözümlerini içeren bağımsız yazılım sağlayıcılarının kullanılmasıyla şifrelenmiş SSD’leri başlatabilir, doğrulayabilir ve yönetebilir.

Özet olarak yazılım tabanlı şifreleme çeşitli avantajlara sahip olmasına karşın, kapsamlı olduğu algısıyla uyumlu değildir. Yazılım şifrelemesi verilerin kullanıcı verilere erişirken şifrelenmesi ya da şifresinin çözülmesi gerektiğinden ekstra bir adım eklerken donanım tabanlı şifreleme daha güçlü bir çözüm sunmaktadır. Bir donanım tabanlı SSD, performansı etkilemeden sürücünün geri kalanıyla optimize edilir. Uygulamaya bağlı olarak verilerinizin güvence alınması sırasında neler gerçekleştiğini öğrenseniz çok şaşırabilirsiniz. Tüm şifrelemeler aynı değildir ancak aralarında farkların anlaşılması, güvenliğinizin ne kadar verimli ve etkili olduğunda önemli bir rol oynayacaktır.

#KingstonIsWithYou

İlgili Ürünler