Mani che digitano su un laptop

Cos’è e come funziona la crittografia SSD?

Vista laterale di un laptop con una persona che utilizza un cellulare sullo sfondo

Aziende, governi e utenti attorno al mondo condividono un unico desiderio: la necessità e l’ambizione a garantire l’assoluta sicurezza dei dati personali e privati. Indipendentemente dal fatto che tali dati vengano archiviati o trasportati, la protezione dei dati rappresenta un fattore assolutamente essenziale. Il costo in termini finanziari e di reputazione a causa di violazioni dei dati, hacking e furti e perdite di laptop/PC può raggiungere cifre astronomiche.

Al fine di garantire la massima protezione contro hacker maligni e violazioni aziendali dei dati, i dati devono essere crittografati sia durante il trasporto (inflight), sia quando sono archiviati (at rest). La crittografia offre un solido layer di protezione, nei casi in cui malintenzionati riescano ad accedere, con metodi non autorizzati a reti informatiche o dispositivi di storage. In tale eventualità, gli hacker non potranno accedere ai dati. Questo articolo è dedicato alla crittografia basata su software, ai drive con crittografia automatica (SED) e offre anche una breve spiegazione di come funziona la crittografia su SSD.

Cos’è la crittografia?

In parole semplici, la crittografia converte le informazioni inserite in un dispositivo digitale in blocchi di dati dall'aspetto insignificante. Tanto più sofisticato è il processo crittografico, quanto più illeggibili e indecifrabili saranno i dati crittografati. Al contempo, la decodifica consente di riportare i dati allo stato originario, rendendoli nuovamente leggibili. Le informazioni crittografate spesso vengono definite come testo cifrato (cipher test), mentre quelle non crittografate vengono definite come testo semplice (plain text).

Disegno digitalizzato di una scheda a circuiti stampati con un lucchetto.

Crittografia software e hardware a confronto

La crittografia software utilizza svariati programmi software per crittografare i dati su un volume logico. Quando un drive viene crittografato per la prima volta, viene generata una chiave univoca, che viene memorizzata nella memoria del computer. La chiave viene poi crittografata mediante una password utente. Quando l’utente inserisce la password utente, sblocca la chiave e da accesso ai dati non crittografati presenti sul drive. Una copia della chiave viene anche scritta sul drive. La crittografia software funziona come un intermediario tra la lettura/scrittura dei dati tra applicazione e dispositivo. Quando i dati vengono scritti sul drive, essi vengono crittografati mediante la chiave prima di essere fisicamente memorizzati sul disco. Quando i dati vengono letti dal drive, questi vengono decifrati mediante la stessa chiave visualizzata dal programma.

Quando la crittografia è economica ed efficace, il suo livello di sicurezza è solo pari a quello del dispositivo sul quale viene utilizzata. Se un hacker riesce a decifrare il codice o la password, i dati crittografati diventeranno accessibili. Inoltre, dato che la crittografia e la decodifica vengono effettuate dal processore, l’intero sistema viene rallentato. Un’altra vulnerabilità della crittografia software consiste nel fatto che all'avvio del sistema, la chiave crittografica viene memorizzata nella memoria del computer, facendone un target ideale per attacchi a basso livello.

I drive con crittografia automatica utilizzano la crittografia basata sull’hardware, che offre un approccio più olistico verso la crittografia dei dati degli utenti. I SED dispongono di un chip crittografico AES integrato, che crittografa i dati prima che vengano scritti e li decritta prima di renderli leggibili, attingendo al supporto NAND. La crittografia hardware agisce tra il sistema operativo installato sul drive e il BIOS del sistema. Quando un drive viene crittografato per la prima volta, viene generata una chiave univoca, che viene memorizzata nella memoria NAND Flash del computer. Quando il sistema viene avviato per la prima volta, viene caricato un BIOS personalizzato che richiede l’immissione della password utente. Una volta inserita la password utente, il contenuto del drive viene decrittato, consentendo l’accesso al sistema operativo e ai dati in esso contenuti.

I drive con crittografia automatica crittografano/decodificano anche i dati in transito, con il chip crittografico integrato responsabile della crittografia dei dati prima che questi vengano allocati sulla NAND Flash, e della loro decodifica prima della lettura. La CPU dell’unità host non è coinvolta nel processo crittografico, e ciò riduce le penalizzazioni delle prestazioni associate alla crittografia software. Nella maggior parte dei casi, all'avvio del sistema, la chiave crittografica viene memorizzata sulla memoria integrata dell’unità SSD. Ciò rende più complicato il recupero della chiave, rendendo i dispositivi meno esposti agli attacchi di basso livello. Questo metodo crittografico basato su hardware, offre elevati livelli di sicurezza dei dati, in quanto è pressoché invisibile agli utenti. Inoltre, questo tipo di crittografia non può essere disattivata e non ha alcun influsso sulle prestazioni.

AES - crittografia hardware con protocollo 256-bit

Lo standard AES (Advanced Encryption Standard) è un algoritmo crittografico simmetrico (ciò significa che le chiavi crittografica e quella di decodifica sono le stesse). Dato che lo standard AES è un tipo di cifratura a blocchi, i dati sono suddivisi in blocchi da 128-bit prima di procedere alla crittografia con la chiave a 256-bit. La crittografia AES a 256-bit è uno standard internazionale che garantisce livelli di sicurezza dei dati superiori, ed è riconosciuto dal governo degli Stati Uniti e a da numerosi altri paesi e organizzazioni. La crittografia AES-256 è praticamente inespugnabile, e ciò ne fa lo standard crittografico più solido al mondo.

Perché è inespugnabile? Lo standard AES include tre gruppi: AES-128, AES-192 e AES-256. La sezione numerale del nome rappresenta il numero di bit della chiave per ciascun blocco crittografico e di decodifica. Per ciascun bit aggiunto, il numero di chiavi possibili raddoppia. Ciò significa che lo standard crittografico a 256-bit offre un livello di crittografia pari a una potenza di 256. In parole semplici, ciò si traduce in un numero elevatissimo di possibili chiavi. A sua volta, ciascuna chiave utilizza svariati round. (Un round è il processo che consente di trasformare il testo in chiaro in testo cifrato). Nel caso dello standard a 256-bit, esistono quattordici round. Pertanto, la possibilità che un hacker trovi la corretta sequenza composta da 2256 bit, che vengono rimescolati quattordici volte è infinitamente bassa, come minimo. Questo per non citare tempo e potenza di elaborazione necessari per compiere tale operazione.

Crittografia basata su software con TCG Opal 2.0

La tecnologia TCG è lo standard di settore internazionale che definisce le regole di base sulle certificazioni di sicurezza per le piattaforme di elaborazione informatiche con interoperabilità certificata. Questo protocollo è in grado di inizializzare, autenticare e gestire SSD crittografati mediante l’uso di produttori di software di produttori indipendenti che utilizzano soluzioni di gestione della sicurezza TCG Opal 2.0, come Symantec, McAfee, WinMagic® e altri.

In sostanza, sebbene la crittografia basata su software offra specifici vantaggi, potrebbe non essere percepita come uno strumento di sicurezza completo. La crittografia software include passi aggiuntivi in quanto i dati devono essere crittografati e decodificati quando l’utente necessita di accedere a tali dati, laddove la crittografia hardware offre una soluzione più robusta. Un SSD dotato di crittografia hardware viene ottimizzato con il resto del drive, senza alcun impatto sulle prestazioni. In base al tipo di applicazione utilizzata, potreste restare sorpresi dalla complessità degli aspetti relativi alla sicurezza dei vostri dati. Non tutti gli standard crittografici sono identici. Tuttavia, comprendere le differenze svolge un ruolo fondamentale per capire il livello di efficienza ed efficacia della vostra sicurezza.

#KingstonIsWithYou

Prodotti correlati