Manos tecleando un PC portátil

¿Qué es el cifrado de SSD y cómo funciona?

Vista lateral de un portátil, con una persona utilizando un teléfono móvil en segundo plano

Desde empresas y administraciones públicas hasta particulares, hay una cosa en el mundo que todos compartimos: la necesidad y el deseo de proteger los datos personales y privados importantes. Tanto si están almacenados como siendo transportados, la protección de los datos es esencial. Los costes en dinero y en reputación por vulneraciones de datos, pirateo informático y ordenadores extraviados o robados son astronómicos.

Para proteger contra piratas maliciosos y vulneraciones de datos de organizaciones, es necesario cifrar tanto los datos en movimiento como en reposo. El cifrado aporta una capa de protección reforzada en caso de que se produzcan accesos no autorizados a las redes informáticas o dispositivos de almacenamiento. Con el cifrado, los intrusos no pueden acceder a los datos. En este artículo explicaremos el cifrado basado en software, las unidades de autocifrado (SED, por sus siglas en inglés) y el mecanismo de cifrado de los discos SSD.

¿Qué es el cifrado?

Explicado de manera sencilla, el cifrado convierte la información introducida en un dispositivo digital en bloques de datos ilegibles. Cuanto más sofisticado sea el proceso de cifrado, más ilegibles e indescifrables serán los datos cifrados. Y viceversa: el descifrado devuelve los datos cifrados a su forma original para que vuelvan a ser legibles. Los datos cifrados también se denominan texto encriptado o codificado, en tanto que los no cifrados se conocen como texto llano, o simple.

Diagrama digital de una placa de circuitos con un candado.

Comparativa de cifrado por software y cifrado por hardware

El cifrado basado en software utiliza diversos programas de software para cifrar los datos en un volumen lógico. La primera vez que se cifra una unidad, se establece una clave única que se guarda en la memoria del ordenador. La clave se cifra con una frase secreta definida por el usuario. Cuando el usuario escribe la frase secreta, desbloquea la clave y permite el acceso a los datos no cifrados de la unidad. Además, en la unidad se escribe una copia de la clave. El cifrado basado en software actúa como el intermediario entre la lectura/escritura de datos y el dispositivo. Cuando los datos se escriben en la unidad, son cifrados mediante la clave antes de guardarse físicamente en el disco. Cuando se leen los datos de la unidad, son descifrados utilizando la misma clave antes de presentarlos al programa.

Aunque el cifrado basado en software se caracteriza por su buena relación calidad precio, su grado de seguridad es equivalente al del dispositivo. Si un pirata descifra el código o la contraseña, sus datos cifrados quedarán expuestos. Además, dado que el cifrado y el descifrado son ejecutados por el procesador, eso ralentiza todo el sistema. Otra vulnerabilidad del cifrado basado en software es que, al arrancar el sistema, la clave se guarda en la memoria del ordenador, lo cual la convierte en objetivo de ataques de bajo nivel.

Las unidades de autocifrado (SED) utilizan cifrado basado en hardware, cuyo concepto de cifrado de los datos del usuario resulta más holístico. Las SED llevan integrado un chip de cifrado AES que cifra los datos antes de escribirlos, y los descifra antes de leerlos directamente en el soporte NAND. El cifrado basado en hardware se sitúa entre el sistema operativo instalado en la unidad y el BIOS del sistema. La primera vez que se cifra la unidad, se genera un código de cifrado que se guarda en la memoria Flash de NAND. La primera vez que se arranca el sistema, se carga un BIOS personalizado que pedirá la frase secreta del usuario. Una vez introducida la frase secreta, el contenido de la unidad es descifrado y se permite el acceso al sistema operativo y a los datos del usuario.

Las unidades de autocifrado también cifran/descifran los datos sobre la marcha con el chip de cifrado integrado responsable del cifrado de datos antes de guardarlos en la memoria Flash de NAND, y descifra los datos antes de leerlos. La CPU anfitriona no participa en el proceso de cifrado, lo cual reduce la merma de rendimiento asociada con el cifrado basado en software. En la mayoría de los casos, durante el arranque del sistema la clave de cifrado se guarda en la memoria integrada de disco SSD, lo cual aumenta la complejidad de recuperarla. Por ello, es menos vulnerable a los ataques de bajo nivel. Este método de cifrado basado en hardware ofrece un alto nivel de protección de datos, por cuanto es invisible al usuario. No puede desactivarse y no afecta al rendimiento.

Cifrado AES de 256 bits basado en hardware

AES (Advance Encryption Standard, Norma de cifrado avanzado) es un algoritmo de cifrado simétrico (quiere decir que las claves de cifrado y descifrado son idénticas). Por cuanto AES un cifrado por bloques, los datos se dividen en bloques de 128 bits antes de cifrarlos con una clave de 256 bits. El cifrado AES de 256 bits es una norma internacional que garantiza una protección superior de los datos, y que está homologado por, entre otros, el gobierno de EE.UU. Básicamente, el cifrado AES de 256 bits es indescifrable, lo cual convierte a esta norma de cifrado en la más robusta que existe.

¿Por qué es indescifrable? AES consta de AES-128, AES-192 y AES-256. Los números representan la cantidad de bits de clave de cada bloque de cifrado y descifrado. Por cada bit agregado, el número de posibles claves se duplica. Es decir, el cifrado de 256 bits es equivalente a dos a la 256ª potencia. O sea, una cantidad muy, muy, muy grande de posibles variaciones de la clave. A su vez, cada bit de clave tiene un número diferente de rondas. (Una ronda es el procedimiento de conversión de texto simple en texto cifrado.) El AES de 256 bits tiene 14 rondas. Por ello, las probabilidades de que un pirata consiga la secuencia correcta de 256 bits cifrados catorce veces son increíblemente bajas, por decirlo con prudencia. Por no mencionar el tiempo y la potencia informática necesarios para conseguirlo.

Cifrado basado en software TCG Opal 2.0

TCG es el grupo normativo internacional que define la raíz de confianza basada en hardware de plataformas informáticas interoperativas de confianza. Este protocolo puede inicializar, autenticar y gestionar los discos SSD cifrados mediante proveedores de software independientes basadas en las soluciones de administración de seguridad TCG Opal 2.0, como Symantec™, McAfee™, WinMagic® y otros.

En resumen: aunque el cifrado basado en software tiene sus ventajas, su grado de protección no puede considerarse exhaustivo. El cifrado basado en software agrega pasos adicionales, porque los datos tienen que ser cifrados, y luego descifrados, cada vez que el usuario tenga que acceder a los datos, en tanto que el cifrado basado en hardware supone una solución mucho más sólida. Un disco SSD cifrado mediante hardware se optimiza con el resto de la unidad sin afectar al rendimiento. En función de la aplicación, es posible que le sorprenda lo que ello implica en materia de protección de sus datos. No todo cifrado es igual, pero entender la diferencia jugará un papel esencial en el grado de eficacia de su política de seguridad.

#KingstonIsWithYou

Productos relacionados

Para consultar información acerca de cómo el virus COVID-19 ha afectado a nuestras operaciones comerciales, haga clic aquí.