Ręce piszące na laptopie

Co to jest szyfrowanie dysku SSD i jak ono działa?

Widok z boku laptopa oraz osoby korzystającej z telefonu komórkowego w tle

Jest jedna rzecz, która łączy firmy, instytucje państwowe i indywidualnych użytkowników. To potrzeba zabezpieczenia ważnych danych osobowych i prywatnych informacji. Niezależnie od tego, czy są one przechowywane, czy przenoszone z miejsca na miejsce, ochrona danych jest absolutną koniecznością. Koszty finansowe i reputacyjne wynikające z naruszenia bezpieczeństwa danych, ataku hakerskiego albo zgubienia lub kradzieży laptopów mogą być astronomiczne.

W celu zabezpieczenia się przed złośliwymi atakami hakerskimi i naruszeniami danych organizacji konieczne jest szyfrowanie danych zarówno będących w użyciu, jak i w spoczynku. Szyfrowanie zapewnia wzmocnioną warstwę ochrony na wypadek nieautoryzowanego dostępu do sieci komputerowej lub urządzenia pamięci. W takiej sytuacji haker nie będzie mógł uzyskać dostępu do danych. W tym artykule omawiamy takie zagadnienia, jak szyfrowanie programowe, dyski samoszyfrujące (SED), a także zasady, na jakich działa szyfrowanie dysków SSD.

Co to jest szyfrowanie?

W uproszczeniu szyfrowanie to proces przekształcania informacji wprowadzonych do urządzenia cyfrowego w bloki pozornie pozbawionych znaczenia danych. Im bardziej wyrafinowany jest proces szyfrowania, tym bardziej nieczytelne i trudne do rozszyfrowania są dane. Odwrotnym procesem jest deszyfrowanie, które przekształca zaszyfrowane dane z powrotem do ich pierwotnej postaci, czyniąc je ponownie czytelnymi. Zaszyfrowane informacje często określa się jako tekst zaszyfrowany, podczas gdy dane niezaszyfrowane – jako zwykły tekst.

Cyfrowy obraz płytki drukowanej z kłódką.

Szyfrowanie programowe a szyfrowanie sprzętowe

Szyfrowanie programowe wykorzystuje różne programy do szyfrowania danych na woluminie logicznym. Podczas pierwszego szyfrowania dysku tworzony jest unikalny klucz, który jest następnie przechowywany w pamięci komputera. Klucz jest zaszyfrowany za pomocą hasła użytkownika. Gdy użytkownik wprowadza hasło, odblokowuje klucz i zapewnia dostęp do niezaszyfrowanych danych na dysku. Kopia klucza jest również zapisywana na dysku. Funkcja szyfrowania programowego działa jako „pośrednik” w procesie odczytu/zapisu danych aplikacji w urządzeniu. Gdy dane są zapisywane na dysku, są one szyfrowane przy użyciu klucza, zanim zostaną fizycznie zapisane na dysku. Podczas odczytu danych z dysku są one deszyfrowane przy użyciu tego samego klucza, zanim trafią do programu.

Chociaż szyfrowanie programowe jest opłacalne pod względem kosztów, jest bezpieczne tylko w takim stopniu, w jakim bezpieczne jest urządzenie, w którym się go używa. Jeśli haker złamie kod lub hasło, zaszyfrowane dane zostaną ujawnione. Ponadto, ponieważ szyfrowanie i deszyfrowanie są wykonywane przez procesor, powoduje to spowolnienie działania systemu. Inną luką w bezpieczeństwie szyfrowania programowego jest to, że po uruchomieniu systemu klucz szyfrowania jest przechowywany w pamięci operacyjnej komputera, co czyni go podatnym na ataki niskiego poziomu.

Dysk samoszyfrujący (SED) wykorzystuje funkcję szyfrowania sprzętowego, co stanowi bardziej holistyczne podejście do szyfrowania danych użytkownika. Dyski SED mają wbudowany układ szyfrujący AES, który szyfruje dane przed ich zapisaniem i odszyfrowuje je przed odczytaniem bezpośrednio z nośnika NAND. Proces szyfrowania sprzętowego odbywa się między systemem operacyjnym zainstalowanym na dysku a systemem BIOS. Podczas pierwszego szyfrowania dysku generowany jest klucz szyfrowania, który jest następnie przechowywany w pamięci flash NAND. Przy pierwszym uruchomieniu systemu ładuje się indywidualnie skonfigurowany system BIOS, który wyświetla monit o podanie hasła użytkownika. Po wprowadzeniu hasła zawartość dysku zostaje odszyfrowywana i użytkownik uzyskuje dostęp do systemu operacyjnego i danych.

Dyski samoszyfrujące również szyfrują/odszyfrowują dane w locie dzięki wbudowanemu układowi szyfrującemu, który jest odpowiedzialny za szyfrowanie danych, zanim zostaną one zapisane w pamięci flash NAND, a także za ich odszyfrowywanie przed odczytem. Procesor hosta nie jest zaangażowany w proces szyfrowania, co ogranicza spadek wydajności związany z szyfrowaniem programowym. W większości przypadków podczas rozruchu systemu klucz szyfrowania jest przechowywany we wbudowanej pamięci dysku SSD, co sprawia, że jest mniej podatny na ataki niskiego poziomu. Sprzętowa metoda szyfrowania zapewnia wysoki poziom bezpieczeństwa danych, ponieważ jest ono „niewidoczne” dla użytkownika. Nie można go wyłączyć i nie wpływa na wydajność.

256-bitowe szyfrowanie sprzętowe AES

AES (Advance Encryption Standard) to symetryczny algorytm szyfrowania (co oznacza, że klucze szyfrowania i deszyfrowania są takie same). Ponieważ AES jest szyfrem blokowym, przed zaszyfrowaniem danych za pomocą 256-bitowego klucza są one dzielone na 128-bitowe bloki. 256-bitowe szyfrowanie AES jest międzynarodowym standardem, który zapewnia najwyższe bezpieczeństwo danych i jest uznawany m.in. przez rząd Stanów Zjednoczonych. Szyfrowanie AES-256 jest w zasadzie niemożliwe do „złamania”, co czyni je najskuteczniejszym dostępnym standardem.

Dlaczego jest niemożliwe do złamania? Standard AES obejmuje szyfrowanie AES-128, AES-192 i AES-256. Cyfry oznaczają liczbę bitów klucza w każdym z bloków szyfrowania i deszyfrowania. Dla każdego dodanego bitu liczba możliwych kluczy podwaja się, co oznacza, że szyfrowanie 256-bitowe daje liczbę 2 do potęgi 256! Innymi słowy: bardzo, bardzo dużą liczbę możliwych wariantów kluczy. Z kolei każdy bit klucza ma inną liczbę rund (runda to proces przekształcania zwykłego tekstu w tekst zaszyfrowany). W przypadku szyfrowania 256-bitowego jest to czternaście rund. W związku z tym szansa, że haker znajdzie poprawną sekwencję 2256 bitów, które zostaną zaszyfrowane czternaście razy, jest abstrakcyjnie mała. Nie wspominając o czasie i mocy obliczeniowej niezbędnej do wykonania takiej pracy.

Szyfrowanie programowe TCG Opal 2.0

TCG to międzynarodowa organizacja ustanawiająca branżowe standardy sprzętowe dla współpracujących ze sobą, godnych zaufania platform komputerowych. Opracowany przez nią protokół umożliwia inicjowanie, uwierzytelnianie i zarządzanie szyfrowanymi dyskami SSD z wykorzystaniem oprogramowania niezależnych dostawców obsługującego rozwiązania do zarządzania bezpieczeństwem TCG Opal 2.0, takiego jak Symantec™, McAfee™, WinMagic® i inne.

Podsumowując, chociaż szyfrowanie programowe ma swoje zalety, może nie być tak kompleksowe, jak się wydaje. Szyfrowanie programowe obejmuje dodatkowe kroki, ponieważ wymaga szyfrowania, a następnie odszyfrowywania danych, aby stały się dostępne dla użytkownika. Natomiast szyfrowanie sprzętowe oferuje bardziej niezawodne rozwiązanie. Szyfrowanie sprzętowe dysku SSD jest tak zoptymalizowane, aby nie mieć wpływu na wydajność. Wymagania związane z zabezpieczaniem danych mogą znacznie różnić się w zależności od zastosowania. Nie wszystkie metody szyfrowania danych są takie same. Zrozumienie różnic między nimi ma kluczowe znaczenie dla skuteczności i wydajności zastosowanych środków bezpieczeństwa.

#KingstonIsWithYou

Powiązane produkty