Главная » 2019 » Июнь » 20 » Шифрование диска
16:06
Шифрование диска
Шифрование диска - это технология, которая защищает информацию путем преобразования ее в нечитаемый код, который не может быть легко расшифрован посторонними лицами. Шифрование диска использует программное или аппаратное шифрование диска для шифрования каждого бита данных, которые поступают на диск или том диска . Он используется для предотвращения несанкционированного доступа к хранилищу данных.

Выражения полного шифрования диска (FDE) или шифрования всего диска означают, что все на диске зашифровано, но основная загрузочная запись (MBR) или аналогичная область загрузочного диска с кодом, запускающим последовательность загрузки операционной системы, не зашифрована. Некоторые аппаратные системы полного шифрования диска могут действительно шифровать весь загрузочный диск, включая MBR.

Прозрачное шифрование , также известный как в режиме реального времени шифрования и на лету шифрования ( OTFE ), является метод , используемый некоторыми программами шифрования диска . «Прозрачный» означает тот факт, что данные автоматически шифруются или дешифруются при загрузке или сохранении.
Благодаря прозрачному шифрованию файлы доступны сразу после предоставления ключа , и весь том обычно монтируется, как если бы это был физический диск, что делает файлы такими же доступными, как и любые незашифрованные. Никакие данные, хранящиеся на зашифрованном томе, не могут быть прочитаны (расшифрованы) без использования правильного пароля / ключевого файла (ов) или правильных ключей шифрования . Вся файловая система тома зашифрована (включая имена файлов, имена папок, содержимое файлов и другие метаданные). 
Чтобы быть прозрачным для конечного пользователя, прозрачное шифрование обычно требует использования драйверов устройств для включения процесса шифрования . Хотя для установки таких драйверов обычно требуются права доступа администратора , обычные пользователи обычно могут использовать зашифрованные тома без этих прав. 
В целом, любой метод, в котором данные незаметно шифруются при записи и дешифруются при чтении таким образом, что пользователь и / или прикладное программное обеспечение остаются не осведомленными о процессе, можно назвать прозрачным шифрованием.

Шифрование диска не заменяет шифрование файла во всех ситуациях. Шифрование диска иногда используется в сочетании с шифрованием на уровне файловой системы с целью обеспечения более безопасной реализации. Поскольку при шифровании диска обычно используется один и тот же ключ для шифрования всего диска, при работе системы все данные расшифровываются. Однако некоторые решения для шифрования диска используют несколько ключей для шифрования разных томов. Если злоумышленник получает доступ к компьютеру во время выполнения, он имеет доступ ко всем файлам. Обычное шифрование файлов и папок позволяет использовать разные ключи для разных частей диска. Таким образом, злоумышленник не может извлечь информацию из зашифрованных файлов и папок.
В отличие от шифрования диска, шифрование на уровне файловой системы обычно не шифрует метаданные файловой системы , такие как структура каталогов, имена файлов, метки времени изменения или размеры.

Большинство полных схем шифрования диска уязвимы для атаки с « холодной» загрузкой , в результате чего ключи шифрования могут быть украдены путем «холодной» загрузки машины, на которой уже установлена операционная система , с последующим сбросом содержимого памяти до исчезновения данных. Атака основывается на свойстве остаточной памяти данных компьютерной памяти, благодаря чему биты данных могут занять до нескольких минут, чтобы ухудшиться после отключения питания. Даже Trusted Platform Module (TPM) не эффективен против атаки, поскольку операционная система должна хранить ключи дешифрования в памяти для доступа к диску. 
Полное шифрование диска также уязвимо при краже компьютера при приостановке. Поскольку активация не включает в себя последовательность загрузки BIOS, она обычно не запрашивает пароль FDE. Спящий режим, напротив, проходит через последовательность загрузки BIOS и является безопасным.
Все программные системы шифрования уязвимы для различных атак по побочным каналам, таких как акустический криптоанализ и аппаратные кейлоггеры . Напротив, диски с самошифрованием не подвержены этим атакам, поскольку аппаратный ключ шифрования никогда не покидает контроллер диска.
Кроме того, большинство полных схем шифрования диска не защищают от подделки данных (или повреждения данных без вывода сообщений , то есть битрейта ). Это означает, что они обеспечивают только конфиденциальность, но не целостность. Режимы шифрования на основе блочного шифра, используемые для полного шифрования диска, не являются аутентифицированным шифрованиемсами по себе из-за проблем хранения, необходимых для тегов аутентификации. Таким образом, если вмешательство будет сделано для данных на диске, данные будут расшифрованы до искаженных случайных данных при чтении, и мы надеемся, что ошибки могут быть указаны в зависимости от того, какие данные подделаны (для случая метаданных ОС - файловой системой; а в случае данных файла - соответствующей программой, которая будет обрабатывать файл). Одним из способов смягчения этих проблем является использование файловых систем с полной проверкой целостности данных посредством контрольных сумм (таких как Btrfs или ZFS ) поверх полного шифрования диска. Тем не менее, cryptsetup начал экспериментально поддерживать аутентифицированное шифрование 


источник: https://en.wikipedia.org/wiki/Disk_encryption
Категория: Кибербезопасность | Просмотров: 39 | Добавил: Sub_Admin | Теги: Шифрование диска | Рейтинг: 0.0/0
Всего комментариев: 0
avatar