A lemez titkosítás angol, merevlemez titkosítás , a teljes lemez titkosítását és FDE ) egy olyan technológia, amely megvédi az információt alakítás útján egy olvashatatlan kód, amely nem lehet könnyen értelmezhetőek, akik nem engedélyezettek. A lemez titkosítás egy lemezt titkosító szoftver (fr) , vagy a lemez kulcsolás anyag (in) a titkosítani minden bit adat egy merevlemez vagy kötet . A lemezes titkosítás leküzdi az adattároló rendszerhez való illetéktelen hozzáférést.
A teljes lemezes titkosítás általában azt jelenti, hogy minden titkosítva van - beleértve azokat a programokat is, amelyek titkosítani tudják az operációs rendszer indítható partícióit -, miközben a lemez egy része szükségszerűen nincs titkosítva.
A FileVault 2 titkosítja a teljes Mac OS X indítási kötetet ; A teljesen titkosított lemez felhasználói számára engedélyezett adatokat egy titkosítatlan rendszerindító lemezről töltjük be ( partíció / szelet típus Apple_Boot ). A rendszerindító rekordot használó rendszereken a lemez egy része titkosítatlan marad. Egyes rendszerek teljes lemezes titkosítása hardver alapú (in) képes megfelelően titkosítani az indítható lemezt teljes egészében, beleértve azt is, hogy használ-e törzsbetöltési rekordot .
A valós idejű titkosítás , más néven menet közbeni titkosítás (angolul On-the-fly encryption vagy OTFE ) a lemez-titkosító szoftver (in) által használt módszer . Az adatokat automatikusan titkosítják vagy visszafejtik a betöltésük vagy mentésük során.
Az on-the-fly titkosítás, fájlok elérhetőek azonnal megadása után a titkosító kulcsot , és a hangerő általában szerelve , mint egy fizikai lemez, így a fájlok elérhetőek mintha nem titkosított. Nem tárolt adatok titkosított kötet olvasható (visszafejteni) használata nélkül a megfelelő jelszót , vagy kulcs fájlt vagy titkosítási kulcs . A kötet teljes fájlrendszere titkosítva van (beleértve a fájl- és mappaneveket, azok tartalmát és egyéb metaadatokat ).
Ahhoz, hogy átlátható legyen a felhasználóval, a menet közbeni titkosításhoz általában illesztőprogramokat kell használnia a titkosítási folyamat engedélyezéséhez. Bár az illesztőprogramok telepítéséhez általában rendszergazdai jogosultságokra van szükség, a kötetek titkosítását a normál felhasználók is elvégezhetik ezen jogosultságok nélkül .
Általánosságban minden olyan módszert, ahol az adatokat menet közben titkosítják írás közben, és visszafejtik olvasás közben, átlátszó titkosításnak nevezhetjük .
A lemezes titkosítás nem minden esetben helyettesítheti a fájl titkosítást. A lemezes titkosítást néha a fájlok titkosításával együtt használják szintenként (in) a jobb biztonság érdekében. Mivel a lemezes titkosítás általában ugyanazt a titkosítási kulcsot használja egy teljes kötet titkosításához, az összes adat visszafejthető, amikor a rendszer fut. Egyes lemezes titkosítási megoldások azonban több kulcsot használnak a különböző partíciók titkosításához. Ha egy támadó futás közben hozzáfér a számítógéphez, akkor a támadó hozzáfér az összes fájlhoz. Hagyományosan a fájlok és mappák titkosítása különböző kulcsokat tesz lehetővé a lemez különböző részein. Így a támadó nem tud információkat kivonni az általa lopott titkosított fájlokból és mappákból.
A lemezes titkosítástól eltérően a többszintű fájl titkosítás általában nem titkosítja a fájlrendszer metaadatait, például a könyvtárstruktúrát, a fájlneveket, a módosított dátumokat vagy a fájlméreteket.
A Trusted Platform Module (TPM) egy biztonságos cryptoprocessor épített alaplap , hogy lehet használni, hogy hitelesítse a hardver eszköz. Mivel minden TPM chip egyedi az egyes eszközökhöz, képes platform hitelesítésre. Fel lehet használni annak ellenőrzésére, hogy a hozzáférést kérő rendszer a várt rendszeren van-e.
Korlátozott számú lemeztitkosítási megoldás támogatja a TPM-et. Ezek a megvalósítások titkosíthatják a visszafejtést a TPM használatával, így a merevlemezt egy adott eszközhöz csatolva. Ha a merevlemezt kiveszi az eszközből, és egy másikba helyezi, a visszafejtési folyamat sikertelen lesz. Az adatokat visszafejtési jelszóval vagy hitelesítési tokennel lehet helyreállítani .
Ennek azonban az az előnye, hogy a lemezt nem lehet törölni az eszközről, ami egyedi hibapontot hozhat létre a titkosításban. Például, ha valami történik a TPM-mel vagy az alaplappal, a felhasználó nem férhet hozzá az adatokhoz a merevlemez-meghajtó másik számítógéphez történő csatlakoztatásával, hacsak az adott felhasználónak nincs külön helyreállítási kulcsa.
A piacon számos olyan eszköz áll rendelkezésre, amelyek lehetővé teszik a lemez titkosítását. A funkcionalitás és a biztonság szempontjából azonban nagyon változnak. Három kategóriába sorolhatók: lemez-titkosító szoftver (in) , hardveres titkosítás tároló lemez hardveres titkosításában ( CPU- ként vagy host-buszként ). Az eszközben található teljes lemezes titkosítási hardver alapú (in) titkosítást hívják, és egyáltalán nincs hatása a teljesítményre. Ezenkívül a média titkosítási kulcs soha nem hagyja el az eszközt, ezért az operációs rendszer vírusai számára nem érhető el.
A Trusted Computing Group Opal olvasója lehetővé teszi az ipar számára, hogy elfogadja az öntitkosító olvasók szabványosítását. A külső hardver sokkal gyorsabb, mint a szoftveres megoldások, bár a CPU verziók még mindig befolyásolhatják a teljesítményt, és a médiatitkosító kulcsok nincsenek annyira védve.
Az indító meghajtó összes megoldásához az indítás előtti hitelesítés (in) összetevőre van szükség , amely számos szállító számára elérhető minden típusú megoldáshoz. Mindenesetre fontos, hogy a hitelesítési információk általában alacsony maximális potenciállal bírjanak, mivel a szimmetrikus kriptográfia általában erős.
A biztonságos és biztonságos helyreállítási rendszerek elengedhetetlenek az összes lemeztitkosítási megoldás nagyvállalati telepítéséhez egy vállalkozásban. A megoldásnak egyszerű, de biztonságos módot kell biztosítania a jelszavak (különösen a fontos adatok) helyreállítására abban az esetben, ha a felhasználó elhagyja a vállalatot anélkül, hogy felírná a jelszót vagy elfelejtené.
A jelszó-helyreállítási rendszer biztonsági kérdéseken keresztüli hitelesítéssel (in) lehetővé teszi a jelszó biztonságos helyreállítását. Korlátozott számú titkosítási megoldás ezt lehetővé teszi.
A helyreállítási rendszer előnyei a biztonsági kérdések révén:
A vészhelyzeti információs fájl alternatívát nyújt a helyreállításra, ha a rendszerbiztonsági problémák a kisvállalkozások ügyfélszolgálatának üzemeltetői költségei vagy a megvalósítási kihívások miatt nem valósíthatók meg.
A katasztrófa-információ-helyreállítási jelszófájlokkal rendelkező helyreállítási rendszer néhány előnye:
Most a teljes lemez titkosítását rendszerek sebezhető a hideg indító támadások , amelyek lehetővé teszik a titkosítási kulcsot kell lopott a hideg indítással egy gépet, amely már fut, és hogy ki van ürítve a statikus véletlen elérésű memória előtt lehet használni. Nem múlik . A támadás a számítógép memóriájában fennálló adatok tartósságán alapul , aminek következtében az adatbitek eltűnnek, mialatt az áramellátás megszűnik. Annak ellenére, hogy a TPM chip nem igazán hatékony a támadással szemben, az operációs rendszernek a meghajtó eléréséhez a memóriában kell tartania a kulcsot.
Minden titkosító rendszer kiszolgáltatott egy kiegészítő csatorna támadásának , például akusztikus kriptanalízisnek vagy hardveres billentyűzárnak . Ezzel szemben az öntitkosító meghajtók nem sérülékenyek más támadásokkal szemben, mivel a hardveres titkosítási kulcs soha nem hagyhatja el a lemezvezérlőt.
A teljes lemezes titkosításnak számos előnye van a szabványos fájltitkosítással vagy a titkosított partíciókkal szemben. Íme néhány:
A teljes lemezes titkosítással foglalkozni kell azzal a kérdéssel, hogy az operációs rendszer tárolására szolgáló blokkokat az operációs rendszer indítása előtt dekódolni kell, ami azt jelenti, hogy a kulcsnak rendelkezésre kell állnia, mielőtt felhasználói felület van jelszó kérésére. A legtöbb teljes lemezes titkosítási megoldás a rendszerindítás előtti hitelesítést (be) használja egy kis rendszer betöltésével, a rendkívül biztonságos működés szigorúan le van zárva és fel van osztva a rendszerváltozókhoz képest, hogy ellenőrizze az Pre-start kernel integritását. Egyes megvalósítások, mint például a BitLocker meghajtótitkosítás , hardvert használhatnak, például egy megbízható platformmodult, hogy biztosítsák a rendszerindítási környezet integritását, így legyőzve a rendszerbetöltőket megcélzó támadásokat egy módosított verzióval. Ez biztosítja, hogy a hitelesítés ellenőrzött környezetben történjen, anélkül, hogy rootkitet használnának a rendszerindítás előtti visszafejtés végrehajtására. A rendszerindítás előtti hitelesítés (in) környezetben az adatok titkosításához használt kulcsot addig nem oldják fel, amíg egy külső kulcsot nem írnak be a rendszerbe.
A külső kulcsok tárolására szolgáló megoldások a következők:
Mindezek az opciók különböző fokú biztonsággal rendelkeznek, de a legtöbb jobb, mint egy titkosítatlan meghajtó.