FDE-новое слово в безопасности

Проблема надежного хранения конфиденциальных данных беспокоит практически всех, кто активно использует компьютер в повседневной работе. В наше время существует множество программ, шифрующих данные, а также защитных функций, встроенных непосредственно в операционную систему. Часто используется установка пароля на ATA-интерфейс с помощью BIOS. Но являются ли эти методы защиты данных на компьютере действительно надежными, и могут ли они удовлетворить требования современных компаний, для которых потеря конфиденциальной информации одного из рабочих компьютеров может быть равнозначна потерям миллионов долларов?

Безусловно, ответов на эти вопросы много. И один из них представила компания Seagate Technology в лице технологии аппаратного шифрования информации Hardware-Based Full Disc Encryption (FDE). Она действительно отличается от ставших уже традиционными программных способов защиты информации, поэтому мы решили рассказать о ней.

Дело в том, что, в отличие от программных методов защиты, технология FDE автоматически шифрует абсолютно все данные, поступающие в компьютер для записи на диск, включая информацию для разметки диска, системные файлы и, конечно же, данные пользователя.

Любая информация, записываемая на диск, защищается алгоритмом TDEA или 3DES, использующим три 64-битных ключа для шифрования-дешифрования-шифрования (именно так выглядит последовательность работы алгоритма). При этом каждая операция использует свой ключ, и процесс шифрования производится перед тем, как информация превращается в биты магнитных доменов в записывающем слое диска.

Жесткий диск является идеальным местом для реализации аппаратного шифрования данных. По сути, винчестер является полной компьютерной системой, включающей в себя специализированный микропроцессор, модуль памяти, многозадачную операционную систему в виде микрокода прошивки. И конечно, именно здесь хранятся данные, которые необходимо защитить, что позволяет избежать использования внешних интерфейсов, подверженных физическим атакам. К тому же, вычислительная платформа жесткого диска не является открытой, как платформа ПК.

Винчестер обладает уникальной, свойственной только ему, архитектурой, данные о которой берегутся производителями. Работа FDE абсолютно не зависит от операционной системы, что позволяет избежать уязвимых мест, свойственных программным методам криптографии. Шифруя отдельные файлы с помощью программного обеспечения, пользователь не обеспечивает полной защиты информации на своем жестком диске, так как у злоумышленника остается возможность восстановить часть или даже целые файлы из временных каталогов или резервных копий, которые могут создаваться приложениями, работающими с исходниками. И найти их для опытного взломщика — дело нескольких минут.

Исследования показывают, что для хакера, который получил в свое распоряжение жесткий диск с важной информацией, защищенной с помощью пароля на ATA-интерфейс или же специальной программы, не составляет особого труда определить шифровальные ключи и взломать диск. Причина в том, что как пароли ATA, так и программное шифрование данных имеют серьезный недостаток — их защита основана на шифровальном ключе, который сам расположен на жестком диске. Технология Seagate FDE уникальна тем, что ключи, необходимые для расшифровки данных, никогда не хранятся на жестком диске! Ни один взломщик жесткого диска с технологией FDE не сможет определить ключ доступа – на самом жестком диске он просто отсутствует. Технология программного шифрования данных хранит открытые ключи доступа на микросхемах ASIC на плате контроллера диска, где также расположен загружающий для шифрования данных буфер памяти. Таким образом, вся необходимая для загрузки системы информация берется из пароля, что делает невозможным анализ винчестера. Защита при загрузке не дает возможности загрузить операционную систему с дискеты или при помощи хакерской программы, а шифрование сектора за сектором делает невозможным копирование важных файлов для грубых атак, описанных выше.

Каковы же практические преимущества применения технологии аппаратного шифрования данных в современных компьютерах? Мобильные технологии все более проникают в нашу жизнь, определяя в известной степени ее стиль. Объемы продаж ноутбуков неуклонно растут из года в год и скоро сравняются с объемом продаж настольных компьютеров. А это означает, что все больше и больше конфиденциальной информации, хранящейся на компьютерах компаний и государственных учреждений под надежным присмотром квалифицированного ИТ-персонала, покидает надежные стены на ноутбуках сотрудников.

Современная мобильность компьютеров позволяет значительно увеличить прибыли компании. Однако, как показывает статистика, риски потери коммерческой информации резко возрастают, как только ноутбук покидает стены компании. Это может быть и кража, организованная конкурентами или хакерами, которые стремятся завладеть определенными данными, и простая рассеянность, по вине которой ноутбуки с критически важной информацией остаются забытыми в общественных местах. Именно поэтому надежная защита данных становится все более актуальной темой в свете распространения мобильных технологий. Для примера, только в далеком в 2001 году 591 тыс. ноутбуков было украдено либо утеряно, что на 53% больше по сравнению с предыдущим годом. Потеря переносного компьютера — ощутимая, но не критическая. А вот стоимость информации, которая хранилась на жестком диске утерянного компьютера, иногда может исчисляться миллионами долларов. Примером может послужить случай, произошедший в 2000 году. На одном из дочерних предприятий компании IBM пропал диск, на котором хранились базы данных клиентов нескольких компаний. Потеря жесткого диска, стоимостью в 100 долларов США привела к прямым потерям 500 тыс. долларов США, но, по мнению экспертов, эта цифра поблекнет по сравнению со стоимостью судебных процессов, ожидающих компании в будущем в связи с утерей личных данных клиентов.

К сожалению, статистика похищения конфиденциальной информации постоянно ухудшается. Около 72% всех незаконных операций с похищенными кредитными карточками произошли, как это не удивительно, не из-за кражи данных в сети интернет, а именно из-за утерянных компьютеров. Именно поэтому надежная защита коммерческой и личной информации на переносных компьютерах так необходима. Технология аппаратного шифрования FDE превращает жесткий диск в обычный кусок железа для человека, не знающего кода доступа. А это значит, что ноутбук становится все менее и менее уязвимым для потери данных, а значит, может по праву считаться полноценным рабочим местом, позволяющим заниматься делами компании как непосредственно в офисе, так и за его пределами, не опасаясь, что информация, критически важная для бизнеса, попадет в не те руки.

Виктор Сергеев

Новости партнеров: