¿Qué es el cifrado de disco completo?
Cifrado de disco completo frente a cifrado de nivel de archivo
Más de cinco millones de dispositivos móviles se pierden o son robados cada año en los Estados Unidos. Camine por cualquier aeropuerto y cuente la cantidad de dispositivos que ve. Hay miles de computadoras portátiles solas moviéndose a nuestro alrededor todo el tiempo. Cada uno lleva correo electrónico, datos de la empresa, datos financieros, información personal y otros tipos de datos confidenciales.
A medida que estos datos migran de los servidores a los equipos de escritorio y a los dispositivos móviles, aumenta el potencial de pérdida de datos. Si bien hay muchos niveles de seguridad que se pueden implementar para proteger los dispositivos móviles, la primera consideración debe ser el cifrado de disco completo.
El cifrado de disco completo (FDE) es el uso de software de cifrado para convertir toda la información de un disco en un código ilegible que solo puede leer alguien con una clave secreta. A diferencia del cifrado a nivel de archivos, el cifrado de disco completo utiliza hardware o software para cifrar todos los datos que se escriben en el disco duro, incluido el sistema operativo y sus archivos críticos. Cifrar todo el dispositivo ayuda a garantizar que todos los datos del dispositivo estén seguros, no solo los archivos y carpetas seleccionados. Además, dado que el cifrado y el descifrado se realizan según sea necesario, el usuario final no necesita acordarse de cifrar los archivos confidenciales. Sucede automáticamente.
Existen tres métodos principales de cifrado de disco completo: software, hardware fuera del dispositivo y hardware en el dispositivo. Echemos un vistazo a esos ahora.
Software
El software FDE realiza dos funciones principales. Utiliza una clave secreta que crea en el momento en que se instala el software para cifrar el disco duro y crea un entorno de “autenticación previa al inicio” que requiere que ingrese esa clave cada vez que se inicia la computadora. Cuando se ingresa la clave secreta, el software la almacena en la memoria para cifrar o descifrar datos en el disco duro cuando sea necesario.
Muchas soluciones de terceros están disponibles para FDE, pero tanto Microsoft Windows como Apple OS X tienen capacidades de cifrado de disco completas integradas en el sistema operativo. FileVault 2 está disponible en OS X Lion o posterior y requiere que el usuario inicie sesión siempre con la contraseña de su cuenta de OS X. Cuando se completa la configuración de FileVault 2, cifra el disco de inicio de su Mac y desactiva funciones como el inicio de sesión automático.
Microsoft BitLocker está disponible en Windows Vista o sistemas operativos posteriores de Windows. Al igual que otras soluciones, BitLocker cifra el disco duro, pero también permite la integración de soluciones de autenticación de múltiples factores, que requieren tanto una contraseña como una llave USB, una tarjeta inteligente u otro dispositivo físico.
Hardware fuera del dispositivo
El hardware fuera del dispositivo hace referencia al uso de un dispositivo de hardware, como un módulo de plataforma segura, que se utiliza para almacenar y acceder a la clave secreta, independientemente del dispositivo cifrado. El Trusted Platform Module, o TPM, es un chip integrado en la placa base, especialmente diseñado para almacenar información confidencial, como claves criptográficas. Dado que el TPM es un dispositivo de nivel de sistema, único para cada sistema, puede usarse no solo para almacenar la clave secreta para el cifrado, sino también para proporcionar un nivel adicional de seguridad al garantizar que solo se pueda acceder al dispositivo cifrado desde el sistema utilizado para cifrarlo. .
Hardware en el dispositivo
El hardware en el dispositivo se refiere al uso de hardware de cifrado integrado en la unidad que se va a cifrar. Estas unidades se conocen como unidades de “autocifrado”. Dado que el mecanismo de cifrado de hardware está integrado en la unidad, el proceso de cifrado y descifrado tiene muy poco impacto en el rendimiento de la unidad. Un beneficio adicional es que, dado que la clave se almacena en el hardware del dispositivo, no es accesible para software malicioso, como virus informáticos o spyware.
Preocupaciones de seguridad y mejores prácticas
Dado que FDE generalmente usa una sola clave secreta para cifrar todo el dispositivo, si la clave se ve comprometida, todos los datos en el disco están en riesgo. Si una persona no autorizada puede acceder al sistema en tiempo de ejecución, es posible que pueda copiar archivos a un destino sin cifrar. Piense en esto como poner dinero en una bóveda. Mientras está en la bóveda, está a salvo, pero si lo sacas de la bóveda, está en peligro. Para proteger aún más los datos confidenciales, tanto el cifrado de disco completo como el cifrado a nivel de archivo se pueden usar juntos para garantizar que los archivos confidenciales estén siempre protegidos, incluso cuando el sistema funciona con normalidad.
Con el cifrado de software y hardware fuera del dispositivo, se requiere que la clave secreta se mantenga en la memoria (para cifrar y descifrar los datos a medida que se escriben o se leen en el dispositivo), lo que hace que la clave sea vulnerable a ataques forenses de memoria o de arranque en frío. . Dado que las unidades de autocifrado no almacenan la clave en la memoria, no son susceptibles a los ataques de arranque en frío.
Dado que las claves secretas se requieren cada vez que el sistema inicia o reanuda la operación, la pérdida de la clave (por ejemplo, si el usuario olvida la frase de contraseña secreta o deja la empresa inesperadamente) hace que los datos sean inaccesibles. Para este propósito, muchas operaciones empresariales que utilizan el cifrado de disco normalmente implementan un proceso de ‘custodia de claves’ que garantiza que la clave de cifrado estará disponible solo para el personal autorizado en caso de una emergencia.
Resumen de la lección
Es importante recordar que el cifrado de disco completo (FDE) cifra todo el dispositivo de almacenamiento y los datos de la unidad se cifran en reposo o mientras el dispositivo está apagado, pero los archivos pueden copiarse sin cifrado mientras el dispositivo funciona con normalidad.
Además, recuerde que el cifrado de disco completo cifra cada parte de la unidad, incluidos los archivos temporales y de intercambio y el espacio libre en el disco. Esto hace que la recuperación de datos de unidades cifradas sea casi imposible sin la clave secreta.
Finalmente, las implementaciones de cifrado de software y hardware fuera del dispositivo almacenan las claves criptográficas en la memoria, mientras que el hardware del dispositivo no lo hace. Esto significa que las implementaciones de software y hardware fuera del dispositivo pueden estar sujetas a ataques de recuperación de memoria.
Articulos relacionados
- Medicina alternativa para hernias de disco
- Hashing vs Cifrado
- Cifrado simétrico: definición y ejemplo
- Cifrado simétrico: tipos y ventajas
- Prueba de hemograma completo en hematología: usos e interpretación de resultados
- ¿Qué es el Estándar de cifrado avanzado (AES)? – Definición y descripción general
- ¿Qué es el estándar de cifrado de datos (DES)?
- ¿Qué es el cifrado de correo electrónico? – Definición y Métodos
- ¿Qué es el cifrado de enlaces?
- ¿Qué es el cifrado polimórfico?