Levyn salaus Englanti, levyn salaus , koko levyn salaus ja FDE ) on tekniikka, joka suojaa tietoja muuttaa sen voi lukea koodia, jota ei voi helposti avannut ihmiset, jotka eivät ole sallittuja. Levy salauksessa käytetään levyn salaus ohjelmisto (fr) tai levyn avainnusmateriaali (in) ja salata jokainen bitti dataa kummallekin kiintolevylle tai tilavuus . Levyn salaus taistelee luvattomalta pääsyltä tietojen tallennusjärjestelmään.
Koko levyn salaus tarkoittaa yleensä kaikki on salattu - myös ohjelmia, jotka voi salata osiot käynnistyslevyksi käyttöjärjestelmä - vaikka osa levy on välttämättä salaamaton.
FileVault 2 salaa koko Mac OS X: n käynnistyslevyn ; täysin salatun levyn käyttäjille valtuutetut tiedot ladataan salaamattomalta käynnistyslevyltä ( osio / osiotyyppi Apple_Boot ). Järjestelmissä, jotka käyttävät pääkäynnistystietuetta , osa levystä pysyy salaamattomana. Jotkin järjestelmät, joissa on täyden levyn salaus, laitteistopohjainen (sisään), voivat salata käynnistyslevyn kokonaan, mukaan lukien se, käyttääkö se pääkäynnistystietuetta .
Reaaliaikaisen salauksen , jota kutsutaan myös salauksen lennossa (vuonna Englanti On-the-fly salaus tai OTFE ) on menetelmä, jota levyn salaus ohjelmisto (in) . Tiedot salataan tai puretaan automaattisesti ladattaessa tai tallennettaessa.
Lennossa olevan salauksen avulla tiedostot ovat käytettävissä heti salausavaimen syöttämisen jälkeen , ja äänenvoimakkuus on yleensä asennettu fyysisenä levynä, jolloin tiedostot ovat käytettävissä ikään kuin niitä ei olisi salattu. Ei tallennettuja salattu taltio voidaan lukea (salaus) käyttämättä oikeaa salasanaa tai avaintiedosto tai salausavain . Koko tiedostojärjestelmä volyymin salataan (mukaan lukien tiedostojen ja kansioiden nimiä, niiden sisältö, ja muut metatiedot ).
Ollakseen läpinäkyvä käyttäjän kanssa, lennossa olevan salauksen on yleensä käytettävä ohjaimia salauksen mahdollistamiseksi. Vaikka ohjainten asentamiseen vaaditaan yleensä järjestelmänvalvojan oikeudet , tavalliset käyttäjät voivat salata levyt ilman näitä oikeuksia .
Yleensä kaikkia menetelmiä, joissa data salataan lennossa kirjoituksen aikana ja puretaan lukemisen yhteydessä, voidaan kutsua läpinäkyväksi salaukseksi .
Levysalaus ei saisi korvata tiedostojen salausta kaikissa tilanteissa, mutta levysalausta käytetään joskus tiedostosalauksen yhteydessä tasoittain (sisään) paremman turvallisuuden tarjoamiseksi. Koska levysalaus käyttää yleensä samaa salausavainta koko levyn salaamiseen, kaikki tiedot voidaan purkaa järjestelmän ollessa käynnissä. Jotkin levysalausratkaisut käyttävät kuitenkin useita avaimia eri osioiden salaamiseen. Jos hyökkääjä saa pääsyn tietokoneeseen sen ollessa käynnissä, hyökkääjällä on pääsy kaikkiin tiedostoihin. Tavallisesti tiedostojen ja kansioiden salaus sallii eri avaimet levyn eri osille. Hyökkääjä ei siten voi poimia tietoja varastamistaan salatuista tiedostoista ja kansioista.
Toisin kuin levysalaus, porrastettu tiedostojen salaus ei yleensä salaa tiedostojärjestelmän metatietoja, kuten hakemistorakennetta, tiedostojen nimiä, muokattuja päivämääriä tai tiedostokokoja.
Trusted Platform Module (TPM) on turvallinen cryptoprocessor sisäänrakennettu emolevy , joita voidaan käyttää todentamaan laitteen kanssa. Koska jokainen TPM-siru on yksilöllinen jokaiselle laitteelle, se pystyy suorittamaan alustan todennuksen. Sitä voidaan käyttää tarkistamaan, että pääsyä hakeva järjestelmä on odotetussa järjestelmässä.
Rajoitettu määrä levysalausratkaisuja tukee TPM: ää. Nämä toteutukset voivat peittää salauksen purkamisen TPM: n avulla, kiinnittämällä kiintolevyn tiettyyn laitteeseen. Jos kiintolevy poistetaan laitteesta ja sijoitetaan toiseen, salauksen purku epäonnistuu. Tiedot voidaan palauttaa kanssa salauksen salasana tai todennustunnus .
Tällä on kuitenkin se etu, että levyä ei voida poistaa laitteesta, mikä voi luoda yksittäisen epäonnistumispisteen salaukseen. Esimerkiksi jos jotain tapahtuu TPM: lle tai emolevylle, käyttäjä ei saa käyttää tietoja yhdistämällä kiintolevyn toiseen tietokoneeseen, ellei kyseisellä käyttäjällä ole erillistä palautusavainta.
Markkinoilla on monia työkaluja, joiden avulla voit salata levyn. Ne vaihtelevat kuitenkin paljon toiminnallisuuden ja turvallisuuden suhteen. Ne voidaan jakaa kolmeen luokkaan: levyn salausohjelmisto (sisään) , laitteiston salaus tallennuslevyn laitteiston salaukseen, toisaalta ( prosessorina tai isäntäväylänä ). Laitteen täyttä levysalauslaitteistopohjaista (sisään) kutsutaan itsesalaukseksi, eikä sillä ole lainkaan vaikutusta suorituskykyyn. Lisäksi median salausavain ei koskaan poistu laitteesta, joten käyttöjärjestelmän virus ei pääse siihen.
Trusted Computing Group Opal lukijan avulla teollisuutta hyväksymään standardoinnin itsensä salaukseen lukijoita. Ulkoinen laitteisto on paljon nopeampi kuin ohjelmistoratkaisut, vaikka suorittimen versiot voivat silti vaikuttaa suorituskykyyn ja median salausavaimet eivät ole yhtä hyvin suojattuja.
Kaikki ratkaisut käynnistysasema vaatii komponentti esikäynnistys autentikointi (in) , joka on käytettävissä kaikentyyppisiä ratkaisuja useita toimittajia. Joka tapauksessa on tärkeää, että todennustiedoilla on yleensä pieni maksimipotentiaali, koska symmetrinen salaus on yleensä vahva.
Suojatut ja turvalliset palautusjärjestelmät ovat välttämättömiä kaikkien levysalausratkaisujen laajamittaiseen käyttöönottoon yrityksessä. Ratkaisun tulisi tarjota helppo, mutta turvallinen tapa palauttaa salasanat (erityisesti tärkeät tiedot), jos käyttäjä poistuu yrityksestä kirjoittamatta salasanaa tai unohtamatta sitä.
Salasanamuistutustoimintoa järjestelmä todennus kautta turvallisuuskysymykset (in) avulla salasana voidaan turvallisesti. Rajoitettu määrä salausratkaisuja sallii tämän.
Palautusjärjestelmän edut turvakysymysten kautta:
Hätätietotiedosto tarjoaa vaihtoehdon palautukselle, jos järjestelmän tietoturvaongelmat eivät ole toteutettavissa pienten yritysten tukipalvelujen tarjoajien kustannusten tai toteutushaasteiden vuoksi.
Joitakin etuja palautusjärjestelmästä, jolla on katastrofitietojen palauttamisen salasanatiedosto:
Useimmat koko levyn salaus järjestelmät ovat alttiita kylmä boot hyökkäyksiä , jotka mahdollistavat salausavaimen varastettu mennessä kylmä käynnistämällä jo käynnissä kone, joka huuhdellaan pois Static Random Access Memory Ennen luovutusta. Se ei katoa. Hyökkäys perustuu tietojen pysyvyyteen tietokoneen muistissa, mikä aiheuttaa databittien katoamisen muutaman minuutin kuluttua virran katkaisemisesta. Vaikka TPM-siru ei todellakaan ole tehokas hyökkäystä vastaan, käyttöjärjestelmän on pidettävä avain muistissa päästäkseen asemaan.
Kaikki salausjärjestelmät ovat alttiita apukanavan hyökkäyksille , kuten akustiselle kryptoanalyysille tai laitteiston näppäinlukijalle . Itse salaavat asemat eivät sitä vastoin ole alttiita muille hyökkäyksille, koska laitteiston salausavain ei voi koskaan poistua levyohjaimesta.
Täyden levyn salauksella on monia etuja verrattuna tavalliseen tiedostojen salaukseen tai salattuihin osioihin. Tässä on muutama:
Yksi asia, joka on käsiteltävä täyden levyn salauksella, on se, että lohkot, joihin käyttöjärjestelmä on tallennettu, on purettava, ennen kuin käyttöjärjestelmä voidaan käynnistää, mikä tarkoittaa, että avaimen on oltava käytettävissä, ennen kuin käyttöliittymä on salasanan pyytämistä varten. Useimmat täyden levyn salausratkaisut käyttävät käynnistystä edeltävää todennusta (sisään) lataamalla pienen järjestelmän, erittäin turvallinen käyttö on tiukasti lukittu ja pilkottu järjestelmän muuttujiin verrattuna, jotta voidaan varmistaa Pre-start-ytimen eheys. Jotkut toteutukset, kuten BitLocker Drive Encryption, voivat käyttää laitteistoja, kuten Trusted Platform Module -moduulia , käynnistysympäristön eheyden varmistamiseksi ja siten voittaa käynnistyslataajiin kohdistuvat hyökkäykset korvaamalla sen muokatulla versiolla. Tämä varmistaa, että todennus voi tapahtua valvotussa ympäristössä ilman mahdollisuutta, että rootkitia käytetään käynnistystä edeltävän salauksen purkamiseen. Kanssa ympäristössä esikäynnistys autentikointi (in) , käytetyn avaimen salata ei pureta ennen kuin ulkoinen avainta ei syötetään järjestelmään.
Ratkaisuja ulkoiseen avaintallennukseen ovat:
Kaikilla näillä vaihtoehdoilla on vaihteleva suojaustaso, mutta useimmat ovat parempia kuin salaamaton asema.