Аппаратное шифрование: Как работает аппаратное шифрование твердотельных накопителей? Сравнение программного и аппаратного шифрования, 256-разрядное шифрование AES и TCG Opal 2.0

Как работает аппаратное шифрование твердотельных накопителей? Сравнение программного и аппаратного шифрования, 256-разрядное шифрование AES и TCG Opal 2.0

Search Kingston.com

Чтобы начать, нажмите принять ниже, чтобы открыть панель управления файлами cookie. Затем нажмите кнопку Персонализация, чтобы включить функцию чата, а затем Сохранить.

Версия вашего веб-браузера устарела. Обновите браузер для повышения удобства работы с этим веб-сайтом. https://browser-update.org/update-browser.html

май 2021

• Персональное хранилище
• SSD клиентского уровня
• Безопасность данных

Блог Главная

Сегодня все люди во всем мире, от предприятий и правительств до частных лиц, разделяют одно: необходимость и желание защитить важную личную и конфиденциальную информацию. Независимо от того, хранятся ли данные или перемещаются, их защита абсолютно необходима. Финансовые и репутационные последствия утечки данных, взлома, утерянных или украденных ноутбуков/ ПК могут быть астрономическими.

Для защиты от хакеров и утечки данных в организации необходимо шифровать данные и во время их перемещения, и во время хранения. Шифрование обеспечивает усиленный уровень защиты на тот случай, если каким-либо образом будет получен несанкционированный доступ к компьютерной сети или устройству хранения. Если это произойдет, хакер не сможет получить доступ к данным. В этой статье мы сосредоточимся на программном шифровании, накопителях с самошифрованием (сокращенно SED) и общем объяснении того, как работает шифрование твердотельных накопителей.

Что такое шифрование?

Говоря упрощенно, шифрование преобразует информацию, введенную в цифровое устройство, в блоки данных, которые кажутся бессмысленными. Чем сложнее процесс шифрования, тем более неразборчивыми и не поддающимися расшифровке будут данные. И наоборот, дешифрование восстанавливает исходную форму зашифрованных данных, делая их снова доступными для чтения.

Зашифрованная информация часто называется шифротекстом, а незашифрованная — обычным текстом.

Сравнение аппаратного и программного шифрования

Программное шифрование использует различные программы для шифрования данных в логическом томе. При первом шифровании накопителя создается уникальный ключ, который сохраняется в памяти компьютера. Этот ключ зашифрован парольной фразой, выбранной пользователем. Когда пользователь вводит парольную фразу, он разблокирует ключ и предоставляет доступ к незашифрованным данным на накопителе. Копия ключа также записывается на накопитель. Программное шифрование действует как посредник между считыванием/записью данных приложения на устройство; перед физическим сохранением данных на накопителе они шифруются с помощью ключа. При считывании с накопителя данные дешифруются с использованием того же ключа, прежде чем будут переданы программе.

Хотя программное шифрование является рентабельным, оно надежно ровно настолько, насколько надежно устройство, на котором оно используется.

Если хакер взломает код или пароль, он получит доступ к вашим зашифрованным данным. Кроме того, поскольку шифрование и дешифрование выполняется процессором, замедляется работа всей системы. Еще одна уязвимость программного шифрования заключается в том, что при загрузке системы ключ шифрования сохраняется в оперативной памяти компьютера, что делает его целью для низкоуровневых атак.

В накопителях с самошифрованием (SED) используется аппаратное шифрование, предлагающее более целостный подход к шифрованию пользовательских данных. Накопители SED оснащаются встроенным крипточипом AES, который шифрует данные перед записью и расшифровывает их перед чтением непосредственно с носителя NAND. Аппаратное шифрование находится между ОС, установленной на накопителе, и BIOS системы. При первом шифровании накопителя создается ключ шифрования, который сохраняется во флеш-памяти NAND. При первой загрузке системы загружается настраиваемая система BIOS, которая запрашивает парольную фразу пользователя.

После ввода парольной фразы содержимое накопителя расшифровывается, и предоставляется доступ к ОС и пользовательским данным.

Накопители с самошифрованием также шифруют/дешифруют данные «на лету» с помощью встроенного крипточипа, который отвечает за шифрование данных до их передачи во флеш-память NAND и дешифрует данные перед их чтением. Центральный процессор не участвует в процессе шифрования, что снижает потери производительности, связанные с программным шифрованием. В большинстве случаев при загрузке системы ключ шифрования сохраняется во встроенной памяти твердотельного накопителя, что усложняет его получение и делает менее уязвимым для низкоуровневых атак. Этот аппаратный метод шифрования обеспечивает высокий уровень безопасности данных, поскольку он невидим для пользователя. Его нельзя отключить, и он не влияет на производительность.

256-битное аппаратное шифрование по протоколу AES

AES (Advanced Encryption Standard) — это алгоритм симметричного шифрования (то есть ключи шифрования и дешифрования совпадают). Поскольку AES является блочным шифром, данные делятся на 128-битные блоки перед их шифрованием 256-битным ключом. 256-битное шифрование AES — это международный стандарт, который обеспечивает превосходную безопасность данных и признан, в частности, правительством США. Шифрование AES-256 практически не поддается расшифровке, что делает его самым надежным стандартом шифрования.

Почему этот алгоритм не поддается расшифровке? Протокол AES включает алгоритмы AES-128, AES-192 и AES-256. Цифры представляют количество битов ключа в каждом блоке шифрования и дешифрования. Для каждого добавленного бита количество возможных ключей удваивается, то есть 256-битное шифрование равносильно двум в 256 степени! Это чрезвычайно большое количество возможных вариантов ключа. В свою очередь, каждый бит ключа имеет разное количество раундов. (Раунд — это процесс трансформации обычного текста в шифротекст.) Для 256 бит используется 14 раундов. 2

256 Не говоря уже о времени и вычислительной мощности, необходимых для выполнения этой операции.

Программное шифрование по протоколу TCG Opal 2.0

TCG — это международная группа по промышленным стандартам, которая определяет основанный на аппаратных средствах доверительный учет для совместимых доверенных вычислительных платформ. Этот протокол обеспечивает возможность инициализации, аутентификации и управления зашифрованными твердотельными накопителями с помощью независимых поставщиков программного обеспечения, использующих решения для управления безопасностью TCG Opal 2.0, таких как Symantec™, McAfee™, WinMagic® и другие.

Таким образом, хотя программное шифрование имеет свои преимущества, оно может не соответствовать понятию «всеобъемлющего». Программное шифрование добавляет дополнительные шаги, потому что данные должны быть зашифрованы, а затем дешифрованы, когда пользователю необходимо получить доступ к данным, тогда как аппаратное шифрование предлагает более надежное решение. Твердотельный накопитель с аппаратным шифрованием оптимизирован для работы с остальной частью накопителя без снижения производительности. В зависимости от приложения вы можете быть удивлены тем, что принимает участие в защите ваших данных. Не все средства шифрования одинаково, и понимание различий будет играть ключевую роль в том, насколько эффективна и действенна ваша безопасность.

#KingstonIsWithYou

Фильтр Filters Applied

Сортировать по Название — от A до Z

No products were found matching your selection

Аппаратная поддержка BitLocker на SED SSD дисках

Многие современные жесткие диски (в том числе SSD) поддерживают технологию самошифровния, предназначенную для защиты данных пользователя. Диски с поддержкой шифрования на уровне контроллера называются SED дисками (Self-Encrypting Drives). Алгоритм шифрования с симметричным ключом реализуется аппаратно на уровне контроллера диска. При записи на диск все данные шифруются, а при чтении – расшифровываются, причем абсолютно прозрачно с точки зрения пользователя. Windows 8 и Windows Server 2012 могут использовать аппаратный функционал SED дисков для шифрования данных BitLocker-ом, тем самым разгружая процессор и уменьшая общее энергопотребление системы.

При использовании SED диска с шифрованиеми BitLocker на Windows 7 / 2008, данные на диске по сути шифруются дважды, на уровне ОС шифрование выполняет BitLocker, а затем эти же данные шифруются контроллером диска. Не очень-то эффективно…

В BitLocker на Windows 8 / Windows Server 2012 появилась возможность разгрузить процессор, передав функционал шифрования контроллеру жесткого диска. По различным оценкам, передача функций шифрования BitLocker контролеру SED диска увеличивает производительность системы на 15-29%. Кроме того, при переходе на аппаратное шифрование, увеличивается срок работы устройств от аккумуляторной батареи и срок ее жизни (Как проверить состояние аккумулятора в Windows 8).

При использовании аппаратного шифрования BitLocker увеличивается безопасность системы за счет того, что ключ шифрования более не хранится в памяти компьютера, тем самым память компьютера более не может быть потенциальным вектором атаки

Microsoft определила особый стандарт Microsoft

eDrive, описывающий требования к SED дискам для использования вместе с BitLocker. eDrive основан на стандартах спецификаций TCG OPAL и IEEE 1667.

При использовании SED дисков, поддерживающих стандарт eDrive, накопитель выполняет шифрование «на лету», практически полностью исчезает падение производительности системы при работе BitLocker (по сравнению с программным шифрованием BitLocker).

Судя по описаниям Microsoft, задействовать аппаратное шифрование BitLocker на совместимых устройствах не составляет труда. Но, оказалось, перейти на аппаратное шифрование не так просто. Далее покажем, как включить поддержку BitLocker Hardware Encryption на SSD диске, поддерживающим стандарт eDrive.

Совет. BitLocker не поддерживается в младших редакциях Win 8. Нужна, как минимум, Windows 8 Pro.

Для того, чтобы BitLocker мог использовать для шифрования контроллер жесткого диска, окружение должно соответствовать следующим требованиям.

Требования к загрузочной системе:

• BitLocker поддерживает версии TPM 1.2 и 2.0 (и выше). Дополнительно, требуется TPM драйвер, сертифицированный Microsoft
• Система должна быть основана на UEFI 2.3.1 и поддерживать EFI_STORAGE_SECURITY_COMMAND_PROTOCOL
• Компьютер должен загружаться в нативном UEFI режиме (режим совместимости CSM — Compatibility Support Mode должен быть отключен)

Требования к SED SSD диску с данными:

• Диск не должен быть инициализирован
• Шифрование должно быть отключено

В нашей конфигурации мы пытаемся включить аппаратное шифрование BitLocker на SSD диске Samsung SSD 850 Pro (eDrive совместимый SSD). Для управления параметрами SSD диска будем использовать официальную утилиту Samsung для работы с SSD накопителями — Samsung Magician.

По задумке Microsoft, если система удовлетворяет описанным условиям, то при включении BitLocker на SED диске, для шифрования данных автоматически использования функционал контроллера. Однако проблема оказалась в том, что со старыми версиями драйвера Intel Rapid Storage Technology (RST), это не работает. Рабочая версия RST с корректной поддержкой BitLocker – 13.2.

1. Проверяем текущую версию драйвера RST – в нашем случае это 12.8.10.1005. Качаем свежую версию RST (13.2.4.1000) драйвера из центра загрузки Intel (https://downloadcenter.intel.com/download/24293) и устанавливаем.
2. Очистим содержимое SSD диска следующим образом, выполнив последовательно следующие команды (данные на втором диске будут удалены!):
   • diskpart
   • list disk
   • select disk 1
   • clean

   Важно. Диск с индексом 1 будет полностью очищен. Убедитесь, что вы указываете индекс вашего SSD диска. В нашем примере Samsung SSD 850 Pro имеет индекс 1.

3. Откроем Samsung Magician и в разделе Data Security, включите режим аппаратного шифрования SSD, нажав на Ready to enable.
4. После перезагрузки убедимся, что режим шифрования диска активирован.
5. Инициализируйте и отформатируйте диск в консоли Disk Management.

6. Осталось активировать BitLocker для диска как обычно. В мастере настройки указать, что нужно щифровать все содержимое диска (Encrypt entire drive). В противном случае будет использоваться программное шифрование BitLocker.
7. Осталось убедиться, что BitLocker теперь использует аппаратное шифрование. Сделать это можно только из командной строки (с правами администратора): Manage-bde –status d:

   Следующая строка свидетельствует о том, что BitLocker используется аппаратное шифрование Encryption Method:     Hardware Encryption - 1.3.111.2.1619.0.1.2

В дальнейшем данный SED диск можно использовать в качестве загрузочного, установив на него систему. Каждый раз при загрузке такой системы необходимо будет указывать ключ Bitlocker.

Обзор аппаратного шифрования

Если вы хотите защитить свои данные и сохранить их в безопасности, вам следует подумать об активации на вашем компьютере формы шифрования. После того, как данные будут зашифрованы, вам потребуется секретный ключ или пароль, чтобы расшифровать их и получить к ним полный доступ. Здесь мы сосредоточимся на аппаратном шифровании, но если вы хотите узнать больше о других типах безопасности, ознакомьтесь с нашей статьей Различные типы шифрования и безопасности диска .

 

Что такое аппаратное шифрование?

Аппаратное шифрование означает, что шифрование происходит внутри диска. SSD со встроенным шифрованием чаще называют самошифрующимся диском (SED). Большинство твердотельных накопителей Crucial® являются самошифрующимися.

Как работает аппаратное шифрование на устройствах с самошифрованием Crucial?

При использовании SED шифрование всегда включено, то есть когда данные записываются на SED, они шифруются контроллером, а затем расшифровываются при чтении с SED. Функцию защиты паролем необходимо активировать с помощью программного обеспечения для управления шифрованием. Если этого не сделать, ничто не помешает пользователю прочитать данные на диске. Другими словами, SED щедро расшифрует всю информацию для любого, кто попросит, если только не установлено программное обеспечение для управления безопасностью, чтобы предотвратить это.

Проще всего относиться к этому как к системе безопасности в доме. Пока это не будет «вооружено» (например, с помощью стороннего программного обеспечения для применения учетных данных для входа в систему), оно просто существует, но не защищает ваши данные активно.

Каковы преимущества аппаратного шифрования?

Технология SED обеспечивает проверенную и сертифицированную защиту данных, которая обеспечивает практически нерушимую защиту доступа к пользовательским данным перед загрузкой. Поскольку шифрование является частью контроллера накопителя, оно обеспечивает предзагрузочную защиту данных. Запуск программной утилиты для взлома кодов аутентификации невозможен, поскольку шифрование активируется до того, как какое-либо программное обеспечение начнет загружаться. Еще одно преимущество функции шифрования, которая активна в любое время, заключается в том, что это позволяет накопителю соответствовать требованиям государственных стандартов для данных в банковских, финансовых, медицинских и государственных приложениях, придерживаясь спецификаций TCG Opal 2. 0 и Протоколы аутентификации доступа IEEE-1667. SED от Crucial также поддерживают стандартный протокол полного шифрования диска с помощью набора функций безопасности ATA-8.

Кроме того, поскольку шифрование происходит на SED и больше нигде, ключи шифрования хранятся в самом контроллере и никогда не покидают диск.

Аппаратное шифрование против программного шифрования?

Основное преимущество использования аппаратного шифрования вместо программного шифрования на твердотельных накопителях заключается в том, что функция аппаратного шифрования оптимизирована для остальной части диска. Если пользователь применяет программное шифрование к накопителю, это добавляет несколько дополнительных шагов к процессу записи на накопитель, поскольку данные должны быть зашифрованы программным обеспечением шифрования во время записи. Эти же данные затем должны быть снова расшифрованы программным обеспечением, когда пользователь хочет получить к ним доступ, что замедляет процесс чтения. Другими словами, добавление уровня программного шифрования негативно влияет на производительность SSD.

Однако аппаратное шифрование SED интегрировано в контроллер, что означает отсутствие влияния на производительность SSD ни в краткосрочной, ни в долгосрочной перспективе. Скорости чтения и записи уже учитывают шифрование, потому что оно уже происходит в каждом цикле записи, а дешифрование происходит в каждом цикле чтения. Шифрование — это просто часть нормальной работы накопителя.

 

Как активировать аппаратное шифрование?

Все, что нужно пользователю, чтобы воспользоваться преимуществами шифрования SED, — это программная утилита, обеспечивающая управление ключами шифрования для устройств SED. SED-устройства Crucial полностью соответствуют стандарту Microsoft® eDrive, который обеспечивает простую защиту данных по принципу plug-and-play с помощью Windows® BitLocker®. Поскольку Windows BitLocker не нужно шифровать диск, прежде чем его можно будет использовать (это уже было сделано контроллером твердотельного накопителя), нет задержки или ожидания для выполнения шифрования. После включения Windows BitLocker SED мгновенно готов к использованию. Все, что вам нужно сделать, это позволить самошифрующемуся диску работать так, как он всегда работал, и наслаждаться спокойствием и высокой производительностью аппаратного шифрования.

Чтобы активировать аппаратное шифрование на вашем диске, обратитесь к нашему руководству здесь.

© Micron Technology, Inc., 2019. Все права защищены. Информация, продукты и/или технические характеристики могут быть изменены без предварительного уведомления. Ни Crucial, ни Micron Technology, Inc. не несут ответственности за упущения или ошибки в типографике или фотографии. Micron, логотип Micron, Crucial и логотип Crucial являются товарными знаками или зарегистрированными товарными знаками Micron Technology, Inc. Microsoft, Windows и Bitlocker являются товарными знаками Microsoft Corporation в США и/или других странах. Все другие товарные знаки и знаки обслуживания являются собственностью их соответствующих владельцев.

Аппаратное и программное шифрование | Блог Ontrack

Шифрование — невероятно важный инструмент для обеспечения безопасности ваших данных. Когда ваши файлы зашифрованы, они совершенно нечитаемы без правильного ключа шифрования. Если кто-то украдет ваши зашифрованные файлы, он ничего не сможет с ними сделать.

Существует два типа шифрования: аппаратное и программное. Оба предлагают разные преимущества. Итак, что это за методы и почему они важны?

Программное шифрование

Как следует из названия, программное шифрование использует программные инструменты для шифрования ваших данных. Некоторые примеры этих инструментов включают функцию шифрования диска BitLocker в Microsoft® Windows® и менеджер паролей 1Password. Оба используют инструменты шифрования для защиты информации на вашем ПК, смартфоне или планшете.

Программное шифрование обычно основано на пароле; введите правильный пароль, и ваши файлы будут расшифрованы, иначе они останутся заблокированными. При включенном шифровании они проходят через специальный алгоритм, который шифрует ваши данные по мере их записи на диск. Затем то же программное обеспечение расшифровывает данные, считываемые с диска для аутентифицированного пользователя.

Pros

Программное шифрование, как правило, довольно дешевое в реализации, что делает его очень популярным среди разработчиков. Кроме того, программные процедуры шифрования не требуют дополнительного оборудования.

Минусы

Программное шифрование так же безопасно, как остальная часть вашего компьютера или смартфона. Если хакер сможет взломать ваш пароль, шифрование будет немедленно отменено.

Программные средства шифрования также совместно используют вычислительные ресурсы вашего компьютера, что может привести к замедлению работы всей машины при шифровании/дешифровании данных. Вы также обнаружите, что открытие и закрытие зашифрованных файлов происходит намного медленнее, чем обычно, потому что этот процесс является относительно ресурсоемким, особенно для более высоких уровней шифрования.

Аппаратное шифрование В основе аппаратного шифрования лежит отдельный процессор, предназначенный для задач аутентификации и шифрования. Аппаратное шифрование все чаще используется на мобильных устройствах. Сканер отпечатков пальцев TouchID на устройствах Apple® iPhone® является хорошим примером.

Технология по-прежнему использует специальный ключ для шифрования и дешифрования данных, но он генерируется процессором шифрования случайным образом. Часто устройства аппаратного шифрования заменяют традиционные пароли биометрическими входами в систему (например, отпечатками пальцев) или PIN-кодом, который вводится на прилагаемой клавиатуре.

Pros

Аппаратное шифрование безопаснее программного, поскольку процесс шифрования отделен от остальной части машины. Это значительно усложняет перехват или взлом.

Использование выделенного процессора также снижает нагрузку на остальную часть вашего устройства, значительно ускоряя процесс шифрования и дешифрования.

Минусы

Как правило, аппаратное зашифрованное хранилище намного дороже, чем программное средство. Например, BitLocker бесплатно включен во все новые версии Microsoft Windows, но зашифрованный USB-накопитель стоит довольно дорого, особенно по сравнению с незашифрованной альтернативой.

Если процессор аппаратного дешифрования выходит из строя, получить доступ к вашей информации становится чрезвычайно сложно.

Проблема восстановления данных

Восстановление зашифрованных данных представляет собой сложную задачу. Даже при восстановлении необработанных секторов с вышедшего из строя диска он все еще зашифрован, а значит, по-прежнему не читается. Некоторые программные системы шифрования, такие как BitLocker, имеют встроенные механизмы восстановления, но вы должны заранее настроить параметры восстановления.

Устройства с аппаратным шифрованием обычно не имеют этих дополнительных параметров восстановления. Многие из них имеют конструкцию, предотвращающую расшифровку в случае сбоя компонента, что не позволяет хакерам разобрать их.

Самый быстрый и эффективный способ справиться с потерей данных на зашифрованном устройстве — обеспечить полную резервную копию, хранящуюся в надежном месте. Для вашего ПК это может означать копирование данных на другое зашифрованное устройство. Для других устройств, таких как ваш смартфон, резервное копирование в облако обеспечивает быструю и простую экономичную копию, с которой вы можете восстановиться. В качестве дополнительного бонуса большинство облачных сервисов теперь также шифруют данные своих пользователей. Apple® использует облачное хранилище, но если вы не настроите его до сбоя вашего устройства, вы можете воспользоваться преимуществами восстановления Apple, предлагаемыми многими компаниями по восстановлению данных.

Что делать, если у вас возникли проблемы

Если у вас нет текущей резервной копии, вам необходимо обратиться за профессиональной помощью. Наши инженеры могут предоставить советы и рекомендации, но в зависимости от сложности используемого алгоритма шифрования они могут не гарантировать успешное восстановление. Отсюда вы отправляете весь компьютер, так как аппаратные компоненты могут находиться не внутри самого жесткого диска, но они имеют решающее значение для расшифровки данных.

Если у вас возникли проблемы с зашифрованным устройством и вы хотите обсудить возможные варианты, свяжитесь с одним из наших экспертов.