Šifrování dat na disku - bezpečnost především
16. 12. 2009 07:00 Rubrika: Ostatní Autor: Aleš Lalík
Ochrana dat v digitální formě nabývá stále na větším významu, a dvojnásob to platí u snadno přenositelných zařízení jako jsou notebooky. Zde je nutné brát v potaz i možné ztracení či ukradení celého přístroje, a proto je vhodné zvážit šifrování citlivých údajů uložených na disku. Tuto záležitost lze řešit několika způsoby, které si dnes představíme.
Mobilní výpočetní technika v podobě notebooku v sobě přináší nejen možnost používat jej k práci a dalším činnostem prakticky kdekoliv, ale znamená i zvýšené riziko v podobě ztracení nebo ukradení celého zařízení. Zejména v případě firemních notebooků pak existuje hrozba získání citlivých dat uložených na disku nepovolanými osobami, a proto je vhodné zvážit jejich ochranu formou šifrování.
Věda zabývající se oborem šifrování se nazývá kryptologie, dále se dělí na kryptografii (nauka o převodu dat do podoby, jenž je čitelná pouze se znalostí potřebného klíče) a kryptoanalýzu (luštění zašifrovaného obsahu). Samotný proces šifrování dat je postavený na speciálním algoritmu (matematické funkci), pomocí níž se za použití šifrovacího klíče zakódují data do podoby, z níž není původní obsah zřetelný. Podle typu šifry pak může existovat zpětný postup dekódování dat, kde opět slouží algoritmus, vytvářející za pomocí šifrovacího klíče původní data.
Předchozí popsané šifrování se proto nazývá obousměrné, protože je možné data zakódovat i zpětně dekódovat. Existují ale také šifry jednosměrné, kde ze zakódovaných dat již původní obsah nelze získat, slouží pouze k porovnávání, jestli je zadaný obsah stejný jako ten už jednou zašifrovaný. Dokonce ani šifrovací klíč nemusí být pokaždé stejný, jeden může sloužit pro zašifrování a zcela jiný pro dešifrování stejných dat. Tento způsob je použit například u elektronického podpisu, kde jsou k dispozici privátní a veřejný klíč.
Algoritmů šifrování je k dispozici velké množství, lišící se navzájem svou složitostí, popisovanou jako síla šifry. Mnohé z nich již byly dávno prolomeny a v dnešní době vysokého výpočetního výkonu počítačů nejsou vhodné, momentálně se proto často volí varianty algoritmu AES. Volba správné varianty pak záleží na požadavcích úrovně ochrany a dalších aspektech. My si jejich způsob realizace dále rozdělíme na dva způsoby, a sice hardwarové a softwarové šifrování.
Hardwarový způsob
Jedním z nejkomplexnějších zabezpečení je volba technologie TPM (Trusted Platform Module), umožňující kromě šifrování dat na disku jednoznačnou identifikaci zařízení s tímto čipem. TPM bylo podrobněji popsáno v dřívějším článku "TPM - ochrana dat na všech úrovních", který doporučuji přečíst pro bližší seznámení s jeho fungováním a možnostmi, jenž nabízí.
Jelikož je TPM pevnou součástí základní desky, jeho pozdější přidání již prakticky není možné. Výrobci úložných zařízení proto vyslyšeli žádosti zákazníků po větší bezpečnosti, a uvedli například pevné disky s integrovaným hardwarovým šifrováním, které údajně nemá vliv na výkon oproti stejným diskům bez této funkce. Výběr disků s vestavěným šifrováním je však poměrně omezený, navíc je nutno počítat s mírně vyšší cenou. K dispozici jsou ale i jiné varianty, přímo pro notebooky se nabízí například některé SSD v podobě Express Card s hardwarovým šifrováním, jenž sice neoplývající kapacitou ani rychlostmi, ale pro uschování citlivých dat se může jednat o zajímavou volbu.
Sice ne tak elegantní, ovšem univerzálnější možností jsou externí flash disky, taktéž s hardwarovým šifrováním ukládaných dat. Jejich výhodou je snadná přenosnost mezi více počítači, naopak se mohou snadněji ztratit nežli karta zasunutá v Express Card slotu :-) .
Verbatim SSD Secure ExpressCard
Softwarový přístup
Pokud nechcete měnit stávající notebook za nový, a výměnu celého disku považujete taktéž za pracnou, můžete sáhnout po softwarovém šifrování dat. Zde je možnost zakódovat jednotlivé soubory nebo rovnou celý disk, přičemž k této činnosti je potřeba pouze příslušný program. Dostupné jsou naštěstí jak open-source varianty, šířené zdarma, tak profesionální, placené programy. Vzájemně se liší zejména možnostmi šifrování, co se rozsahu dat týče, a také podporou jednotlivých typů šifer.
U softwarového způsobu zajišťuje šifrování procesor notebooku, takže jeho výkonnost ovlivňuje rychlost celého procesu. Tento způsob se proto hodí použít na nesystémové části disku, kde nebude případná pomalejší práce s daty nikterak pozorovatelná, neboť se na tuto část disku přistupuje pouze občas. Výjimku v tomto případě tvoří procesory VIA C7 obsahující samostatnou hardwarovou jednotku pro šifrování, která by měla výrazně ulehčit tuto činnost.
procesor VIA C7-M
Obezřetnost na místě
Bohužel ani sebesilnější šifra bohužel netvoří dokonalou ochranu, protože i zde je rizikovým faktorem samotný člověk. Pro (de)šifrování obsahu je nutné použít příslušný klíč, kterým je často alfanumerické heslo. Pokud si uživatel zvolí jednoduchou kombinaci hesla, která se dá snadno odhadnout nebo si ho například poznamená na lístek a "ukryje" na běžně přístupné místo, celý proces šifrování samozřejmě ztrácí smysl. Šifrování je proto pouze součást ochrany citlivých dat, je také nutné zvolit vhodný klíč a zajistit, aby se k němu nedostal nikdo nepovolaný.