Medios de almacenamiento seguro

Un medio de almacenamiento seguro  es un dispositivo para el almacenamiento seguro de información que utiliza uno de los métodos de cifrado y la posibilidad de destrucción de datos de emergencia.

Introducción

En ciertos casos, los usuarios de computadoras necesitan proteger los resultados de su trabajo del acceso no autorizado . El método tradicional de protección es el cifrado de la información. La esencia de este método es la siguiente: el usuario, al finalizar su trabajo, encripta el archivo (archivos) utilizando uno de los numerosos sistemas de encriptación ( GnuPG , TrueCrypt , PGP , etc.), o crea un archivo protegido por contraseña . Ambos métodos, sujetos a ciertos requisitos (utilizando una contraseña de longitud suficiente), le permiten proteger los datos de manera confiable [1] . Sin embargo, trabajar con datos basados ​​en estos principios es bastante inconveniente: el usuario necesita destruir de forma segura una copia no cifrada de datos confidenciales, y para continuar trabajando con datos protegidos, es necesario crear una copia no cifrada de los mismos.

Una alternativa a este método puede ser el uso de medios de almacenamiento totalmente cifrados. Los medios cifrados a nivel del sistema operativo son una unidad lógica normal . Hay dos enfoques principales para crear medios cifrados: hardware-software y software.

Posibilidades de uso de medios de almacenamiento

Los medios seguros le permiten organizar la autenticación de usuario de dos factores , cuando necesita proporcionar una contraseña o un código PIN desde el medio y el propio dispositivo para ingresar al sistema. Existen las siguientes posibilidades de uso de soportes de información:

• Autenticación de usuarios en sistema operativo, servicios de directorio y redes ( sistemas operativos Microsoft , Linux , Unix , Novell ).
• Proteger las computadoras de descargas no autorizadas.
• Autenticación fuerte de usuarios, control de acceso, protección de datos transmitidos por la red en recursos Web ( tiendas en Internet , comercio electrónico ).
• Correo electrónico: generación de EDS y cifrado de datos, control de acceso, protección con contraseña.
• Sistemas de cifrado de clave pública ( PKI ), Autoridades de certificación: almacenamiento de certificados X.509 , almacenamiento confiable y seguro de información clave, una reducción significativa en el riesgo de compromiso de la clave privada.
• Organización de canales seguros de transmisión de datos ( tecnología VPN , protocolos IPSec y SSL ) - autenticación de usuarios, generación de claves, intercambio de claves.
• Sistemas de flujo de trabajo: creación de un flujo de trabajo protegido legalmente significativo utilizando EDS y encriptación (transferencia de informes fiscales, contratos y otra información comercial a través de Internet).
• Aplicaciones comerciales, bases de datos, sistemas ERP : autenticación de usuarios, almacenamiento de información de configuración, firma digital y cifrado de datos transmitidos y almacenados.
• Sistemas "Cliente-Banco", pagos electrónicos: asegurando el significado legal de las transacciones completadas, autenticación y autorización mutua estricta de los clientes.
• Criptografía: garantizar el uso conveniente y el almacenamiento seguro de información clave en herramientas certificadas de protección de información criptográfica (criptoproveedores y criptobibliotecas).
• Acceso a terminales y clientes ligeros: autenticación de usuarios, almacenamiento de parámetros y configuración de sesiones.
• Cifrado de disco: diferenciación y control de acceso a datos protegidos, autenticación de usuarios, almacenamiento de claves de cifrado.
• Cifrado de datos en discos: autenticación de usuarios, generación de claves de cifrado, almacenamiento de información clave.
• Compatibilidad con aplicaciones heredadas y sustitución de la protección con contraseña por una autenticación de dos factores más sólida .

Cifrado de hardware

El hardware de cifrado se implementa en forma de unidades especializadas ( IronKey , eToken NG-Flah media, ruToken Flash media) o controladores de acceso de disco duro especializados (dispositivos de protección de datos criptográficos KRYPTON, desarrollados por ANKAD [2] ).

Las unidades protegidas son unidades flash ordinarias , cuyo cifrado de datos se realiza directamente cuando la información se escribe en la unidad mediante un controlador especializado. Para acceder a la información, el usuario debe especificar una contraseña personal.

Los controladores de tipo KRYPTON son una tarjeta de expansión estándar PCI que proporciona un cifrado transparente de los datos escritos en un medio de almacenamiento seguro. También hay una emulación de software de cifrado de hardware KRYPTON - Crypton Emulator.

Métodos de cifrado de software

Los métodos de encriptación de software consisten en la creación de medios seguros por medio de cierto software. Existen varios métodos para crear medios de almacenamiento seguros utilizando métodos de software: crear un contenedor de archivos seguro, cifrar una partición del disco duro , cifrar una partición del sistema del disco duro.

Al crear un medio de almacenamiento protegido utilizando un contenedor de archivos, un programa especializado crea un archivo del tamaño especificado en el disco. Para comenzar a trabajar con medios protegidos, el usuario lo monta en el sistema operativo. El montaje se realiza mediante el programa que se utilizó para crear los medios. Durante el montaje, el usuario especifica una contraseña (también son posibles métodos de identificación de usuario mediante archivos clave, tarjetas inteligentes , etc.). Después del montaje, aparece una nueva unidad lógica en el sistema operativo, con la cual el usuario tiene la oportunidad de trabajar como con medios ordinarios (no encriptados). Una vez completada la sesión con el medio protegido, se desmonta. El cifrado de la información en un medio seguro se lleva a cabo inmediatamente en el momento de escribir información en él a nivel del controlador del sistema operativo. El acceso al contenido protegido de los medios es casi imposible [3] .

Cuando se cifran secciones completas de un disco duro, el procedimiento suele ser el mismo. En la primera etapa, se crea una partición de disco normal y sin cifrar. Luego, utilizando una de las herramientas de encriptación, la partición se encripta. Una vez encriptada, solo se puede acceder a la partición después de que se haya montado. Una partición cifrada sin montar parece un área no asignada del disco duro.

En las últimas versiones de los sistemas de cifrado, se hizo posible cifrar la partición del sistema de un disco duro. Este proceso es similar al cifrado de una partición del disco duro, excepto que la partición se monta cuando la computadora se inicia antes de que se inicie el sistema operativo.

Algunos sistemas de encriptación brindan la capacidad de crear particiones ocultas dentro de medios de almacenamiento encriptados (cualquiera de los tipos enumerados anteriormente: contenedor de archivos, partición encriptada, partición de sistema encriptada). Para crear una partición oculta, el usuario crea un medio protegido de acuerdo con las reglas habituales. Luego, dentro del marco de los medios creados, se crea otra partición oculta. Para acceder a una sección oculta, el usuario debe especificar una contraseña diferente a la contraseña para acceder a la sección pública. Por lo tanto, al especificar diferentes contraseñas, el usuario tiene la oportunidad de trabajar con una sección (abierta) u otra (oculta) de los medios protegidos. Al cifrar una partición del sistema, es posible crear un sistema operativo oculto (al especificar la contraseña para la partición abierta, se carga una copia del sistema operativo y al especificar la contraseña para la partición oculta, otra). Al mismo tiempo, los desarrolladores declaran que no es posible detectar la presencia de una sección oculta dentro de un contenedor abierto [4] . La creación de contenedores ocultos está respaldada por una cantidad bastante grande de programas: TrueCrypt , PGP , BestCrypt , DiskCryptor , etc.

Véase también

• Seguridad de información
• Protección hardware de los sistemas de información
• Cifrado

Notas

1. ↑ Según la investigación, la velocidad de selección de contraseña para el archivador WinZIP 9+ con una longitud de 8 caracteres (letras y números latinos pequeños y grandes) incluso usando una supercomputadora será de 31 días (artículo de Ivan Golubev " Sobre la velocidad de la contraseña bruta fuerza en la CPU y la GPU " Copia de archivo con fecha del 21 de junio de 2013 en Wayback Machine ")
2. ↑ Dispositivos de protección de datos criptográficos de la serie KRYPTON . Consultado el 2 de junio de 2016. Archivado desde el original el 17 de diciembre de 2017. (indefinido)
3. ↑ Según los investigadores Alex Biryukov y Johan Grossshadl del Laboratorio de Algoritmia, Criptología y Seguridad de la Universidad de Luxemburgo, se necesitarán más de un billón de dólares y un año para descifrar el algoritmo AES (usado a menudo al crear contenedores seguros) con un longitud de clave de 256 bytes
4. ↑ Un grupo de investigadores dirigido por Bruce Schneier logró encontrar archivos ocultos dentro de una partición cifrada creada con TrueCrypt 5.0 (revista xakep.ru, 18 de julio de 2008) Archivado el 1 de diciembre de 2012 en Wayback Machine .

Enlaces

• Primera estimación de AES Practical Hacking: US$1,5 billones y menos de un año de cómputo
• openPGP en Rusia