Un medio de almacenamiento seguro es un dispositivo para el almacenamiento seguro de información que utiliza uno de los métodos de cifrado y la posibilidad de destrucción de datos de emergencia.
En ciertos casos, los usuarios de computadoras necesitan proteger los resultados de su trabajo del acceso no autorizado . El método tradicional de protección es el cifrado de la información. La esencia de este método es la siguiente: el usuario, al finalizar su trabajo, encripta el archivo (archivos) utilizando uno de los numerosos sistemas de encriptación ( GnuPG , TrueCrypt , PGP , etc.), o crea un archivo protegido por contraseña . Ambos métodos, sujetos a ciertos requisitos (utilizando una contraseña de longitud suficiente), le permiten proteger los datos de manera confiable [1] . Sin embargo, trabajar con datos basados en estos principios es bastante inconveniente: el usuario necesita destruir de forma segura una copia no cifrada de datos confidenciales, y para continuar trabajando con datos protegidos, es necesario crear una copia no cifrada de los mismos.
Una alternativa a este método puede ser el uso de medios de almacenamiento totalmente cifrados. Los medios cifrados a nivel del sistema operativo son una unidad lógica normal . Hay dos enfoques principales para crear medios cifrados: hardware-software y software.
Los medios seguros le permiten organizar la autenticación de usuario de dos factores , cuando necesita proporcionar una contraseña o un código PIN desde el medio y el propio dispositivo para ingresar al sistema. Existen las siguientes posibilidades de uso de soportes de información:
El hardware de cifrado se implementa en forma de unidades especializadas ( IronKey , eToken NG-Flah media, ruToken Flash media) o controladores de acceso de disco duro especializados (dispositivos de protección de datos criptográficos KRYPTON, desarrollados por ANKAD [2] ).
Las unidades protegidas son unidades flash ordinarias , cuyo cifrado de datos se realiza directamente cuando la información se escribe en la unidad mediante un controlador especializado. Para acceder a la información, el usuario debe especificar una contraseña personal.
Los controladores de tipo KRYPTON son una tarjeta de expansión estándar PCI que proporciona un cifrado transparente de los datos escritos en un medio de almacenamiento seguro. También hay una emulación de software de cifrado de hardware KRYPTON - Crypton Emulator.
Los métodos de encriptación de software consisten en la creación de medios seguros por medio de cierto software. Existen varios métodos para crear medios de almacenamiento seguros utilizando métodos de software: crear un contenedor de archivos seguro, cifrar una partición del disco duro , cifrar una partición del sistema del disco duro.
Al crear un medio de almacenamiento protegido utilizando un contenedor de archivos, un programa especializado crea un archivo del tamaño especificado en el disco. Para comenzar a trabajar con medios protegidos, el usuario lo monta en el sistema operativo. El montaje se realiza mediante el programa que se utilizó para crear los medios. Durante el montaje, el usuario especifica una contraseña (también son posibles métodos de identificación de usuario mediante archivos clave, tarjetas inteligentes , etc.). Después del montaje, aparece una nueva unidad lógica en el sistema operativo, con la cual el usuario tiene la oportunidad de trabajar como con medios ordinarios (no encriptados). Una vez completada la sesión con el medio protegido, se desmonta. El cifrado de la información en un medio seguro se lleva a cabo inmediatamente en el momento de escribir información en él a nivel del controlador del sistema operativo. El acceso al contenido protegido de los medios es casi imposible [3] .
Cuando se cifran secciones completas de un disco duro, el procedimiento suele ser el mismo. En la primera etapa, se crea una partición de disco normal y sin cifrar. Luego, utilizando una de las herramientas de encriptación, la partición se encripta. Una vez encriptada, solo se puede acceder a la partición después de que se haya montado. Una partición cifrada sin montar parece un área no asignada del disco duro.
En las últimas versiones de los sistemas de cifrado, se hizo posible cifrar la partición del sistema de un disco duro. Este proceso es similar al cifrado de una partición del disco duro, excepto que la partición se monta cuando la computadora se inicia antes de que se inicie el sistema operativo.
Algunos sistemas de encriptación brindan la capacidad de crear particiones ocultas dentro de medios de almacenamiento encriptados (cualquiera de los tipos enumerados anteriormente: contenedor de archivos, partición encriptada, partición de sistema encriptada). Para crear una partición oculta, el usuario crea un medio protegido de acuerdo con las reglas habituales. Luego, dentro del marco de los medios creados, se crea otra partición oculta. Para acceder a una sección oculta, el usuario debe especificar una contraseña diferente a la contraseña para acceder a la sección pública. Por lo tanto, al especificar diferentes contraseñas, el usuario tiene la oportunidad de trabajar con una sección (abierta) u otra (oculta) de los medios protegidos. Al cifrar una partición del sistema, es posible crear un sistema operativo oculto (al especificar la contraseña para la partición abierta, se carga una copia del sistema operativo y al especificar la contraseña para la partición oculta, otra). Al mismo tiempo, los desarrolladores declaran que no es posible detectar la presencia de una sección oculta dentro de un contenedor abierto [4] . La creación de contenedores ocultos está respaldada por una cantidad bastante grande de programas: TrueCrypt , PGP , BestCrypt , DiskCryptor , etc.