Nezávislý odborný on-line magazín ICT Security

 Net Guru Link Podnikové systémy Reseller Channel Link

Banner

KALENDÁŘ AKCÍ






Samošifrovací disky - stabilita a nezávislost na operačním systému
Autor: Michal Cagala   
Čtvrtek, 21 Listopad 2013 10:23
genisoft_logoŠifrování - nejlepší možnost, jak zabezpečit svá data proti cizím vlivům. Jak se liší samošifrovací disky od běžných disků v kombinaci se softwarovým šifrováním, jak samošifrovací disky fungují a kde je lze koupit, o tom jsme si popovídali s Tomášem Pelikánem, technickým ředitelem společnosti GeniSoft.

V čem jsou samošifrovací disky lepší než softwarové šifrovací systémy?

Především je to otázka výkonu paměťového média. Samošifrovací disky představují další generaci bezpečnostních systémů, která už není závislá na výkonu procesoru, jenž u softwarových šifrovacích systémů provádí kryptografické operace. Tyto operace provádí vestavěný kryptoprocesor který je začleněn do infrastruktury paměťového média. Lze tak říci, že pokud použijeme k ochraně například SSD disk s rychlostí zápisu 540MBps bude v porovnání výkonu média propastný rozdíl. Procesor nezvládne zpracování takového objemu dat v reálném čase a tak dojde zákonitě k omezení propustnosti na úrovni cca 10% výkonnosti takového disku. Samošifrovací disky toto omezení nemají. Kryptoprocesor je úzce designován pouze pro tyto operace a díky svému návrhu je schopen zpracovávat i tyto přenosové rychlosti za letu. Tedy bez dopadu na omezení výkonu. A to je obrovský pokrok kupředu. Eliminuje zejména většinově negativní uživatelskou reakci při používání ochrany proti zneužití dat v případě krádeže nebo zneužití dat šifrováním. Stabilita a nezávislost na operačním systému jsou zase druhým faktorem na který uslyší zejména správci koncových zařízení. Žádné problémy se strukturální fragmentací, žádné konflikty s okolními systémy. Vše uzavřené jako box, jehož základní funkce je vždy dostupná.

Splňují samošifrovací disky platné bezpečnostní specifikace?

Ano platí to přímo od návrhu. Po nějaký čas sice nebyla dostupná specifikace, která by přesně definovala schéma prvků pasivní a aktivní ochrany těchto disků proti narušení integrity. To ale neznamená, že by tyto disky nebyly bezpečné, pouze pro ně po nějaký čas neexistovala metrika pro hodnocení. V tuto chvíli je ale situace jiná. Konkrétní specifikace byly doplněny a tak jsou zařízení ovlivněna normou o výměně dat z pohledu U.S. federální specifikace. Konkrétně FIPS 140 level 3. Jen pro jistotu uvádím že softwarové systémy splňují nižší specifikaci FIPS 140 level 2.

Přináší provoz samošifrovacích disků provozní úspory?

Samozřejmě že ano a nejen u velkých organizací. Vlastní úspory se dají vyčíslit především v rozsahu požadované podpory ve směru k uživateli. Pokud budu porovnávat softwarové šifrovací systémy, kde je nutné vždy provádět iniciální šifrování či dešifrování v případech běžné údržby zařízení, si tyto operace vyžádají i deset hodin. Pak se taková běžná údržba zařízení může protáhnout i na několik dní. Hardwarově šifrovaná média tyto operace nepotřebují a proto se běžná údržba laptopu nepromítá do doby práce technika, který je provádí. Nespecifikovatelnou položkou je pak samotný výkon zařízení neomezené výkonem procesoru na uživatelskou pracovní efektivitu.

Lze je provozovat ve větším měřítku, například v rámci organizace?

Celý systém je navržen tak aby se dal ovládat v rámci rozsáhlých prostředí, nebo jen pro konkrétní laptop. Samozřejmě pro lokální použití není nutná konsole centrální správy, ale jen lokální ovládací aplikace (EMBASSY Security Client). Pro velké organizace společnost Wave Systems Corp. vyvinula konsoli centrální správy ERAS (EMBASSY Remote Administration Server). Ta je vhodná pro všechny organizace od jednoho po desetitisíce spravovaných zařízení. Výhodou této konsole je plné propojení s Microsoft prostředím, kde je například základní nastavení systému distribuováno prostřednictvím skupinových politik na koncová zařízení. Zcela jiný význam ale konsole získává propojením s dalším systémem skupiny TCG a tou je modul důvěryhodné platformy (TPM). Společnost Wave Systems Corp. je zakládajícím členem TCG a její funkce je v určování vývoje hardwarových prvků ochrany a tvorba SDK pro ostatní dodavatele bezpečnostních řešení.

Lze je provozovat i například v domácím použití?

Ano, pro domácí použití nabízíme standardní balíček nazvaný „ENIGMA“. Součástí balíčku je samošifrovací disk o požadované kapacitě a šifrovacím algorytmu. Obvykle se dodává ve dvou možných variantách. V certifikované verzi FIPS 140.3 nebo bez této certifikace případně ještě podle použité síly šifrovacího klíče. Součástí balíčku je mimo jiné i eSATA/SATA konverzní kabel který ulehčí přesunutí současného systému na samošifrovací disk bez nutnosti používat například diskové replikátory. A samozřejmě licence pro klientskou verzi obslužného software, který je přiložen na CD nosiči (EMBASSY Security Client). Zde je samozřejmě potřeba započítat cenu software a dalších prvků a tak se cena může pohybovat kolem 3.000,- Kč včetně DPH. Zákazník ale získá kompletní systém pro správu nejen samošifrovacího disku ale i modulu důvěryhodné platformy (TPM) a získat tak další prvek ochrany i pro své ostatní šifrovací nebo autentizační klíče.

Jak vlastně samošifrovací disky fungují?

Samošifrovací disky obvykle označované jako SED (z anglického Self-ecrypting Drives) jsou součástí pevné specifikace pojmenované OPAL. Tuto specifikaci navrhla a schválila technická skupina TCG (Trusted Computing Group). Jde o technologické sdružení výrobců HW a SW (Microsoft, IBM, Intell, AMD, Seagate, Western Digital a mnozí další) takže jde vlastně o unifikovaný standard napříč celým odvětvím. Praktická funkce dle specifikace TCG tkví v kryptoprocesoru, který je napevno vestavěn do sériového disku. Tento kryptoprocesor zajišťuje několik základních úloh. Předně se stará o kompletní šifrovací operace mezi SATA rozhraním a vlastním fyzickým diskem. Ke své práci maximálně využívá všech optimalizačních systémů dnešních pevných disků jako je třeba NCQ a tím významně přispívá ke stabilitě řešení. Další funkcí kryptoprocesoru je vlastní uložení šifrovacího klíče, kterým je pevný disk zašifrovaný. Dostupné jsou například verze s šifrovacím algoritmem AES o síle klíče 128 nebo 256 bit. A mimo několik dalších funkcí v sobě udržuje i uživatelské přihlašovací údaje. Tady je nutné podotknout, že SED disky standardu OPAL vlastně šifrují pořád. Přepíná se pouze mezi funkčními režimy disku, nezabezpečený – není nutná autentizace uživatele k disku což se dá pro představu přirovnat k funkci jakéhokoli běžného disku a zabezpečený – tedy stav kdy se k přístupu na disk musí uživatel nejdříve přihlásit v takzvaném Pre-boot přihlašovacím systému. Pokud se takto uživatel korektně přihlásí disk se odemkne a dochází ke startu operačního systému.

Jak jsou vlastně drahé?

Samošifrovací disky nejsou drahé. Jejich cena se specificky pohybuje o 5 až 10 procent výše než jejich běžné výrobní ekvivalenty. Tedy pokud 2,5' disk o kapacitě řekněme 320 GB a rychlosti otáčení plotny 7200 RPM dá se u nás nakoupit za cenu pod 1500,- Kč včetně DPH. To že výrobu provádějí přímo výrobci disků, tedy například Seagate, Western Digital a mnozí další, tuto technologii zpřístupňuje širokým masám za velmi příznivou cenu, která je navýšena pouze o jakýsi nadstandard onoho vestavěného kryptoprocesoru. Tedy jde o standardní média či jejich série, která jsou léty prověřená výkonem i kvalitou. V praxi tak běžně dochází ke stavu, kdy dodavatel vyrábí třeba měsíc jednu konkrétní sérii disků a následující měsíc stejnou sérii, ale vybavenou kryptočipem. Díky tomu je pak cena opravdu zanedbatelnou položkou.

Kteří výrobci disků tyto šifrovací disky vyrábějí?

Disky standardu OPAL vyrábí prakticky všichni běžní výrobci pevných disků, nebo paměťových médií jako je Seagate, Toshiba, Intell, Hitachi, Wester Digital, Crucial a mnozí další. Tyto disky se vyrábí v nepřeberné řadě variant, ať už z pohledu výkonu a kapacity tak i z pohledu kontrukce. K dostání jsou mechanické disky a SSD média. Někteří výrobci ale montují tyto disky i ve formě externích paměťových médií, nebo jako velká disková pole pro datacentra.

Lze je koupit jako standardní vybavení laptopu již z výroby?

Toto je ta nejlepší volba jak lze v České Republice tyto disky sehnat. Naprostá většina standardních výrobců laptopů, tabletů a jiných mobilních zařízení dokáží dodávat tato média jako základní součást těchto zařízení. Například společnost DELL dodává spolu s SED diskem i obslužnou aplikaci ESC (EMBASSY Security Client) jako součást OEM výbavy u typové řady Latitude E série. Ostatní výrobci jako HP, Fujitsu, Lenovo a další nabízejí v konfiguračních nabídkách tyto disky jako volitelnou variantu výbavy. Cena pak závisí na konkrétním distributorovi, ale prakticky pouze doplácíte cenový rozdíl, mezi běžným diskem minimální doporučené základní výbavy a příslušným samošifrovacím diskem.

Kde lze tyto disky sehnat pro stávající laptopy?

Pro stávající zákazníky a jejich laptopy jsme schopni dodávat tyto disky ve všech dostupných variantách, podle aktuální výrobní dostupnosti. Tyto šifrovací disky se bohužel nedají nakoupit například v Alza, Czech Computer, Azbis apod.. Jejich dostupnost je mimo vlastní výrobce výpočetní techniky, v tomto případě pouze u nás. Máme na trhu dlouhodobou zkušenost s tímto produktem a rozsáhlý distribuční systém, kde jsme schopni dodávat tyto disky jak jednotlivě, tak i prakticky po paletách se standardní zárukou. Stejně tak dodáváme na náš trh i balíčky ENIGMA pro domácí použití.

Joomla Templates and Joomla Extensions by JoomlaVision.Com
 

Přidat komentář


Bezpečnostní kód
Obnovit