Almacenamento Cifrado: Diferenzas entre revisións

De Wiki do Ciclo ASIR do IES de Rodeira
Saltar á navegación Saltar á procura
Sen resumo de edición
 
(Non se amosan 13 revisións do historial feitas polo mesmo usuario.)
Liña 1: Liña 1:
== Introducción ==
O cifrado de disco é unha tecnoloxía consistente en protexer a información residente nunha unidade de almacenamento mediante cifrado, que pode realizarse mediante software ou hardware. Polo tanto, o cifrado de disco evita o acceso non autorizado aos datos almacenados.
O cifrado de disco é unha tecnoloxía consistente en protexer a información residente nunha unidade de almacenamento mediante cifrado, que pode realizarse mediante software ou hardware. Polo tanto, o cifrado de disco evita o acceso non autorizado aos datos almacenados.


O cifrado pode ser a nivel de disco completo, ou a nivel de sistema de ficheiros. No cifrado de disco, no que todo o disco está cifrado. No caso do cifrado por software faise necesaria unha pequena partición para o arranque sen cifrar, ou o uso do MBR. Tamén é posible mover a partición de arranque a un dispositivo extraíble como unha memoria USB, co que únicamente con esa memoria sería posible iniciar o equipo. Alguns sistemas de cifrado hardware poden cifrar realmente o disco completo.
O cifrado pode ser a nivel de disco completo, ou a nivel de sistema de ficheiros. No cifrado de disco, no que todo o disco está cifrado. No caso do cifrado por software faise necesaria unha pequena partición para o arranque sen cifrar, ou o uso do MBR. Tamén é posible mover a partición de arranque a un dispositivo extraíble como unha memoria USB, co que únicamente con esa memoria sería posible iniciar o equipo. Alguns sistemas de cifrado hardware poden cifrar realmente o disco completo, por exemplo as unidades con ''auto-cifrado''.


O cifrado de disco non sustitúe completamente o cifrado a nivel de sistema de ficheiros, se non que a miudo se utilizan conxuntamente. Eso permite que en caso de ruptura da chave de cifrado do disco, o cifrado a nivel de sistema de ficheiros proporcinaría unha nova capa de seguridade.
O cifrado de disco non sustitúe completamente o cifrado a nivel de sistema de ficheiros, se non que a miudo se utilizan conxuntamente. Eso permite que en caso de ruptura da chave de cifrado do disco, o cifrado a nivel de sistema de ficheiros proporcinaría unha nova capa de seguridade.
Liña 7: Liña 8:
A diferencia do cifrado de disco, o cifrado a nivel de ficheiro, normalmente non cifra o propio sistema de ficheiros, como a estructura de directorios, os nomes de ficheiros, as datas de modificación.... etc.
A diferencia do cifrado de disco, o cifrado a nivel de ficheiro, normalmente non cifra o propio sistema de ficheiros, como a estructura de directorios, os nomes de ficheiros, as datas de modificación.... etc.


Hoxe en día son comúns os sistemas que empregan un módulo [wikipedia:TPM|] ''(Trusted Platform Module)''. Este módulo é un procesador de cifrado incluído na placa base, que se pode utilizar para identificar os dispositivos hardware (autenticación de plataforma), e para verificar que o sistema que arranca é o sistema esperado. Existen varias solucións de cifrado de disco con soporte ''TPM'', que empregan o TPM para xestionar a chave de cifrado.
Hoxe en día son comúns os sistemas que empregan un módulo [[wikipedia:Trusted_Platform_Module|TPM]] ''(Trusted Platform Module)''. Este módulo é un procesador de cifrado incluído na placa base, que se pode utilizar para identificar os dispositivos hardware (autenticación de plataforma), e para verificar que o sistema que arranca é o sistema esperado. Existen varias solucións de cifrado de disco con soporte ''TPM'', que empregan o TPM para xestionar a chave de cifrado.


{{boxinfo|Cando se emprega cifrado é esencial dispoñer de mecanismos seguros de recuperación, normalmente proporcionando medios simples pero seguros para recuperar a password de cifrado. Algúns de estes mecanismos son o ''desafío/resposta'', ''ficheiro de recuperación de emerxencia (ERI)''}}
{{boxinfo|Cando se emprega cifrado é esencial dispoñer de mecanismos seguros de recuperación, normalmente proporcionando medios simples pero seguros para recuperar a password de cifrado. Algúns de estes mecanismos son o ''desafío/resposta'', ou un ''ficheiro de recuperación de emerxencia (ERI)''}}


Cando ciframos un disco, é necesario descifralo para arrancar o sisteam operativo, polo que a chave de cifrado ten que estar dispoñible antes da identificación do usuario. A maior parte das solucións de cifrado empregan un pequeno sistema operativo que se encarga de solicitar autenticación previamente a obter a chave necesaria para descifrar o disco. Este sistema está protexido para garantizar a súa integridade. Algúns sistemas como ''BitLocker'' poden empregar con este fin a plataforma ''TPM''.
Secure and safe recovery mechanisms are essential to the large-scale deployment of any disk encryption solutions in an enterprise. The solution must provide an easy but secure way to recover passwords (most importantly data) in case the user leaves the company without notice or forgets the password.
Challenge/response password recovery mechanism

Challenge/Response password recovery mechanism allows the password to be recovered in a secure manner. It is offered by a limited number of disk encryption solutions.

Some benefits of challenge/response password recovery:

No need for the user to carry a disc with recovery encryption key.
No secret data is exchanged during the recovery process.
No information can be sniffed.
Does not require a network connection, i.e. it works for users that are at a remote location.

Emergency Recovery Information (ERI) file password recovery mechanism

An Emergency Recovery Information (ERI) file provides an alternative for recovery if a challenge response mechanism is unfeasible due to the cost of helpdesk operatives for small companies or implementation challenges.

Some benefits of ERI file recovery:

Small companies can use it without implementation difficulties
No secret data is exchanged during the recovery process.
No information can be sniffed.
Does not require a network connection, i.e. it works for users that are at a remote location.

Security concerns

Most full disk encryption schemes are vulnerable to a cold boot attack, whereby encryption keys can be stolen by cold-booting a machine already running an operating system, then dumping the contents of memory before the data disappears. The attack relies on the data remanence property of computer memory, whereby data bits can take up to several minutes to degrade after power has been removed.[2] Even a Trusted Platform Module (TPM) is not effective against the attack, as the operating system needs to hold the decryption keys in memory in order to access the disk.[2]

All software-based encryption systems are vulnerable to various side channel attacks such as acoustic cryptanalysis and hardware keyloggers. In contrast, self-encrypting drives are not vulnerable to these attacks since the hardware encryption key never leaves the disk controller.

Full disk encryption
Benefits

Full disk encryption has several benefits compared to regular file or folder encryption, or encrypted vaults. The following are some benefits of disk encryption:

Nearly everything including the swap space and the temporary files is encrypted. Encrypting these files is important, as they can reveal important confidential data. With a software implementation, the bootstrapping code cannot be encrypted however. (For example, BitLocker Drive Encryption leaves an unencrypted volume to boot from, while the volume containing the operating system is fully encrypted.)
With full disk encryption, the decision of which individual files to encrypt is not left up to users' discretion. This is important for situations in which users might not want or might forget to encrypt sensitive files.
Immediate data destruction, as simply destroying the cryptography keys renders the contained data useless. However, if security towards future attacks is a concern, purging or physical destruction is advised.

The boot key problem

One issue to address in full disk encryption is that the blocks where the operating system is stored must be decrypted before the OS can boot, meaning that the key has to be available before there is a user interface to ask for a password. Most Full Disk Encryption solutions utilize Pre-Boot Authentication by loading a small, highly secure operating system which is strictly locked down and hashed versus system variables to check for the integrity of the Pre-Boot kernel. Some implementations such as BitLocker Drive Encryption can make use of hardware such as a Trusted Platform Module to ensure the integrity of the boot environment, and thereby frustrate attacks that target the boot loader by replacing it with a modified version. This ensures that authentication can take place in a controlled environment without the possibility of a bootkit being used to subvert the pre-boot decryption.

With a Pre-Boot Authentication environment, the key used to encrypt the data is not decrypted until an external key is input into the system.

Solutions for storing the external key include:

Username / password
Using a smartcard in combination with a PIN
Using a biometric authentication method such as a fingerprint
Using a dongle to store the key, assuming that the user will not allow the dongle to be stolen with the laptop or that the dongle is encrypted as well.
Using a boot-time driver that can ask for a password from the user
Using a network interchange to recover the key, for instance as part of a PXE boot
Using a TPM to store the decryption key, preventing unauthorized access of the decryption key or subversion of the boot loader.
Use a combination of the above

All these possibilities have varying degrees of security, however most are better than an unencrypted disk.


== Windows ==
== Windows ==
=== Cifrado de Carpetas ===
=== Cifrado de Carpetas ===
[[image:cifrado_carpeta.png|right|300px]]
Os sistemas Windows ofrecen a posibilidade de cifrar o contido de carpetas dende o menú contextual do administrador de arquivos. Basta con activar a casilla correspondente na ventana desplegable das opcions avanzadas nas propiedades da carpeta. Será moi convinte facer unha copia do certificado de cifrado nun dispositivo extraíble, para o que o sistema nos ofrecerá asistencia.

=== Cifrado de Unidades ===
=== Cifrado de Unidades ===
==== BitLocker ====
==== BitLocker ====
Windows ofrece o sistema de cifrado de disco BitLocker. Este sistema empregará por defecto a plataforma ''TPM'', e é necesario desactivala previamente coa utilidade ''gpedit.msc'' se non dispoñemos ou non queremos facer uso da mesma. Para facer eso, modificaremos a chave ''Requerir autenticación adicional ao iniciar'' na opción ''Configuración del Equipo > Plantillas Administrativas > Componentes de Windows > Cifrado de Unidad BitLocker > Unidades del Sistema Operativo'' activando a opción de ''Permitir BitLocker sin TPM''.

==== TrueCrypt ====
==== TrueCrypt ====


Liña 81: Liña 32:


Filesystem-level encryption has certain advantages and disadvantages over full disk encryption. Whereas full disk encryption works at the block-level, requiring an additional file system to be mounted over the top in its own partition, filesystem-level encryption can exist within an existing partition, requiring no specific block area to be set aside for its use.[1] It also allows for encryption to be applied selectively on a per-file or per-directory basis.
Filesystem-level encryption has certain advantages and disadvantages over full disk encryption. Whereas full disk encryption works at the block-level, requiring an additional file system to be mounted over the top in its own partition, filesystem-level encryption can exist within an existing partition, requiring no specific block area to be set aside for its use.[1] It also allows for encryption to be applied selectively on a per-file or per-directory basis.

Ecryptfs uses two passwords to decrypt your private directory.

The first is your log in password. This allows your private directory to be automatically decrypted when you log in. When you change your log in password, however, the ecrypts password is not updated. You unfortunately need to manually the Ecryptfs password (see below).

While this may at first seem inconvenient, in effect it prevents root from accessing your private data by simply changing your user's password.

The second passphrase is called a "mount passphrase". This passpharase is used if you wish to mount your private directory manually.


==== EncFs ====
==== EncFs ====

Revisión actual feita o 12 de novembro de 2013 ás 22:22

Introducción

O cifrado de disco é unha tecnoloxía consistente en protexer a información residente nunha unidade de almacenamento mediante cifrado, que pode realizarse mediante software ou hardware. Polo tanto, o cifrado de disco evita o acceso non autorizado aos datos almacenados.

O cifrado pode ser a nivel de disco completo, ou a nivel de sistema de ficheiros. No cifrado de disco, no que todo o disco está cifrado. No caso do cifrado por software faise necesaria unha pequena partición para o arranque sen cifrar, ou o uso do MBR. Tamén é posible mover a partición de arranque a un dispositivo extraíble como unha memoria USB, co que únicamente con esa memoria sería posible iniciar o equipo. Alguns sistemas de cifrado hardware poden cifrar realmente o disco completo, por exemplo as unidades con auto-cifrado.

O cifrado de disco non sustitúe completamente o cifrado a nivel de sistema de ficheiros, se non que a miudo se utilizan conxuntamente. Eso permite que en caso de ruptura da chave de cifrado do disco, o cifrado a nivel de sistema de ficheiros proporcinaría unha nova capa de seguridade.

A diferencia do cifrado de disco, o cifrado a nivel de ficheiro, normalmente non cifra o propio sistema de ficheiros, como a estructura de directorios, os nomes de ficheiros, as datas de modificación.... etc.

Hoxe en día son comúns os sistemas que empregan un módulo TPM (Trusted Platform Module). Este módulo é un procesador de cifrado incluído na placa base, que se pode utilizar para identificar os dispositivos hardware (autenticación de plataforma), e para verificar que o sistema que arranca é o sistema esperado. Existen varias solucións de cifrado de disco con soporte TPM, que empregan o TPM para xestionar a chave de cifrado.

Boxinfo info.png
Cando se emprega cifrado é esencial dispoñer de mecanismos seguros de recuperación, normalmente proporcionando medios simples pero seguros para recuperar a password de cifrado. Algúns de estes mecanismos son o desafío/resposta, ou un ficheiro de recuperación de emerxencia (ERI)

Cando ciframos un disco, é necesario descifralo para arrancar o sisteam operativo, polo que a chave de cifrado ten que estar dispoñible antes da identificación do usuario. A maior parte das solucións de cifrado empregan un pequeno sistema operativo que se encarga de solicitar autenticación previamente a obter a chave necesaria para descifrar o disco. Este sistema está protexido para garantizar a súa integridade. Algúns sistemas como BitLocker poden empregar con este fin a plataforma TPM.

Windows

Cifrado de Carpetas

Cifrado carpeta.png

Os sistemas Windows ofrecen a posibilidade de cifrar o contido de carpetas dende o menú contextual do administrador de arquivos. Basta con activar a casilla correspondente na ventana desplegable das opcions avanzadas nas propiedades da carpeta. Será moi convinte facer unha copia do certificado de cifrado nun dispositivo extraíble, para o que o sistema nos ofrecerá asistencia.

Cifrado de Unidades

BitLocker

Windows ofrece o sistema de cifrado de disco BitLocker. Este sistema empregará por defecto a plataforma TPM, e é necesario desactivala previamente coa utilidade gpedit.msc se non dispoñemos ou non queremos facer uso da mesma. Para facer eso, modificaremos a chave Requerir autenticación adicional ao iniciar na opción Configuración del Equipo > Plantillas Administrativas > Componentes de Windows > Cifrado de Unidad BitLocker > Unidades del Sistema Operativo activando a opción de Permitir BitLocker sin TPM.

TrueCrypt

Linux

eCryptfs

apt-get install ecryptfs-utils

eCryptfs (Enterprise Cryptographic Filesystem) is a package of disk encryption software for Linux. It is implemented as a POSIX-compliant filesystem-level encrypted file system that has been part of the Linux Kernel since version 2.6.19.

Filesystem-level encryption has certain advantages and disadvantages over full disk encryption. Whereas full disk encryption works at the block-level, requiring an additional file system to be mounted over the top in its own partition, filesystem-level encryption can exist within an existing partition, requiring no specific block area to be set aside for its use.[1] It also allows for encryption to be applied selectively on a per-file or per-directory basis.

Ecryptfs uses two passwords to decrypt your private directory.

The first is your log in password. This allows your private directory to be automatically decrypted when you log in. When you change your log in password, however, the ecrypts password is not updated. You unfortunately need to manually the Ecryptfs password (see below).

While this may at first seem inconvenient, in effect it prevents root from accessing your private data by simply changing your user's password.

The second passphrase is called a "mount passphrase". This passpharase is used if you wish to mount your private directory manually.

EncFs

Loop-AES

TrueCrypt

dm-crypt/cryptsetup