ディスク暗号化ソフトウェアにはどのような種類がありますか？

ディスク暗号化ソフトウェアはフルディスク暗号化方式であり、さまざまなタイプのソフトウェアが、フルディスク暗号化（FDE）として知られるディスクドライブ全体の暗号化のためのさまざまな機能と戦略を実装します。 さまざまな方法の中で、一部のFDEソフトウェアでは、ドライブのロック解除、暗号化キーの保存、または場合によってはその両方のために、個別のハードウェアの使用が必要になります。 他のFDEソフトウェアは、ユーザーがコンピューターにログインしたときにディスクのロックを解除する場合がありますが、他のFDEソフトウェアは許可なくコンピューターのオペレーティングシステムを起動することさえできません。 さらに他のタイプは、ディスクのフォーマットを処理する方法と、ディスクの構造から暗号化が生成される方法によって区別されます。

一部のディスク暗号化ソフトウェアの実装では、暗号化が拒否されます。 ここでは、データはネストされており、下位レベルの存在を拒否できます。 ユーザーが何らかの理由でパスワードを放棄する必要がある場合、オペレーティングシステムファイル、プログラム、またはユーザーが実際にすべての秘密ではないと判断したデータなど、特定のデータのみにアクセスできます。 ユーザーはパスワードを放棄し、ディスクのロックを解除することでコンプライアンスを示しますが、実際の秘密データは秘密のままである別のパスワードの下に隠されたままです。

このもっともらしい否認が使用される多くの場合、ソフトウェアはボリューム内にボリュームの何かを作成します。 メインディスクパーティションには1つのパスワードが読み込まれ、オペレーティングシステムとソフトウェアが実行されますが、2番目の非表示のディスクパーティションには2番目のパスワードでのみアクセスできます。 もちろん、この方法は、攻撃者が基礎となる暗号化されたデータ構造の際立った特性を見ることができない場合にのみうまく機能します。 これを回避するために、ソフトウェアは、ディスク暗号化が使用されているかどうかを示すマークを残しません。 外部の観察者にとって、データは、ロックを解除するキーがわからない限り、ランダムで面白くないように見えます。

一部のディスク暗号化ソフトウェアは、ディスクのロック解除に使用される追加のハードウェアデバイスをサポートするか、必要とするように設計されています。 そのような方法の1つは、ドライブ上のデータの暗号化と復号化を処理するための追加のプロセッサを備えた拡張カードの使用です。 スマートカードやユニバーサルシリアルバス（USB）ドングルなど、その他のハードウェアの追加をコンピューターに挿入して、ディスクのロックを解除するためのキーを提供する必要がある場合があります。 これらのハードウェアの追加の多くは、トラステッドプラットフォームモジュール（TPM）仕様に準拠していますが、TPMを完全に実装するのは特定の種類のディスク暗号化ソフトウェアのみです。

最後に、ファイルを暗号化ボリューム、物理ドライブの個別の論理パーティション、またはディスク全体として使用することにより、さまざまなディスク暗号化ソフトウェアが機能する場合があります。 フルディスク暗号化ソフトウェアを使用すると、ディスクのパーティション化方法、ブート情報、データなど、すべてが保護されます。 このタイプのFDEソフトウェアは、コンピューターにオペレーティングシステムを起動させるために、おそらく追加のプリブートパスワードを必要とします。 さらに、一部のソフトウェアは、スリープ状態や休止状態など、オペレーティングシステムの電源管理技術の暗号化を処理できない場合があります。

ディスク暗号化ソフトウェアは、攻撃手法の影響を受けません。 一部のソフトウェアでは、パスワードに対してブルートフォース辞書攻撃を行うことができます。 他の種類のソフトウェアは、ディスクのセクターに関する情報を安全でない方法で使用し、システム上の暗号化されたファイルの検出を可能にします。 もう1つの危険性は、コンピューターのランダムアクセスメモリ（RAM）にあり、オペレーティングシステムが暗号化キーの残りを残しています。 コールドブート攻撃と呼ばれるものでは、コンピューターをすばやく再起動し、別のオペレーティングシステムから起動し、コンピューターのRAMに残っているものを読み取ることができます。