Hva er de forskjellige typene programvare for kryptering av disk?
Diskkrypteringsprogramvare er en fullstendig diskkrypteringsmetode, der de forskjellige programvaretyper implementerer forskjellige funksjoner og strategier for kryptering av en hel diskstasjon, kjent som full diskkryptering (FDE). Blant de forskjellige metodene vil noen FDE-programvare kreve bruk av separat maskinvare, enten for å låse opp en stasjon, eller lagre krypteringsnøklene, eller i noen tilfeller begge deler. Annen FDE-programvare kan låse opp disken når brukeren logger seg på datamaskinen, mens andre ikke engang starter opp datamaskinens operativsystem uten autorisasjon. Atter andre typer skiller seg ut ved hvordan de håndterer formatet til disken og måten krypteringen genereres fra diskens struktur.
Noen implementeringer av programvare for programvare for kryptering kan avvises. Her er dataene nestet, der lavere nivåer kan nektes eksistens. Hvis brukeren av en eller annen grunn er pålagt å gi fra seg passordet, er det bare visse data som er tilgjengelige, for eksempel operativsystemfiler, programmer eller data som brukeren har bestemt seg for, er egentlig ikke så hemmelig. Brukeren viser samsvar ved å gi opp et passord og tilsynelatende låse opp disken, men de virkelige hemmelige dataene forblir skjult under et annet passord som forblir hemmelig.
I mange tilfeller der denne plausible denierbarheten brukes, skaper programvaren noe av et volum i et volum. Hoveddiskpartisjonen er lastet med ett passord, som kjører operativsystemet og programvaren, mens en andre, usynlig diskpartisjon bare er tilgjengelig med det andre passordet. Selvfølgelig fungerer denne metoden bare bra hvis angriperen ikke kan se noen kjennetegn på en underliggende, kryptert datastruktur. For å komme seg rundt dette, etterlater ikke programvaren noen merker som indikerer om diskkryptering brukes. For en utenforstående observatør virker dataene tilfeldige og uinteressante, med mindre nøkkelen til å låse opp er kjent.
Noe programvare for kryptering av disk er designet for å støtte eller til og med kreve ekstra maskinvareenheter som brukes til å låse opp disken. En slik metode er bruk av utvidelseskort med en ekstra prosessor for håndtering av kryptering og dekryptering av dataene på stasjonen. Andre maskinvaretillegg, for eksempel smartkort eller USB-dongler (Universal Serial Bus), må kanskje settes inn i datamaskinen for å gi nøkkelen til å låse opp disken. Mange av disse maskinvaretilleggene overholder TPM-spesifikasjonen (Trusted Platform Module), men bare visse typer diskkrypteringsprogramvare implementerer TPM fullt ut.
Til slutt kan forskjellige diskkrypteringsprogramvare fungere ved å bruke en fil som kryptert volum, en separat logisk partisjon av en fysisk stasjon eller hele disken. Med full programvare for kryptering av disken er alt sikret, inkludert informasjonen om hvordan disken er partisjonert, oppstartsinformasjonen og dataene. Denne typen FDE-programvare vil trolig kreve noe ekstra passord før oppstart bare for å få datamaskinen til å starte opp operativsystemet. Videre kan det hende at noen programvare ikke er i stand til å håndtere kryptering for strømstyringsteknikker i operativsystemet, for eksempel søvn- eller dvaletilstand.
Diskkrypteringsprogramvare er ikke immun mot angrepsteknikker. I noen programvare kan brute-force ordboksangrep gjøres mot passordene. Andre typer programvare kan bruke informasjon om disksektorer på usikrede måter, noe som gjør det mulig å oppdage krypterte filer på et system. En annen fare ligger i RAM (random access memory) på datamaskinen, der operativsystemet har igjen rester av krypteringsnøklene. I det som kalles et kaldt oppstartangrep, kan datamaskinen raskt startes på nytt og startes opp fra et eget operativsystem, som deretter kan lese hva som var igjen i datamaskinens RAM.