Jakie są różne typy oprogramowania do szyfrowania dysku?
Oprogramowanie do szyfrowania dysku to metoda pełnego szyfrowania dysku, w której różne typy oprogramowania wdrażają różne funkcje i strategie szyfrowania całego dysku, znane jako pełne szyfrowanie dysku (FDE). Wśród różnych metod niektóre programy FDE będą wymagały użycia oddzielnego sprzętu, albo do odblokowania dysku, albo przechowywania kluczy szyfrowania, lub w niektórych przypadkach obu. Inne oprogramowanie FDE może odblokować dysk, gdy użytkownik loguje się do komputera, podczas gdy inne nawet nie uruchamiają systemu operacyjnego komputera bez autoryzacji. Jeszcze inne typy wyróżniają się sposobem obsługi formatu dysku i sposobem generowania szyfrowania ze struktury dysku.
Niektóre implementacje oprogramowania do szyfrowania dysku mają szyfrowanie niezaprzeczalne. Tutaj dane są zagnieżdżone, gdzie można odmówić istnienia niższych poziomów. Jeśli z jakiegokolwiek powodu użytkownik musi zrezygnować z hasła, można uzyskać dostęp tylko do niektórych danych, takich jak pliki systemu operacyjnego, programy lub dane, które według użytkownika nie są tak naprawdę tajne. Użytkownik wykazuje zgodność, podając hasło i pozornie odblokowując dysk, ale prawdziwe tajne dane pozostają ukryte pod innym hasłem, które pozostaje tajne.
W wielu przypadkach, w których stosowana jest ta prawdopodobna zaprzeczalność, oprogramowanie tworzy coś w obrębie objętości. Główna partycja dysku jest ładowana za pomocą jednego hasła, na którym działa system operacyjny i oprogramowanie, natomiast druga, niewidoczna partycja dysku jest dostępna tylko za pomocą drugiego hasła. Oczywiście ta metoda działa dobrze tylko wtedy, gdy atakujący nie widzi żadnych cech wyróżniających ukrytą, zaszyfrowaną strukturę danych. Aby obejść ten problem, oprogramowanie nie pozostawia żadnych znaków wskazujących, czy używane jest szyfrowanie dysku. Dla zewnętrznego obserwatora dane wydają się losowe i nieciekawe, chyba że znany jest klucz do ich odblokowania.
Niektóre oprogramowanie do szyfrowania dysku obsługuje, a nawet wymaga dodatkowych urządzeń sprzętowych używanych do odblokowywania dysku. Jedną z takich metod jest użycie kart rozszerzeń z dodatkowym procesorem do obsługi szyfrowania i deszyfrowania danych na dysku. Inne dodatki sprzętowe, takie jak karty inteligentne lub klucze sprzętowe uniwersalnej magistrali szeregowej (USB), mogą wymagać włożenia do komputera w celu zapewnienia klucza do odblokowania dysku. Wiele z tych dodatków sprzętowych jest zgodnych ze specyfikacją modułu TPM, ale tylko niektóre typy oprogramowania do szyfrowania dysku w pełni implementują moduł TPM.
Wreszcie różne oprogramowanie do szyfrowania dysku może działać, używając pliku jako zaszyfrowanego woluminu, oddzielnej partycji logicznej dysku fizycznego lub całego dysku. Dzięki oprogramowaniu do pełnego szyfrowania dysku wszystko jest zabezpieczone, w tym informacje o sposobie partycjonowania dysku, informacje o rozruchu, a także dane. Ten typ oprogramowania FDE prawdopodobnie będzie wymagał dodatkowego hasła przed uruchomieniem, aby komputer mógł uruchomić system operacyjny. Ponadto niektóre programy mogą nie być w stanie obsługiwać szyfrowania dla technik zarządzania energią systemu operacyjnego, takich jak stany uśpienia lub hibernacji.
Oprogramowanie do szyfrowania dysku nie jest odporne na techniki ataku. W niektórych programach można przeprowadzać ataki słownikowe z użyciem siły brutalnej przeciwko hasłom. Inne typy oprogramowania mogą wykorzystywać informacje o sektorach dysku w niezabezpieczony sposób, umożliwiając wykrycie zaszyfrowanych plików w systemie. Innym niebezpieczeństwem jest pamięć o dostępie swobodnym (RAM) w komputerze, w której system operacyjny pozostawił resztki kluczy szyfrujących. W tak zwanym ataku zimnego rozruchu komputer można szybko zrestartować i uruchomić z osobnego systemu operacyjnego, który może następnie odczytać to, co pozostało w pamięci RAM komputera.