Quais são os diferentes tipos de software de criptografia de disco?
O software de criptografia de disco é um método completo de criptografia de disco, onde os diferentes tipos de software implementam diferentes funções e estratégias para a criptografia de uma unidade de disco inteira, conhecida como Criptografia de disco completa (FDE). Entre os vários métodos, alguns softwares FDE exigirão o uso de hardware separado, para desbloquear uma unidade ou armazenar as chaves de criptografia ou, em alguns casos, ambos. Outro software FDE pode desbloquear o disco no momento em que o usuário faz login no computador, enquanto outros nem mesmo inicializam o sistema operacional do computador sem autorização. Outros tipos ainda se distinguem pela maneira como lidam com o formato do disco e a maneira como a criptografia é gerada a partir da estrutura do disco.
Algumas implementações de software de criptografia de disco têm criptografia negável. Aqui, os dados estão aninhados, onde os níveis mais baixos podem ser negados a existência. Se o usuário for necessário desistir da senha por qualquer motivo, apenas determinados dados podem ser acessados, como arquivos do sistema operacional,Programas ou dados que o usuário decidiu que não é realmente tão segredo. O usuário mostra a conformidade desistindo de uma senha e desbloqueando o disco, mas os dados secretos reais permanecem ocultos sob outra senha que permanece em segredo.
Em muitos casos em que essa negação plausível é usada, o software cria um volume dentro de um volume. A partição principal do disco é carregada com uma senha, executando o sistema operacional e o software, enquanto uma segunda partição de disco invisível é acessível apenas com a segunda senha. Obviamente, esse método só funciona bem se o invasor não conseguir ver características distintivas de uma estrutura de dados criptografada e subjacente. Para contornar isso, o software não deixa nenhuma nota por aí que indique se a criptografia de disco está sendo usada. Para um observador externo, os dados parecem aleatórios e desinteressantes, a menos que a chave para vocênlock é conhecido.
Algum software de criptografia de disco foi projetado para suportar ou até exigir dispositivos de hardware adicionais usados para desbloquear o disco. Um desses métodos é o uso de cartões de expansão com um processador adicional para lidar com a criptografia e descriptografia dos dados na unidade. Outras adições de hardware, como cartões inteligentes ou dongles universais de barramento serial (USB), podem precisar ser inseridos no computador para fornecer a chave para desbloquear o disco. Muitas dessas adições de hardware aderem à especificação do módulo de plataforma confiável (TPM), mas apenas certos tipos de software de criptografia de disco implementam totalmente o TPM.
Por fim, vários softwares de criptografia de disco podem funcionar usando um arquivo como volume criptografado, uma partição lógica separada de uma unidade física ou de todo o disco. Com o software completo de criptografia de disco, tudo está protegido, incluindo as informações sobre como o disco é particionado, as informações de inicialização e os dados. Este tipo de softwar FDEE provavelmente exigirá alguma senha adicional de pré-inicialização apenas para fazer com que o computador inicie o sistema operacional. Além disso, alguns softwares podem não ser capazes de lidar com a criptografia para as técnicas de gerenciamento de energia do sistema operacional, como sono ou estados de hibernação.
O software de criptografia de disco não está imune a técnicas de ataque. Em algum software, ataques de dicionário de força bruta podem ser feitos contra as senhas. Outros tipos de software podem usar informações sobre os setores do disco de maneira não segura, permitindo a detecção de arquivos criptografados em um sistema. Outro perigo está na memória de acesso aleatório (RAM) no computador, onde o sistema operacional deixou os restos das teclas de criptografia. No que é chamado de ataque de inicialização fria, o computador pode ser reiniciado e inicializado rapidamente de um sistema operacional separado, que pode ler o que restava na RAM do computador.