Шесть крупнейших в мире производителей компьютерных дисководов опубликовали окончательные спецификации на единый стандарт полнодискового шифрования, который распространяется на дисководы для жестких дисков, твердотельных накопителей и программные средства управления ключами шифрования.
Любой диск, в котором реализована поддержка данной спецификации, будет заблокирован, если не ввести пароль, причем пароль потребуется до начала загрузки компьютера.
Три спецификации, предложенные Trusted Computing Group, охватывают устройства хранения, используемые в ноутбуках потребительского класса, а также дисководы корпоративного класса, устанавливаемые в серверах и в дисковых массивах хранения.
«Все производители дисков стремятся к интероперабельности, — сказал Роберт Тибадо, директор по технологиям компании Seagate Technology и председатель совета директоров TCG. — К тому же мы надежно защищаем данные. После того как USB-диск отсоединен, или выключен ноутбук, или ИТ-администратор вынул диск из сервера, устройство нельзя установить обратно и прочитать без введения зашифрованного пароля. Без такого пароля сделать ничего нельзя. Нельзя даже продать на eBay».
Единая спецификация на шифрование дает возможность производителям дисководов прописать функции обеспечения безопасности своих продуктов во встроенное программное обеспечение, что позволит снизить затраты на производство и увеличить эффективность технологии обеспечения безопасности.
Как пояснил Тибадо, когда операционная система или приложение записывает данные на самошифрующийся диск, не происходит прерывания потока ввода/вывода или процесса преобразования данных. Шифрование не приводит к снижению скорости этих операций.
«При чтении данных с диска механизм шифрования показывает их пользователю в незашифрованном виде. Он полностью прозрачен для пользователя», — сказал он.
В состав TCG входят компании Fujitsu, Hitachi GST, Seagate Technology, Samsung, Toshiba, Western Digital, Wave Systems, LSI Logic, UNLINK Technology и IBM.
«Вполне возможно, что через пять лет все диски, сходящие с производственных линий, будут шифрованными, и за это практически ничего не нужно будет платить», — заметил аналитик компании Enterprise Strategy Group Джон Олтсик.
Ряд производителей дисководов, в том числе Seagate, Fujitsu и Hitachi, уже поддерживают спецификацию. Например, Hitachi выпускает свои внутренние дисководы для ноутбуков TravelStar 500 с полнодисковым шифрованием.
Некоторые производители программного обеспечения управления шифрованием, такие как Wave Systems, WinMagic и CryptoMill Technologies, также объявили о сертификации продуктов по этой спецификации.
Брайан Бергер, директор по маркетингу Wave Systems, подчеркнул, что новая спецификация требует использования стандарта Advanced Encryption Standard. Производители вправе выбирать 128- или 256-разрядные ключи AES, в зависимости от уровня безопасности, которые они хотят обеспечить. Ни один из этих ключей взломать нельзя.
«Такие вещи, как управление ключами и управление заплатами, уходят в прошлое, — сказал Бергер. — Больше не нужно думать о том, какая версия шифрующего программного обеспечения работает и к какому устройству шифрования подключена ваша система. При управлении шифрованными дисками пользователи не могут отключить шифрование, следовательно, нет риска, связанного с потерей или кражей компьютеров, с которых можно изъять ценные данные, поскольку шифрование было отключено».
Проект по созданию спецификации по шифрованию, начатый шесть лет назад, был ориентирован на полнодисковое шифрование, которое защищает данные на компьютере за счет шифрования всей информации на жестком диске машины, вне зависимости от того, какой его раздел используется.
Для того чтобы получить доступ к информации, пользователи сначала должны ввести пароль, который, в свою очередь, будет использоваться для разблокировки ключа, применяемого для расшифровки данных.
«Вы можете установить такие дисководы, чтобы дети не добрались до важных данных на вашем ноутбуке, поскольку пароль действует вне Windows. На самом деле Windows даже не может загрузиться. Ваш ребенок не сможет запустить его, если у него нет пароля», — заметил Тибадо.
ИТ-отделы смогут применять такие диски и для других целей, например, благодаря стандарту на шифрование можно криптографически очистить их нажатием всего нескольких клавиш. Достаточно поменять ключ шифрования, и данные навсегда становятся недоступными.
«Конкретный способ, используемый для осуществления шифрования внутри диска, не имеет значения для поддержки интероперабельности, — пояснил Йорг Кампелло, старший менеджер по архитектуре компании Hitachi. — Имеет значение то, как сконфигурированы диски и как сконфигурировано управление доступом».
Три уровня защиты
TCG предложила следующие три спецификации.
-
Спецификация Opal, содержащая минимальные требования к устройствам хранения, используемым в ПК и мобильных компьютерах.
-
Спецификация Enterprise Security Subsystem Class Specification, касающаяся дисководов, применяемых в центрах обработки данных и массовых приложениях, которые в момент установки обычно поддерживают минимальную конфигурацию защиты.
-
Спецификация Storage Interface Interactions, которая описывает порядок взаимодействия существующих спецификаций TCG, таких как Storage Core Specification, с другими стандартами на интерфейсы и соединения систем хранения. Например, эта спецификация поддерживает несколько транспортных протоколов, среди них параллельный и последовательный варианты ATA, SCSI SAS, Fibre Channel и ATAPI.