О полнодисковом шифровании и его пользе с точки зрения предотвращения кражи конфиденциальных данных написано уже много. Однако по разным причинам (высокие издержки, снижение производительности и т. п.) многие организации еще не готовы принять эту технологию. Более того, полнодисковое шифрование не распространено даже в информационных центрах. Тем не менее, уже скоро все переменится — на ниве полнодискового шифрования грядут важные события.
Месяц назад группа Trusted Computing (TCG), некоммерческая организация, продвигающая открытые стандарты в сфере аппаратной безопасности, опубликовала окончательные спецификации нового стандарта встроенного шифрования всех жестких дисков на аппаратном уровне. Разумеется, далеко не всегда утрата конфиденциальных данных связана с потерей или кражей оборудования, но наличие встроенной технологии шифрования на уровне жесткого диска позволило бы полностью нейтрализовать одну из угроз информационной безопасности. Теперь даже если сотрудник потеряет в командировке ноутбук, можно будет не опасаться, что секретная информация окажется в руках конкурентов или злоумышленников.
Спецификации, разработанные производителями жестких дисков, действуют на уровне, не затрагивающем быстродействие системы в целом. Большинство распространенных сегодня технологий шифрования реализуется в качестве промежуточного звена между операционной системой и оборудованием, что приводит к заметному повышению производительности компьютера.
Всего предусмотрено четыре стандарта для разных типов устройств хранения данных. Ниже приводятся выдержки из самих спецификаций.
• Класс подсистемы безопасности рабочей группы устройств хранения данных TCG: Opal. Opal SSC — это профиль реализации шифрования для устройств хранения, призванный: 1) обеспечить защиту пользовательских данных от несанкционированного доступа после выхода устройства из-под контроля владельца (включая силовой цикл и последующую деаутентификацию); 2) гарантировать совместимость устройств хранения от различных производителей. В общем, речь идет о персональных компьютерах.
• Класс подсистемы безопасности рабочей группы устройств хранения данных TCG: Enterprise. Эта спецификация описывает профиль реализации шифрования для выверенных устройств хранения, которые обычно применяются в системах класса предприятия. Требования данного стандарта гарантируют совместимость выверенных и невыверенных устройств хранения от различных производителей, поскольку в системах класса предприятия часто используются устройства от разных поставщиков. Данная спецификация определяет ограниченный набор функций выверенных устройств хранения данных TCG, что в сочетании с полнодисковым шифрованием гарантирует конфиденциальность пользовательских данных. Учитывается только один сценарий утраты данных в масштабах предприятия: удаление устройства хранения из основной системы, в том числе, по истечении силового цикла устройства, и проистекающая отсюда вероятность несанкционированного доступа к хранящимся на этом устройстве данным.
• Спецификация взаимодействий интерфейсов устройств хранения данных TCG. Этот документ определяет реализацию шифрования для каждого интерфейса по следующим аспектам: 1) согласование событий интерфейса со сбросами TCG; 2) согласование IF-SEND и IF-RECV; 3) устранение наиболее распространенных ошибок TPer; 4) выявление возможностей обеспечения безопасности; 5) прочие проблемы. Короче говоря, этот раздел стандарта отвечает за коммуникации — IDE, SCSI и т. п.
• Часто задаваемые вопросы TCG по подгруппе оптических устройств хранения данных. Этот документ определяет комплекс стандартов шифрования для оптических устройств хранения данных. Прочие типы съемных носителей, в том числе флэш-накопители, твердотельные диски и магнитные пленки, сюда не входят.
Стандарты шифрования для жестких дисков были разработаны совместно Fujitsu, Hitachi, Samsung, Seagate, Toshiba и Western Digital, что гарантирует полную совместимость продукции от разных производителей. Думаю, принятие законов об обязательном полнодисковом шифровании — лишь вопрос времени, поэтому наличие таких универсальных стандартов особенно актуально: это поможет избежать недоразумений при покупке оборудования и обеспечит максимально эффективную защиту пользовательских данных.
