Hlavní stránka Hardware Sítě a Internet Hardwarové nebo softwarové šifrování, má smysl to řešit?
Hardwarové nebo softwarové šifrování, má smysl to řešit?
autor: Tomáš Flídr , publikováno 18.5.2020
Seznam kapitol
1. Jak ochránit svoje data
2. Hardware nebo software?
Hardwarové nebo softwarové šifrování, má smysl to řešit?

Šifrování dat je dneska stále důležitější, ať už při jejich přenosu po internetu, nebo při uložení. Vyplývá to z obavy ze šmírujících států i nenechavých rukou hackerů. Na výběr máme řadu metod a technologií, ale ne každá se ale hodí pro všechny případy a vyžadují od nás různou míru důvěry v jejich výrobce, vývojáře a poskytovatele.


Cloud není univerzální řešení

Jako první připadají v úvahu cloudová řešení, která ale neposkytují potřebné soukromí a bezpečnost. Můžeme samozřejmě data uložená na například na Dropboxu ještě zašifrovat prostřednictvím jiného nástroje, ale uživatelský komfort se pak blíží nule.

Některá data na cloud ukládat vůbec nechceme. Jde třeba o klíče ke kryptoměnovým peněženkám nebo hesla k různým internetovým službám. Potřeba šifrování s velmi limitovaným a přísně kontrolovaným přístupem je nezbytná v silně regulovaných odvětvích jako je státní správa, zdravotnictví nebo finanční služby. Požadavky tady často ukládá legislativa jako je například zákon o ochraně utajovaných informací, GDPR nebo předpisy České národní banky. V takových případech je šifrování dat nutností bez ohledu na cenu řešení, protože případné sankce mohou být pro postižené firmy likvidační (nejde jen o pokuty, ale i nepřímo zákaz činnosti). I když se v minulosti řada společností snažila takové požadavky obcházet, v poslední době se situace mění. Už neplatí často opakovaná fráze “na nás přece nikdo útočit nebude…”

Cílem ransomwaru se stávaly právě instituce, které si případné nebezpečí nepřipouštěly. Šifrování dat sice proti ransomwaru jako takovému nechrání, od toho jsou tu jiná opatření jako pravidelné off-site zálohování a segregace sítí, ale v případě útoku může přesto pomoct. Provozovatelé ransomwaru totiž v poslední době začali své oběti “motivovat” k zaplacení výkupného i zveřejňováním jejich dat. Právě v takovém případě může důsledné šifrování zabránit likvidační pokutě nebo zákazu činnosti.

Hardwarové nebo softwarové šifrování, má smysl to řešit?

Obrana šifrováním

Pokud pomineme cloudová řešení, v úvahu připadá uložení dat na šifrované HDD, SSD nebo USB disky. Podívejme se na možnosti uložení právě takových dat a porovnání nabízených možností a technologie, zejména z hlediska použití hardwarového nebo softwarového šifrování.

Zařízení s hardwarovým šifrováním používají pro kryptografické operace dedikovaný a oddělený procesor. Šifrovací klíče mají uložené v chráněných oblastech RAM nebo flash paměti. I když tyto paměti nejsou (a ani nemohou být) zcela zabezpečené proti čtení a zápisu, možnost přístupu k jejich datům je velmi omezená. Specializované čipy mají omezenou instrukční sadou a možnost spuštění externího neautorizovaného kódu je v nich velmi limitovaná. Typickými příklady takových zařízení jsou TPM (Trusted Platform Module), HSM (Hardware Security Module), flash disky a HDD. Hardwarové šifrování je kromě toho samozřejmě možné implementovat i v síťových zařízeních nebo platebních terminálech. Na trhu jsou dostupná zařízení od různých výrobců - nejběžnější řešení, hlavně tedy flashdisky s hardwarovým kódováním, jsou od společností jako je Kingston, SanDisk, Verbatim, iStorage, nebo Apricorn.

Naproti tomu softwarové šifrování používá systémové nástroje samotného zařízení, na kterém je nainstalované. Kryptografické operace provádí jeho procesor nebo grafická karta a data jsou uložená v běžné operační paměti.

Hardwarové nebo softwarové šifrování, má smysl to řešit?

Flashdisk s čipem pro HW šifrování

Šifrovat lze i softwarovou cestou

Softwarové šifrování je na implementaci pochopitelně mnohem jednodušší. Není třeba žádný dodatečný hardware, stačí příslušný šifrovací program. Z toho vyplývá i cena takového řešení, která je o poznání nižší nebo jsou nástroje dostupné zdarma. Pokud máte Windows 7 Pro a vyšší (v Professional verzi), můžete použít přímo integrovaný Bitlocker. Pokud nevěříte Microsoftu, nebo chcete fungovat i na jiných platformách, tak je tu VeraCrypt, o kterém jsme již psali ve starším článku od Petra Šarouna. Softwarové řešení je také obvykle flexibilnější v rozsahu šifrování. Můžeme například zašifrovat jen určité soubory a adresáře, zatímco hardwarové řešení obvykle pokrývá celé zařízení. Nezanedbatelná je také otázka obnovení zašifrovaných dat v případě ztráty hesla nebo šifrovacího klíče. I v tomto ohledu je softwarové řešení přístupnější. Základní nástroj BitLocker Repair Tool k obnově dat z šifrovaných disků nabízí například přímo Microsoft.



 
Komentáře naleznete na konci poslední kapitoly.
13 čtenářů navrhlo autorovi prémii: 4.1Kč Prémie tohoto článku jsou již uzavřené, děkujeme za váš zájem.
Tento web používá k poskytování služeb soubory cookie.