Шифрование на уровне драйвера и на файловом уровне
Существует два способа зашифровать жесткий диск: на уровне драйвера и на файловом уровне. Шифрование на файловом уровне означает, что каждый файл шифруется отдельно. Для использования зашифрованного файла его надо будет сначала расшифровать, а после использования снова зашифровать.
Шифрование на уровне драйвера создает на машине пользователя логический диск, на котором все данные хранятся в зашифрованном виде. При хорошей реализации такой способ предоставляет безопасность, которая, за исключением выбора хороших паролей, не создает пользователю никаких неудобств. Однако, драйвер должен быть намного сложнее, чем простая программа шифрования файлов, потому что он должен быть связан с вопросами загружаемого драйвера устройства, выделением новых секторов для файлов, повторным использованием освобождающихся секторов, чтением с произвольным доступом, запросами на обновление данных логического диска, и т.д.
Обычно перед запуском драйвер предлагает пользователю ввести пароль. Он используется для генерации главного ключа дешифрирования, который затем может быть использован для дешифрирования действительных ключей шифрования различных данных.
Табл. -5.Сравнение шифрования на уровне драйвера и на уровне
Шифрование на файловом уровне |
Шифрование на уровне драйвера |
Преимущества |
|
Легко реализовать и использовать. Гибкое. Относительно небольшая потеря производительности. Пользователи могут без проблем переносить файлы с машины на машину. Пользователи могут без проблем создавать резервные копии файлов. |
Временные файлы, рабочие файлы, и т.п., могут храниться на безопасном диске. В подобных системах тяжелее забыть что-нибудь зашифровать. |
Вопросы безопасности |
|
Потенциальная утечка при работе программ, не заботящихся о безопасности. (Программа может, например, сохранить на диске временный файл.) Плохие реализации могут при повторном шифровании всегда использовать один и тот же ключ для данного пароля |
Может произойти сбой драйвера устройства или резидентной программы. Плохие реализации создадут предпосылки для вскрытия с выбранным открытым текстом или даже с выбранным шифротекстом. Если вся система пользуется главным ключом, закрытым одним паролем, потеря этого пароля позволит взломщику получить доступ ко всему. Для приложений этого типа спектр возможных шифров более ограничен. Например, потоковые шифры OFB работать не будут. |
Проблемы использования |
|
Пользователь должен знать, что делать. Для различных файлов могут использоваться различные пароли. Единственным способом управления доступом является ручное шифрование выбранных файлов. |
Неизбежна потеря производительности. Может быть затруднено взаимодействие драйвера с Windows, режимом эмуляции DOS в OS/2, драйверами устройств, и т.д. |