Hardvérové alebo softvérové šifrovanie?

Bezpečnosť a šifrovanie sú v kurze. Žijeme vo svete, kde môžu mať dáta vyššiu cenu než akákoľvek fyzická hotovosť. V podstate aj naše bankové účtu sú len virtuálne peniaze, ktoré reprezentujú digitálne jednotky a nuly.  Žijeme on-line, komunikujeme on-line a preto potrebujeme sú opodstatnené obava zo straty dát. Dáta sú totiž zvyčajne to najcennejšie, čo máme a preto je pochopiteľné, že by sme ich ochrane mali venovať zvýšenú pozornosť. Máme však svoje dáta naozaj dobre zabezpečené? Na túto tému sme sa porozprávali so zástupcom spoločnosti Kingston pre Českú republiku a Slovensko, Marcinom Gaczorom.

Čo môžeme urobiť, aby sme mali dáta skutočne zabezpečené?

Odpoveďou je jednoduchá – treba ich dobre šifrovať. Keď máte svoje dáta na disku uložené v uzamknutom trezore, je ťažké sa k nim dostať a preto sú fyzicky v bezpečí. Rovnako by ste si ich ale mali chrániť aj počas nosenia na USB kľúčenke, alebo pri prenášaní na disku v notebooku. Tu sa k nim dá fyzicky dostať oveľa jednoduchšie, takže je vhodné ich šifrovať tak, aby ich nemohol prečítať každý.

Dá sa odporučiť nejaké univerzálne riešenie ako pracovať s dátami?

Je to veľmi individuálne. Svoje dáta máme primárne uložené na fyzických médiách ako sú HDD, SSD alebo USB disky. Šifrovanie tu funguje ako akýsi trezor, ktorý bráni prístupu k dátam i v prípade, že sa k disku fyzicky dostane niekto nepovolaný. A to môžeme urobiť pomocou softvéru alebo hardvéru.

Aký je medzi nimi rozdiel a ktorá metóda je teda výhodnejšia?

V prípade softvérového šifrovania je súbor zakódovaný nejakou aplikáciou, ktorá zdieľa prostriedky hostiteľského PC a je preto zabezpečený len tak, ako je bezpečný samotný počítač. Šifrované súbory môžete uložiť na všetky typy médií, vrátane napr. optických diskov CD/DVD/BD alebo magnetických pások. Citlivé útoky pri dešifrovaní „hrubou silou“ sa síce počítač snaží obmedziť počtom povolených opakovaných pokusov, no hackeri môžu jednoducho pristupovať do pamäte počítača a vynulovať stav počítadla pokusov. Softvérové šifrovanie je všeobecne lacnejšie.

U hardvérového šifrovania sú zabezpečené kľúče a kritické parametre na dešifrovanie uzamknuté priamo v šifrovacom hardvéri a prístup k jednotke (dátam) je až za procesorom fyzicky umiestneným na šifrovacej jednotke. Šifrovanie je teda viazané na konkrétne zariadenie (disk) a „je vždy zapnuté“. Toto riešenie je výhodné pre stredné a väčšie aplikačné prostredia, je trochu drahšie, ale bezpečnejšie a dá sa jednoducho škálovať. A najmä, ak potrebujete šifrovať väčší počet diskov, je hardvérové šifrovanie oveľa jednoduchšie na nasadenie.

V súhrne platí, že softvérové šifrovanie má síce svoje výhody, môže však iba vytvárať zdanie úplnosti. Hardvérové šifrovanie ponúka robustnejšie riešenie, ale nemusí byť vhodné pre každú aplikáciu. Ak ale chcete pre svoje dáta to najlepšie zabezpečenie, použite kombináciu oboch metód.

Ako ovplyvňuje samotné šifrovanie výkon?

V prípade softvérového šifrovania sa využívajú systémové zdroje, čo bola v minulosti vážna prekážka napríklad pre šifrovanie celého disku v bežných PC. S nárastom výkonu hardvéru to však už nepredstavuje až taký problém. Bežný počítač dnes zvládne kryptografické operácie vykonávať v reálnom čase bez toho, aby používateľ vôbec spozoroval nejaké výrazné spomalenie. Aj vďaka tomu začali výrobcovia pribaľovať aplikácie na šifrovanie diskov priamo k operačným systémom (napríklad FileValut v MacOS alebo BitLocker vo Windows). U hardvérového šifrovania sa o všetko stará vlastný procesor priamo v zariadení (disku) takže opäť ide o  obmedzenie výkonu, ktoré pri práci neobmedzuje používateľa.

Ako prenášať dáta z jedného PC do druhého? A kam bezpečne uložiť niečo skutočne dôležité, povedzme svoje heslá?

Keď potrebujte dať kolegovi nejakú tabuľku, ktorá neobsahuje citlivé údaje, alebo niekomu z rodiny poslať napr. fotky, môžete tak urobiť bežným mailom, alebo súbory nazdieľať cez nejakú cloudovú službu ako napr. Dropbox, Google Drive, LeteckaPosta, či Uschovna. V prípade, že pôjde o citlivú obchodnú zmluvu, mali by ste už dáta šifrovať a súbor poslať napr. zabalený v archíve chránenom heslom. Ani tento spôsob ale nemusí byť dostatočne bezpečný. Niektoré dáta ani do cloudu ukladať nechceme, napr. kľúče ku kryptomenovým peňaženkám a teda tým priamo k peniazom. Tu je jedným z najlepších riešení použiť zabezpečený USB disk. Môžete ho nosiť neustále pri sebe a keby sa stratil, vďaka hardvérovému šifrovaniu sa k dátam nedostane nepovolaná osoba. Samozrejme pre každý prípad si nezabudnite niekde na bezpečnom mieste (doma) uložiť kópiu.

Vo vašom portfóliu máte takýchto diskov niekoľko. Podľa čoho si vyberať?

Máme rôzne disky pre rôzne úrovne bezpečnosti. Pre osobné použitie je vhodný napr. rad DT Vault Privacy USB, ktorý ponúka dobrý výkon a bezpečnosť aj pre základné business prostredie. Veľmi populárny je tiež model DT2000 s hardvérovou klávesnicou, ktorý je možné okrem počítačov použiť napr. aj v obrábacích strojoch alebo v smart TV – disk sa odomyká pomocou klávesnice na tele a je preto použiteľný prakticky všade, nielen v počítačoch. Samozrejme ihneď po odpojení sa USB disk vždy automaticky zamkne. Najvyšší level zabezpečenia ponúkajú USB disky IronKey D300. Tie sú certifikované podľa štandardu FIPS 140-2 Level 3, používajú 256-bitové AES šifrovanie a dokonca boli certifikované NATO. Toto riešenie je určené už pre náročné biznis aplikácie alebo vládne prostredie, či armádu. A samozrejme máme aj SSD disky s úplným hardvérovým šifrovaním celého disku. Portfólio Kingston je postavené tak, aby si mohol vybrať naozaj každý.