Manos escribiendo en una computadora portátil

¿Qué es el encriptado SSD y cómo funciona?

Vista lateral de una computadora portátil con una persona en el fondo utilizando un teléfono móvil

Desde las empresas, los gobiernos y hasta las personas, hoy en día hay una cosa que todo el mundo comparte: la necesidad y el deseo de proteger la información importante personal y privada. Ya sea que se esté almacenado o transportado, la protección de datos es absolutamente esencial. El costo en finanzas y reputación debido a filtraciones de datos, piratería y computadoras portátiles/PCs perdidas o robadas puede ser astronómico.

Para protegerse contra piratas informáticos malintencionados y filtraciones de datos organizacionales, es necesario encriptar los datos en uso y los datos en reposo. El encriptado proporciona una capa reforzada de protección en caso de que se le otorgue de alguna manera acceso no autorizado a una red de computadoras o dispositivo de almacenamiento. En este caso, el pirata informático no puede acceder a los datos. A lo largo de este artículo, nos centramos en el encriptado basado en software, las unidades de auto-encriptado (SED, por sus siglas en inglés) y una explicación básica sobre cómo funciona el encriptado SSD.

¿Qué es encriptar?

En términos sencillos, el encriptado convierte la información ingresada en un dispositivo digital en bloques de datos sin sentido. Cuanto más sofisticado sea el proceso de encriptación, más ilegibles e indescifrables serán los datos cifrados. Por el contrario, el descifrado cambia los datos encriptados a su forma original, haciéndolos legibles de nuevo. La información encriptada a menudo se denomina texto cifrado, mientras que la información no encriptada se denomina texto sin formato.

Dibujo digital de una placa de circuito con un candado.

Encriptado por software Vs. Encriptado por hardware

El encriptado por software utiliza una variedad de programas de software para encriptar datos en un volumen lógico. Cuando una unidad se encripta por primera vez, se establece una clave única y se almacena en la memoria de la computadora. La clave está encriptada con una frase de contraseña de usuario. Cuando un usuario ingresa la frase de la contraseña, desbloquea la clave y le da acceso a los datos no encriptados en la unidad. También se escribe una copia de la clave en la unidad. El encriptado por software funciona como intermediario entre los datos de lectura/escritura de la aplicación en el dispositivo; cuando los datos se escriben en la unidad, se encriptan con la clave antes de que se asignen físicamente en el disco. Cuando se leen datos desde la unidad, se descifran utilizando la misma clave antes de presentarse al programa.

Si bien el encriptado por software es rentable, es tan seguro como el dispositivo en el que se utiliza. Si un pirata informático descubre el código o la contraseña, sus datos encriptados quedan expuestos. Además, dado que el procesador realiza el encriptado y el descifrado, todo el sistema se ralentiza. Otra vulnerabilidad del encriptado por software es que, al arrancar el sistema, la clave de encriptado se almacena en la memoria de la computadora, lo que la convierte en un objetivo de ataques de bajo nivel.

La unidad de auto-encriptado (SED) utiliza un encriptado basado en hardware que adopta un enfoque más holístico para encriptar los datos del usuario. Las SEDs tienen un chip de encriptado AES integrado que cifra los datos antes de que se escriban y los descifra antes de que se lean directamente desde los medios NAND. El encriptado por hardware se encuentra entre el sistema operativo instalado en el dispositivo y el BIOS del sistema. Cuando la unidad es encriptada por primera vez, se genera una clave de cifrado y se almacena en la memoria flash NAND. Cuando el sistema se inicia por primera vez, se carga un BIOS personalizado y solicita una frase de contraseña de usuario. Una vez que se ingresa la frase de la contraseña, se descifra el contenido de la unidad y se otorga acceso al sistema operativo y a los datos del usuario.

Las unidades de auto-encriptado también cifran/descifran datos sobre la marcha con el chip de encriptado integrado, responsable de cifrar los datos antes de que se envíen a la memoria flash NAND y descifrar los datos antes de leerlos. La CPU del huésped no participa en el proceso de encriptación, lo que reduce el recargo en el rendimiento asociado con el encriptado por software. En la mayoría de los casos, al iniciar el sistema, la clave del encriptado se almacena en la memoria integrada SSD, lo que aumenta la complejidad de su recuperación; haciéndolo menos vulnerable a ataques de bajo nivel. Este método de encriptado basado en hardware ofrece un alto nivel de seguridad de datos, ya que es invisible para el usuario. No se puede apagar y no afecta el rendimiento.

Encriptado basado en hardware AES de 256 Bit

AES (Advance Encryption Standard o estándar de encriptado avanzado) es un algoritmo de cifrado simétrico (lo que significa que las claves de encriptado y descifrado son las mismas). Debido a que AES es un cifrado de bloques, los datos se dividen en bloques de 128 bits antes de encriptarlos con una clave de 256 bits. El encriptado AES de 256 bits es un estándar internacional que garantiza una seguridad de datos superior y está reconocido por el gobierno de EE. UU., entre otros. El encriptado AES-256 es básicamente indescifrable, lo que lo convierte en el estándar de encriptación más fuerte disponible.

¿Por qué es indescifrable? AES se compone de AES-128, AES-192 y AES-256. Los números representan el número de bits de clave en cada bloque de cifrado y descifrado. Por cada bit agregado, el número de claves posibles se duplica, lo que significa que el encriptado de 256 bits es igual a ¡dos veces la potencia de 256! O una gran cantidad de posibles variaciones de teclas. A su vez, cada bit de clave tiene un número diferente de rondas. (Una ronda es el proceso de convertir texto sin formato en texto cifrado). Para 256 bits, hay catorce rondas. Por lo tanto, la posibilidad de que un pirata informático obtenga la secuencia correcta de 2256 bits codificados catorce veces es asombrosamente baja, por decir lo menos. Sin mencionar el tiempo y la potencia informática necesarios para realizar el trabajo.

Encriptado basado en software TCG Opal 2.0

Trusted Computing Group™ es el grupo de estándares industriales internacional que define la confianza raíz basada en hardware para plataformas de computación confiables interoperables. Este protocolo puede inicializar, autenticar y administrar SSDs encriptados mediante el uso de proveedores de software independientes que ofrecen soluciones de gestión de seguridad TCG Opal 2.0 como Symantec™, McAfee™, WinMagic® y otros.

En resumen, si bien el encriptado basado en software tiene sus ventajas, es posible que no coincida con su percepción integral. El encriptado por software agrega pasos adicionales porque los datos deben cifrarse y luego descifrarse cuando el usuario necesita acceder a los datos, mientras que el encriptado basado en hardware ofrece una solución más sólida. Un SSD encriptado por hardware se optimiza con el resto de la unidad sin afectar el rendimiento. Dependiendo de su aplicación, es posible que se sorprenda de lo que conlleva proteger de sus datos. No todo el encriptado es igual, pero comprender las diferencias jugará un papel clave en la eficacia y eficiencia de su seguridad.

#KingstonIsWithYou

Artículos relacionados