Consultor especializado: Criptografia de dados.
Avaliando as opes
de criptografia.
Com tantas opes de criptografia, escolher a melhor para sua
empresa pode ser difcil. Entender a diferena entre as principais
tecnologias e as vantagens e desvantagens de cada uma ajudar voc
a encontrar a soluo certa para seu ambiente.
Criptografia total de disco por meio de software
A criptografia total de disco (FDE - do ingls Full Disk Encryption)
geralmente criptografa todos os setores de um disco rgido, exceto os
arquivos crticos exigidos nos processos de boot. O objetivo proteger a
mxima quantidade de dados possvel, mas o master boot record (MBR)
no deve ser criptografado para permitir a inicializao do computador.
Normalmente, as implementaes de FDE tm um sistema de boot
complexo para carregar o sistema operacional (SO) criptografado do
usurio. As solues de FDE com frequncia incluem recursos como
autenticao de usurios por leitura de impresses digitais, Smart
Cards, autenticao de vrios fatores, reconhecimento facial e outras
tecnologias avanadas. No entanto, as solues de FDE podem dificultar
o gerenciamento do sistema operacional do usurio em funo da
interdependncia de software e sistema operacional. A interface de
gerenciamento de FDE geralmente proprietria e exige um console
de fornecedor de gerenciamento separado, alm de implementaes
exclusivas para recuperao e migrao.
Criptografia de arquivos e pastas
A criptografia baseada em arquivos diferente da FDE porque
criptografa arquivos e pastas, mas no aplicativos e sistemas operacionais.
Embora o conceito seja simples, a implementao pode ser complexa,
envolvendo aes como criptografar arquivos temporrios criados por
aplicativos, copiar e colar pastas e arquivos, imprimir arquivos, copiar e
colar telas e fazer backups de arquivos.
A criptografia de arquivos e pastas oferece recursos no encontrados
em solues FDE. Polticas de chave flexvel podem ser definidas por
pasta, tipo de arquivo, usurio base ou base de usurios. As chaves s
so solicitadas para que permaneam na memria durante a abertura
do arquivo, depois so descartadas. O desempenho em uma unidade
criptografada de arquivo ou pasta normalmente melhor do que quando
o FDE usado. O gerenciamento simplificado porque o sistema
operacional e os aplicativos no so envolvidos, e a autenticao
geralmente nativa do sistema operacional.
Unidades com criptografia automtica
Unidades com criptografia automtica (SEDs - do ingls Self-Encrypting
Drives) so uma classe de dispositivos de armazenamento que incluem
aceleradores de criptografia internos. A interface padro para esses
Por Pat Woodward
dispositivos definida pela Opal Security Subsystem Class Specification 1.0
da Trusted Computing Group. A Opal especifica o suporte de criptografia
AES tanto de 128 bits quanto de 256 bits, e a chave de criptografia
mantida nos circuitos internos da unidade e nunca liberada.
Para ativar a SED, comandos so enviados unidade para configur-la
para a operao de criptografia. Uma pequena partio na unidade
armazena o cdigo de boot, que usa a especificao Opal para autenticar
o usurio para a unidade. No h backup de chave porque a criptografia
nunca deixa a unidade. O backup de autenticao deve ser usado, e
as ferramentas de restaurao, que so especficas para fornecedores
diferentes, devem ser capazes de restaurar a sequncia de autenticao
da SED.
Pat Woodward, CCIE, CISSP, especialista em Enterprise da Dell,
que se concentra em operaes em rede e segurana.
A soluo de criptografia ideal:
o que deve ser considerado.
Para escolher a soluo de criptografia ideal para sua
organizao, necessrio considerar muitos fatores.
Quando voc entender os tipos de tecnologia, considere
estes pontos principais:
S
 uporte ao sistema legado: saiba quais so os sistemas
existentes em seu ambiente e o mtodo de criptografia
que pode ser usado para eles. O FDE e a criptografia de
arquivos e pastas funcionam com sistemas novos e legados,
enquanto a SED pode ter limites.
F
 cil implantao: as solues FDE exigem que
desfragmentaes de disco sejam feitas com frequncia a
fim de criar arquivos contnuos, ao passo que as solues
baseadas em agentes podem aplicar polticas de forma
transparente aos usurios.
M
 dia removvel: entenda os riscos que armazenamentos
externos apresentam; o FDE e a SED podem exigir
que seja usado um produto separado para criptografar
dados externos.
F
 lexibilidade: o FDE e a SED so solues abrangentes,
enquanto a criptografia baseada em arquivos permite a
aplicao de polticas flexveis.
Catalyst 11