Crittografia di file e disco
Un'efficace protezione per gli utenti Kaspersky Endpoint Security (Business)
Kaspersky Endpoint Security for Windows dispone di strumenti integrati per la crittografia dei dati. I tool in questione funzionano in conformità alle policy distribuite da Kaspersky Security Center, l'applicazione per amministratori adibita alla gestione dell'infrastruttura aziendale protetta dai prodotti di sicurezza IT sviluppati da Kaspersky.
Full Disk Encryption (FDE) impedisce la violazione dei dati a seguito dello smarrimento di un laptop o di un disco rigido portatile. Quando un disco è crittografato, gli utenti non autorizzati non possono avviarlo, né leggerne i dati.
File-level encryption (FLE) protegge i file "in movimento", durante il trasferimento degli stessi su canali non attendibili. Gli utenti ai quali è consentito accedere ai file protetti sulla base dei criteri di crittografia prestabiliti, visualizzeranno tali file come non crittografati.
Criteri di crittografia
Gli amministratori della soluzione Kaspersky Security Center hanno la possibilità di impostare i criteri di crittografia, che abiliteranno quest'ultima sui computer aziendali protetti da Kaspersky Endpoint Security. I criteri possono variare a seconda degli host, mentre i dati di compliance a tali criteri vengono aggregati in un feed di report comune, visibile agli amministratori.
Si possono inoltre impostare determinati criteri per i dispositivi rimovibili (unità flash, unità portatili, ecc.) collegati a un computer. È ad esempio possibile bloccare il dispositivo finché l'utente non fornisce il proprio consenso riguardo all'applicazione della crittografia al dispositivo in causa o alle specifiche tipologie di file presenti su quest'ultimo.
Nell'ambito della crittografia a livello di file, i criteri possono definire quali file debbano essere crittografati, in base all'estensione di cui dispongono o alla loro posizione sul disco. Quando sul computer viene individuato il matching di un file in relazione ai criteri stabiliti, il file in questione viene crittografato.
Una crittografia trasparente
La crittografia non interferisce con il tipico flusso di lavoro di un utente: non introduce nuove applicazioni, né apporta modifiche alla configurazione di quelle già esistenti. I criteri vengono applicati in modo automatico.
La crittografia risulta di fatto "trasparente", a livello di applicazioni: quando un utente viene autenticato nel sistema operativo, le applicazioni "vedono" i dati presenti sui dischi come se non fossero crittografati, sebbene lo siano. Il filtro di crittografia trasmette i dati tra applicazioni e dischi (un filtro a livello di disco per l'FDE e un filtro a livello di file per quanto riguarda l'FLE). Decodifica i dati provenienti dai dischi e destinati alle applicazioni, mentre codifica i dati che compiono il cammino inverso. I dati vengono immediatamente crittografati "on the fly", durante le operazioni di lettura/scrittura: non vi sono dati archiviati su disco privi di crittografia, nemmeno temporaneamente.
Per alcune applicazioni, tuttavia, la crittografia non deve risultare così trasparente. Ad esempio, le procedure di backup che archiviano la copia di un disco crittografato per conservare la stessa altrove, non dovrebbero archiviare dati di backup non crittografati. L'applicazione di backup dovrebbe quindi copiare il disco nel suo stato crittografato. In questo caso, e in altri casi simili, l'amministratore ha la possibilità di disabilitare in maniera centralizzata la crittografia di tipo trasparente, in relazione a particolari applicazioni.
Il meccanismo di crittografia del disco (FDE)
Il meccanismo FDE è in grado di crittografare in modo completo tutti i dischi presenti su un computer. L'FDE supporta:
- La crittografia di qualsiasi tipo di disco: HDD, SSD, unità flash, ecc. Sui dispositivi SSD, l'FDE riduce inoltre il numero dei cicli di lettura/scrittura extra, aumentando così la durata nel tempo dell'unità.
- L'accelerazione hardware della crittografia (se il processore del computer supporta la tecnologia AES-NI).
- UEFI Secure Boot, una tecnologia adibita alla protezione del computer al momento dell'avvio di quest'ultimo: garantisce il caricamento del solo software attendibile e il corretto avvio del sistema operativo e del software, senza alcuna interferenza da parte di altri processi.
Chiavi di crittografia. Il filtro di crittografia dedicato al disco codifica e decodifica i dati attraverso l'utilizzo di un'apposita chiave. Per ogni disco viene creata una chiave separata, in seguito archiviata su di esso in tre copie crittografate. In tal modo, anche se il disco è danneggiato e viene distrutta una copia della chiave, sarà possibile accedere al disco tramite un'altra copia. Se risultano danneggiate tutte e tre le copie della chiave presenti sul disco, si potrà ripristinare l'accesso all'unità attraverso la copia archiviata in Kaspersky Security Center. Per questo, quando viene creata una chiave del disco, una copia della stessa viene inviata in modo sicuro a Kaspersky Security Center. Le chiavi non vengono mai archiviate sul disco prive di crittografia.
Autenticazione dell'utente e caricamento del sistema operativo da un disco crittografato. La chiave relativa al disco e archiviata su di esso diviene disponibile per il filtro di crittografia dopo l'autenticazione dell'utente. Un utente può autenticarsi tramite una password, un token USB o una smart card. Una volta effettuata con successo l'autenticazione, potrà essere avviato il sistema operativo attraverso il disco crittografato.
Applicazione dei criteri di crittografia su un computer. Quando su un computer viene applicato un criterio di crittografia, si avviano due processi:
- La crittografia "on the fly" è abilitata in modo permanente. Ciò garantisce che, a partire da tale momento, tutti i dati scritti sul disco siano crittografati. Per fare questo, il filtro di crittografia inerente al disco intercetta tutti i processi di lettura/scrittura su disco..
- Viene avviato il processo di crittografia del disco, iattraverso il quale saranno interamente codificati i dischi presenti sul computer. Al termine del processo, il criterio di crittografia del disco risulta pienamente applicato al computer. L'operazione di crittografia del disco può richiedere diverse ore.
Durante il processo in questione, gli utenti possono lavorare normalmente, mettere il computer in modalità sleep o spegnerlo: una volta riavviato, l'operazione in corso riprenderà. Il processo risulta particolarmente solido e resistente anche nei confronti di eventuali guasti o malfunzionamenti (ad es. spegnimento dell'alimentazione, guasto del sistema operativo). Lo speciale design della crittografia, a prova di guasto ed errore, garantisce il completamento dell'operazione di codifica di tutti i dati.
Accesso ai file crittografati (FLE)
Accesso con Kaspersky Endpoint Security. Quando un utente effettua la procedura di autenticazione nell'ambito del sistema operativo, le applicazioni presenti sul computer eseguite per conto dell'utente ottengono l'accesso ai file codificati, in base ai criteri di crittografia prestabiliti.
Per poter accedere ai file crittografati da altri utenti, l'agente host di Kaspersky Endpoint Security richiede le necessarie chiavi di decodifica al Kaspersky Security Center. Ad esempio, se un file inviato tramite posta elettronica è stato crittografato da un altro utente, l'host del destinatario richiede e riceve una chiave da Kaspersky Security Center (se i criteri consentono l'accesso). Questa chiave consente di accedere al file in questione e ad altri file crittografati sullo stesso disco logico del suddetto utente. La chiave viene memorizzata nella cache, quindi non è necessario richiedere una nuova chiave ogni volta che viene ricevuto un file crittografato sullo stesso disco del medesimo utente.
Se non è disponibile una connessione Internet, il destinatario può ottenere una chiave da Kaspersky Security Center tramite lo scambio di chiavi protetto standard di tipo challenge-response, attraverso canali aperti (ad esempio un telefono). Occorre semplicemente inviare il codice challenge generato: in tal modo si riceverà il codice response.
Accesso senza Kaspersky Endpoint Security. Se consentito dai criteri di crittografia, gli utenti possono configurare i loro dispositivi in modo che sui computer privi di Kaspersky Endpoint Security sia possibile accedere ai file crittografati su tali dispositivi, mediante l'autorizzazione tramite password. Quando gli utenti configurano un simile dispositivo con Kaspersky Endpoint Security:
- Viene copiata sul dispositivo l'applicazione Kaspersky Portable File Manager, in grado di archiviare in modo sicuro le chiavi per l'accesso ai file e codificare / decodificare i file.
- L'utente crea una password per accedere ai file presenti su questo dispositivo.
Quando un utente collega un dispositivo e lo autorizza in Portable File Manager, i file crittografati divengono disponibili per le operazioni di lettura e modifica. Gli utenti possono anche crittografare nuovi file sul dispositivo.
Protezione degli utenti Kaspersky Total Security (Consumer)
Crypto Disk è un sottosistema di Kaspersky Total Security in grado di proteggere attraverso la crittografia i dati archiviati dall'utente..
Con Crypto Disk, gli utenti creano un disco virtuale crittografato, archiviato come file separato. Al disco si accede mediante una password assegnata al momento della creazione dello stesso. Una volta ottenuta l'autorizzazione, il disco appare in veste di unità locale (ad es. "E:\"). L'utente può trasferire ad altri utenti un file mediante il disco crittografato, tramite dispositivi, e-mail, repository condivisi e cloud, e concedere l'accesso agli altri utenti fornendo loro la necessaria password.
Il disco risulta crittografato non in base alla password stessa, ma attraverso una chiave generata automaticamente, disponibile nel momento in cui l'utente viene autenticato. Tutto questo offre all'utente la possibilità di modificare la password senza che si riveli necessario crittografare nuovamente l'intero disco virtuale.
Modulo di crittografia
FDE, FLE e Crypto Disk utilizzano il modulo di codifica che si avvale dell'algoritmo di crittografia AES-256 in modalità XTS. La libreria di crittografia è dotata delle seguenti certificazioni:
- FIPS 140-2
- Common Criteria
Prodotti correlati
WHITEPAPER
Protecting Sensitive Data with Kaspersky...