Nem az a kérdés, hogy titkosítani kell, hanem hogy hogyan

A május 2-i jelszó világnap alkalmából összehasonlítottuk a szoftveres, illetve a hardveres titkosítás előnyeit és hátrányait.

Az IBM tavalyi felmérése szerint globálisan átlagosan 4,45 millió dollárba kerül egy adatszivárgás az érintett vállalat számára, ami 15 százalékos növekedést jelent három év alatt. Éppen ezért nem mindegy, milyen módszereket és eszközöket használunk az adatok védelme érdekében. Számos szakember, köztük orvosok, ügyvédek, üzletemberek és vállalati dolgozók jelszóval titkosítják az e-mailben továbbított dokumentumokat, feltételezve, hogy a fájlok megfelelően védettek az adattolvajokkal szemben. Tévhit azonban, hogy ez önmagában elegendő lenne. A szabványos jelszóvédelem az adatok fizikai titkosítása nélkül hiábavaló ugyanis, mivel ez egy könnyen megkerülhető biztonsági módszer. Így nem nyújt kellően átfogó biztonságot a fájlok és a meghajtók számára.

A jelszavas védelem általában csak az adatokhoz való hozzáférés módját jelenti, ám jelentős különbségek vannak a szoftveres titkosításon alapuló jelszavas védelem és a hardveralapú titkosítás között. A titkosítás elengedhetetlen a felhasználói adatok egyedi jelszóval történő védelméhez, de vajon mi a leghatékonyabb módja annak, hogy megvédjük a személyes vagy érzékeny vállalati adatokat az adatlopástól és az adatvesztéstől?

Szoftveres jelszóvédelem

Sok alkalmazás (például MS Word, Excel, Adobe Acrobat) lehetővé teszi a jelszóval védett fájlok létrehozását, melynek során valamilyen szoftveres titkosítást hajtanak végre a fájlokon az adatok fizikai védelme érdekében. Esetenként azonban a titkosítás szintjét nem jelölik, így a felhasználók nincsenek tisztában azzal, hogy ezek a programok a hozzáadott jelszavas védelmen túl milyen mechanizmust alkalmaznak az adatokon. A Windows BitLocker egy olyan megoldás, ami a számítógép-meghajtót vagy az azon lévő fájlokat is képes titkosítani. Az új BitLocker-verziók támogatják a legmodernebb 256 bites Advanced Encryption Standard (AES) XTS szabványt, amihez érdemes ragaszkodni.

A fejlesztők általában azért szeretik a szoftveres titkosítást, mert olcsón kivitelezhető, nincs szükség hozzá speciális hardverre, a titkosító szoftver pedig szükség esetén könnyen licencelhető. Az előnyei mellett azonban megvannak a hátrányai is: ha a felhasználó jelszavát feltörik a hackerek és a számítógép memóriájából megszerzik a meghajtó helyreállítási kulcsait, akkor minden adathoz hozzáférhetnek. Szintén problémát jelent, hogy a szoftveres titkosítás működéséhez szükség van a számítógép feldolgozási teljesítményére, tehát ha a felhasználó nagyméretű, titkosított fájlokat, például képeket vagy videókat nyit meg vagy zár be, az befolyásolhatja a rendszer teljesítményét.

A szoftveres titkosítás azok számára lehet elegendő a számítógép, az e-mail fiók vagy egyéb felhőalapú fiók védelmére, akik csak utólag gondolnak az adatbiztonságra, vagy úgy gondolják, hogy „jó, ha van”. Ez a titkosítási módszer nem korlátozza a jelszótalálatok számát, azaz a brute force támadásokat, melyek során a hacker eltávolítási folyamatot és automatizált eszközöket használ a jelszavak feltörésére. Mivel a jelszavak többsége jellemzően nyolc karakter hosszúságú, és a nagy teljesítményű számítógépek másodpercenként több mint egymilliárd jelszót képesek kitalálni, a szoftveresen titkosított fájlok viszonylag gyorsan feltörhetők. A szakértők ezért ez esetben legalább 12 karakteres jelszavak használatát javasolják a támadók lelassítása érdekében.

Hardveres titkosítás

A hardveres titkosítású megoldások robusztusabb és átfogóbb adatvédelmet kínálnak a fontos fájlok valódi jelszavas védelméhez, mint a szoftveralapú opciók. A szoftveressel ellentétben a hardveres titkosítást egy külön biztonságos mikroprocesszor hajtja végre, amely a felhasználói hitelesítésre és az adatok titkosítására szolgál. Ez egy biztonságosabb titkosítási módszer, mert a titkosítási folyamatok elkülönülnek a számítógép többi részétől, így nehezebb feltörni a jelszót. Emellett a titkosítási folyamatok sokkal gyorsabbak is, mivel egy hardveresen titkosított eszköz kezeli az összes adatfeldolgozást.

A hardveres titkosítású meghajtók (például USB-k vagy SSD meghajtók) viszont drágábbak, mint a szoftveres verziók, mivel fejlett komponenseket, kifinomultabb technológiát alkalmaznak, és kezdettől fogva adatvédelmi eszközként tervezték őket (ellentétben a titkosítatlan alternatívákkal). A hagyományos USB-eszközök egyszerű, biztonsági intézkedések nélküli tárolóeszközök, míg a hardveres titkosítású meghajtók kizárólag az adatok védelmét szolgálják, mint például a meghajtó ellopása vagy elvesztése elleni biztosítás. Egy vállalati felhasználók körében végzett felmérés szerint a válaszadók 68,5 százaléka még mindig nem használ titkosított USB-meghajtókat. Csupán 16,9 százalékuk vallott úgy, hogy használ ilyen adatvédelmi eszközöket, 14,6 százalékuk pedig tervezi ezek bevezetését a jövőben.

A hardveralapú titkosítás előnyei

• Nehezebben támadható: A korszerű hardveresen titkosított meghajtókat úgy tervezik, hogy ellenálljanak a kibertámadásoknak, ellentétben a szoftveres titkosítási lehetőségekkel. Ezek fejlett védelemmel rendelkeznek az olyan módszerek ellen, mint a brute force jelszótámadások, hiszen a legjobb, 256 bites AES titkosítással XTS módban védenek. A hardveres titkosítási eljárás képes megszámolni az összes jelszókísérletet, és megadott számú próbálkozás után kriptográfiai törlést végez a meghajtón. Éppen ezért a kiberbűnözők általában a szoftveresen titkosított eszközök feltörését részesítik előnyben, mivel ezek könnyebb prédát jelentenek.
• Fizikailag és digitálisan ellenálló: Az Amerikai Egyesült Államok Nemzeti Szabványügyi és Technológiai Intézete (NIST) által meghatározott FIPS 140-3 Level 3 szabvány szerint a katonai szintű biztonsággal rendelkező, hardveres titkosítású meghajtók fokozott védelemmel vannak ellátva a fizikai támadásokkal szemben. Az ilyen USB-kulcsokban epoxigyanta töltet van, ami védőtömítést képez a meghajtó belső alkatrészei körül, így azok ellenállóbbá válnak a fizikai manipulációval szemben. Ezek a típusú meghajtók a védelmi mechanizmusoknak köszönhetően maguktól leállnak, ha például túl magas hőmérséklet vagy feszültség éri őket, vagy az önteszt során behatolást észlelnek.
• Hordozható: Az asztali számítógépet vagy laptopot nem mindig tudjuk hordozni, a hardveres titkosítású eszközöket viszont könnyen magunkkal vihetjük mindenhová. Nem kell megkockáztatni, hogy e-mailben küldjük el a pénzügyi dokumentumokat egy könyvelőnek vagy ügyvédnek, vagy hogy bizalmas adatokat tároljunk a felhőben – a személyes adatokat a hálózaton kívül, biztonságosan tárolhatjuk. Egy külső SSD akár nyolc terabyte-nyi adat biztonsági másolatának tárolását teszi lehetővé, amit az internettől távol, egy általunk meghatározott helyen tarthatunk.
• A törvényeknek és előírásoknak való megfelelés: Az adatok titkosítása számos esetben követelmény, amit többek között a GDPR ír elő az Európai Unióban, vagy a HIPAA az USA-ban. A fejlett hardveralapú titkosított meghajtók segítenek az adatvédelmi megfelelésben, mivel a rajtuk lévő adatokat mindig titkosítva tárolják. Léteznek olyan megoldások amelyek megakadályozzák a brute force behatolási támadásokat: ha jelszófeltörési kísérletet észlelnek, a meghajtó képes automatikusan törölni a rajta lévő adatokat és visszaállítani a gyári állapotot.

A hardveralapú titkosítás hátránya

• Jóval drágább, mint a szoftveres titkosítás, amelyből számos nagyon fejlett, nyílt forráskódú és ingyenes létezik.