Symantec White Paper - Come funziona la crittografia delle unità

WHITE PAPER:
COME FUNZIONA LA CRITTOGRAFIA DELLE
UNITÀ
........................................
Come funziona la crittografia delle
unità
Who should read this paper
Amministratori della sicurezza e IT
Come funziona la crittografia delle unità
Sommario
Introduzione alla crittografia delle unità. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
Cos'è la crittografia delle unità? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
Come funziona . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
Crittografia delle unità: dietro le quinte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Utilizzo della crittografia: tutto come sempre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Crittografia delle unità: recovery . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Come funziona la crittografia delle unità
Introduzione alla crittografia delle unità
Se si utilizza un computer o un'unità USB rimovibile, è probabile che su questi dispositivi siano presenti dati sensibili. Che si tratti di un
computer domestico con i dati finanziari della famiglia, un computer di lavoro con informazioni aziendali sensibili o una chiavetta USB
con segreti di stato, occorre assicurarsi che in caso di smarrimento o furto del dispositivo nessuno possa accedere senza autorizzazione a
tali dati.
La crittografia delle unità, nota anche come crittografia del disco, protegge questi dati rendendoli illeggibili agli utenti non autorizzati.
Questo documento descrive le differenze tra crittografia delle unità e crittografia dei file, come funziona la crittografia delle unità e i
meccanismi di recovery.
Cos'è la crittografia delle unità?
Crittografia delle unità e crittografia dei file
Per la crittografia dei dati, ci sono varie strategie.
La crittografia delle unità protegge un disco in caso di furto o perdita accidentale crittografando l'intero disco, compresi i file di swap, di
sistema e di ibernazione. Se un disco crittografato viene smarrito, rubato o inserito in un altro computer, la condizione crittografata
dell'unità rimane invariata, assicurando che solo un utente autorizzato possa accedere al suo contenuto.
La crittografia delle unità non può, tuttavia, proteggere i dati se l'utente ha eseguito l'accesso al sistema durante l'avvio e ha lasciato il
computer incustodito. In questi casi, il sistema è stato sbloccato e un utente non autorizzato potrà accedere al sistema proprio come un
utente autorizzato. Ed è qui che entra in gioco la crittografia dei file.
Proprio come un sistema di allarme che protegge un'intera abitazione e una cassaforte che serve ad avere un ulteriore livello di
sicurezza, la crittografia delle unità protegge l'intero sistema e la crittografia dei file dà un ulteriore livello di sicurezza.
La crittografia dei file crittografa file specifici in modo che quando un utente accede a un sistema operativo, il contenuto del file rimane
comunque crittografato. Un'applicazione come Symantec™ File Share Encryption può proteggere file e cartelle, chiedendo all'utente una
passphrase per permettere l'accesso. La crittografia dei file richiede l'intervento dell'utente mentre la crittografia delle unità crittografa
automaticamente tutto ciò che viene creato dall'utente o dal sistema operativo. La crittografia dei file può anche essere abbinata a un
server di policy di crittografia che consente agli amministratori IT di creare e distribuire regole di crittografia nell'intera organizzazione,
compresa la crittografia automatica dei file di varie applicazioni e/o cartelle.
Come funziona
Durante la procedura di avvio dei sistemi operativi Microsoft® Windows, Apple® OS X o Linux® viene eseguita una sequenza di avvio. Il
sistema di avvio è il set iniziale di operazioni che il computer esegue quando viene acceso. Un boot loader (o un bootstrap loader) è un
piccolo programma che carica il sistema operativo principale del computer. Il boot loader controlla prima il record di avvio o la tabella di
partizione, che è l'area logica “zero” (o punto di avvio) dell'unità disco.
La crittografia delle unità modifica l'area del punto zero dell'unità. Un computer protetto con Symantec™ Drive Encryption presenta un
ambiente di “pre-avvio” modificato (Figura 1) all'utente.
Questa schermata di pre-avvio modificata chiede all'utente le credenziali di autenticazione sotto forma di passphrase (solitamente una
password lunga, che ricorda una frase). A questo punto, il computer può chiedere altre credenziali come una smart card, un token o un
altro tipo di autenticazione a due fattori.
1
Come funziona la crittografia delle unità
Dopo che l'utente ha immesso le credenziali di autenticazione valide, il sistema operativo viene caricato normalmente e l'utente può
accedere al computer.
Il software di crittografia delle unità consente anche di crittografare i supporti di storage rimovibili come le unità USB. Quando un'unità
USB crittografata viene inserita in un computer, all'utente verrà chiesta la passphrase e, dopo l'autenticazione, l'utente potrà usare
l'unità USB.
Crittografia delle unità: dietro le quinte
Fondamenti del file sys
system
tem
Durante la procedura di avvio, il sistema inizializza il file system del computer.
Quando un utente chiede l'accesso a un file (ad esempio, crea, apre o elimina un file), la richiesta viene inviata al sistema di gestione di I/
O del sistema operativo, che la inoltra al sistema di gestione del file system. Il sistema di gestione del file system elabora i dati in blocchi.
Utilizzo della crittografia: tutto come sempre
La maggior parte del software di crittografia delle unità opera insieme all'architettura del file system. Filtra le operazioni di I/O per uno o
più file system o volumi del file system.
Quando un'unità viene crittografata per la prima volta, i blocchi di dati vengono convertiti uno alla volta in blocchi crittografati. La
crittografia delle unità
consente agli utenti di continuare a lavorare come di consueto durante questo processo di crittografia iniziale variando la quantità di
CPU assegnata al processo di crittografia iniziale.
2
Come funziona la crittografia delle unità
Quando un utente accede a un file, il software di crittografia delle unità decrittografa i dati in memoria prima che siano visualizzati. Se
l'utente modifica il file, i dati vengono crittografati in memoria e riscritti sul blocco appropriato dell'unità disco così come avverrebbe in
assenza della crittografia. I dati decrittografati non sono mai disponibili sul disco.
La procedura di crittografia/decrittografia avviene a una velocità tale da risultare completamente trasparente all'utente.
Crittografia delle unità: recovery
Crittografia dell'intero disco: recovery
La causa più comune di recovery dei dati è una passphrase smarrita o dimenticata. Quindi, il software di crittografia delle unità deve
includere una funzione di recovery. Ci sono vari modi per accedere a un sistema crittografato in caso di passphrase dimenticata con
Symantec Drive Encryption, come il self-recovery locale, un token di recovery, una chiave dell'amministratore e altro.
Il self-recovery locale consente agli utenti di rispondere a domande predefinite e personalizzabili al momento dell'avvio per ottenere
l'accesso a un sistema crittografato e reimpostare la passphrase di avvio senza l'intervento del personale IT.
Il Drive Recovery Token (DRT) è un set di recovery temporaneo di caratteri alfanumerici, monouso e specifico dell'utente e del dispositivo
che consente di reimpostare una passphrase.
La chiave dell'amministratore viene conservata in una smart card o in un token a prova di manomissione.
Un'altra causa di recovery dei dati, anche se più rara, può essere il danneggiamento dei dati derivante da un errore hardware o da altri
fattori come un virus dei dati. Il danneggiamento di un record di avvio principale su un disco o una partizione di avvio protetti dalla
crittografia delle unità può impedire l'avvio del sistema. Per evitare questo tipo di errori, è consigliabile creare un CD di recovery e
sottoporre a backup l'unità prima di crittografarla. Il software di crittografia delle unità include opzioni di recovery e interagisce con i più
comuni strumenti di backup. Contatta il tuo referente Symantec per ulteriori informazioni sulla compatibilità con i sistemi di backup
esistenti.
3
Come funziona la crittografia delle unità
Informazioni su Symantec
Symantec protegge le informazioni in tutto il
mondo ed è il leader mondiale nelle soluzioni per
la sicurezza, il backup e la disponibilità. I nostri
prodotti e servizi innovativi proteggono le persone
e le informazioni in qualsiasi ambiente, dal più
piccolo dispositivo mobile, al data center
aziendale, ai sistemi basati sul cloud. La nostra
esperienza leader di settore nella protezione dei
dati, delle identità e delle interazioni garantisce ai
nostri clienti la sicurezza in un mondo connesso.
Ulteriori informazioni sono disponibili su
www.symantec.it o contattando Symantec su
go.symantec.com/socialmedia.
Per informazioni sui
Symantec Limited
contatti in ogni specifico
Ballycoolin Business Park
paese, visita il nostro sito
Blanchardstown
Web.
Dublin 15
Ireland
Tel. : +353 1 803 5400
Fax : +353 1 820 4055
www.symantec.it
Copyright © 2012 Symantec Corporation. Tutti i diritti
riservati. Symantec, il logo Symantec e il logo
Checkmark sono marchi o marchi registrati di
Symantec Corporation o delle sue consociate negli
Stati Uniti e in altri paesi. Altri nomi possono essere
marchi dei rispettivi proprietari.
12/2012 21275920