¿Alguien podría decirme la diferencia entre el cifrado de hardware y el cifrado de software?
(Con respecto a las unidades flash, si hace alguna diferencia).
Por lo que entiendo, el cifrado de software es básicamente un programa que se ejecuta cuando se inserta una unidad flash y solicita una contraseña. Entonces, ¿qué hace el cifrado de hardware? ¿Lo protege de la misma manera?
Si es así, ¿cuál es la diferencia entre ellos?
En última instancia, no hay ninguna diferencia: ambos "tipos" de cifrado terminarán ejecutando algún software sobre algún hardware, por lo que este es principalmente un argumento de marketing.
Cómo funciona exactamente una pila de cifrado depende, por supuesto, de un caso a otro y es muy importante revisar los detalles.
Por ejemplo, algunos discos duros implementarán alguna capa de cifrado en el BIOS de su controlador que forzará que todas las escrituras realizadas en el disco pasen por esa capa de cifrado, sin importar a qué computadora está conectada el disco. Sin embargo, se puede lograr lo mismo sin ningún soporte directo del hardware mediante el uso de cifrado de disco completo.
Ambos "tipo" de solución suelen tener las mismas prestaciones, ya que las CPU modernas son lo suficientemente rápidas para procesar las transmisiones de encriptación / descifrado más rápido que la velocidad de lectura o escritura de las unidades SSD incluso más rápidas (es decir, la encriptación no es el cuello de botella).
Generalmente, todas las soluciones ofrecerán aproximadamente el mismo algoritmo; con frecuencia, AES en modo CBC con un difusor: es estándar, está libre de regalías, se comprende bien y tiene propiedades de seguridad conocidas. El elemento más importante a considerar cuando se busca una solución de cifrado de disco es la administración de claves: cómo se generan, almacenan, acceden y administran las claves de cifrado. Aquí es donde el cifrado basado en "software" generalmente brilla: tener acceso a un entorno "más rico" (especialmente si hay algún soporte de sistema operativo o acceso a hardware especializado instalado en la máquina, como un chip TPM) que puede llevar a una mejor experiencia y una gestión de claves más segura.
En general, en una computadora, el cifrado del software a menudo se ejecuta en una arquitectura compartida, como la CPU de su computadora. El verdadero cifrado de hardware se ejecutaría en algo como un Secure Cryptoprocessor o un conjunto de chips dedicado similar. Esto puede ayudar a aislar los procedimientos seguros del resto del sistema y, a menudo, tener una arquitectura para ejecutar muy rápidamente los cálculos necesarios.
Las líneas están muy borrosas en estos días porque muchos chips de CPU estándar tienen áreas integradas en su arquitectura para optimizar AES el proceso de cifrado . Esto significa que podría tener un proceso de cifrado de software que utiliza un circuito dedicado en una pieza de hardware para ejecutar el cifrado.
Creo que la verdadera distinción proviene de las aplicaciones en las que no hay una gran CPU potente disponible. Aunque sé que esto no está relacionado con su pregunta sobre la unidad USB, sí ilustra el punto. La mayoría de las películas vendidas en DVD a fines de la década de 1990 se cifraron utilizando un algoritmo llamado Content Scramble System (CSS) . Cuando su reproductor de DVD reprodujo una película, tuvo que descifrar la información sobre la marcha utilizando un cifrado de transmisión antes de que pudiera enviar la señal a su televisor. Dada la poca potencia de procesamiento disponible para estos primeros reproductores de DVD, probablemente existía hardware dedicado en forma de chip descodificador que en realidad ejecutaba el descifrado. Debido a que la necesidad era tan especializada y tenía que hacerse lo más barata posible, un chip de hardware diseñado específicamente para satisfacer esas necesidades tendría más sentido.
El cifrado basado en hardware tiene varias ventajas:
Velocidad: el cifrado de hardware funciona mucho más rápido que el software. Independencia: es independiente del sistema host: sistema operativo, controladores, etc. Un procesador separado para la generación de números también es una gran ventaja. Seguridad: más seguro contra malware, ataques de fuerza bruta, ataques de arranque en frío, etc.
Para el cifrado de software, si el malware roba su clave maestra, la seguridad de los datos está totalmente comprometida. Para el cifrado de hardware, incluso su contraseña es robada, la clave maestra aún no es conocida por el atacante. Puede cambiar la contraseña de ciertos datos cifrados, pero no la clave maestra. Un atacante puede obtener una copia de sus datos cifrados a través de diferentes formas, y luego usa la llave maestra robada para desbloquear todo. Esto es especialmente malo, cuando el cifrado se aplica a un gran volumen de datos, lo que hace que las consecuencias de perder la clave maestra sean muy significativas.
Lea otras preguntas en las etiquetas encryption hardware disk-encryption software flash-memory