Full Disk Encryption (FDE, полнодисковое шифрование, полное шифрование диска) — метод защиты информации, предполагающий шифрование всех данных на диске, включая временные файлы, программы, системные файлы и т. д. Некоторые системы полнодискового шифрования оставляют незашифрованным загрузочный сектор диска, однако другие шифруют и его. После инициализации FDE вся информация автоматически шифруется при записи на диск и расшифровывается при считывании, если пользователь прошел процедуру авторизации.
Полное шифрование диска, в отличие от создания зашифрованных разделов или папок, позволяет защитить конфиденциальную информацию, о которой пользователь мог забыть или не знать, например служебные и временные файлы. При этом даже если злоумышленник извлечет диск и установит в свое устройство, он не сможет получить доступ к данным, если не знает пароля или ключей шифрования.
Рекомендуется использовать полнодисковое шифрование на портативных устройствах, которые в большей степени подвержены риску кражи или утери, чем стационарные.
Средства Full Disk Encryption
Представленные на рынке средства полнодискового шифрования можно разделить на аппаратные и программные.
Аппаратные реализации полнодискового шифрования
Аппаратные системы, как правило, обладают большей производительностью, чем программные. Можно выделить следующие типы аппаратных FDE:
- Самошифрующиеся диски (Self-Encrypting Drive, SED) — жесткие диски со встроенным криптопроцессором. Они автоматически шифруют все данные при записи на диск. Такие устройства производят многие поставщики жестких дисков, такие как Samsung, Seagate, Toshiba и другие.
- Чип с криптопроцессором, встроенный в корпус жесткого диска. Автоматически шифрует все данные, которые записываются на диск, пока диск находится внутри корпуса.
- Набор микросхем, расположенных между процессором и жестким диском.
Программные реализации полнодискового шифрования
Программные средства FDE позволяют настроить полнодисковое шифрование на существующем оборудовании. Они совместимы с большинством представленных на рынке операционных систем и устройств хранения данных.
Программные средства шифрования могут поставляться вместе с операционной системой, как Microsoft BitLocker или Apple FileVault 2, в виде самостоятельных утилит, например VeraCrypt, или в составе защитных решений. В частности, возможность полного шифрования диска предусмотрена в Kaspersky Endpoint Security для Windows.
От чего защищает Full Disk Encryption
Полнодисковое шифрование защищает данные в ситуациях, когда злоумышленник получает физический доступ к устройству, например в случае кражи. Однако оно не решает всех проблем безопасности. В частности, полнодисковое шифрование не защищает данные при пересылке и в том случае, если злоумышленник добрался до устройства, на котором пользователь уже авторизован. Также Full Disk Encryption не защищает от вредоносного ПО, действующего от имени авторизованного пользователя, и не препятствует установке сомнительных программ из интернета. Поэтому рекомендуется использовать FDE вместе с другими средствами безопасности, такими как антивирус, брандмауэр и пр.