Definição – O que significa Full-Disk Encryption (FDE)?
A criptografia de disco completo (FDE) é a criptografia de todos os dados em uma unidade de disco, incluindo o programa que criptografa a partição do sistema operacional inicializável. É executado por um software ou hardware de criptografia de disco instalado na unidade durante a fabricação ou por meio de um driver de software adicional. O FDE converte todos os dados do dispositivo em um formato que só pode ser compreendido por quem tem a chave para descriptografar os dados criptografados. Uma chave de autenticação é usada para reverter a conversão e tornar os dados legíveis. O FDE impede o acesso não autorizado aos dados e à unidade.
Dados e sistemas operacionais são criptografados automaticamente por meio de FDE. No entanto, o registro mestre de inicialização (MBR) permanece sem criptografia. Alguns sistemas FDE e FDE híbrido criptografam o disco completo, incluindo o MBR.
O FDE também é conhecido como criptografia de disco inteiro (WDE).
Definirtec explica a criptografia de disco completo (FDE)
Os dados criptografados ficam inacessíveis para usuários não autorizados, mesmo se o dispositivo estiver instalado em outra máquina. Depois de desbloquear um computador, os dados são automaticamente descriptografados e legíveis. Uma desvantagem é que o processo de criptografia / descriptografia diminui o tempo de acesso aos dados, principalmente quando a memória virtual é usada.
O FDE é útil para pequenos dispositivos eletrônicos vulneráveis a roubo ou perda, como laptops. Em um ambiente corporativo ou de grande rede de computadores, uma política segura de nome de usuário e senha é um requisito crítico. A seguir estão as vantagens do FDE:
- A maioria dos dados é criptografada, incluindo espaço de troca e arquivos temporários.
- Um usuário não pode determinar a criptografia do arquivo.
- A autorização é estabelecida antes da inicialização do computador (autenticação pré-inicialização).
- Destruir chaves de autenticação / criptografia também destrói dados. A destruição ou eliminação da unidade física é recomendada se ataques futuros forem uma preocupação.
No entanto, o FDE tem problemas. Ataques de inicialização a frio podem ocorrer quando a degradação dos bits de dados diminui depois que a energia é desligada, criando vulnerabilidade. O sistema operacional deve manter as chaves de descriptografia na memória para acesso aos dados da unidade de disco. Além disso, a descriptografia de blocos na unidade do SO armazenado deve ser feita antes de inicializar o SO. Portanto, a chave de autenticação deve estar disponível antes que uma senha seja solicitada pela interface. Isso é resolvido pela autenticação de pré-inicialização.
A criptografia no nível do sistema de arquivos é semelhante ao FDE, mas normalmente não criptografa os metadados do sistema de arquivos, como estrutura de diretório, nomes de arquivo, carimbos de data / hora ou tamanhos de arquivo / pasta.