Cifrado de discos y archivos
Protección de los usuarios de Kaspersky Endpoint Security (para empresas)
Kaspersky Endpoint Security para Windows cuenta con herramientas integradas de cifrado de datos. Funcionan de acuerdo con las directivas distribuidas desde Kaspersky Security Center, la aplicación del administrador para la administración de la infraestructura corporativa protegida por los productos de seguridad de Kaspersky.
El cifrado de disco completo (FDE) impide la filtración de datos a causa de la pérdida de una laptop o un disco duro portátil. Cuando un disco está cifrado, los usuarios no autorizados no pueden arrancarlo ni leer sus datos.
El cifrado a nivel de archivos (FLE) protege los archivos en tiempo real cuando se transfieren en canales no confiables. Los usuarios con permiso de acceso a archivos protegidos de acuerdo con las políticas de cifrado los pueden ver sin cifrar.
Políticas de cifrado
Los administradores de Kaspersky Security Center pueden establecer políticas de cifrado que activarán el cifrado en computadoras corporativas protegidas por Kaspersky Endpoint Security. Las políticas pueden diferir entre hosts y los datos de cumplimiento de políticas se agregan en una fuente de informe común visible para los administradores.
También se pueden establecer políticas para dispositivos extraíbles (unidades flash, unidades portátiles, etc.) conectados a una computadora. Por ejemplo, el dispositivo se puede bloquear hasta que el usuario acepte aplicar el cifrado a este dispositivo o a los tipos específicos de archivos que contiene.
En el cifrado a nivel de archivos, las políticas pueden definir qué archivos se deben cifrar, según la extensión o la ubicación del archivo en un disco. Una vez que se detecta un archivo coincidente en la computadora, se cifra.
Cifrado transparente
El cifrado no interfiere en el flujo de trabajo típico de un usuario, es decir, no introduce nuevas aplicaciones ni cambios en la configuración de los flujos de trabajo existentes. Las directivas se aplican automáticamente.
El cifrado es transparente para las aplicaciones, es decir, cuando un usuario se autentica en el sistema operativo, las aplicaciones pueden ver datos en los discos como si no estuvieran cifrados, aunque sí lo estén. El filtro de cifrado transmite datos entre aplicaciones y discos (un filtro de disco para FDE y un filtro de archivos para FLE). Descifra los datos que van de los discos a las aplicaciones y cifra los datos que vuelven. Los datos se cifran "sobre la marcha" e inmediatamente en operaciones de lectura y escritura, y no hay datos almacenados sin cifrado en el disco, ni siquiera de manera temporal.
En algunas aplicaciones, el cifrado no debe ser así de transparente. Por ejemplo, los procedimientos de creación de copia de seguridad que almacenan una copia de un disco cifrado para conservarla en otro lugar no deben almacenar los datos de copia de seguridad sin cifrar. Por lo tanto, la aplicación de respaldo debe copiar el disco en su estado cifrado. En este y otros casos similares, el administrador puede desactivar el cifrado transparente de aplicaciones específicas a nivel central.
Mecanismo de cifrado de disco (FDE)
El mecanismo de FDE cifra discos completos en una computadora. El FDE es compatible con los siguientes elementos:
- Cifrado de cualquier tipo de disco: HDD, SSD, unidades flash, etc. En el caso de los dispositivos SSD, el FDE se encarga de reducir la cantidad de ciclos adicionales de lectura/escritura, lo que aumenta la vida útil de la unidad.
- Aceleración de hardware de cifrado (si el procesador de la computadora es compatible con AES-NI).
- El Arranque seguro de UEFI es una tecnología que protege a las computadoras durante el arranque, garantiza que solo se cargue el software de confianza y que el sistema operativo y el software se inicien correctamente sin sufrir interferencias de otros procesos.
Claves de cifrado. El filtro de cifrado del disco cifra y descifra los datos con una clave de disco. Se crea una clave independiente para cada disco y se almacena en este en tres copias cifradas. Incluso si el disco se daña y una copia importante se destruye, se puede acceder al disco con otra copia. Si las tres copias de la clave en el disco están dañadas, el acceso al disco se puede restaurar con la copia almacenada en Kaspersky Security Center. Para ello, cuando se crea una clave de disco, su copia se envía de forma segura a Kaspersky Security Center. Las claves nunca se almacenan sin cifrar en el disco.
Autenticación de usuario y carga del sistema operativo desde un disco cifrado. La clave de disco almacenada en el disco queda disponible para el filtro de cifrado después de la autenticación de un usuario. Un usuario se puede autenticar con una contraseña, un token USB o una tarjeta inteligente. Después de realizar la autenticación correctamente, el sistema operativo puede arrancar desde el disco cifrado.
Aplicación de políticas de cifrado en una computadora. Cuando se aplica una política de cifrado en una computadora, se inician dos procesos:
- El cifrado sobre la marcha está activado permanentemente. De esta forma, se garantiza que todos los datos escritos en el disco estén cifrados desde este momento. Para ello, el filtro de cifrado de disco intercepta todos los procesos de lectura/escritura en el disco.
- Se inicia el proceso de cifrado de disco, lo que comienza el cifrado total de los discos de la computadora. Cuando se completa, la política de cifrado del disco se aplica completamente en la computadora. El cifrado del disco puede tardar varias horas.
Durante el cifrado del disco, los usuarios pueden trabajar como de costumbre, hacer que la computadora entre en modo de suspensión o apagarla. Cuando se encienda de nuevo, el cifrado se reanudará. El proceso también es resistente a las fallas (p. ej., al corte de la alimentación o a las fallas del sistema operativo). El diseño del cifrado a prueba de fallas garantiza que, tras un período, todos los datos estarán cifrados.
Acceso a archivos cifrados (FLE)
Acceso con Kaspersky Endpoint Security Cuando un usuario se autentica en el sistema operativo, las aplicaciones de la computadora que se ejecutan en nombre del usuario obtienen acceso a los archivos cifrados, de acuerdo con las políticas de cifrado.
Para acceder a los archivos cifrados con otros usuarios, el agente del host de Kaspersky Endpoint Security solicita las claves de descifrado necesarias desde Kaspersky Security Center. Por ejemplo, si otro usuario cifró un archivo enviado por correo electrónico, el host del destinatario solicita y recibe una clave de Kaspersky Security Center (si las políticas permiten el acceso). Esta clave funciona para acceder a este archivo y a otros archivos cifrados en el mismo disco lógico de ese usuario. La clave se copia en caché, por lo que no es necesario solicitar una nueva clave cada vez que se recibe un archivo que se cifró en el mismo disco del mismo usuario.
Si no hay conexión a Internet, el destinatario puede obtener una clave de Kaspersky Security Center a través del intercambio estándar de claves seguras de respuesta de desafío a través de canales abiertos (p. ej., un teléfono). Simplemente se puede enviar un código de desafío generado y, luego, recibir el código de respuesta.
Acceso sin Kaspersky Endpoint Security. Si las políticas de cifrado lo permiten, los usuarios pueden configurar sus dispositivos, de modo que se pueda acceder a los archivos cifrados en estos dispositivos en computadoras sin Kaspersky Endpoint Security, por medio de la autorización por contraseña. Cuando los usuarios configuran dicho dispositivo con Kaspersky Endpoint Security:
- La aplicación Administrador de archivos portátiles de Kaspersky se copia en el dispositivo. Almacena de forma segura las claves para el acceso a los archivos y los cifra y los descifra.
- El usuario crea una contraseña para acceder a los archivos de este dispositivo.
Cuando un usuario conecta un dispositivo y lo autoriza en el Administrador de archivos portátiles, los archivos cifrados pasan a estar disponibles para su lectura y edición. Los usuarios también pueden cifrar nuevos archivos en el dispositivo.
Protección de los usuarios de Kaspersky Total Security (consumidores)
Crypto Disk es un subsistema de Kaspersky Total Security que protege con cifrado los datos almacenados de un usuario.
Con Crypto Disk, los usuarios crean un disco cifrado virtual que se almacena como un archivo independiente. Para acceder al disco, se utiliza una contraseña que se asigna cuando se crea el disco. Después de la autorización, el disco se monta como una unidad local (p. ej., "E:\"). Un usuario puede transferir un archivo con el disco cifrado a otros usuarios a través de dispositivos, correo electrónico, repositorios compartidos y en la nube, y otorgar a otros usuarios acceso dándoles a conocer la contraseña.
El disco está cifrado no en la contraseña en sí, sino que en una clave generada automáticamente, la cual está disponible cuando el usuario se autentica. Esto ofrece la opción de que un usuario cambie una contraseña sin la necesidad de volver a cifrar todo el disco virtual.
Módulo de cifrado
El FDE, el FLE y Crypto Disk utilizan el módulo de cifrado que emplea el algoritmo de cifrado AES-256 en el modo XTS. La biblioteca de cifrado está certificada con:
- Certificación FIPS 140-2
- Criterios comunes
Productos relacionados
WHITEPAPER
Protecting Sensitive Data with Kaspersky...