Уровень шифрования в стеке хранилища - Encryption layer in storage stack
 | Эта статья не цитировать любой источники. (Декабрь 2006 г.) (Узнайте, как и когда удалить этот шаблон сообщения) |
 | В нейтралитет этой статьи оспаривается. (Декабрь 2019 г.) (Узнайте, как и когда удалить этот шаблон сообщения) |
Существует множество терминов, которые используются для описания реализации шифрование диска: на лету шифрование (OTFE); полное шифрование диска (FDE), шифрование всего диска; шифрование на уровне файловой системы, зашифрованная файловая система, криптографическая файловая системаи т. д. Все они относятся к слой шифрования в стек хранения. В этой статье описываются эти методы и объясняются их плюсы и минусы. В этой статье не упоминается какое-либо программное или аппаратное обеспечение, реализующее эти методы (см. программное обеспечение для шифрования дисков и аппаратное обеспечение ), и он не описывает стоящую за ним криптографическую теорию (см. теория шифрования диска ).
Стек хранилища
Чтобы полностью понять перечисленные выше методы, нам сначала нужно рассмотреть стек программного и аппаратного обеспечения в компьютерное хранилище подсистема. Приведем пример такого стека на ПК: жесткий диск оборудование предоставляет интерфейс для чтения и записи секторов, используя логическая адресация блока (LBA) или сектор головки блока цилиндров (CHS) адрес; поверх него есть программный уровень, который интерпретирует таблицу разделов, хранящуюся в Главная загрузочная запись (MBR) и представляет отдельный жесткий диск как набор логических дисков; поверх него есть еще один программный слой (файловая система ), которые представляют логический диск как набор файлов, организованных в каталоги; поверх него может быть программное обеспечение (текстовый редактор), которое интерпретирует файл как список текстовых строк. Каждый слой в этом стеке предоставляет свой собственный интерфейс использование интерфейса, предоставляемого уровнем ниже, например, диск с LBA-доступом или логический диск, позволяющий читать и записывать секторы фиксированного размера с учетом номера сектора (такие уровни называются адресуемыми по секторам); файловая система позволяет читать и записывать данные произвольной длины с учетом имени файла и смещения внутри файла; а текстовый редактор позволяет удалять и вставлять символы в текстовый файл.
Подобно общению стек протоколов, эта модульность обеспечивает большую гибкость: каждый уровень можно легко заменить другим, если он обеспечивает тот же интерфейс. Например, жесткий диск можно заменить на флэш-память в то время как весь остальной стек остается без изменений. Также можно ввести дополнительный уровень, который предоставляет тот же интерфейс, что и уровень ниже, но изменяет данные по ходу, например, для обеспечения шифрования и дешифрования «на лету». Этот уровень шифрования может быть интегрирован с любым уровнем в нашем примере: шифрование может быть реализовано аппаратно на жестком диске; один логический диск может быть зашифрован; файл может быть зашифрован файловой системой; и даже сам текстовый редактор может прозрачно зашифровать данные перед их сохранением в файл.
Условия
Термины, перечисленные в начале статьи, относятся к такому слою шифрования в разных позициях. К сожалению, соглашения об именах у разных спикеров различаются. В общем, любой метод, в котором данные прозрачно шифруются при записи и дешифруются при чтении, может быть вызван шифрование на лету (OTFE), хотя некоторые предпочитают использовать это имя только для шифрования адресуемого слоя. Полное шифрование диска (FDE) или шифрование всего диска Некоторые используют его для обозначения уровня шифрования с адресуемым сектором (физического диска, а не логического диска), тогда как другие используют его для обозначения только шифрования физического диска, а не логического диска. Шифрование на уровне файловой системы или же криптографическая файловая система используется для обозначения файловой системы, которая может выборочно шифровать файлы, хранящиеся в ней, в то время как другие различают эти термины: они используют первые для обозначения файловой системы общего назначения, которая поддерживает шифрование, в то время как они используют последнюю для обозначения файловой системы, которая специально разработана для обеспечения шифрование и использует другую файловую систему для хранения файлов.
Поскольку во многих случаях люди (ошибочно) предполагают, что их собеседник придает одинаковое значение этим терминам, существует множество аргументов в пользу того, предоставляет ли конкретная реализация какую-либо конкретную функцию. Например, тот, кто противопоставляет «шифрование всего диска» «шифрованию на уровне файловой системы», может сказать, что какой-то программный пакет предоставляет FDE, тогда как его оппонент, противопоставляющий «FDE» «шифрованию логического диска» (или «шифрованию раздела диска» ) скажет, что пакет не поддерживает FDE. В этой статье объясняется, что перед тем, как приступить к обсуждению подобных аргументов, очень важно понять, какое значение каждый говорящий придает терминам.