تکنیک های رمزگذاری تا چه میزان امنیت ایجاد می کنند؟
برای یک لحظه، سرقت ID و رخنه های امنیتی را فراموش کنید. درباره محافظت از داده های خانگی خود چه فکری دارید؟ مطمئناً علاقه ای ندارید که عکسهای خانوادگی در دسترس افراد بیگانه قرار بگیرند. نظرتان درباره اعداد و ارقام حسابهای بانکی تان چیست؟ وصیت نامه و آخرین خواسته هایتان چطور؟ آیا می دانید دقیقاً چه چیزهائی را در کاشه مرورگر وب خود باقی گذاشته اید؟ صرفنظر از اینکه داده هایتان برای شما ارزش میلیونی داشته و یا در صورت قرار گرفتن در دستهای نامناسب می توانند دردسرهای بزرگی را برایتان ایجاد کنند، همه ما احتمالاً کمی آسوده تر خواهیم خوابید اگر بدانیم که وقتی درایوهای ذخیره سازی کامپیوترهایمان را تنها می گذاریم، آنها صرفاً به جعبه های براق و بی مصرف تبدیل نمی شوند.
NIST بر این باور است که هر سه اندازه کلید می توانند محافظت کافی از داده ها را تا سال 2031 و حتی پس از آن تأمین نمایند. یک White-Paper منتشر شده توسط شرکت Seagte، یک تخمین تأثیرگذارتر را مطرح می کند: اگر فرض کنید هریک از 7 میلیارد نفر جمعیت کره زمین 10 کامپیوتر را در اختیار دارند و هر کامپیوتر از توانائی آزمایش 1 میلیارد ترکیب کلید در هر ثانیه برخوردار می باشد و اگر فرض کنیم که کلید مورد نظر ما پس از آزمایش 50 درصد از ترکیبهای احتمالی شکسته خواهد شد، یک حمله Brute Force که بطور موازی توسط 7 میلیارد نفر انسان اجرا شده است خواهد توانست یک کلید AES 128 بیتی را در مدت 77000000000000000000000000( 77 با 24 صفر) سال بشکند. White-Paper مذکور با طعنه به این نکته اشاره می کند که « پس چرا بعضی از محصولات با رمزگذاری 256 بیتی معرفی می شوند؟ تنها برای بازاریابی و تبلیغات».
امروزه نسخه های Enterpeise و Ultimate ویندوز ویستا و Windows 7 با یک ویژگی رمزگذاری مبتنی بر AES 128 بیتی ارائه می شوند که BitLocker نام دارد. BitLocker برای استفاده عمومی کاملاً امن است، گرچه تعدادی حمله شناخته شده بر علیه آن انجام شده اند استفاده از BitLocker به همراه TPM(Trusted Platform Module) بر روی مادربورد می تواند به خنثی نمودن بسیاری از این حملات کمک نماید، زیرا TPM می تواند کلیدها را کاملاً خارج از دسترس سیستم عامل و یا حافظه سیستم، ایجاد و نگهداری کند. به همین دلیل است که مادربردهای طراحی شده برای PCهای شرکتی معمولاً در داخل خود، به TPM مجهز هستند. با اینحال، TPMها در دنیای مصرف کنندگان عام از رواج بسیار کمتری برخوردارند.
BitLocker تنها یکی از برنامه های رمزگذاری مبتنی بر نرم افزار برای PCها به حساب می آید، اما تمام این برنامه ها دارای یک وجه مشترک هستند: تکیه بر CPU برای انجام وظایف فوق العاده سنگین رمزگذاری و رمزگشائی داده ها. هنگامیکه شما AES مبتنی بر نرم افزار را در سایر نرم افزارهای کاربردی نظیر فشرده سازهای فایل/ فولدر و یا رمزگذاری Volume دیسک ( مثل BitLocker) اجرا می کنید، CPU باید این بار کاری را بر عهده بگیرد که منابع بسیار کمتری را برای سایر نرم افزارهای کاربردی باقی خواهد گذاشت. اجرای AES 256 بیتی بصورت نرم افزاری می تواند یک PC را کاملاً به زانو در آورد.
تولیدکنندگان درایوهای دیسک سخت مدت زیادی است که به دنبال راه هائی هستند تا این وظیفه پردازشی را از دوش CPU برداشته و آن را در داخل درایو ذخیره سازی اداره نمایند. به این ترتیب، عملکرد کلی سیستم حفظ خواهد شد و در عین حال ارزش بیشتری برای محصولات آنها بوجود خواهد آمد. این کار مستلزم تعبیه یک کمک پردازنده رمزگذاری بر روی PCB درایو خواهد بود. روش مذکور در ابتدا تحت عنوان FDE(Full Drive Encryption) شناخته می شد، اصطلاحی که Seagate آن را با درایو 2/5 اینچی Momentus 5400 FDE.2 خود بر سر زبانها انداخت. این درایو که در سال 2006 عرضه گردید، تا حدود یک پاسخ به مشکل سربار BitLocker به حساب می آمد. برای مدتی، بعضی از فروشندگان با عبارت BDE(Bulk Disk Encryption) بازی کردند، اما امروزه به نظر می رسد که SED(Self-Encrypting Drive) به یک اصطلاح ترجیحی و دقیق تر تبدیل شده است. البته ممکن است فروشندگان نامهای تجاری مختلفی را برای محصولات خودشان انتخاب کنند، همان کاری که Seagate با « DriveTrust» مبتنی بر AES 128 بیتی خود انجام داده است.
سه مؤلفه اصلی در فرآیند SED وجود دارند. اولین مؤلفه، On-Drive Firmware است که توانائی بکارگیری Hashing، تولید اعداد تصادفی و قابلیتهای رمزگذاری/ رمزگشائی پردازنده رمزگذاری مستقر بر روی درایو را دارد. عنصر دوم، یک پارتیشن مخفی امن بر روی درایو برای ذخیره سازی کلیدهای رمزگذاری در محلی دور از دسترس سیستم عامل است. در نهایت، SEDها از یک جفت فرمان دفن شده در پروتکلهای اینترفیس استفاده می کنند. شاید این موضوع یک نکته بسیار کوچک به نظر برسد، اما اهمیت حیاتی آن در عمومی سازی رمزگذاری به اثبات رسیده است. تقریباً برای سه سال پس از عرضه اولین درایو Momentus FDE، شرکت Seagate از ارسال یک درایو مستقل برای بررسیها خودداری می کرد و ما به تازگی متوجه دلیل این موضوع شده ایم. البته این واقعیت که درایوهای مذکور در بازار تنها در داخل نت بوکهای OEM قابل دسترسی بودند نه بصورت درایوهای مستقل، می توانست یک سرنخ باشد.
دکتر Jorge Campello از بخش تحقیقات Hitachi GST و رئیس هیأت مدیره گروه کاری TCG Storage می گوید:« مؤسسه TCG(Trusted Computing Group) به سراغ تیمهای T10 و T13 ( که به ترتیب کنترل مجموعه دستورالعملهای SCSI و ATA را بر عهده دارند) رفته و چند کد عملیاتی را رزرو کردیم. این کدها، فرامین « Trusted Send» و « Trusted Recieve» یا « Security» و « Security out» هستند. این دو عملیات به ما امکان می دهند تا داده ها را در یک وضعیت امن ارسال و دریافت نمائیم. در واقع به فرامین پوشاننده شباهت دارند. با اینحال وقتی به پیاده سازیهای موجود برای کنترلر ATA و حتی درایورهای ابزار لایه Abstraction درایو دیسک سخت و یا کنترلر ATA آن نگاه می کنید، برای کار با کدهای مذکور آزمایش نشده اند زیرا در گذشته برای موارد ATA رزرو شده بوده اند».
Lark Allen معاون اجرائی Wave می گوید:« در گذشته، مشکلاتی در رابطه با چیپ ستها وجود داشتند که فرامین جدید را عبور نمی دادند. اما اکنون می توانیم بگوئیم که 98 تا 99 درصد از تمام سکوهای هریک از فروشندگان مهم با آنها کار می کنند».
برای حصول اطمینان از اینکه تمام صنعت بر روی یک گذرگاه رمزگذاری واحد حرکت می کند، گروه کاری ذخیره سازی TCG ( همان مؤسسه ای که از TPM پشتیبانی می کند) مشخصات Opal Security Subsystem Class را در ژانویه سال 2009 معرفی نمود. حتی با وجود آنکه Seagate یکی از اعضای اصلی مشخصات Opal بود، پیاده سازی DriveTrust این شرکت قبل از معرفی مشخصات مذکور عرضه گردیده و رسماً همان Opal به حساب نمی آید، هرچند که Seagate آن را از نظر عملیاتی معادل می داند. در حال حاضر، انتظار می رود که تمام تولید کنندگان SED بطور 100 درصد با Opal انطباق داشته باشند.
Joni Clark مدیر بازاریابی محصولات شرکت Seagateمی گوید:« ما با نسخه های قبلی درایو Momentus شاهد یک تأثیر عملکردی 2 تا 3 درصدی در هنگام اسکن ویروس بودیم. در سایر موارد این تأثیر به حدود 1 درصد می رسید. با اینحال من فکر نمی کنم که شما هیچگونه تفاوتی را با درایوهای جدیدتر مشاهده نمائید».
برای جایگزین کردن یک دستگیره ساده با یک قفل واقعی، دو گزینه وجود دارد.اول، پیاده سازی یک کلمه عبور BIOS. این کلمه عبور از طریق چیپ ست طوری با سیستم ATA لینک خواهد شد که وقتی کلمه عبور را وارد می کنید، درایو اعتبار آن را تائید کرده و سپس کلید رمزگذاری درایو را رمزگشائی می نماید. در حالیکه درایو اکنون « باز» شده است، Firmware درایو به سراغ Master Boot Record عادی رفته و سیستم عامل بوت می گردد. بطور متناوب، یک فرآیند مشابه هنگامیکه سیستم از وضعیت Hibernation خارج می شود، اعمال می گردد. قطع برق، قفل را فعال نموده و سپس تائید اعتبار باعث غیرفعال شدن آن می گردد.
گزینه دوم این است که یک محصول مدیریت طرف ثالث نظیر Wave Embassy Trust Suite را پیاده سازی کنیم. WinMagic و CryptoMill Technologies نیز بسته های مشابهی را ارائه می نمایند. برنامه های مدیریت رمزگذاری، یک لایه اضافی از عملکرد را فراهم می کنند که از طریق تائید اعتبار معمولی ATA در BIOS قابل دسترسی نمی باشد.
Pratap Kesarkar سرپرست مهندسی فروش فنی در شرکت Wave می گوید:« هنگامیکه شما سیستم خود را روشن می کنید، به روشی برای تائید اعتبار خود برای درایو نیاز دارید تا قفل آن باز شود. قرار نیست BIOS این کار را انجام دهد زیرا BIOS تا مراحل بعدی یعنی فرآیند بوت به سراغ آن نمی رود. ما تائید اعتبار را طوری برای کنترلر درایو تأمین می کنیم که درایو باز شده و رمزگشائی داده ها در هنگام خروج آنها از کنترلر را آغاز نماید. در بالای این سطح، نرم افزار مدیریت رمزگذاری ما به شما اجازه می دهد تا قفل ها را در محل امنی قرار داده و کلیدهائی را برای کاربران تدارک ببینید، بصورتیکه بتوانند با مجوزهای خود( مثلاً از طریق بکارگیری کارت کلید و کلمه عبور) به داده ها دسترسی پیدا کنند.
ما آزمایشهای خود را بر روی یک سکوی Clarkdale اینتل اجرا کردیم ( یک مادربرد DH55TC با پردازنده 661-Core i5)، خصوصاً به این دلیل که می خواستیم یک پردازنده با قابلیت پشتیبانی از AES-NI را بررسی کنیم. بدیهی است که اکثر قریب به اتفاق CPUهائی که امروزه به فروش می رسند فاقد این دستورالعملها می باشند، ولی می توان اطمینان داشت که این وضعیت در طول یک یا دو سال آینده به کلی تغییر خواهد کرد. پرسشی که مطرح می شود، مقایسه SED در مقابل رمزگذاری /رمزگشائی صرفاً نرم افزاری نیست، بلکه مقایسه SED در مقابل یک سکوی نرم افزاری با پشتیبانی شتابدهی AES مبتنی بر CPU است. بستر آزمایشی ما شامل 4 گیگابایت حافظه OCZ Platinum 1600 مگاهرتزی، یک کارت گرافیکی EVGA 280 GTX و سیستم عامل Windows 7 Ultimate Edition 64 بیتی بود که Intel Matrix Storage Manager 8.9 را بر روی آن نصب کرده بودیم.
بطور آشکارا، تفاوت میان SSD و HDD همانند روز و شب است. درایو Vertex شرکت OCZ( با Firmware نسخه 1.4) که یک درایو بالاتر از سطح عمومی در نظر گرفته می شود، در اکثر آزمایشها با فاصله نزدیکی SED سامسونگ را دنبال می کرد. بنابراین ما کاملاً متقاعد شدیم که رمزگذاری تداخلی با عملکرد درایوها ندارد. در یک وضعیت مشابه، Fujitsu نیز به اندازه کافی به Momentus 5600.6 نزدیک است تا باعث شود ما رمزگذاری را بعنوان یک فرآیند متداول بپذیریم.
اما رمزگذاری نرم افزاری چه تأثیری بر عملکرد درایو دارد؟ ما Volumهای BitLocker را بر روی درایو 500 گیگابایتی Momentus و درایو سطح بالای X25-M G2 اینتل ایجاد کردیم تا این موضوع را بررسی نمائیم. ادعاهای تک رقمی مایکروسافت در اینجا( بر روی درایو دیسک سخت) کاملاً اثبات شدند. در واقع، ما با دو آزمایش PCMark مواجه شدیم که در آنها Volumهای Bitlocker توانستند نسخه رمزگذاری نشده را پشت سر بگذارند. با اینحال، وضعیت مذکور بر روی SSD اینتل بطور قابل ملاحظه ای تغییر کرد. BitLocker باعث سقوط سطح عملکردی درایو گردید و اساساً امتیازهای آن را به نصف تقلیل داد.
چند ماه قبل، Seagate درایو USB 320 گیگابایتی BlackArmor را ارائه کرد که به یک پردازنده رمزگذاری مجتمع مجهز بود. این مدل با مجموعه قبلی درایوهای USB BlackArmor که بر پردازش نرم افزاری تکیه دارند، متفاوت است. برای مشاهده مزیت وجود یک پردازنده OnDrive، ما Momentus 5400.6 را در یک محفظه USB قرار داده و به مقایسه دو درایو پرداختیم. در واقع عملکرد آنها به اندازه کافی به یکدیگر نزدیک بود تا ما ترجیح دهیم برتری اندک 5600.6 را نادیده بگیریم. در عین حال، تنها برای اطمینان یافتن از اینکه با محدودیتهای درایو سر و کار داریم نه یک گلوگاه در اینترفیس USB، درایو X25-M را نیز در محفظه USB آزمایش کردیم که در این وضعیت توانست امتیازهای هر دو درایو Seagte را زیر پای خود له کند.
آزمایشهای Read و Write متوالی بر روی درایوهای USB ما نشان دادند که واقعاً با یک گلوگاه اتصال مواجه هستیم. شاید جالب توجه ترین موارد، آزمایشهای رمزگذاری ما باشند. ما می خواستیم بفهمیم آیا تفاوتی مابین BitLocker و سایر گزینه های مبتنی بر نرم افزار وجود دارد یا خیر؟ برای پیدا کردن جواب این سؤال، ما یک نرم افزار Open Source با نام TruCrypt 6.3a را بارگذاری نمودیم. بر روی Momentus 500 گیگابایتی، نتایج بدست آمده بسیار نزدیک بودند، به اندازه کافی نزدیک تا بتوانیم BitLocker را بعنوان یک دلیل واحد برای پرداخت هزینه بالاتر Win7 Ultimate کنار بگذاریم. با اینحال، BitLocker بر روی SSD اینتل واقعاً توانست TruCrypt را شرمنده سازد، در حالیکه بیش از 40 درصد برتری عملکرد را نسبت به آن نشان می داد.
منبع: بزرگراه رایانه، شماره 129
AES
NIST بر این باور است که هر سه اندازه کلید می توانند محافظت کافی از داده ها را تا سال 2031 و حتی پس از آن تأمین نمایند. یک White-Paper منتشر شده توسط شرکت Seagte، یک تخمین تأثیرگذارتر را مطرح می کند: اگر فرض کنید هریک از 7 میلیارد نفر جمعیت کره زمین 10 کامپیوتر را در اختیار دارند و هر کامپیوتر از توانائی آزمایش 1 میلیارد ترکیب کلید در هر ثانیه برخوردار می باشد و اگر فرض کنیم که کلید مورد نظر ما پس از آزمایش 50 درصد از ترکیبهای احتمالی شکسته خواهد شد، یک حمله Brute Force که بطور موازی توسط 7 میلیارد نفر انسان اجرا شده است خواهد توانست یک کلید AES 128 بیتی را در مدت 77000000000000000000000000( 77 با 24 صفر) سال بشکند. White-Paper مذکور با طعنه به این نکته اشاره می کند که « پس چرا بعضی از محصولات با رمزگذاری 256 بیتی معرفی می شوند؟ تنها برای بازاریابی و تبلیغات».
امروزه نسخه های Enterpeise و Ultimate ویندوز ویستا و Windows 7 با یک ویژگی رمزگذاری مبتنی بر AES 128 بیتی ارائه می شوند که BitLocker نام دارد. BitLocker برای استفاده عمومی کاملاً امن است، گرچه تعدادی حمله شناخته شده بر علیه آن انجام شده اند استفاده از BitLocker به همراه TPM(Trusted Platform Module) بر روی مادربورد می تواند به خنثی نمودن بسیاری از این حملات کمک نماید، زیرا TPM می تواند کلیدها را کاملاً خارج از دسترس سیستم عامل و یا حافظه سیستم، ایجاد و نگهداری کند. به همین دلیل است که مادربردهای طراحی شده برای PCهای شرکتی معمولاً در داخل خود، به TPM مجهز هستند. با اینحال، TPMها در دنیای مصرف کنندگان عام از رواج بسیار کمتری برخوردارند.
BitLocker تنها یکی از برنامه های رمزگذاری مبتنی بر نرم افزار برای PCها به حساب می آید، اما تمام این برنامه ها دارای یک وجه مشترک هستند: تکیه بر CPU برای انجام وظایف فوق العاده سنگین رمزگذاری و رمزگشائی داده ها. هنگامیکه شما AES مبتنی بر نرم افزار را در سایر نرم افزارهای کاربردی نظیر فشرده سازهای فایل/ فولدر و یا رمزگذاری Volume دیسک ( مثل BitLocker) اجرا می کنید، CPU باید این بار کاری را بر عهده بگیرد که منابع بسیار کمتری را برای سایر نرم افزارهای کاربردی باقی خواهد گذاشت. اجرای AES 256 بیتی بصورت نرم افزاری می تواند یک PC را کاملاً به زانو در آورد.
کمک سخت افزار
تولیدکنندگان درایوهای دیسک سخت مدت زیادی است که به دنبال راه هائی هستند تا این وظیفه پردازشی را از دوش CPU برداشته و آن را در داخل درایو ذخیره سازی اداره نمایند. به این ترتیب، عملکرد کلی سیستم حفظ خواهد شد و در عین حال ارزش بیشتری برای محصولات آنها بوجود خواهد آمد. این کار مستلزم تعبیه یک کمک پردازنده رمزگذاری بر روی PCB درایو خواهد بود. روش مذکور در ابتدا تحت عنوان FDE(Full Drive Encryption) شناخته می شد، اصطلاحی که Seagate آن را با درایو 2/5 اینچی Momentus 5400 FDE.2 خود بر سر زبانها انداخت. این درایو که در سال 2006 عرضه گردید، تا حدود یک پاسخ به مشکل سربار BitLocker به حساب می آمد. برای مدتی، بعضی از فروشندگان با عبارت BDE(Bulk Disk Encryption) بازی کردند، اما امروزه به نظر می رسد که SED(Self-Encrypting Drive) به یک اصطلاح ترجیحی و دقیق تر تبدیل شده است. البته ممکن است فروشندگان نامهای تجاری مختلفی را برای محصولات خودشان انتخاب کنند، همان کاری که Seagate با « DriveTrust» مبتنی بر AES 128 بیتی خود انجام داده است.
سه مؤلفه اصلی در فرآیند SED وجود دارند. اولین مؤلفه، On-Drive Firmware است که توانائی بکارگیری Hashing، تولید اعداد تصادفی و قابلیتهای رمزگذاری/ رمزگشائی پردازنده رمزگذاری مستقر بر روی درایو را دارد. عنصر دوم، یک پارتیشن مخفی امن بر روی درایو برای ذخیره سازی کلیدهای رمزگذاری در محلی دور از دسترس سیستم عامل است. در نهایت، SEDها از یک جفت فرمان دفن شده در پروتکلهای اینترفیس استفاده می کنند. شاید این موضوع یک نکته بسیار کوچک به نظر برسد، اما اهمیت حیاتی آن در عمومی سازی رمزگذاری به اثبات رسیده است. تقریباً برای سه سال پس از عرضه اولین درایو Momentus FDE، شرکت Seagate از ارسال یک درایو مستقل برای بررسیها خودداری می کرد و ما به تازگی متوجه دلیل این موضوع شده ایم. البته این واقعیت که درایوهای مذکور در بازار تنها در داخل نت بوکهای OEM قابل دسترسی بودند نه بصورت درایوهای مستقل، می توانست یک سرنخ باشد.
دکتر Jorge Campello از بخش تحقیقات Hitachi GST و رئیس هیأت مدیره گروه کاری TCG Storage می گوید:« مؤسسه TCG(Trusted Computing Group) به سراغ تیمهای T10 و T13 ( که به ترتیب کنترل مجموعه دستورالعملهای SCSI و ATA را بر عهده دارند) رفته و چند کد عملیاتی را رزرو کردیم. این کدها، فرامین « Trusted Send» و « Trusted Recieve» یا « Security» و « Security out» هستند. این دو عملیات به ما امکان می دهند تا داده ها را در یک وضعیت امن ارسال و دریافت نمائیم. در واقع به فرامین پوشاننده شباهت دارند. با اینحال وقتی به پیاده سازیهای موجود برای کنترلر ATA و حتی درایورهای ابزار لایه Abstraction درایو دیسک سخت و یا کنترلر ATA آن نگاه می کنید، برای کار با کدهای مذکور آزمایش نشده اند زیرا در گذشته برای موارد ATA رزرو شده بوده اند».
Lark Allen معاون اجرائی Wave می گوید:« در گذشته، مشکلاتی در رابطه با چیپ ستها وجود داشتند که فرامین جدید را عبور نمی دادند. اما اکنون می توانیم بگوئیم که 98 تا 99 درصد از تمام سکوهای هریک از فروشندگان مهم با آنها کار می کنند».
برای حصول اطمینان از اینکه تمام صنعت بر روی یک گذرگاه رمزگذاری واحد حرکت می کند، گروه کاری ذخیره سازی TCG ( همان مؤسسه ای که از TPM پشتیبانی می کند) مشخصات Opal Security Subsystem Class را در ژانویه سال 2009 معرفی نمود. حتی با وجود آنکه Seagate یکی از اعضای اصلی مشخصات Opal بود، پیاده سازی DriveTrust این شرکت قبل از معرفی مشخصات مذکور عرضه گردیده و رسماً همان Opal به حساب نمی آید، هرچند که Seagate آن را از نظر عملیاتی معادل می داند. در حال حاضر، انتظار می رود که تمام تولید کنندگان SED بطور 100 درصد با Opal انطباق داشته باشند.
SED در عمل
Joni Clark مدیر بازاریابی محصولات شرکت Seagateمی گوید:« ما با نسخه های قبلی درایو Momentus شاهد یک تأثیر عملکردی 2 تا 3 درصدی در هنگام اسکن ویروس بودیم. در سایر موارد این تأثیر به حدود 1 درصد می رسید. با اینحال من فکر نمی کنم که شما هیچگونه تفاوتی را با درایوهای جدیدتر مشاهده نمائید».
برای جایگزین کردن یک دستگیره ساده با یک قفل واقعی، دو گزینه وجود دارد.اول، پیاده سازی یک کلمه عبور BIOS. این کلمه عبور از طریق چیپ ست طوری با سیستم ATA لینک خواهد شد که وقتی کلمه عبور را وارد می کنید، درایو اعتبار آن را تائید کرده و سپس کلید رمزگذاری درایو را رمزگشائی می نماید. در حالیکه درایو اکنون « باز» شده است، Firmware درایو به سراغ Master Boot Record عادی رفته و سیستم عامل بوت می گردد. بطور متناوب، یک فرآیند مشابه هنگامیکه سیستم از وضعیت Hibernation خارج می شود، اعمال می گردد. قطع برق، قفل را فعال نموده و سپس تائید اعتبار باعث غیرفعال شدن آن می گردد.
گزینه دوم این است که یک محصول مدیریت طرف ثالث نظیر Wave Embassy Trust Suite را پیاده سازی کنیم. WinMagic و CryptoMill Technologies نیز بسته های مشابهی را ارائه می نمایند. برنامه های مدیریت رمزگذاری، یک لایه اضافی از عملکرد را فراهم می کنند که از طریق تائید اعتبار معمولی ATA در BIOS قابل دسترسی نمی باشد.
Pratap Kesarkar سرپرست مهندسی فروش فنی در شرکت Wave می گوید:« هنگامیکه شما سیستم خود را روشن می کنید، به روشی برای تائید اعتبار خود برای درایو نیاز دارید تا قفل آن باز شود. قرار نیست BIOS این کار را انجام دهد زیرا BIOS تا مراحل بعدی یعنی فرآیند بوت به سراغ آن نمی رود. ما تائید اعتبار را طوری برای کنترلر درایو تأمین می کنیم که درایو باز شده و رمزگشائی داده ها در هنگام خروج آنها از کنترلر را آغاز نماید. در بالای این سطح، نرم افزار مدیریت رمزگذاری ما به شما اجازه می دهد تا قفل ها را در محل امنی قرار داده و کلیدهائی را برای کاربران تدارک ببینید، بصورتیکه بتوانند با مجوزهای خود( مثلاً از طریق بکارگیری کارت کلید و کلمه عبور) به داده ها دسترسی پیدا کنند.
آزمایشها و نتایج
ما آزمایشهای خود را بر روی یک سکوی Clarkdale اینتل اجرا کردیم ( یک مادربرد DH55TC با پردازنده 661-Core i5)، خصوصاً به این دلیل که می خواستیم یک پردازنده با قابلیت پشتیبانی از AES-NI را بررسی کنیم. بدیهی است که اکثر قریب به اتفاق CPUهائی که امروزه به فروش می رسند فاقد این دستورالعملها می باشند، ولی می توان اطمینان داشت که این وضعیت در طول یک یا دو سال آینده به کلی تغییر خواهد کرد. پرسشی که مطرح می شود، مقایسه SED در مقابل رمزگذاری /رمزگشائی صرفاً نرم افزاری نیست، بلکه مقایسه SED در مقابل یک سکوی نرم افزاری با پشتیبانی شتابدهی AES مبتنی بر CPU است. بستر آزمایشی ما شامل 4 گیگابایت حافظه OCZ Platinum 1600 مگاهرتزی، یک کارت گرافیکی EVGA 280 GTX و سیستم عامل Windows 7 Ultimate Edition 64 بیتی بود که Intel Matrix Storage Manager 8.9 را بر روی آن نصب کرده بودیم.
1- PCMark Vantage:
بطور آشکارا، تفاوت میان SSD و HDD همانند روز و شب است. درایو Vertex شرکت OCZ( با Firmware نسخه 1.4) که یک درایو بالاتر از سطح عمومی در نظر گرفته می شود، در اکثر آزمایشها با فاصله نزدیکی SED سامسونگ را دنبال می کرد. بنابراین ما کاملاً متقاعد شدیم که رمزگذاری تداخلی با عملکرد درایوها ندارد. در یک وضعیت مشابه، Fujitsu نیز به اندازه کافی به Momentus 5600.6 نزدیک است تا باعث شود ما رمزگذاری را بعنوان یک فرآیند متداول بپذیریم.
اما رمزگذاری نرم افزاری چه تأثیری بر عملکرد درایو دارد؟ ما Volumهای BitLocker را بر روی درایو 500 گیگابایتی Momentus و درایو سطح بالای X25-M G2 اینتل ایجاد کردیم تا این موضوع را بررسی نمائیم. ادعاهای تک رقمی مایکروسافت در اینجا( بر روی درایو دیسک سخت) کاملاً اثبات شدند. در واقع، ما با دو آزمایش PCMark مواجه شدیم که در آنها Volumهای Bitlocker توانستند نسخه رمزگذاری نشده را پشت سر بگذارند. با اینحال، وضعیت مذکور بر روی SSD اینتل بطور قابل ملاحظه ای تغییر کرد. BitLocker باعث سقوط سطح عملکردی درایو گردید و اساساً امتیازهای آن را به نصف تقلیل داد.
چند ماه قبل، Seagate درایو USB 320 گیگابایتی BlackArmor را ارائه کرد که به یک پردازنده رمزگذاری مجتمع مجهز بود. این مدل با مجموعه قبلی درایوهای USB BlackArmor که بر پردازش نرم افزاری تکیه دارند، متفاوت است. برای مشاهده مزیت وجود یک پردازنده OnDrive، ما Momentus 5400.6 را در یک محفظه USB قرار داده و به مقایسه دو درایو پرداختیم. در واقع عملکرد آنها به اندازه کافی به یکدیگر نزدیک بود تا ما ترجیح دهیم برتری اندک 5600.6 را نادیده بگیریم. در عین حال، تنها برای اطمینان یافتن از اینکه با محدودیتهای درایو سر و کار داریم نه یک گلوگاه در اینترفیس USB، درایو X25-M را نیز در محفظه USB آزمایش کردیم که در این وضعیت توانست امتیازهای هر دو درایو Seagte را زیر پای خود له کند.
2- PassMark Performance Test 7.0
آزمایشهای Read و Write متوالی بر روی درایوهای USB ما نشان دادند که واقعاً با یک گلوگاه اتصال مواجه هستیم. شاید جالب توجه ترین موارد، آزمایشهای رمزگذاری ما باشند. ما می خواستیم بفهمیم آیا تفاوتی مابین BitLocker و سایر گزینه های مبتنی بر نرم افزار وجود دارد یا خیر؟ برای پیدا کردن جواب این سؤال، ما یک نرم افزار Open Source با نام TruCrypt 6.3a را بارگذاری نمودیم. بر روی Momentus 500 گیگابایتی، نتایج بدست آمده بسیار نزدیک بودند، به اندازه کافی نزدیک تا بتوانیم BitLocker را بعنوان یک دلیل واحد برای پرداخت هزینه بالاتر Win7 Ultimate کنار بگذاریم. با اینحال، BitLocker بر روی SSD اینتل واقعاً توانست TruCrypt را شرمنده سازد، در حالیکه بیش از 40 درصد برتری عملکرد را نسبت به آن نشان می داد.
ذخیره سازی امن
منبع: بزرگراه رایانه، شماره 129