Аппаратные устройства шифрования обеспечивают безопасность надежного шифрования с минимальной конфигурацией и совместимостью платформы. Любое устройство, которое обеспечивает встроенное шифрование, может быть классифицировано как аппаратное устройство шифрования. Однако эти типы устройств не всегда предназначены для хранения данных.

Аппаратное шифрование может предложить несколько преимуществ, помимо того, что обеспечивается программным шифрованием. К ним относятся более быстрая обработка алгоритмов, хранение ключей, защищенных от повреждений, взлома и несанкционированного доступа.

Аппаратные устройства шифрования часто имеют возможность хранить ключи шифрования и другие чувствительные элементы в высоко защищенных областях ОЗУ или флэш-памяти. Хотя они не являются полностью защищенными от записи или изменениями, эти места хранения часто имеют ограниченный доступ, так что только данные, хранящиеся там, могут взаимодействовать с аппаратным шифрованием, и они отлично подходят для временного или длительного хранения ключей шифрования.

Примеры аппаратных устройств шифрования:

  1. Точка беспроводного доступа или беспроводная базовая станция. Эти устройства поддерживают службы шифрования для радиоволнового сигнала, используемого для передачи информации по сетевым протоколам.
  2. Устройство для продажи кредитных карт. Эти устройства, также известные как терминалы кредитных карт, обычно шифруют информацию, которую они получают со считывателей карт, перед тем, как передавать их обрабатывающему объекту.
  3. Сетевой шифратор. Это устройство, которое устанавливается в линию по сетевому пути для захвата открытого текста или стандартных сетевых сообщений и шифрования их для оставшейся части пути передачи.
  4. Современный ЦП с набором встроенных команд шифрования. Производители процессоров уже несколько лет производят процессоры с инструкцией Advanced Encryption Standard (AES). Эти дополнительные наборы инструкций помогают повысить эффективность шифрования и дешифрования. Вместо того чтобы кодировать алгоритм AES с помощью программного обеспечения, программисты могут вызывать функции, встроенные в ЦП.

Варианты аппаратных устройств шифрования с криптопроцессорами:

1. Модуль доверенной платформы (Trusted Platform Module (TPM)) - это формальная спецификация, а также криптопроцессор, встречающийся на некоторых материнских платах. Первоначально чипы TPM были в основном в портативных системах, таких как ноутбуки. Сегодня чипы TPM являются распространенными компонентами в широком спектре устройств, включая компьютеры всех типов, мобильные телефоны и планшеты.

TPM обеспечивает надежное аппаратное хранение ключей шифрования, а также криптографические функции:
- ограничение доступа к хранимым ключам шифрования,
- выполнение функций генератора случайных чисел для увеличения энтропии вычислений шифрования,
- создание не поддающегося копированию идентификатора аппаратного и программного обеспечения,
- предоставление ключа подтверждения, уникального для каждого TPM,
- выполнение аппаратной аутентификации.

2. Аппаратный модуль безопасности (Hardware Security Module (HSM)) - это дополнительное аппаратное устройство, которое может обеспечивать криптопроцессорную обработку и другие функции безопасности для компьютера, устройства или сетевого подключения, которые изначально не имеют этих элементов. HSM сконструированы как вставные PCMCIA или PC карты, ExpressCards или другие специальные адаптеры, поддерживаемые популярными сетевыми устройствами, такими как коммутаторы, маршрутизаторы, мультиплексоры, концентраторы и брандмауэры. Существуют также форм-факторы HSM для компьютерных адаптеров, обычно с интерфейсом PCI, а также встроенные сетевые адаптеры HSM.

HSM не отличается от TPM. Тем не менее, основное отличие состоит в том, что TPM обычно представляет собой чип, установленный на материнской плате производителем. Поэтому TPM является постоянным компонентом системы. HSM обычно является дополнительным компонентом (хотя доступны интегрированные версии для специального оборудования).

3. USB-шифрование - это чаще всего USB-устройства хранения данных, которые предоставляют встроенные услуги шифрования. Многие производители теперь предлагают встроенные USB-накопители с шифрованием как часть своей линейки продуктов. Устройство, которое предоставляет дополнительные функции, особенно встроенное шифрование, вероятно, будет более дорогим продуктом, чем то же устройство без этой функции. Тем не менее, дополнительная защита конфиденциальности и целостности данных, хранящихся на USB, а также значительное сокращение распространения вредоносных программ по USB часто стоит дополнительных затрат.

Большинство USB-устройств, которые обеспечивают встроенное шифрование, полностью автономны и редко нуждаются в каком-либо дополнительном программном обеспечении или специализированном оборудовании на компьютерах или в системах, где они используются.

Устройства USB, которые обеспечивают аппаратное шифрование, включают в себя систему учетных данных на устройстве или полагаются на программные или аппаратные учетные данные с подключенного компьютера. Те USB-устройства, которые предлагают бортовые учетные системы, обычно имеют клавиатуру или сканер отпечатков пальцев. Поскольку типичное запоминающее устройство USB довольно маленькое, клавиатуры на этих устройствах часто представляют собой просто 10-значные цифровые клавиатуры. Те устройства USB, которые поддерживают устройства считывания отпечатков пальцев, обычно используют тип устройства считывания, при котором палец проводится по тонкой щели устройства, а не прижимается к области устройства считывания. Когда эти устройства подключены к принимающему USB-порту, пользователь предоставляет код или отпечаток пальца, чтобы разблокировать шифрование. Когда устройство USB извлекается из порта, оно автоматически возвращается в заблокированное состояние.

Некоторые USB-устройства, которые обеспечивают встроенное шифрование, используют программный интерфейс для авторизации учетных данных при разблокировке хранилища. Программное обеспечение может быть включено в незашифрованный раздел на устройстве USB, которое может быть прочитано любым компьютером. Возможно, программное обеспечение должно быть официально установлено, оно может работать на месте без официальной установки или может автоматически запускаться, когда USB-устройство подключено к компьютеру. Программные учетные данные для USB-устройств обычно представляют собой пароли. Длинный и сложный пароль должен быть определен, чтобы минимизировать риск угадывания или взлома пароля, если устройство будет когда-либо потеряно, украдено или иным образом получен доступ посторонним лицом.

Некоторые USB-устройства, которые предлагают встроенное шифрование, могут быть настроены на работу только при подключении к конкретным системам, а не использоваться в любой системе. Это может быть очень безопасной функцией, но если только одна система определена как одобренная, и эта система станет недоступной, диск будет непригоден для использования и не подлежит восстановлению.

Некоторые из этих устройств автоматически отключаются, если они не используются в течение определенного периода времени. Это повышает безопасность устройства за счет компенсации пользователю, который забывает о USB-накопителе, когда он подключен к компьютеру.

USB-устройства, которые не имеют встроенного аппаратного шифрования, всегда могут быть зашифрованы с помощью программного решения. К любому устройству хранения может быть применено либо отдельное шифрование файла, либо полное шифрование диска.

4. Шифрование жесткого диска
Жесткие диски могут поддерживать различные варианты шифрования. Как обсуждалось ранее, к любому жесткому диску может быть применено индивидуальное шифрование файла или полное шифрование диска с использованием встроенной функции операционной системы или дополнительного программного продукта. Тем не менее, есть много других вариантов, доступных для шифрования жесткого диска.

Некоторые жесткие диски обеспечивают встроенное шифрование. Эта форма аппаратного шифрования, такая как шифрование на USB-накопителе, обеспечивается специальными чипами криптопроцессора, встроенными в устройство. Зашифрованные жесткие диски этого типа могут быть традиционными дисками на основе вращающегося диска или твердотельными накопителями (SSD). Преимущество самошифрующегося жесткого диска состоит в том, что работа шифрования выгружается из системы на выделенные элементы обработки жесткого диска.

Аппаратно зашифрованный жесткий диск может быть установлен как внутренний диск на обычных компьютерах или ноутбуках. Также, жесткий диск с встроенным шифрованием может быть размещен во внешнем корпусе. Использование корпуса жесткого диска позволяет добавлять диск в систему без каких-либо дополнительных доступных интерфейсов подключения внутреннего жесткого диска или в систему, которая использует другой форм-фактор физического размера.