Introducción a los conceptos de cifrado

Cytomic Encryption utiliza las herramientas integradas en los sistemas operativos Windows para gestionar el cifrado en los equipos de la red gestionados con Advanced EPDR.

Para una correcta comprensión de los procesos involucrados en el cifrado y descifrado de la información, es necesario presentar algunos conceptos relativos a la tecnología de cifrado utilizada.

TPM

TPM (Trusted Platform Module, módulo de plataforma segura) es un chip que se incluye en algunas placas base de equipos de sobremesa, portátiles y servidores. Su principal objetivo es proteger la información sensible de los usuarios, almacenando claves y otra información utilizada en el proceso de autenticación.

Ademas, el TPM es el responsable de detectar los cambios en la cadena de inicio del equipo, impidiendo por ejemplo el acceso a un disco duro desde un equipo distinto al que se utilizó para su cifrado.

La versión mínima de TPM soportada por Cytomic Encryption es la 1.2. y Cytomic recomienda su uso en combinación con otros sistemas de autenticación soportados. En algunos escenarios es posible que el TPM esté deshabilitado en la BIOS del equipo y sea necesario su activación manual.

Tipos de contraseñas soportadas

PIN

El PIN (Personal Identification Number, número de identificación personal) es una secuencia de números que actúa como contraseña simple y es requerida en el inicio de un equipo que tenga un volumen cifrado. Sin el PIN la secuencia de arranque no se completa y el acceso al equipo no es posible.

PIN extendido

Si el hardware es compatible,Cytomic Encryption utilizará un PIN extendido o PIN mejorado compuesto por letras y números para incrementar la complejidad de la contraseña.

Debido a que el PIN Extendido se pide en el proceso de inicio del equipo previo a la carga del sistema operativo, las limitaciones de la BIOS pueden restringir la entrada de teclado a la tabla ASCII de 7 bits.

Adicionalmente, los teclados que utilizan una distribución distinta a la dispuesta en el mapa de caracteres EN-US, tales como teclados QWERTZ o AZERTY, pueden provocar el fallo en la introducción del PIN Extendido. Por esta razón, Cytomic Encryption controla que los caracteres introducidos por el usuario pertenecen al mapa EN-US antes de establecer el PIN Extendido en el proceso de cifrado del equipo.

Passphrase

Una passphrase es una contraseña de mayor longitud formada por caracteres alfanuméricos equivalente al PIN Extendido.

Cytomic Encryption establece las siguientes prioridades al solicitar un tipo u otro de contraseña al usuario:

  • Passphrase: siempre que el equipo tenga un TPM instalado.

  • PIN extendido: si el sistema operativo y el hardware del equipo lo soportan.

  • PIN: si todas las demás opciones no son válidas.

Llave USB

Permite almacenar la clave de acceso en un dispositivo USB formateado con NTFS, FAT o FAT32. De esta forma, no se requiere introducir ninguna contraseña en el proceso de inicio del equipo, aunque es necesario que el dispositivo USB que almacena la contraseña esté conectado en el equipo.

Algunos PCs antiguos no son capaces de acceder a las unidades USB en el proceso de arranque, comprueba que los equipos de tu organización tienen acceso a las unidades USB desde la BIOS.

Clave de recuperación

Cuando se detecta una situación anómala en un equipo protegido con Cytomic Encryption o en el caso de que hayamos olvidado la contraseña de desbloqueo, el sistema pedirá una clave de recuperación de 48 dígitos. Esta clave se gestiona desde la consola de administración y debe ser introducida para completar el inicio del equipo. Cada volumen cifrado tendrá su propia clave de recuperación independiente.

Cytomic Encryption únicamente almacena las claves de recuperación de los equipos que gestiona. La consola de administración no mostrará las claves de recuperación de los equipos cifrados por el usuario y no gestionados por Cytomic.

La clave de recuperación se solicita en los escenarios mostrados a continuación:

  • Cuando se introduce errónea y repetidamente el PIN o la passphrase en el proceso de inicio del equipo.

  • Cuando un equipo protegido con TPM detecta un cambio en la secuencia de arranque (disco duro protegido por TPM y conectado en otro equipo).

  • Cuando se ha cambiado la placa base del equipo y por lo tanto el TPM.

  • Al desactivar, deshabilitar o borrar el contenido del TPM.

  • Al cambiar los valores de configuración de arranque del equipo.

  • Al cambiar el proceso de arranque del equipo:

    • Actualización de la BIOS.

    • Actualización del firmware.

    • Actualización de la UEFI.

    • Modificación del sector de arranque.

    • Modificación del registro maestro de arranque (master boot record).

    • Modificación del gestor de arranque (boot manager).

    • Cambio del firmware implementado en ciertos componentes que forman parte del proceso de arranque del equipo (tarjetas de vídeo, controladores de discos, etc.) conocido como Option ROM.

    • Cambio de otros componentes que intervienen en las fases iniciales del arranque del sistema.

BitLocker

Es el software instalado en algunas versiones de los equipos Windows 7 y superiores encargado de gestionar el cifrado y descifrado de los datos almacenados en los volúmenes del equipo. Cytomic Encryption instala BitLocker automáticamente en aquellas versiones de servidor que no lo incluyan pero sean compatibles.

Partición de sistema

Es una zona pequeña del disco duro de 1.5 gigabytes aproximadamente que permanece sin cifrar y que es necesaria para que el equipo complete correctamente el proceso de inicio. Cytomic Encryption crea automáticamente esta partición de sistema si no existiera previamente.

Algoritmo de cifrado

El algoritmo de cifrado elegido en Cytomic Encryption es el AES-256 aunque los equipos con volúmenes cifrados por el usuario que utilicen otro algoritmo de cifrado también son compatibles.