¿Qué es el cifrado por hardware del SSD y cómo funciona?

La necesidad de proteger nuestra privacidad se ha convertido en uno de los focos más importantes de la informática moderna, y por este motivo los fabricantes de dispositivos de almacenamiento incorporan desde hace tiempo sistemas de cifrado por hardware, de manera que los usuarios lo tengamos más fácil a la hora de evitar accesos no autorizados a nuestros datos. Pero, ¿sabes cómo funciona el cifrado por hardware de un SSD? En este artículo te vamos a hablar de ello, te vamos a contar qué ventajas tiene sobre el cifrado por software, y por supuesto te vamos a contar los tipos de cifrado que hay.

Cuando hablamos de las especificaciones técnicas de un SSD muchas veces se menciona compatibilidad con ciertos algoritmos de cifrado por hardware, pero es bastante probable que esos nombres y siglas no le digan mucho a la mayoría de los usuarios. La mayoría de las personas sabe que el cifrado está relacionado con la privacidad y la protección de los datos, pero en este artículo vamos a ir un poco más allá y vamos a explicártelo de manera sencilla para que puedas saber de manera fehaciente de lo que es capaz tu SSD cuando lo compras.

¿Qué es el cifrado del SSD?

Cifrado de datos en SSD

Desde las grandes empresas y las administraciones públicas hasta los particulares, el deseo de proteger los datos personales y privados importantes se ha convertido en una necesidad. Para proteger estos datos contra accesos no autorizados o ataques externos, el cifrado aporta una capa de protección extra que impedirá que los intrusos puedan acceder a los datos, de manera que incluso aunque un pirata informático acceda a tu ordenador o alguien te robe un disco duro externo, no podrá acceder a tus datos.

Para entender qué es el cifrado de manera sencilla, podemos entenderlo como una manera de convertir la información introducida en un dispositivo digital en bloques de datos ilegibles salvo que se tenga la clave de cifrado específica. Cuanto más sofisticado sea el proceso de cifrado, más ilegibles serán los datos cifrados y al revés, el descifrado devolverá los datos cifrados a su forma original para que vuelvan a ser legibles, motivo por el que debes tener en cuenta que cifrar un dispositivo de almacenamiento tiene también cierto impacto en el rendimiento porque los datos deben descifrarse para poderlos utilizar.

Cifrado por hardware vs por software

Como su nombre sugiere, el cifrado por software utiliza uno o varios programas de software para cifrar los datos de la unidad de almacenamiento. La primera vez que se cifra un SSD se establece una clave única que se guarda en la memoria del PC, y esta a su vez está cifrada con una frase secreta definida por el usuario. Cuando el usuario escribe dicha frase, se desbloquea la clave y se permite el acceso a los datos cifrados, así que en realidad el cifrado por software es algo así como un intermediario entre la lectura y escritura de los datos y el dispositivo.

Cifrado de datos por hardware

Cuando los datos se escriben en la unidad, se cifran mediante la clave antes de guardarse físicamente en el disco, y cuando se leen los datos, éstos se descifran mediante la misma clave antes de presentarlos al usuario. Esto conlleva una carga de trabajo bastante notable para el procesador del PC, ya que como el cifrado está basado en un programa (que debe estar residente en memoria), es la CPU la encargada en realidad de realizar la carga de trabajo del cifrado y descifrado de los datos.

El cifrado por software tiene dos desventajas muy claras y una ventaja que a la vez es desventaja: la primera desventaja es que dependes de un programa, y por lo tanto sin él no puedes acceder a los datos, por lo que si hay algún problema en el mismo tendrás serias dificultades. La segunda desventaja es que si un pirata informático averigua tu frase secreta (igual que si averigua una contraseña), podrá acceder a todos los datos sin restricción ya que se guarda una copia de la clave privada en el propio dispositivo de almacenamiento. Finalmente, la ventaja es que el rendimiento de cifrado y descifrado es superior al de hardware ya que depende de la CPU, pero a la vez es desventaja porque reducirá el rendimiento del PC al estar usando recursos de ésta.

Las unidades que utilizan cifrado basado en hardware, por su parte, podríamos decir que integran este programa en la propia unidad por lo que no dependen del procesador para realizar las labores de cifrado y descifrado de los datos. Los SSD con autocifrado (SED) llevan integrado un chip que cifra los datos antes de escribirlos y los descifra antes de leerlos directamente en el soporte NAND. De esta manera, el cifrado por hardware se sitúa entre el sistema operativo y la BIOS del sistema, por lo que es mucho más seguro que el cifrado por software.

cifrado de disco completo

La primera vez que se cifra la unidad se genera un código de cifrado que se guarda en la memoria NAND Flash del SSD, y la primera vez que se arranca el sistema con la unidad, se carga una BIOS personalizada que pedirá la frase secreta del usuario. Una vez introducida, todo el contenido se descifra y se permite el acceso al sistema operativo y a los datos del usuario.

¿Qué tipos de cifrado se usan en SSD?

Por norma general, en un SSD con chip de autocifrado vamos a encontrar dos tipos, siendo AES el más conocido y utilizado. AES (Advanced Encryption Standard, norma de cifrado avanzado) es un algoritmo de cifrado simétrico (esto significa que las claves de cifrado y descifrado son la misma) que divide la información por bloques de 128 bits antes de cifrarlos con una clave que depende del nivel de cifrado AES (por ejemplo, AES de 256 bit significa que la clave tiene 256 bits, y obviamente cuanto mayor sea la clave más complicada será de descifrar).

De hecho, el cifrado AES de 256 bits es una norma internacional que garantiza una protección superior de los datos y que está homologado incluso por el gobierno de EEUU ya que se considera literalmente indescifrable, lo cual convierte a esta norma en la más robusta que existe.

AES-Design

Y, ¿por qué es indescifrable? Como hemos dicho, un cifrado AES-256 utiliza una clave privada de 256 bits; por cada uno de estos bits, el número de posibles claves se duplica, es decir, el cifrado de 256 bits es el equivalente a dos elevado a 256 posibilidades, o dicho de otra manera, una cantidad absurdamente elevada de posibles claves que incluso un super ordenador tardaría siglos en adivinar. Pero eso no es todo, ya que cada bit de clave tiene un número diferente de rondas, que es el procedimiento de conversión de texto simple a texto cifrado; AES-256 tiene 14 rondas, por lo que las posibilidades de que un pirata consiga 14 veces la secuencia correcta de 256 bits son ínfimas.

Por otro lado tenemos el cifrado basado en TCG Opal 2.0; TCG es el grupo normativo internacional que define la raíz de confianza basada en hardware de plataformas informáticas interoperativas de confianza, y que establece Opal 2.0 como un protocolo que puede inicializar, autenticar y gestionar los SSD cifrados mediante proveedores de software independientes, es decir, esto permite que sea el SSD y no la CPU el encargado de cifrar y descifrar los datos cuando se utiliza cifrado por software compatible como las soluciones de Symantec, McAffee y otros.

¡Sé el primero en comentar!