Disco o chiavetta a negazione plausibile

549,00 IVA Esclusa

Descrizione

Scheda Tecnica

A cosa serve

Un disco a negazione plausibile serve a nascondere i dati che vogliamo proteggere in un disco criptato e a occultarli anche nel caso fossimo costretti con la forza o con l’autorità a rivelare la password di accesso.

In poche parole

Un disco a negazione plausibile è un supporto informatico criptato (illeggibile senza la/le password) dotato di un doppio ingresso gestito da due diverse password che danno accesso a due diversi set di dati.

La prima password (di solito breve e abbastanza facile) premette l’accesso ad un set di dati sufficientemente importante da giustificarne la protezione, ma anche sufficientemente innocuo da non creare problemi in caso si apertura.

La seconda password (necessariamente lunga e complessa) permette l’accesso ad un diverso set di dati – quello da proteggere davvero – che non deve essere diffuso né aperto da terzi.

Nel caso in cui fossimo forzati a fornire la password del supporto, possiamo fornire la prima e permettere l’accesso ai files innocui, occultando i files sensibili.

Ma è davvero così facile?

Nel dettaglio

Per capire come funziona un disco a negazione plausibile, occorre prima conoscere almeno le basi del funzionamento dei dischi criptati.

In Figura 1 vediamo uno schema della struttura informatica di un normale disco criptato.

Figura 1

Precisando che i dati criptati sono indicati in rosso o contornati di rosso, le sue parti costituenti sono:

  1. Il supporto stesso (sia essa una chiavetta USB, un disco fisso o un NAS di rete).

  2. Un piccolo “Header” che contiene la password di apertura (criptata e non leggibile). Il programma di decrittazione verifica in questo spazio che la password digitata per l’apertura sia corretta prima di procedere.

  3. Lo spazio a disposizione per la memorizzazione dei dati. E’ importante notare che lo spazio libero (disponibile/vuoto) non è criptato.

  4. I dati criptati, illeggibili senza password.

E’ quindi corretto far notare i “punti deboli” di un normale disco criptato. Essi possono essere ininfluenti nella maggior parte dei casi, ma quando è necessario un alto livello di sicurezza possono fare la differenza:

  1. L’Header è separato dai dati, quindi è possibile anche ad una prima analisi accorgersi che si tratta di un disco criptato.

  2. Lo spazio libero non è criptato, quindi è possibile sapere la quantità di dati memorizzati sul supporto anche prima di decrittarli.

Avendo a proprie mani la conoscenza del fatto che il disco è criptato ed anche quanti dati contiene, un malintenzionato può costringerci a rilasciare la password di accesso e perfino verificare (confrontando la quantità) se gli abbiamo fornito accesso alla totalità dei dati o meno.

Con il fine di creare un disco criptato che permettesse la massima sicurezza possibile, abbiamo creato il disco a negazione plausibile. La sua struttura è quella mostrata in Figura 2.

Figura 2

Quindi avremo:

  1. Il supporto stesso (sia essa una chiavetta USB, un disco fisso o un NAS di rete).

  2. Tutto lo spazio sul supporto è criptato in un unico blocco: headers, dati e spazio vuoto. Senza almeno una delle due password è impossibile distinguere le varie parti della struttura.

  3. Header 1: contiene la password “debole” che fa capo alla decrittazione dei dati di scarsa importanza “f”.

  4. Header 2: contiene la password “forte” che fa capo alla decrittazione dei dati sensibili “g”.

  5. Spazio disponibile sul supporto. Interamente criptato (anche la parte vuota), è condiviso da entrambi i set di dati.

  6. Dati di scarsa importanza.

  7. Dati sensibili.

Quando il programma di decrittazione viene avviato e richiede la password, a seconda di quale verrà fornita dall’utente, procederà a decrittare i dati corrispondenti.

Questo tipo di configurazione permette una serie di vantaggi di sicurezza.

I vantaggi
  1. La crittazione totale del supporto (compresi header e spazio vuoto) fa sì che il disco, al suo collegamento ad un sistema, si comporti come un disco “guasto”. Richiede la riparazione e/o la formattazione. Un malintenzionato che sottraesse il disco senza sapere che è criptato lo scambierà semplicemente per un disco guasto. E’ naturalmente possibile anche applicare un’etichetta sul disco stesso con scritto “GUASTO” per rafforzare ulteriormente l’idea.

  2. La crittazione totale impedisce anche a chi – con una analisi informatica – comprendesse che il disco è in realtà criptato di dedurre la quantità di dati in esso contenuti.

  3. Sempre la crittazione totale impedisce anche all’informatico forense più esperto di capire che il disco è a negazione plausibile. Può solo – al massimo – capire che è criptato, ma NON che ha due password e due set di dati.

  4. Nel caso in cui un hacker o un malintenzionato tenti un attacco di tipo “brute-force1 sul dispositivo, la password “debole” verrà trovata in poco tempo, fornendo una “falsa vittoria” al malintenzionato e dandogli accesso ai soli dati di scarsa rilevanza. Anche se la procedura di craccaggio fosse portata avanti (nel caso in cui l’hacker sospettasse una doppia password), la seconda password (più solida e complessa) potrebbe richiedere decine e decine di anni per essere trovata (e ricordiamo: senza alcuna certezza dell’esistenza effettiva di un “secondo ingresso”).

  5. Nel caso in cui fossimo costretti con la forza o con l’autorità a cedere la password di accesso, possiamo sceglie quale delle due cedere, ad esempio quella “debole”, occultando in modo non confutabile l’altro set di dati. Questa è la definizione di “Negazione Plausibile”.

  6. I due set di dati sono “invisibili” uno all’altro. Anche entrando correttamente in un set di dati, il set “alternativo” sarà completamente invisibile (vedasi a questo proposito le Avvertenze). Lo spazio del supporto sarà completamente disponibile ignorando del tutto la presenza dei dati nel set occulto.

Oltre ai vantaggi suddetti, occorre menzionare che per il suo stesso principio di funzionamento:

  • Ogni tipo di supporto di memoria scrivibile può essere trasformato in un disco a negazione plausibile: dischi interni, dischi esterni, chiavette USB, schede di memoria SD/MicroSD/etc., dischi di rete…

  • Lo stesso disco è compatibile con tutti i principali sistemi operativi: Windows, Mac, Linux.

  • Una volta montato, il disco viene visto come un normalissimo supporto esterno, quindi visibile ed operabile in perfetta trasparenza da qualsiasi applicazione.

  • La crittazione e decrittazione avvengono in tempo reale. Questo significa che – anche quando il disco è “aperto” – in realtà è il programma di gestione che decritta i dati mentre li leggiamo e li critta mentre li scriviamo. Lasciando in questo modo il disco in stato di perenne crittazione. In sostanza, non essendo mai realmente “aperto”:

    • Se spegniamo il computer senza “smontare” il disco, al riavvio esso risulta comunque “chiuso”.

    • Se manca la corrente mentre lavoriamo, il disco è già “chiuso”.

    • Se stacchiamo “brutalmente” il disco da un PC in cui era stato “montato” con la corretta password e lo colleghiamo ad un altro PC, risulta comunque “chiuso”.

  • E’ persino possibile configurare il programma di decrittazione per “smontare” il supporto in automatico dopo un periodo prescelto di inattività.

Avvertenze

Come è stato specificato sopra, il programma stesso che gestisce la crittazione non può sapere che il disco è a Negazione Plausibile. Un set di dati è completamente invisibile all’altro. Questo significa che – nel caso di dischi “troppo pieni” – non esiste modo (se non la cautela dell’utilizzatore) per tutelare i dati di un set mentre si lavora sull’altro. Se la somma dei dati presenti nei due set si avvicina troppo o supera il totale dello spazio disponibile sul supporto esiste il rischio di danneggiare uno dei due set di dati.

Per spiegare meglio, facciamo un doppio esempio. Ipotizzando un supporto a negazione plausibile da 100 GB.

  • Se il set di dati “A” occupa 12 GB ed il set di dati “B” occupa 50 GB (totale occupato 62 GB su 100 GB disponibili), nessun dato è a rischio perdita ed abbiamo ancora 38 GB di spazio a disposizione per un set o per l’altro.

  • Se il set di dati “A” occupa 43 GB ed il set di dati “B” occupa 63 GB (totale occupato 106 GB su 100 GB), abbiamo “perso” o “rovinato” 6 GB di dati di uno dei due set.

Detto questo, è abbastanza facile progettare di utilizzare un supporto esterno di memoria abbondantemente superiore alle nostre necessità di memorizzazione ed evitare ogni problema di sovrascrittura.

IMPORTANTE: il prezzo del servizio non comprende la fornitura del supporto fisico (chiavetta o HD).

1Un attacco “brute-force” consiste nel programmare una o più macchine potenti e veloci per tentare tutte le combinazioni possibili di password su un certo tipo di protezione sino a quando non viene indovinata quella giusta. Per il suo stesso principio di funzionamento, il “brute-force” ha il vantaggio di funzionare sempre (prima o poi la password corretta verrà tentata), ma ha lo svantaggio di richiedere molto tempo ed una grande potenza di calcolo sulle password lunghe e complesse. Ad esempio, una password di 6 caratteri richiede 19 secondi per essere craccata, ma già una password di soli 12 caratteri fa salire il tempo di craccaggio a qualche mese. Una password di 24 caratteri con maiuscole, minuscole, numeri e simboli è praticamente inviolabile dal “brute-force”.