Datos en uso

Datos en proceso de procesamiento (no en tránsito/en reposo)

Datos ^[1] en uso es un término de tecnología de la información que se refiere a datos activos que se almacenan en un estado digital no persistente, generalmente en la memoria de acceso aleatorio (RAM) de la computadora, cachés de la CPU o registros de la CPU .

En 1996, el científico de datos de Scranton, PA Daniel Allen propuso "Datos en uso" como complemento a los términos "datos en tránsito" y "datos en reposo" , que juntos definen los tres estados de los datos digitales .

Definiciones alternativas

Los datos en uso se refieren a los datos que se encuentran en la memoria de la computadora. Algunos proveedores de software como servicio (SaaS) en la nube se refieren a los datos en uso como cualquier dato que las aplicaciones estén procesando en ese momento, mientras se utilizan la CPU y la memoria. ^[2]

Preocupaciones

Debido a su naturaleza, los datos en uso son una preocupación cada vez mayor para las empresas, las agencias gubernamentales y otras instituciones. Los datos en uso, o memoria, pueden contener datos confidenciales, incluidos certificados digitales, claves de cifrado, propiedad intelectual (algoritmos de software, datos de diseño) e información de identificación personal . Poner en peligro los datos en uso permite el acceso a datos cifrados en reposo y a datos en movimiento. Por ejemplo, alguien con acceso a la memoria de acceso aleatorio puede analizar esa memoria para localizar la clave de cifrado de los datos en reposo. Una vez que haya obtenido esa clave de cifrado, puede descifrar los datos cifrados en reposo. Las amenazas a los datos en uso pueden presentarse en forma de ataques de arranque en frío , dispositivos de hardware maliciosos, rootkits y bootkits.

Cifrado de memoria completa

El cifrado, que impide la visibilidad de los datos en caso de acceso no autorizado o robo, se utiliza comúnmente para proteger los datos en movimiento y los datos en reposo y se reconoce cada vez más como un método óptimo para proteger los datos en uso.

Se han realizado múltiples proyectos para cifrar la memoria. Los sistemas Microsoft Xbox están diseñados para proporcionar cifrado de memoria y la empresa PrivateCore actualmente tiene un producto de software comercial vCage para proporcionar certificación junto con cifrado de memoria completo para servidores x86. ^[3] Se han publicado varios artículos que destacan la disponibilidad de procesadores ARM y x86 con seguridad mejorada. ^{[1] [4]} En ese trabajo, se utiliza un procesador ARM Cortex-A8 como sustrato sobre el que se construye una solución de cifrado de memoria completo. Los segmentos de proceso (por ejemplo, pila, código o montón) se pueden cifrar individualmente o en composición. Este trabajo marca la primera implementación de cifrado de memoria completo en un procesador móvil de uso general. El sistema proporciona tanto confidencialidad como protección de integridad del código y los datos que se cifran en todas partes fuera del límite de la CPU.

Para los sistemas x86, AMD tiene una función de cifrado de memoria segura (SME) introducida en 2017 con Epyc . ^[5] Intel ha prometido ofrecer su función de cifrado de memoria total (TME) en una próxima CPU. ^{[6] [7]}

Almacenamiento de claves basado en CPU

Los parches del núcleo del sistema operativo, como TRESOR y Loop-Amnesia, modifican el sistema operativo para que los registros de la CPU se puedan utilizar para almacenar claves de cifrado y evitar mantenerlas en la RAM. Si bien este enfoque no es de uso general y no protege todos los datos en uso, sí protege contra ataques de arranque en frío. Las claves de cifrado se almacenan dentro de la CPU en lugar de en la RAM, de modo que las claves de cifrado de los datos en reposo estén protegidas contra ataques que puedan comprometer las claves de cifrado en la memoria.

Enclaves

Los enclaves permiten proteger un “enclave” con cifrado en la RAM, de modo que los datos del enclave se cifran mientras están en la RAM, pero están disponibles como texto sin cifrar dentro de la CPU y la memoria caché de la CPU. Intel Corporation ha introducido el concepto de “enclaves” como parte de sus extensiones Software Guard . Intel reveló una arquitectura que combina software y hardware de CPU en documentos técnicos publicados en 2013. ^[8]

Protocolos criptográficos

Varias herramientas criptográficas, entre ellas el cómputo multipartito seguro y el cifrado homomórfico , permiten el cómputo privado de datos en sistemas no confiables. Los datos en uso pueden manipularse mientras están cifrados y nunca quedan expuestos al sistema que realiza el procesamiento.

Véase también

• Consulte también la sección Definición alternativa de Datos en reposo
• El cifrado homomórfico es una forma de cifrado que permite el cálculo de textos cifrados.
• La prueba de conocimiento cero es un método mediante el cual una parte (el demostrador) puede demostrar a otra parte (el verificador) que conoce un valor x, sin transmitir ninguna información aparte del hecho de que conoce el valor x.
• El cálculo multipartito seguro es un método para que las partes calculen conjuntamente una función sobre sus entradas mientras mantienen dichas entradas privadas.
• Las pruebas de conocimiento cero no interactivas (NIZK) son pruebas de conocimiento cero que no requieren interacción entre el demostrador y el verificador.
• El cifrado con conservación de formato (FPE) se refiere al cifrado de tal manera que la salida (el texto cifrado) tenga el mismo formato que la entrada (el texto sin formato).
• El cegamiento es una técnica de criptografía mediante la cual un agente puede proporcionar un servicio a un cliente en forma codificada sin conocer ni la entrada real ni la salida real.
• Ejemplos de tecnologías que mejoran la privacidad

Referencias

1. M. Henson y S. Taylor "Más allá del cifrado de disco completo: protección en procesadores de productos básicos con seguridad mejorada", "Actas de la 11.ª conferencia internacional sobre criptografía aplicada y seguridad de redes", 2013
2. "CipherCloud encripta datos en múltiples aplicaciones en la nube". Searchstorage.techtarget.com. 6 de septiembre de 2012. Archivado desde el original el 29 de octubre de 2013. Consultado el 8 de noviembre de 2013 .
3. GCN, John Moore, 12 de marzo de 2014: "Cómo bloquear los datos en uso y en la nube"
4. M. Henson y S. Taylor "Cifrado de memoria: un estudio de las técnicas existentes", "ACM Computing Surveys volumen 46 número 4", 2014
5. "Cifrado de memoria segura (SME) - x86". WikiChip .
6. "Cifrado de memoria total (TME) - x86". WikiChip .
7. Salter, Jim (26 de febrero de 2020). "Intel promete cifrado de memoria completo en las próximas CPU". Ars Technica .
8. "Intel Software Guard Extensions (SGX) es muy interesante". Securosis. 15 de julio de 2013. Consultado el 8 de noviembre de 2013 .