Apa itu enkripsi penuh disk (Full-Disk Encryption/FDE)?
Enkripsi penuh disk (FDE) adalah metode keamanan untuk melindungi data sensitif pada tingkat perangkat keras dengan mengenkripsi semua data pada drive disk. FDE secara otomatis mengenkripsi data dan sistem operasi (OS) untuk mencegah akses tidak sah.
Enkripsi pada tingkat disk melindungi data agar tidak jatuh ke tangan yang salah dan sangat penting bagi organisasi yang harus mematuhi peraturan keamanan data seperti Health Insurance Portability and Accountability Act (HIPAA) atau General Data Protection Regulation (GDPR).
FDE sangat berguna untuk desktop, laptop, dan perangkat seluler yang dapat hilang atau dicuri secara fisik. Bahkan jika perangkat dicuri, data yang dienkripsi akan tetap tidak dapat diakses oleh pencuri. Karena satu kunci digunakan untuk mengenkripsi seluruh hard drive, FDE mengharuskan administrator jaringan menerapkan kebijakan kata sandi yang kuat serta menyediakan proses pencadangan kunci enkripsi untuk mengantisipasi jika karyawan lupa kata sandi atau keluar dari perusahaan secara tiba-tiba.
FDE bekerja dengan secara otomatis mengubah data pada hard drive menjadi format yang tidak dapat dipahami oleh siapa pun yang tidak memiliki kunci untuk membalikkan proses enkripsi. Secara khusus, hard drive dikonversi dari teks yang dapat dibaca (plaintext) menjadi ciphertext yang tidak dapat dibaca kecuali dikonversi kembali dengan kunci enkripsi. Tanpa kunci autentikasi yang benar, bahkan jika hard drive dilepas dan dipasang di mesin lain, data akan tetap tidak dapat diakses.
Proses enkripsi dilakukan menggunakan perangkat lunak atau perangkat keras enkripsi yang terpasang pada drive. Beberapa sistem tidak mengenkripsi master boot record — kode yang memulai urutan pemuatan OS — yang berarti tidak semua bagian dari perangkat tersebut dienkripsi.
FDE sering kali sudah diinstal pada perangkat komputasi sejak proses manufaktur. Misalnya, FDE diaktifkan melalui fitur seperti BitLocker, yang disertakan dalam beberapa versi Microsoft Windows, atau FileVault, yang terintegrasi dalam macOS. BitLocker dan FileVault memungkinkan pengguna memulihkan kata sandi yang hilang. BitLocker menyimpan informasi pemulihan di Active Directory, sementara FileVault mencadangkan kunci enkripsi ke iCloud. Microsoft juga menyediakan Device Encryption pada semua perangkat Windows untuk melindungi data dengan mengenkripsi drive.
Manfaat enkripsi penuh disk
- Tidak memerlukan perhatian khusus dari pengguna akhir setelah perangkat mereka pertama kali dibuka kuncinya. Saat data ditulis, ia akan otomatis dienkripsi, dan saat dibaca, ia akan otomatis didekripsi.
- Data tidak dapat diekstraksi tanpa kata sandi perangkat dan kunci enkripsi.
- Melindungi data saat tidak aktif (data at rest) dari serangan siber dan kebocoran data.
- File sementara juga dienkripsi.
- Pengguna harus diautentikasi sebelum perangkat melakukan boot.
- FDE lebih cepat dibandingkan metode enkripsi manual yang memakan waktu dan kurang efisien.
Kekurangan enkripsi penuh disk
- Proses enkripsi dan dekripsi dapat memperlambat waktu akses data, terutama saat memori virtual digunakan secara intensif.
- Jika pengguna lupa kata sandi dan kehilangan kunci pemulihan, perangkat akan menjadi tidak dapat diakses bagi mereka, sama seperti bagi penyusup.
- Data yang sedang dikirim (data in transit) tidak dilindungi, sehingga data yang dibagikan antar perangkat atau melalui email masih rentan terhadap peretasan.
- Biaya yang terkait dengan FDE mencakup perangkat keras atau perangkat lunak enkripsi, serta waktu yang dibutuhkan untuk mengoperasikan komputer dengan FDE.