Las unidades flash se han convertido en un estándar en los medios extraíbles porque son pequeñas, se intercambian fácilmente entre sistemas y se pueden leer y reescribir. Su portabilidad y pequeño tamaño también los hace más fáciles de perder, incluso si están sujetos a un llavero u otro objeto. Tener su unidad flash encriptada significa que si la unidad se pierde o es robada, sus datos personales no se recuperan fácilmente.
Cifrado de hardware
Las unidades flash cifradas por hardware vienen con un pequeño chip que maneja el cifrado y están configuradas con dos volúmenes lógicos: uno pequeño y oculto y uno más grande donde van sus datos. Esto es similar a las particiones de disco ocultas en unidades de portátiles para la recuperación de software. Cuando la unidad se conecta por primera vez, después de sacarla de su empaque, se le pedirá que ingrese una contraseña. Una vez que se crea la contraseña, se cifra la partición más grande y se requerirá la contraseña cada vez que se inserte la unidad. Después de ingresar la contraseña, la unidad se comporta como cualquier otra unidad flash.
Cifrado de software
También es posible cifrar una memoria USB mediante un software de cifrado como TrueCrypt. Puede duplicar la funcionalidad de las unidades cifradas por hardware colocando los binarios de descifrado en la memoria USB y luego convertir el resto de la unidad en una partición cifrada, cifrar específicamente carpetas de archivos individuales o cifrar el volumen de tal manera que pueda ser leído solo por una computadora que tenga TrueCrypt instalado, por ejemplo. También puede crear una partición cifrada oculta para mayor seguridad.
Compensación de rendimiento
Debido a la naturaleza intensiva del procesador de los algoritmos de cifrado, escribir o leer datos en una unidad flash cifrada es más lento que en una unidad no cifrada. A medida que el USB 3.0 se generalice y las unidades encriptadas USB 3.0 lleguen al mercado, este impacto en el rendimiento será menos notorio, pero está ahí.
Algoritmo de cifrado y certificación
A principios de 2013, el algoritmo de cifrado utilizado tanto por TrueCrypt como por las unidades flash cifradas por hardware es el estándar de cifrado avanzado 256. Las alternativas a TrueCrypt incluyen DiskCryptor, Dm-crypt y BitLocker. Todas estas soluciones utilizan AES 256 para cumplir con el Estándar federal de procesamiento de información 140-2 Nivel 2. El nivel 1 requiere que el algoritmo de cifrado sea de 256 bits o mejor. El nivel 2 requiere una forma de revelar la manipulación del dispositivo; para las unidades cifradas por hardware, esto significa eliminar físicamente el chip de cifrado. El nivel 3 requiere más protección para el mecanismo de cifrado, y el nivel 4 requiere que la eliminación del mecanismo de cifrado haga que los datos cifrados sean ilegibles.
Funciones de gestión adicionales
La seguridad no se detiene con el cifrado de hardware. Muchas unidades flash encriptadas por hardware tienen herramientas que permiten a un administrador rastrear de forma remota los intentos de inicio de sesión, forzar cambios de contraseña y establecer una seguridad mínima de contraseña. Incluso pueden asegurarse de que la partición de datos esté oculta a menos que la unidad esté conectada a un servidor aprobado a través de una conexión aprobada.
