Läpinäkyvä salaus: edut ja haitat. Verkkokansioiden läpinäkyvä salaus yritystilassa

Fyysisten levyjen salaamiseen ja virtuaalisten salattujen levyjen luomiseen. Tällainen salaus ei kuitenkaan aina ole kätevää.
Ensinnäkin koko fyysistä levyä ei aina ole mahdollista salata. Toiseksi, jos käytät virtuaalisia levyjä, säilötiedostot vievät yleensä satoja megatavuja levytilaa ja hyökkääjän on helppo havaita. Kyllä, dataa on, mutta ihmisen laiskuus voittaa. Kolmanneksi salattu kansio voi jatkuvasti kasvaa, ja salauslevyn kokoa rajoittaa sen luomisen yhteydessä määritetty koko.
Kaikki haluavat työskennellä tiedostojen kanssa kätevästi, ja samalla tiedostot ovat luotettavasti suojattuja. On olemassa tällainen kompromissi - tämä on läpinäkyvä tiedostojen salaus, kun tiedostot salataan ja puretaan "lennossa" - työskennellessään niiden kanssa. Tiedostot pysyvät salattuina, ja työskentelet niiden kanssa kuten tavallisten tiedostojen kanssa. Jos esimerkiksi salasit C:\Documents-kansion ja laitoit asiakirjasi siihen, kun avaat asiakirjan tästä kansiosta, Word tai Excel käynnistyy, eivätkä he edes epäile, että ne ovat salattuja. Työskentelet salattujen tiedostojen kanssa kuten tavallisten tiedostojen kanssa, ajattelematta lainkaan salausta, asennusta, virtuaalilevyjä jne.
Helppokäyttöisyyden lisäksi läpinäkyvällä salauksella on toinen merkittävä etu. Yleensä suuri määrä tiedostoja on tallennettu salatuille virtuaalilevyille. Jotta voit työskennellä jopa yhden niistä, sinun on yhdistettävä koko kryptolevy. Tämän seurauksena kaikista muista tiedostoista tulee haavoittuvia. Voit tietysti luoda useita pieniä kryptolevyjä ja määrittää jokaiselle erillisen salasanan, mutta tämä ei ole kovin kätevää.
Läpinäkyvän salauksen tapauksessa voit luoda niin monta salattua kansiota kuin tarvitset ja sijoittaa jokaiseen niistä erilaisia tiedostoryhmiä - asiakirjoja, henkilökohtaisia valokuvia jne. Tässä tapauksessa vain ne tiedostot, joita käytetään, salaus puretaan, eikä kaikkia tiedostoja salauslevyllä kerralla.

EFS:n edut ja haitat

Windowsissa (alkaen Windows 2000:sta ja Home-versioita lukuun ottamatta) salattua tiedostojärjestelmää - EFS (Encrypting File System) - käytetään perinteisesti läpinäkyvän salauksen järjestämiseen.
EFS on suunniteltu estämään yhtä käyttäjää pääsemästä toisen käyttäjän (salattuihin) tiedostoihin. Miksi oli tarpeen luoda EFS, jos NTFS tukee käyttöoikeuksia? Vaikka NTFS on melko turvallinen tiedostojärjestelmä, ajan myötä ilmestyi erilaisia apuohjelmia (yksi ensimmäisistä oli NTFSDOS, jonka avulla voit lukea NTFS-osiolla olevia tiedostoja DOS-ympäristöstä), jotka jättävät huomiotta NTFS-käyttöoikeudet. Lisäsuojalle tarvittiin. EFS:n piti olla tällainen suoja.
Pohjimmiltaan EFS on NTFS:n lisäosa. EFS on kätevä, koska se sisältyy Windowsiin, etkä tarvitse lisäohjelmistoja tiedostojen salaamiseen - kaikki tarvitsemasi on jo Windowsissa. Tiedostojen salaamisen aloittaminen ei edellytä mitään esitoimenpiteitä, koska kun tiedosto salataan ensimmäisen kerran, käyttäjälle luodaan automaattisesti salaussertifikaatti ja yksityinen avain.
Toinen EFS:n etu on, että kun siirrät tiedoston salatusta kansiosta johonkin toiseen, se pysyy salattuna, ja kun kopioit tiedoston salattuun kansioon, se salataan automaattisesti. Mitään lisätoimenpiteitä ei tarvitse suorittaa.
Tämä lähestymistapa on tietysti erittäin kätevä, ja käyttäjällä näyttää olevan vain yksi etu EFS:stä. Mutta se ei ole totta. Toisaalta käyttäjä voi epäsuotuisissa olosuhteissa menettää pääsyn salattuihin tiedostoihin kokonaan. Tämä voi tapahtua seuraavissa tapauksissa:

Laitteisto-ongelmat, esimerkiksi emolevy on viallinen, käynnistyslatain on vaurioitunut, järjestelmätiedostot ovat vaurioituneet kiintolevyvian vuoksi (huonot sektorit). Tämän seurauksena voit yhdistää kiintolevyn toiseen tietokoneeseen kopioidaksesi tiedostoja siitä, mutta jos ne on salattu EFS:llä, et onnistu.
Järjestelmä on asennettu uudelleen. Windows voidaan asentaa uudelleen useista syistä. Tässä tapauksessa pääsy salattuihin tietoihin tietysti menetetään.
Käyttäjäprofiili poistettu. Vaikka luot käyttäjän samalla nimellä, hänelle annetaan eri tunnus, eikä tietoja silti voida purkaa.
Järjestelmänvalvoja tai käyttäjä itse nollaa salasanan. Tämän jälkeen myös pääsy EFS-tietoihin menetetään.
Virheellinen käyttäjän siirto toiseen verkkotunnukseen. Jos käyttäjän siirtoa ei tehdä oikein, hän ei voi käyttää salattuja tiedostojaan.

Kun käyttäjät (etenkin aloittelijat) alkavat käyttää EFS:ää, harvat ajattelevat sitä. Mutta toisaalta on olemassa erityinen ohjelmisto (ja se esitellään myöhemmin), jonka avulla voit käyttää tietoja, vaikka järjestelmä olisi asennettu uudelleen ja osa avaimista olisi kadonnut. Ja en edes tiedä, voidaanko tätä tosiasiaa pitää eduna vai haittana - tämän ohjelmiston avulla voit palauttaa pääsyn tietoihin, mutta samalla hyökkääjä voi käyttää sitä luvattoman pääsyn salattuihin tiedostoihin.
Vaikuttaa siltä, että EFS:llä salatut tiedot ovat erittäin turvallisia. Loppujen lopuksi levyllä olevat tiedostot salataan FEK:llä (File Encryption Key), joka tallennetaan tiedostomääritteisiin. Itse FEK on salattu pääavaimella, joka puolestaan on salattu järjestelmän käyttäjien avaimilla, joilla on pääsy tähän tiedostoon. Käyttäjäavaimet salataan näiden käyttäjien salasanatiivisteillä, ja myös salasanatiivisteet salataan SYSKEY:llä.
Vaikuttaa siltä, että tällaisen salausketjun pitäisi tarjota luotettava tietosuoja, mutta kaikki riippuu vain kirjautumistunnuksesta ja salasanasta. Kun käyttäjä nollaa salasanan tai asentaa järjestelmän uudelleen, salattuihin tietoihin ei ole enää mahdollista päästä käsiksi.
EFS-kehittäjät pelasivat turvallisesti ja ottivat käyttöön palautusagentteja (EFS Recovery Agent), eli käyttäjiä, jotka voivat purkaa muiden käyttäjien salaamien tietojen salauksen. EFS RA -konseptin käyttö ei kuitenkaan ole kovin kätevää ja jopa vaikeaa, varsinkin aloitteleville käyttäjille. Tämän seurauksena nämä erittäin aloittelevat käyttäjät osaavat salata tiedostoja EFS:n avulla, mutta eivät tiedä mitä tehdä hätätilanteessa. On hyvä, että on olemassa erityisiä ohjelmistoja, jotka voivat auttaa tässä tilanteessa, mutta samaa ohjelmistoa voidaan käyttää myös luvatta pääsyyn tietoihin, kuten jo todettiin.
EFS:n haittoja ovat myös kyvyttömyys tarjota verkkosalausta (jos tarvitset sitä, sinun on käytettävä muita tietojen salausprotokollia, kuten IPSec) ja muiden tiedostojärjestelmien tuen puute. Jos kopioit salatun tiedoston tiedostojärjestelmään, joka ei tue salausta, kuten FAT/FAT32, tiedoston salaus puretaan ja kuka tahansa voi tarkastella sitä. Tässä ei ole mitään yllättävää, EFS on vain lisäosa NTFS:n päälle.
Osoittautuu, että EFS tekee enemmän haittaa kuin hyötyä. Mutta jotta se ei olisi perusteeton, annan esimerkin Advanced EFS Data Recovery -ohjelman käyttämisestä salattujen tietojen saamiseksi. Skenaario on hyvin yksinkertainen: kirjaudun ensin sisään toisena käyttäjänä ja yritän käyttää salattua tiedostoa, jonka toinen käyttäjä on salannut. Sitten simuloin todellista tilannetta, jossa tiedoston salaaneen käyttäjän varmenne poistettiin (tämä voi tapahtua esimerkiksi Windowsin uudelleenasentamisen yhteydessä). Kuten näette, ohjelma selviää tästä tilanteesta ilman ongelmia.

Advanced EFS Data Recovery -toiminnon käyttäminen EFS-salattujen tiedostojen salauksen purkamiseen

Katsotaanpa, kuinka voit purkaa EFS:llä salattujen tiedostojen salauksen. Ensimmäinen vaihe on ottaa salaus käyttöön jollekin kansiosta. Esittelyä varten loin erityisesti EFS-salatun kansion. Jos haluat ottaa EFS-salauksen käyttöön kansiossa, sinun on yksinkertaisesti otettava käyttöön vastaava attribuutti sen ominaisuuksissa (kuva 1).

Riisi. 1. Ota kansion salaus käyttöön

Salatun kansion nimi ja kaikki siihen sijoitetut tiedostot (jotka salataan automaattisesti) näkyvät vihreänä Explorerissa. Kuten kuvassa näkyy. 2, lisäsin salattuun kansioon tekstitiedoston config.txt, jonka sisältöä yritämme tarkastella kirjautumalla sisään eri käyttäjänä. Testiä varten luotiin toinen käyttäjä, jolla on järjestelmänvalvojan oikeudet (ElcomSoftin Advanced EFS Data Recovery (AEFSDR) -ohjelma vaatii tällaisia oikeuksia), katso kuva. 3.

Riisi. 2. Salatun kansion sisältö

Riisi. 3. Uusi käyttäjä luotu

Luonnollisesti mikään ei toimi, jos kirjaudut sisään eri käyttäjänä ja yrität lukea config.txt-tiedostoa (kuva 4).

Riisi. 4. Pääsy kielletty

Mutta sillä ei ole väliä - käynnistämme Advanced EFS Data Recovery -ohjelman ja siirrymme suoraan Expert-tilaan (voit tietysti käyttää ohjattua toimintoa, joka avautuu ensimmäisen käynnistyksen yhteydessä (kuva 5)), mutta pidän asiantuntijatilasta enemmän. .

Riisi. 5. Ohjattu toiminto, kun käynnistetään Advanced EFS Data Recovery

Riisi. 6. Expert mode Advanced EFS Data Recovery

Joten mene välilehdelle Salatut tiedostot ja paina painiketta Etsi salattuja tiedostoja. Kuvassa Kuvassa 6 näkyy jo skannaustulos - ainoa salattu tiedostomme C:\EFS-Crypted\config.txt löytyi. Valitse se ja napsauta painiketta Pura salaus. Ohjelma kehottaa sinua valitsemaan hakemiston, josta haluat purkaa tiedostojen salauksen (kuva 7).

Riisi. 7. Valitse hakemisto, jossa tiedostojen salaus puretaan

Koska minulla on ohjelman kokeiluversio, minun on napsautettava jatkaaksesi Jatkaa(Kuva 8). Salauksesta puretut tiedostot sijoitetaan AEFS_-alikansioon<имя_диска>_DECRYPTED (kuva 9). Huomaa, että config.txt-tiedostomme ei ole enää vihreällä korostettuna ja voimme tarkastella sen sisältöä (kuva 10).

Riisi. 8. Napsauta painiketta Jatkaa

Riisi. 9. Puretut tiedostot

Riisi. 10. Config.txt-tiedoston sisältö

Monimutkaistaan nyt ohjelman tehtävää Edistynyt EFS-tietojen palautus, nimittäin poistamme henkilökohtaisen varmenteen. Kirjaudu sisään käyttäjänä, joka loi salatun kansion ja käynnistä mmc-konsoli, valitse valikkokomento Tiedosto, lisää tai poista laajennus. Valitse seuraavaksi laajennus Sertifikaatit ja paina painiketta Lisätä(Kuva 11). Valitse näkyviin tulevasta ikkunasta käyttäjätilini(Kuva 12).

Riisi. 11. Laitteiden lisääminen

Riisi. 12. Certificate Manager -laajennus

Napsauta seuraavaksi painiketta OK ja siirry näkyviin tulevassa ikkunassa kohtaan Sertifikaatit, henkilökohtaiset, todistukset. Näet nykyiselle käyttäjälle luodut varmenteet (kuva 13). Minun tapauksessani käyttäjälle kutsutaan testata. Napsauta sen sertifikaattia hiiren kakkospainikkeella ja valitse Poistaa sertifikaatin poistamiseksi. Näet varoituksen, että tällä varmenteella salattujen tietojen salausta ei enää voi purkaa. No, tarkistamme sen pian.

Riisi. 13. Henkilökohtaiset todistukset

Riisi. 14. Varoitus poistettaessa varmennetta

Sulje laajennus ja yritä käyttää salattua tiedostoa. Mikään ei toimi sinulle, vaikka salasit tämän tiedoston. Loppujen lopuksi varmenne on poistettu.
Vaihda käyttäjää, suorita Advanced EFS Data Recovery -ohjelma. Yritä purkaa tiedoston salaus edellä kuvatulla tavalla. Ensin ohjelma ilmoittaa, että varmennetta ei löydy. Siksi sinun on siirryttävä välilehteen EFS liittyviä tiedostoja ja paina painiketta Etsi avaimia. Jonkin ajan kuluttua ohjelma ilmoittaa, että se on löytänyt avaimet, mutta ei luultavasti kaikkia (kuva 15). Ohjelma suosittelee, että skannaat avaimet uudelleen, mutta tällä kertaa vaihtoehdon ollessa käytössä Skannaa sektoreittain(Kuva 16), mutta en tehnyt tätä ja menin välittömästi välilehteen Salatut tiedostot. Ohjelma löysi tiedoston ja purki sen salauksen. Kuvassa Kuva 17 näyttää, että olen jo tallentanut salauksen puretun tiedoston työpöydälleni.

Riisi. 15. Etsi avaimet

Riisi. 16. Skannausikkuna

Riisi. 17. Tiedoston salaus puretaan uudelleen

EFS:n häpeäksi tai Advanced EFS Data Recoveryn ansioksi molemmissa tapauksissa tiedoston salaus purettiin. Samaan aikaan, kuten näette, en tarvinnut mitään erityisiä tietoja tai taitoja. Sinun tarvitsee vain käynnistää ohjelma, joka tekee kaiken työn puolestasi. Voit lukea ohjelman toiminnasta kehittäjien verkkosivustolla (http://www.elcomsoft.ru/), emme käsittele yksityiskohtaisesti sen toimintaperiaatetta tässä artikkelissa, koska AEFSDR ei ole artikkelin aihe .
Ollakseni rehellinen, on sanottava, että asiantuntijat voivat konfiguroida järjestelmän niin, että Advanced EFS Data Recovery on voimaton. Olemme kuitenkin käsitelleet EFS:n yleisimmän käytön suurimmalle osalle käyttäjistä.

Läpinäkyvä salausjärjestelmä toteutettu CyberSafe Top Secretissa

Katsotaanpa, kuinka läpinäkyvä salaus toteutetaan CyberSafessa. Läpinäkyvään salaukseen käytetään Alfa Transparent File Encryptor -ohjainta (http://www.alfasp.com/products.html), joka salaa tiedostot AES-256-algoritmilla tai GOST 28147-89 -algoritmilla (käytettäessä Crypto-Proa ).
Salaussääntö (tiedostomaski, sallitut/kielletyt prosessit jne.) sekä salausavain lähetetään ohjaimelle. Itse salausavain on tallennettu ADS-kansioon (Alternate Data Streams, eb.by/Z598) ja se on salattu OpenSSL:llä (RSA-algoritmi) tai GOST R 34.10-2001 -varmenteilla.
Logiikka on seuraava: lisää kansio, CyberSafe luo avaimen ohjaimelle, salaa sen valituilla julkisilla varmenteilla (ne on luotu tai tuotu CyberSafeen). Kun joku käyttäjä yrittää päästä kansioon, CyberSafe avaa ADS-kansion ja lukee salatun avaimen. Jos tällä käyttäjällä on varmenteen yksityinen avain (hänellä voi olla yksi tai useampi oma varmenne), jota käytettiin avaimen salaamiseen, hän voi avata tämän kansion ja lukea tiedostoja. On huomattava, että ajuri purkaa vain sen, mitä tarvitaan, ei kaikkia tiedostoja, kun tiedostoon pääsy myönnetään. Jos käyttäjä esimerkiksi avaa suuren Word-asiakirjan, vain editoriin ladatun osan salaus puretaan ja loput ladataan tarpeen mukaan. Jos tiedosto on pieni, sen salaus puretaan kokonaan, mutta loput tiedostot pysyvät salattuina.
Jos kansio on jaettu verkkokansio, siinä olevat tiedostot pysyvät salattuina, asiakasohjain purkaa vain muistissa olevan tiedoston tai tiedoston osan, vaikka tämä koskee myös paikallista kansiota. Kun muokkaat tiedostoa, ajuri salaa muutokset muistissa ja kirjoittaa ne tiedostoon. Toisin sanoen, vaikka kansio olisi käytössä (näytämme myöhemmin, mitä se on), levyllä olevat tiedot pysyvät aina salattuina.

CyberSafe Top Secretin käyttö tiedostojen ja kansioiden läpinäkyvään salaamiseen

On aika tarkastella CyberSafe Top Secretin käytännön käyttöä. Jos haluat salata kansion, siirry ohjelmaosioon Läpinäkyvä salaus(välilehti Tiedostojen salaus), katso kuva. 18. Vedä sitten Resurssienhallinnasta kansiot, jotka haluat salata, ohjelman työalueelle. Voit myös käyttää painiketta Alanumero. kansio. Lisäsin yhden kansion - C:\CS-Crypted.

Riisi. 18. CyberSafe Top Secret -ohjelma

Napsauta painiketta Käytä. Napsauta avautuvassa ikkunassa (kuva 19) -painiketta Kyllä tai Kyllä kaikkeen x (jos yrität salata useita kansioita kerralla). Seuraavaksi näet ikkunan, jossa valitaan sertifikaatit, joiden avaimia käytetään kansion läpinäkyvään salaukseen (kuva 20). Varmenteet luodaan pääsääntöisesti heti ohjelman asennuksen jälkeen. Jos et ole vielä tehnyt tätä, sinun on palattava osioon Yksityiset avaimet ja paina painiketta Luoda.

Riisi. 19. Napsauta Kyllä

Riisi. 20. Varmenteiden valinta läpinäkyvää salausta varten

Ohjelman seuraava kysymys on, pitääkö tälle kansiolle asettaa järjestelmänvalvojan avain (kuva 21). Ilman järjestelmänvalvojan avainta et voi tehdä muutoksia kansioon, joten napsauta painiketta Kyllä.

Riisi. 21. Paina uudelleen Kyllä

Tämän jälkeen palaat ohjelman pääikkunaan. Ennen kuin alat työskennellä salatun kansion kanssa, sinun on valittava se ja napsautettava painiketta Kytke päälle. Ohjelma kysyy tämän kansion salaamiseen määritetyn varmenteen salasanaa (kuva 22). Tämän jälkeen salatun kansion kanssa työskentely ei eroa tavallisen kansion kanssa työskentelystä. CyberSafe-ikkunassa kansio merkitään avoimeksi ja lukkokuvake ilmestyy kansiokuvakkeen vasemmalle puolelle (kuva 23).

Riisi. 22. Syötä varmenteen salasana

Riisi. 23. Salattu kansio yhdistetty

Resurssienhallinnassa salattua kansiota tai salattuja tiedostoja ei ole merkitty millään tavalla. Ulkoisesti ne näyttävät samalta kuin muut kansiot ja tiedostot (toisin kuin EFS, jossa salattujen tiedostojen/kansioiden nimet on korostettu vihreällä), katso kuva. 24.

Riisi. 24. CS-Crypted-salattu kansio Explorerissa

On huomattava, että voit salata verkkokansion samalla tavalla. Tässä tapauksessa CyberSafe-ohjelman tulisi sijaita vain käyttäjien tietokoneella, ei tiedostopalvelimella. Kaikki salaus suoritetaan asiakkaalla ja jo salatut tiedostot siirretään palvelimelle. Tämä päätös on enemmän kuin perusteltu. Ensinnäkin jo salattu data siirretään verkon yli. Toiseksi, vaikka palvelimen ylläpitäjä haluaisi käyttää tiedostoja, hän ei voi tehdä mitään, koska vain käyttäjät, joiden varmenteet määritettiin salauksen aikana, voivat purkaa tiedostojen salauksen. Mutta järjestelmänvalvoja voi tarvittaessa varmuuskopioida salatut tiedostot.
Kun salattua kansiota ei enää tarvita, sinun on siirryttävä CyberSafe-ohjelmaan, valittava kansio ja napsautettava painiketta Sammuta. Tämä ratkaisu ei ehkä vaikuta yhtä kätevältä kuin EFS - sinun on painettava päälle/pois-painikkeita. Mutta tämä on vain ensi silmäyksellä. Ensinnäkin käyttäjällä on selkeä käsitys siitä, että kansio on salattu, eikä hän unohda tätä tosiasiaa asentaessaan Windowsin uudelleen. Toiseksi EFS:n avulla, jos sinun on oltava poissa tietokoneestasi, sinun on kirjauduttava ulos, koska kun olet poissa, kuka tahansa voi tulla tietokoneesi lähelle ja käyttää tiedostojasi. Hänen tarvitsee vain kopioida tiedostosi laitteeseen, joka ei tue salausta, kuten FAT32-flash-asemaan. Sitten hän voi tarkastella tiedostoja tietokoneesi ulkopuolella. CyberSafen avulla kaikki on hieman kätevämpää. Kyllä, sinun on suoritettava lisätoiminto ("suljettava" kansio) ja kaikki salatut tiedostot eivät ole käytettävissä. Mutta toisaalta, sinun ei tarvitse käynnistää uudelleen kaikkia ohjelmia ja avata kaikkia asiakirjoja (mukaan lukien salaamattomat) - kuten uudelleen kirjautumisen jälkeen.
Jokaisella tuotteella on kuitenkin omat ominaisuutensa. CyberSafe ei ole poikkeus. Oletetaan, että salasit C:\CS-Crypted-kansion ja sijoitat report.txt-tiedoston sinne. Kun kansio on poistettu käytöstä, et tietenkään voi lukea tiedostoa. Kun kansio mukana, voit käyttää tiedostoa ja vastaavasti kopioida sen mihin tahansa muuhun salaamattomaan kansioon. Mutta kun tiedosto on kopioitu salaamattomaan kansioon, se jatkaa omaa elämäänsä. Toisaalta se ei ole yhtä kätevää kuin EFS:n tapauksessa, toisaalta, kun hän tietää tämän ohjelman ominaisuuden, käyttäjä on kurinalaisempi ja tallentaa salaiset tiedostonsa vain salattuihin kansioihin.

Suorituskyky

Yritetään nyt selvittää, kumpi on nopeampi - EFS vai CyberSafe Top Secret. Kaikki testit suoritetaan oikealla koneella – ei virtuaalikoneita. Kannettavan tietokoneen kokoonpano on seuraava - Intel 1000M (1,8 GHz) / 4 Gt RAM-muistia / WD WD5000LPVT (500 Gt, SATA-300, 5400 RPM, 8 Mt puskuri / Windows 7 64-bittinen). Auto ei ole kovin tehokas, mutta mitä se on.
Testi tulee olemaan erittäin yksinkertainen. Kopioimme tiedostot kuhunkin kansioon ja katsomme kuinka kauan kopiointi kestää. Seuraava yksinkertainen skenaario auttaa meitä selvittämään, mikä läpinäkyvä salaustyökalu on nopeampi:

@echo off echo "Kopioidaan 5580 tiedostoa EFS-salattuun" echo %time% robocopy c:\Joomla c:\EFS-Crypted /E > log1 echo %time% echo "Kopioidaan 5580 tiedostoa CS-salaukseen" echo %time% Robocopy c:\Joomla c:\CS-Crypted /E > log2 kaiku %time%

Ei vaadi ohjelmointigurua selvittääkseen, mitä tämä kirjoitus tekee. Ei ole mikään salaisuus, että työskentelemme usein suhteellisen pienten tiedostojen kanssa, joiden koko vaihtelee useista kymmenistä useisiin satoihin kilotavuihin. Tämä skripti kopioi Joomla! 3.3.6, joka sisältää 5580 näistä pienistä tiedostoista ensin EFS-salatussa kansiossa ja sitten CyberSoft-salatussa kansiossa. Katsotaan kumpi on voittaja.
Robocopy-komentoa käytetään kopioimaan rekursiivisesti tiedostoja, myös tyhjiä (/E-vaihtoehto), ja sen tuloste ohjataan tarkoituksella tekstitiedostoon (voit halutessasi tarkastella, mitä kopioitiin ja mitä ei), jotta se ei sotkeutuisi. skriptin tulos.
Toisen testin tulokset on esitetty kuvassa. 25. Kuten näet, EFS suoritti tämän tehtävän 74 sekunnissa ja CyberSoft vain 32 sekunnissa. Ottaen huomioon, että useimmissa tapauksissa käyttäjät työskentelevät useiden pienten tiedostojen kanssa, CyberSafe on yli kaksi kertaa nopeampi kuin EFS.

Riisi. 25. Testitulokset

CyberSafe Transparent Encryption -salauksen edut

Tehdään nyt vähän yhteenvetoa. CyberSafe-läpinäkyvän salauksen edut sisältävät seuraavat tosiasiat:

Kun sammutat kansion, tiedostot voidaan kopioida salattuna missä tahansa, jolloin voit järjestää pilvisalauksen.
CyberSafe-ohjelmaohjain mahdollistaa työskentelyn verkon yli, mikä mahdollistaa järjestämisen.
Kansion salauksen purkamiseksi sinun ei tarvitse vain tietää salasanaa, vaan sinulla on oltava asianmukaiset varmenteet. Crypto-Proa käytettäessä avain voidaan siirtää tokeniin.
CyberSafe-sovellus tukee AES-NI-käskysarjaa, jolla on positiivinen vaikutus ohjelman suorituskykyyn (kuten yllä olevat testit osoittavat).
Voit suojautua luvattomalta käytöltä yksityisiin avaimiisi käyttämällä kaksivaiheista todennusta.
Tuki luotetuille sovelluksille

Kaksi viimeistä etua ansaitsevat erityistä huomiota. Voit suojata itse CyberSafe-ohjelman suojataksesi pääsyn käyttäjän yksityisiin avaimiin. Voit tehdä tämän suorittamalla komennon Työkalut, Asetukset(Kuva 26). Asetukset-ikkunan välilehdellä Todennus voit ottaa käyttöön joko salasanatodennuksen tai kaksivaiheisen todennuksen. Lisätietoja tämän tekemisestä on CyberSafe-oppaassa sivulla 119.

Riisi. 26. Itse CyberSafe-ohjelman suojaaminen

Välilehdellä Sallittu. sovelluksia Voit määrittää luotettavia sovelluksia, jotka saavat toimia salattujen tiedostojen kanssa. Oletuksena kaikki sovellukset ovat luotettuja. Mutta turvallisuuden parantamiseksi voit määrittää sovelluksia, jotka saavat toimia salattujen tiedostojen kanssa. Kuvassa 27 Määritin MS Wordin ja MS Excelin luotettaviksi sovelluksiksi. Jos jokin muu ohjelma yrittää päästä salattuun kansioon, sen käyttö estetään. Lisätietoja on artikkelissa "Salaa paikallisen tietokoneen tiedostot läpinäkyvästi CyberSafe-tiedostosalauksella" (http://site/company/cybersafe/blog/210458/).

Lisää tunnisteita

) mahdollistaa yritysten nopean ja kätevän tiedonvaihdon järjestämisen eri etäisyyksillä. Tietojen suojaaminen yritysympäristössä on kuitenkin tähän päivään asti ajankohtainen tehtävä, joka huolestuttaa pienten, keskisuurten ja suurten yritysten johtajia monilla eri toimialoilla. Lisäksi johdon on yrityksen koosta riippumatta lähes aina erotettava työntekijöiden pääsyoikeudet luottamuksellisiin tietoihin sen tärkeyden mukaan. Tässä artikkelissa puhumme läpinäkyvä salaus

Yhtenä yleisimmistä menetelmistä tietojen suojaamiseen yritysympäristössä tarkastelemme useiden käyttäjien salauksen yleisiä periaatteita (useita julkisia avaimia) ja puhumme myös verkkokansioiden läpinäkyvän salauksen määrittämisestä CyberSafella. Tiedostojen salausohjelma.

Mitä hyötyä on läpinäkyvästä salauksesta? läpinäkyvä salaus, koska tämä toiminto tarjoaa nopean ja kätevän työskentelyn luokiteltujen tiedostojen kanssa useille käyttäjille samanaikaisesti. Kun luot ja muokkaat tiedostoja, salaus- ja salauksenpurkuprosessit tapahtuvat automaattisesti, "lennossa". Työskennelläkseen suojattujen asiakirjojen kanssa yrityksen työntekijöillä ei tarvitse olla mitään salausalan taitoja.

Työskentely turvaluokiteltujen asiakirjojen kanssa tapahtuu tavalliseen tapaan käyttämällä tavallisia järjestelmäsovelluksia. Kaikki salauksen asettamisen ja käyttöoikeuksien rajaamisen toiminnot voidaan määrittää yhdelle henkilölle, esimerkiksi järjestelmänvalvojalle.

Useita julkisen avaimen kryptografiaa ja digitaalisia kirjekuoria

Läpinäkyvä salaus toimii seuraavasti. Tiedoston salaamiseen käytetään satunnaisesti luotua symmetristä istuntoavainta, joka puolestaan on suojattu käyttäjän julkisella epäsymmetrisellä avaimella. Jos käyttäjä käyttää tiedostoa tehdäkseen siihen muutoksia, läpinäkyvä salausohjain purkaa symmetrisen avaimen salauksen käyttäjän yksityisellä avaimella ja purkaa sitten itse tiedoston salauksen symmetrisellä avaimella. Kuvasimme yksityiskohtaisesti, kuinka läpinäkyvä salaus toimii edellisessä aiheessa.

Mutta entä jos käyttäjiä on useita ja luokiteltuja tiedostoja ei tallenneta paikalliseen tietokoneeseen, vaan etäpalvelimen kansioon? Loppujen lopuksi salattu tiedosto on sama, mutta jokaisella käyttäjällä on oma ainutlaatuinen avainpari.

Tässä tapauksessa ns digitaaliset kirjekuoret.

Kuten kuvasta näkyy, digitaalinen kirjekuori sisältää tiedoston, joka on salattu satunnaisesti luodulla symmetrisellä avaimella, sekä useita kopioita tästä symmetrisestä avaimesta, jotka on suojattu kunkin käyttäjän julkisilla epäsymmetrisillä avaimilla. Kopioita tulee niin monta kuin käyttäjät saavat käyttää suojattua kansiota.

Läpinäkyvä salausohjain toimii seuraavan kaavan mukaan: kun käyttäjä käyttää tiedostoa, se tarkistaa, onko sen varmenne (julkinen avain) sallittujen luettelossa. Jos näin on, hänen julkisella avaimellaan salatun symmetrisen avaimen kopion salaus puretaan tämän käyttäjän yksityisellä avaimella. Jos käyttäjän varmennetta ei ole luettelossa, pääsy estetään.

Verkkokansioiden salaus CyberSafella

CyberSafen avulla järjestelmänvalvoja voi määrittää verkkokansion läpinäkyvän salauksen ilman lisätietosuojaprotokollia, kuten IPSec- tai WebDAV-protokollia, ja sen jälkeen hallita käyttäjien pääsyä tiettyyn salattuun kansioon.

Läpinäkyvän salauksen määrittäminen edellyttää, että jokaisella käyttäjällä, jolle annetaan pääsy luottamuksellisiin tietoihin, on oltava CyberSafe asennettuna tietokoneeseensa, luotu henkilökohtainen varmenne ja julkinen avain, joka on julkaistu julkisen CyberSafe-avaimen palvelimella.

Seuraavaksi etäpalvelimen järjestelmänvalvoja luo uuden kansion, lisää sen CyberSafeen ja määrittää avaimet niille käyttäjille, jotka voivat jatkossa käsitellä tässä kansiossa olevia tiedostoja. Tietysti voit luoda niin monta kansiota kuin tarvitset, tallentaa niihin eriasteisia luottamuksellisia tietoja, ja järjestelmänvalvoja voi milloin tahansa poistaa käyttäjän kansioon pääsystä tai lisätä uuden.

Katsotaanpa yksinkertaista esimerkkiä:

ABC-yrityksen tiedostopalvelin tallentaa 3 tietokantaa, joissa on eriasteisia luottamuksellisia tietoja - DSP, Secret ja Top Secret. Sitä vaaditaan pääsyn tarjoamiseen: DB1 käyttäjille Ivanov, Petrov, Nikiforov, DB2 for Petrov ja Smirnov, DB3 for Smirnov ja Ivanov.

Tätä varten tiedostopalvelimella, joka voi olla mikä tahansa verkkoresurssi, sinun on luotava kolme erillistä kansiota kullekin tietokannalle ja määritettävä vastaavien käyttäjien sertifikaatit (avaimet) näihin kansioihin:

Tietenkin tämä tai muu vastaava käyttöoikeuksien eriyttämiseen liittyvä ongelma voidaan ratkaista Windowsin ACL-luetteloilla. Mutta tämä menetelmä voi olla tehokas vain rajattaessa pääsyoikeuksia työntekijöiden tietokoneisiin yrityksessä. Se ei itsessään suojaa luottamuksellisia tietoja, jos kolmannen osapuolen yhteys tiedostopalvelimeen on, ja salauksen käyttö tietojen suojaamiseen on yksinkertaisesti välttämätöntä.

Lisäksi kaikki tiedostojärjestelmän suojausasetukset voidaan nollata komentorivin avulla. Windowsissa tähän on erityinen työkalu - "calcs", jonka avulla voidaan tarkastella tiedostojen ja kansioiden käyttöoikeuksia sekä nollata ne. Windows 7:ssä tätä komentoa kutsutaan nimellä "icacls" ja se suoritetaan seuraavasti:

1. Kirjoita komentoriville järjestelmänvalvojan oikeudet: cmd
2. Siirry levylle tai osioon, esimerkiksi: CD /D D:
3. Nollaa kaikki käyttöoikeudet kirjoittamalla: icacls * /T /Q /C /RESET

On mahdollista, että icacls ei toimi ensimmäisellä kerralla. Sitten ennen vaihetta 2 sinun on suoritettava seuraava komento:

Tämän jälkeen tiedostoille ja kansioihin aiemmin asetetut käyttöoikeudet nollataan.

Voit luoda järjestelmän perustuen virtuaalinen kryptodisk ja ACL(lisää tietoa tällaisesta järjestelmästä käytettäessä kryptolevyjä organisaatioissa kirjoitetaan.). Tällainen järjestelmä on kuitenkin myös haavoittuvainen, koska varmistaakseen työntekijöiden jatkuvan pääsyn salauslevyn tietoihin järjestelmänvalvojan on pidettävä se kytkettynä (asennettuna) koko työpäivän ajan, mikä vaarantaa salauslevyn luottamukselliset tiedot tietämättäänkin. salasanan, jos hyökkääjä on muodostamassa yhteyttä, voi muodostaa yhteyden palvelimeen.

Verkkoasemat, joissa on sisäänrakennettu salaus, eivät myöskään ratkaise ongelmaa, koska ne suojaavat tietoja vain silloin, kun kukaan ei työskentele niiden kanssa. Toisin sanoen sisäänrakennettu salaustoiminto voi suojata luottamuksellisia tietoja vaarantumiselta vain, jos itse levy varastetaan.

Lähes päivittäin tulee raportteja hyökkääjien ja teollisuusvakoilijoiden hakkeroimista yritysten verkkoihin. Tätä asiaa koskevat huolenaiheet näkyvät oikeudellisissa asiakirjoissa, kuten liittovaltion tietosuojalaissa. Melko usein herää huoli siitä, että oma verkon ylläpitäjä voi katsoa palkkatietoja lounastauolla. Sitäkin ihmeellisempää on, että monissa yrityksissä turvatoimet päättyvät palomuurin asentamiseen.

TIETOVARKAUS ON NÄKYMÄTÖN RIKOS

Virheistä oppii, sananlasku sanoo. Tietoturvan osalta, kuten kokemus osoittaa, on kuitenkin syytä tehdä selvennyksiä: "Virheistä vain opitaan, mutta ei aina." Palomuurien ja virustorjuntaohjelmien lähes yleinen asennus yrityksiin todistaa, että useimmat niistä ovat valmiita vastaamaan esimerkiksi viruksen aiheuttamiin vahinkoihin tietyin vastatoimin. Mutta kryptografiset ratkaisut vetävät silti surkeaa olemassaoloa. Syynä on tietysti se, että tietovarkaudet eivät jätä yhtä ilmeisiä jälkeä kuin verkon lamauttava virus tai palvelunestohyökkäys. Monissa tapauksissa tietovarkauksista aiheutuvat taloudelliset vahingot ovat kuitenkin moninkertaiset.

Lisäksi palomuurit vaikeuttavat ulkopuolisten tunkeutumista verkkoon, mutta ne eivät voi suojata sisäisten rikosten lisääntymiseltä. Jo vuonna 2001 konsulttiyhtiö Mummert und Partnerin tutkimuksessa tietovarkauksien kokonaisvahingot saksalaisissa yrityksissä arvioitiin 20 miljardiksi markkaaksi, ja 60-80 % tapauksista johtui työntekijöiden itsensä toiminnasta. Rikostutkintatilastot osoittavat tietokonerikollisuuden lisääntyneen havaitsemisasteen laskussa. Kuitenkin, kun tämä aihe mainitaan, monet ihmiset haluavat haudata päänsä hiekkaan.

SALAUS ESTÄVÄNÄ TOIMENPITEENÄ

Tietovarkauksia vastaan on olemassa pitkään todistettu lääke - salaus. Ajatus ei ole uusi, mutta monet yritykset kieltäytyvät edelleen laajalle levinneestä tietojensa salauksesta. Ongelman vakavuuden tietämättömyyden ja tietoturvaan panostamisen pelon ohella syynä on se, että salausratkaisut itsessään eivät usein täytä käytännön vaatimuksia. Sen sijaan laitteisto- ja ohjelmistovalmistajat kilpailevat suorituskyvystä ja tarjoavat maksimaalisen määrän mukautettavia salausalgoritmeja tai suurimman avaimen pituuden.

Tietysti hyvä salausmenetelmä ja riittävä avaimen pituus ovat erittäin tärkeitä. Voimme suositella hyvän symmetrisen algoritmin hybridimenetelmiä, kuten Triple DES tai AES, joiden avaimen pituus on vähintään 128 bittiä hyötykuorman salaukseen, ja epäsymmetristä menetelmää, kuten RSA, avaimen pituus 1024 bittiä avainten hallintaan. . Ohjelmiston tarjoamaa suojaustasoa ei kuitenkaan voida rajoittaa salausparametrien valintaan. Käytännön soveltamista varten yrityskentällä on ratkaistava joukko muita asioita.

KÄYTTÄJÄT PITÄVÄT LÄKYVYYSTÄ

Ensinnäkin puhumme neljästä salausratkaisun vaatimuksesta:

ei muutoksia tavallisiin liiketoimintaprosesseihin;
helppo hallinto ja integrointi olemassa oleviin järjestelmäympäristöihin;
sisäisten turvallisuusmääräysten noudattaminen;
korkea vikasietokyky.

Turvallisuussäännöissä tulee määrätä, että ei voi olla kaikkivaltavaa ylläpitäjää, jolla on poikkeuksetta pääsy kaikkiin tietoihin. Lisäksi käyttäjien pääsy salattuihin tietoihin tulisi tarvittaessa olla mahdollista estää nopeasti. Tässä yhteydessä on välttämätöntä luoda keskusjärjestelmä turvaratkaisun hallintaan, koska muuten ohjeiden noudattaminen riippuisi jokaisesta yksittäisestä käyttäjästä, joka on yleensä kiinnostunut vain päätyönsä suorittamisesta. "Läpinäkyvä salaus" on taikasana, josta käyttäjät pitävät.

STANDARDITUOTTEET VERRATTUNA ERIKOISTUOTTEISIIN

Läpinäkyvä salaus tarkoittaa, että tiedot salataan ja salaus puretaan ilman käyttäjän toimia taustalla toimivalla suodatinohjaimella, joka valvoo kaikkia pääsyä tietoihin. Jotkut käyttöjärjestelmät tarjoavat jo vakiotyökaluja tähän tarkoitukseen. Linux-käyttäjillä on pääsy Transparent Cryptographic File System (TCFS) -tiedostojärjestelmään, ja Microsoft varustaa Windows 2000- ja Windows XP Professional -käyttöjärjestelmänsä salatulla tiedostojärjestelmällä (EFS). Vaikka nämä lähestymistavat ovatkin houkuttelevia, niiden on vielä todistettava arvonsa. Sekä Linuxin TCFS:ssä että Windowsin EFS:ssä tiedetään olevan useita tietoturva-aukkoja.

EFS-analyysissä, jonka tulokset esiteltiin vuonna 2003 Federal Office for Information Technology Securityn (BSI) kongressissa, havaittiin, että "EFS soveltuu vain osittain yrityksiin, koska se ei täytä osittain tai kokonaan tärkeät vaatimukset yritystietojen salausratkaisulle Tärkeänä mainitaan muun muassa seuraavat asiat: Windows EFS välittää tietoa verkon yli salaamattomassa muodossa ja mahdottomuus salata tietoja, joita useat käyttäjät käyttävät samassa työryhmässä. Lisäksi Windows EFS:ssä, kuten ennenkin, järjestelmänvalvoja on kaikkivoipa. Tietoturvajärjestelmänvalvojan riittämättömän huomion vuoksi Eracom Technologiesin Safeguard Lancrypt- ja Protectfile-tuotteet kärsivät samasta viasta. Molemmissa tapauksissa, jos älykorttia ei käytetä, koko prosessi liittyy rekisteröintiin Windowsissa, ja keskeisten tietojen hallinta tapahtuu hajautetusti vastaaville asiakkaille. Windows 2000:ssa järjestelmänvalvojan ei kuitenkaan ole ollenkaan vaikeaa ohittaa toimialueen jäsenen salasanaa ja päästä käsiksi vastaavan käyttäjän järjestelmään. Kun järjestelmänvalvoja saa pääsyn salausprofiiliin, kaikki salatut tiedot ovat hänen käytettävissään. Lisäksi Protectfile, kuten Windows EFS, ei pysty salaamaan pakattuja tietoja.

ASIAKAS-PALVELIN RATKAISU PÄÄTTENÄ

Keskeisten tietojen hajautettu hallinta aiheuttaa perustavanlaatuisia ongelmia. Ensimmäinen on mainittu järjestelmänvalvojan käyttöoikeus, joka salasanan nollauksella voi kirjautua sisään järjestelmään käyttäjän puolesta. Toinen on se, että tätä oikeutta ei ole niin helppo ottaa pois käyttäjältä, jolla on pääsy kaikkiin tarvittaviin tietoihin. Lisäksi olemassa olevat tietojoukot salataan tiedostopalvelimella vain, kun käyttäjä käyttää niitä aktiivisella suodatinohjaimella. Kuitenkin, kunnes tämä tapahtuu, tiedot tallennetaan selväkielisenä.

Vaihtoehto, jolla on hyvät menestysmahdollisuudet, on siirtyä asiakaspuolen ratkaisusta asiakas-palvelinmalliin. Asiakkaalle tarvitsee vain asentaa suodatinohjain, joka käsittelee salauksen taustalla. Asiakas saa kuitenkin avaintiedot vain tarvittaessa suojauspalvelimelta, joka vastaa avainten hallinnasta ja turvasääntöjen noudattamisesta. Tämä palvelin voi lisäksi suorittaa kaikkien suojausta tarvitsevien tietojen alustavan salauksen tiedostopalvelimella ja sitten ne suojataan liian uteliailta katseilta jo ennen asiakkaan ensimmäistä pyyntöä.

Jotta järjestelmänvalvoja ei kirjautuisi sisään jonkun toisen salasanalla, on tärkeää, että salausjärjestelmän valtuutus ei ole sidottu pelkästään käyttöjärjestelmään kirjautumiseen. Kysymys/vastaus-tekniikoiden avulla voit suojata prosessin siten, että vain valtuutetut käyttäjät pääsevät käsiksi salattuihin tietoihin. Niille, jotka tarvitsevat lisäturvaa, tarvitaan älykortteja avaimen säilyttämiseen. Jos et halua työskennellä epästandardien ratkaisujen kanssa, sinun tulee turvaratkaisua valittaessa kiinnittää huomiota kansainvälisen standardoidun käyttöliittymän olemassaoloon älykorttien lukemiseen, esimerkiksi PKCS#11. Se, että käyttöjärjestelmään rekisteröitymisen lisäksi käyttäjän on kirjauduttava uudelleen sisään salasanalla tai älykortilla, ottaen huomioon nämä edut, näyttää hyväksyttävältä.

Tällaisessa tilanteessa tiedostopalvelimelle tallennettua salattua tiedostoa edeltää pyyntö asiakkaalta palvelimelle. Tämän jälkeen palvelin tarkistaa turvaohjeidensa perusteella, onko asiakkaalla oikeus purkaa pyydetyn tiedoston salaus. Jos vastaus on myönteinen, palvelin antaa hänelle luotettavasti salauksen purkamiseen tarvittavan avaimen. Jos pääsyä ei sallita, hän ei saa avainta. Näin ollen tapetaan kaksi kärpästä yhdellä iskulla. Ensin suojauksen järjestelmänvalvoja voi peruuttaa käyttäjän käyttöoikeudet poistamalla vastaavan lupamääritteen suojauspalvelimelta. Toiseksi järjestelmänvalvoja ei voi enää esiintyä valtuutettuna käyttäjänä, koska valtuutus suojauspalvelimella tapahtuu käyttöjärjestelmään rekisteröitymisestä riippumatta.

Luonnollisesti on huolehdittava siitä, että järjestelmänvalvojan ja tietoturvapäällikön roolit jakautuvat käytännössä eri henkilöiden kesken. Muuten tietoturvapalvelimen käyttöönotolla saavutetut tietoturvaparannukset mitätöidään virheellisten organisatoristen toimenpiteiden vuoksi. Viimeisenä, mutta ei vähäisimpänä, etuna on, että tällä tavalla on erittäin helppo järjestää käyttäjäryhmiä, joilla on jaettu pääsy suojattuun tietoon. Riittää, kun yhdistää kaikki työntekijät esimerkiksi HR-osastolta "HR Department" -ryhmään ja antaa kaikille sen jäsenille samat oikeudet. Tämän jälkeen kaikki toimet koskevat koko ryhmää, eikä niitä tule suorittaa jokaiselle käyttäjälle erikseen.

Jos asiakas-palvelin-salausta käytetään laajalti, sen tulee olla redundantti, jotta tarvittaessa käynnistetään rinnakkain toinen turvapalvelin, joka, jos ensimmäiseen ei ole tavoitettavissa (verkko-ongelmat, sähkökatko, ennaltaehkäisevä huolto jne.), käynnistää välittömästi ottaa hoitaakseen tehtävänsä. Tämä varmistaa järjestelmän korkean vikasietokyvyn ja jatkuvan tiedon saatavuuden.

Asiakas-palvelin -lähestymistapa otettiin käyttöön Applied Securityn Fideas Enterprise -tuotteessa ("fideas" on latinaa "sinun täytyy luottaa"). On syytä huomata, että asiakas-palvelin-konsepti toimii vain niin kauan kuin ohjaus ulottuu kaikkiin laitteisiin koko verkossa. Heti kun laite, esimerkiksi kannettava tietokone, poistetaan verkosta, tässä tapauksessa on mahdollista työskennellä vain paikallisilla avaimilla. Tämä ei aina ole haitta, sillä omalla koneellaan jokainen käyttäjä pysyy joka tapauksessa tietojensa omistajana. Jos tällaiset ratkaisut yleistyvät yhtä laajasti kuin virustarkistus ja palomuuri, tietovakoilu katoaa.

Volker Scheidemann on IT-tietoturvakonsultti Apsecissä ja IT-turvallisuuden lehtori Frankfurtin Higher Vocational Schoolissa. Häneen voi ottaa yhteyttä osoitteessa: [sähköposti suojattu].

Identiteetti ja rooli

Tietojen salauksella on paikkansa IT-tietoturvakehyksessä, jossa pääsynvalvonta todennuksella ja valtuutuksineen on asetettu turvallisuuskonseptin keskiöön: yksittäiset toimijat hallitsevat erikseen pääsyä yksittäisiin asiakirjoihin, ja järjestelmänvalvojan hallinnassa olevat yhteistyöjärjestelmät ratkaisevat ongelman. roolien ja ryhmien perusta. Mielenkiintoista on, että käyttäjäryhmiä tukevat edulliset järjestelmät ottavat nyt helposti käyttöön ja hallitsevat niitä yritysten osastoilla, joiden on varmistettava luottamuksellisuus ilman yrityksen IT-osaston tukea.

02/04/2016, to, 11:49, Moskovan aikaa, teksti: Pavel Pritula

Läpinäkyvät levyn salausjärjestelmät ovat korkean teknologian tietointensiivinen tuote, jonka kehittäminen ja tuki on hyvin rajallisen joukon yrityksiä. Mutta ne suorittavat päätehtävänsä – vähentävät luottamuksellisten tietojen vuotamisen riskiä – hyvin.

Kuten kohdassa "Kriittisten tietojen vuotamisen riskin hallinta" todetaan, yritysten on jatkuvasti vähennettävä luottamuksellisten tietojen vuotamisen riskiä. Yksinkertaisin ja suhteellisen halpa tapa on käyttää läpinäkyviä salausjärjestelmiä. Läpinäkyvän salauksen tärkein etu on, että käyttäjä ei vaadi osallistumista prosesseihin, ne kaikki tapahtuvat taustalla lennossa.

Paljon riippuu järjestelmän vaatimusten asettamisesta

Ensi silmäyksellä markkinoiden läpinäkyvillä salausjärjestelmillä on paljon yhteistä: loppujen lopuksi ne kaikki ratkaisevat saman ongelman. Mutta liiketoiminnalla on aina omat erityistarpeensa. Alla on luettelo tärkeimmistä.

Vaatimukset läpinäkyville salausjärjestelmille

№	Vaatimusten kuvaus
1	Salauksen vahvuus	Suojauksen vahvuuden tulee olla sellainen, että salassapitoa ei rikota, vaikka hyökkääjä tulee tietoiseksi salausmenetelmästä
2	Salausalgoritmien luotettavuus	Käytetyssä salausalgoritmissa ei pitäisi olla heikkouksia, joita kryptanalyytikot voisivat hyödyntää
3	Turvallinen avainten käyttö	Salausavaimen on oltava hyökkääjän ulottumattomissa. Salausavainten turvallisen käytön periaatteiden noudattamatta jättäminen voi vaarantaa tietoturvan, vaikka järjestelmä toteuttaa turvallisimmat algoritmit
4	Salauksen "avoimuus".	Salauksen tulee tapahtua mahdollisimman läpinäkyvästi käyttäjälle - hän ei huomaa tietojen salaus- ja salauksenpurkuprosessia toiminnan aikana
5	Virheiden sietokyky	Järjestelmän tulee olla mahdollisimman kestävä satunnaisia virheitä ja käyttäjän virheellisiä toimia vastaan.
6	Monivaiheinen todennus	Suojattujen tietojen käyttöoikeuksien tarkistaminen tulisi toteuttaa monitekijätodennustyökalujen perusteella
7	Lisätoiminnot työskentelyyn hätätilanteissa	Hätätilanteissa, kun tieto yritetään fyysisesti päästä käsiksi tai yritetään takavarikoida palvelinlaitteita, kyvystä keskeyttää pääsy dataan nopeasti tulee erittäin hyödyllinen suojaustyökalu.
8	Suojaus sisäpiiriläisiltä	Kaikilla järjestelmän käyttäjillä, mukaan lukien järjestelmänvalvojat ja tekniset henkilöt, on oltava pääsy fyysiseen tiedostojärjestelmään vain heidän valtuuksiensa puitteissa yrityksen tietoturvaperiaatteiden mukaisesti.

Kaksi ensimmäistä kohtaa, jotka koskevat salausalgoritmien luotettavuutta ja vahvuutta, edellyttävät salauspalveluntarjoajien täyttävän tuotteilleen asetettuja säädöksiä. Venäjän federaatiossa tämä on GOST 28147-89:n käyttö avaimenpituudella 256 bittiä Venäjän FSB:n lisensoimien kryptopalveluntarjoajien ratkaisuissa.

Kuinka suojautua järjestelmänvalvojalta?

Yksityisistä tiedoista kiinnostuneet hyökkääjät voivat olla myös yrityksen sisällä. Vakavan uhan, jolta salaus ei voi pelastaa, muodostavat yrityksen tekniset asiantuntijat ja järjestelmävastaavat. Mutta samalla he ovat velvollisuuksiensa vuoksi velvollisia valvomaan kunkin tietokoneen turvallisuuden takaavien järjestelmien suorituskykyä.

Nykyisessä vaikeassa taloudellisessa tilanteessa useilla työntekijöillä, mukaan lukien järjestelmänvalvojat, on halu kopioida yrityksen tietoja myydäkseen ne mustalla markkinoilla tai lisäetuna kilpaileviin hakijoihin haettaessa uutta työtä. Tämä kiristää johdon ja yrityksen henkilöstön suhdetta.

Tämä tarkoittaa, että valitussa läpinäkyvässä salausjärjestelmässä täytyy yksinkertaisesti olla mekanismeja, jotka toteuttavat vaatimukset järjestelmänvalvojan suojaukselle, joka on löytänyt paikkansa ratkaisun vaatimusluettelossa.

Virtuaalinen tiedostojärjestelmä on tärkeä tietoturvakomponentti

Joten mikä on luokkansa parhaiden läpinäkyvien salausjärjestelmien taustalla oleva mekanismi, joka voi täyttää monet yllä esitetyistä vaatimuksista? Käytännössä se ilmaistaan yksinkertaisella kaavalla: tiedosto on tiedon omistajan saatavilla salatussa muodossa ja kaikille muille - vain salatussa muodossa ilman pääsyä avaimiin. Asiantuntijat kutsuvat tätä toimintoa "saannin samanaikaisuudeksi".

"Mutta jos käyttäjän tietokoneeseen on asennettu Windows, josta on käytännössä tullut Venäjän federaation yritysstandardi, niin "samanaikaisen pääsyn" saavuttaminen ei ole helppoa. Tämä johtuu Windowsin koherenssivaikutuksesta: siinä olevasta tiedostosta voi olla kopionsa tiedostojärjestelmän lisäksi muistinhallinnassa tai välimuistissa. Siksi meidän on ratkaistava tiedostojen "samanaikaisen olemassaolon" ongelma", sanoo Ilja Shchavinsky, liiketoiminnan kehityspäällikkö yrityksessä Aladdin R.D. Ja ongelma ratkaistaan alkuperäisellä tavalla "virtuaalisen tiedostojärjestelmän" (VFS) ja tiedostojärjestelmän ohjainsuodattimen yhteisellä työllä, jonka toimintakaavio on annettu alla.

Virtuaalinen tiedostojärjestelmä

Lähde: “Aladdin R.D.”, 2016

Kuten kaaviosta näkyy, välimuistin hallinta "uskoo", että se toimii kahden eri tiedoston kanssa. Tätä tarkoitusta varten VFS muodostaa ylimääräisen parirakenteen tiedostokuvauksista. Erityinen tiedostojärjestelmäohjain varmistaa salatun tiedoston jatkuvan päivityksen todellisessa tiedostojärjestelmässä sen jälkeen, kun sen salaamaton kopio VFS:ssä muuttuu. Siten levyllä olevat tiedot ovat aina salattuja.

Tiedostojen käytön rajoittamiseksi tiedostojärjestelmän ohjain lataa salausavaimet RAM-muistiin suojattuja resursseja käytettäessä. Itse avaintiedot on suojattu käyttäjän varmenteen avainparilla ja ne tallennetaan kryptomuistiin.

Tämän seurauksena valtuutettu käyttäjä näkee yhden tiedostojärjestelmän, virtuaalisen, jossa tiedostot on purettu, kun taas luvattomat käyttäjät näkevät samanaikaisesti fyysisen (todellisen) tiedostojärjestelmän, jossa tiedostojen nimet ja sisältö on salattu.

Järjestelmänvalvojat ja muut tekniset asiantuntijat, joilla ei ole keinoa saada salattua salausavaimia, työskentelevät todellisen, turvallisesti salatun tiedostojärjestelmän kanssa. Samalla he säilyttävät mahdollisuuden suorittaa virkatehtävänsä oikein, esimerkiksi luoda varmuuskopioita salatuista tiedoista loukkaamatta itse tiedon luottamuksellisuutta. Tämä täyttää tärkeän vaatimuksen suojella tietoja sisäpiiriläisiltä.

Ilman monitekijätodennusta riskejä ei voida vähentää

Käyttäjien monivaiheiseen todentamiseen käyttöjärjestelmän käynnistämiseksi ja salattujen tietojen käyttämiseksi käytetään yleensä korttia tai älykorttia - laitetta, joka tallentaa käyttäjän julkisen avaimen varmenteen ja sitä vastaavan yksityisen avaimen.

Keskitetty salausavainten hallinta- ja säilytysjärjestelmä suojaa näiden avainten katoamiselta - ne sijaitsevat suojatulla palvelimella ja siirretään käyttäjälle vain tarpeen mukaan. Yritys valvoo myös työntekijöiden pääsyä tietoihinsa ja voi kieltää sen milloin tahansa. Lisäksi on mahdollista valvoa suojattujen tietojen käyttötapahtumia sekä ottaa käyttöön salaustila kaikille flash-asemille lähetetyille tiedoille jne.

Tyypillisen läpinäkyvän salausjärjestelmän kokoonpano

Kun TrueCrypt-kehitys lopetettiin, salauksen ja salassapidon ystävien armeija (jonka, kuten olemme useaan otteeseen todenneet, jokaisen IT-asiantuntijan olisi pitänyt olla jäsen) alkoivat surffata Internetissä etsimään arvokasta vaihtoehtoa. Tässä artikkelissa tarkastelemme mielenkiintoista ja jopa avoimen lähdekoodin projektia kotimaiselta valmistajalta - CyberSafe Top Secret.

VAROITUS

Kaikki tiedot on tarkoitettu vain tiedoksi. Toimittajat tai kirjoittaja eivät ole vastuussa tämän artikkelin materiaalien mahdollisesti aiheuttamista haitoista.

Versiot ja lisenssipolitiikka

Ohjelmamuutosten valikoima sisältää Free, Advanced, Professional, Ultimate ja Enterprise. CyberSafen ilmainen versio käyttää DES-salausalgoritmia (verrattuna AES:ään tai Blowfishiin, tämä on vain seula, ei salausalgoritmi), joten tämä versio sopii vain arviointiin. Ohjelman päätoiminnot, nimittäin tiedoston/osion/säilön salaus, läpinäkyvä tiedostojen salaus ja pilvitiedostojen salaus ovat siinä rajoitettuja, ja kaikki muut eivät ole käytettävissä. Salasanan pituus ja avaimen pituus ilmaisessa versiossa (neljä merkkiä ja 64 bittiä) jättävät myös paljon toivomisen varaa. Voit ladata ilmaisen version osoitteesta cybersafesoft.com/cstopsecret.zip, mutta sen asentamisen jälkeen sinun on joko aktivoitava täysversio (tämän voi tehdä "Ohje"-valikon kautta) tai poistaa se, koska DES:n yhdistelmä algoritmi ja nelimerkkinen salasana tekevät ohjelmasta hyödyttömän .

Henkilökohtaiseen käyttöön mielestäni Professional-muutos riittää. Toisin kuin Advanced, Professional tukee läpinäkyvää tiedostojen salausta, ja julkisen avaimen pituus on kaksi kertaa pidempi (4096 bittiä verrattuna 2048:aan Advancedissa). Muut pääasialliset salausominaisuudet ovat samat - salasanan pituus 16 merkkiä, AES-algoritmi, avaimen pituus 256 bittiä.

Jos sinun ei tarvitse suojata yhtä, vaan kahta tietokonetta, sinun on valittava Ultimate. Se maksaa 20 taalaa enemmän, mutta bonuksena saat rajoittamattoman salasanan pituuden, 8192 bitin julkisen avaimen pituuden, kaksivaiheisen todennuksen ja Blowfish-algoritmin avaimen pituudella 448 bittiä. Ultimate tukee myös kansioiden piilottamista ja verkkokansioiden suojaamista.

Täydellisin versio on Enterprise. Sen avulla voit suojata jopa kymmentä järjestelmää (jostain syystä ei riitä yritykselle, mutta tämä on lisenssikäytäntö), tukee yrityspilvisalausta (eikä vain pilvisalausta, kuten Ultimatessa), eikä myöskään rajoita verkkojen määrää. käyttäjiä. Muut salausominaisuudet ovat samankaltaisia kuin Ultimate: Blowfish, avaimen pituus 448 bittiä, julkisen avaimen pituus 8192 bittiä, rajoittamaton salasanan pituus.

Sain käsiini täydellisimmän version, joten kaikki kuvat vastaavat täsmälleen sitä.

Kumpi on parempi: AES vai Blowfish?

Molemmat algoritmit ovat hyviä. Molemmat asennetaan telineeseen. Mutta AES-algoritmin avaimen enimmäispituus on 256 bittiä ja Blowfishin 448 bittiä, ja Blowfishin katsotaan olevan nopeampi, joten sitä käytetään ohjelman maksimimuutoksissa.

Ohjelman asentaminen

Ensinnäkin haluaisin sanoa muutaman sanan ohjelman asentamisesta. Ensinnäkin ohjelma tukee kaikkia käytännössä käytettyjä Windows-versioita - XP/2003/Vista/7/8. Joten jos sinulla on edelleen XP ja olet parrakas, sinun ei tarvitse vaihtaa "seitsemään" tai "kahdeksaan" tämän ohjelman vuoksi. Toiseksi asennusohjelma on käynnistettävä vain järjestelmänvalvojan oikeuksilla, muuten asennuksen viimeisessä vaiheessa saat virheilmoituksen ja pitkän lokin.

Kolmanneksi, kun käynnistät ohjelman, sinun on lisättävä CyberSoft CA -sertifikaatti (kuva 1). Napsauta "Kyllä"-painiketta, muuten CyberSafe-juurivarmennetta ei asenneta, etkä voi määrittää sähköpostin salausta sähköpostiohjelmissa. Ymmärrän, että tyypillinen lehtemme lukija on kova jätkä ja hieman loukkaantuu nähdessään näin yksityiskohtaisia selityksiä, mutta toivomme vilpittömästi, että kaikkia koskevat artikkelit kirjoitettaisiin mahdollisimman yksityiskohtaisesti. Entä jos päätät poistaa tämän artikkelin lehdestä ja antaa sen nuoremmalle siskollesi, jotta hän oppii vihdoin salaamaan intiimikuvansa? 🙂

Ohjelman käyttäminen

Ohjelmassa on monia toimintoja, eikä yksi artikkeli selvästikään riitä kattamaan niitä kaikkia. Kuvassa Kuva 2 näyttää ohjelman pääikkunan heti täysversion asennuksen ja aktivoinnin jälkeen.

"Avaimet ja varmenteet" -osiossa voit hallita avaimia ja varmenteita, jotka onnistut luomaan työskennellessäsi sovelluksen kanssa. Tiedoston salaus -osiota käytetään tiedostojen ja kansioiden salaamiseen tai salauksen purkamiseen. Voit salata tiedostoja henkilökohtaiseen käyttöön sekä siirtää ne toiselle käyttäjälle. Osa "Elektroninen" digitaalinen allekirjoitus" käytetään (yllätys!) sähköisen digitaalisen allekirjoituksen kanssa työskentelemiseen. Ja "Levyn salaus" -osio on tarkoitettu osioiden salaamiseen ja virtuaalisen levyn luomiseen.

Ohjelman käyttämiseen voi olla useita vaihtoehtoja. Ensimmäinen vaihtoehto on siirtää salattuja tiedostoja. Voit salata yksittäisiä tiedostoja toiselle käyttäjälle siirrettäväksi kohdassa "Salaa tiedostot -> Siirron salaus". Toinen vaihtoehto on läpinäkyvä tiedostojen salaus henkilökohtaiseen käyttöön. Kolmas on salata koko osio tai luoda virtuaalinen levy.

Ensimmäisellä vaihtoehdolla kaikki on selvää - jos sellainen tarve on, niin ohjelma selviää siitä parhaalla mahdollisella tavalla. Toinen vaihtoehto on melko kiistanalainen ja perusteltu, jos sinulla on vielä XP. "Seitsemässä" ja "kahdeksassa" on jo sisäänrakennettu BitLocker-salaus, joten 75 taalan maksaminen tämän ohjelman Pro-versiosta on ainakin outoa ja taloudellisesti perusteetonta. Ellei sinulla ole näiden järjestelmien vanhempia versioita, jotka eivät tue BitLockeria. Muista kuitenkin lukea vastaava sivupalkki BitLockerista, TrueCryptistä ja Top Secret 2:sta.

Mutta kolmas vaihtoehto on melko houkutteleva. Tänä vuonna, Windows XP:n tuen päättymisen myötä, TrueCrypt-ohjelman kehitys lopetettiin. Minulle se oli vertailukohta salauksen maailmassa. Ja käytin sitä näin: loin salatun virtuaalilevyn flash-aseman kokoisen (jotta voisin tarvittaessa kopioida sen siihen), jonka asensin vain kun tarvitsin salattuja tiedostoja. TrueCrypt ei ole tällä hetkellä enää kehitteillä, ja sitä pidetään vaarallisena käyttää. Siinä löydettyjä aukkoja ei kukaan korjaa. Jos olet kiinnostunut, voit kurkata tämän sivun: .

Siksi tarvitsin ohjelman korvatakseni TrueCrypt. Näyttää siltä, että CyberSafe Top Secret on nyt se.

Katsotaanpa, kuinka luodaan salattu virtuaalilevy ja miten sitä käytetään. Siirry "Virtuaalilevy" -osioon (kuva 3) ja napsauta "Luo" -painiketta. Näkyviin tulevassa ikkunassa sinun on syötettävä virtuaalilevytiedoston nimi (kuva 4). Jos sinun on siirrettävä tämä levy toiseen järjestelmään, kopioi tämä tiedosto siihen ja käytä "Luo"-painikkeen sijaan "Avaa"-painiketta avataksesi virtuaalilevytiedoston.

Odotamme hieman, ja virtuaalilevymme ilmestyy luetteloon (kuva 6). Virtuaalilevyä ei ole vielä asennettu, joten se ei ole käytettävissä järjestelmässä. Valitse se ja paina "Asenna" -painiketta. Tämän jälkeen sinun on valittava uuden levyn kirjain (kuva 7) ja syötettävä sen luomisen yhteydessä määritetty salasana (kuva 8).

Tämän jälkeen levyn tilaksi vaihtuu "mounted" ja luotu levy tulee näkyviin Exploreriin (kuva 9). Siinä kaikki, voit työskennellä virtuaalilevyn kanssa kuten tavallisen levyn kanssa, eli kopioida tiedostoja siihen, jotka salataan automaattisesti. Muista, että kun siirrät tiedoston virtuaalilevyltä tavalliselle levylle, tiedoston salaus puretaan automaattisesti.

Kun haluat lopettaa työskentelyn virtuaalilevyn kanssa, on parempi palata ohjelmaikkunaan, valita se ja napsauttaa "Unmount" -painiketta. Näin voit olla varma, että kaikki puskurit nollataan ja kaikki tiedot tallennetaan. Vaikka kaikki asennetut levyt poistetaan automaattisesti, kun ohjelma suljetaan, on parempi ohjata tätä prosessia eksplisiittisesti.

Tietoja BitLockerista, TrueCryptistä ja Top Secret 2:sta

Koska pidin todella TrueCrypt-ohjelmasta, en voinut olla vertaamatta sitä CyberSafe Top Secret 2:een. AES-algoritmin käytön ansiosta molemmat ohjelmat ovat yhtä luotettavia. On kuitenkin syytä huomata, että TrueCryptin lähdekoodi oli avoin, kun taas CyberSafe Top Secret 2:n koodi on avoin, mutta ei kokonaan. Itse ohjelman lähdekoodi on saatavilla sivustolla analysoitavaksi, ja linkki siihen on kehittäjien sivuston pääsivulla. Lainaan sitä uudelleen: https://subversion.assembla.com/svn/cybersafe-encryption-library/.

Ohjelma sisältää kuitenkin useita ohjaimia (NtKernel, AlfaFile), joiden lähdekoodi on suljettu. Mutta tämä on joka tapauksessa parempi kuin ohjelma täysin suljetulla lähdekoodilla.

Muuten, miksi TrueCrypt-kehitys suljettiin? Koska sen kehittäjät pilkkasivat aina omaa BitLockeria ja suosittelivat sitten itse vaihtamaan siihen, epäilemme, että ainoa merkittävä syy projektin sulkemiseen oli kehittäjiin kohdistuva painostus. Tällä hetkellä mikään TrueCryptin versioista ei ole selvästi vaarantunut, joten pidän projektin sulkemista epätodennäköisenä ohjelman hakkeroinnin vuoksi.

CyberSafe Mobile: Android-sovellus

Viime aikoina mobiililaitteen tiedonsalauksesta on tullut yhä tärkeämpää. Mobiililaitteiden suosituimpia laitteita ovat Android-laitteet. CyberSafe Mobile -ohjelma on suunniteltu juuri tällaisia laitteita varten. CyberSafe Mobilessa luotuja säiliöitä voidaan käyttää CyberSafe Top Secret -sovelluksessa ja päinvastoin. Sovelluslinkki: https://play.google.com/store/apps/details?id=com.cybersafesoft.cybersafe.mobile

Johtopäätökset

Minulle henkilökohtaisesti CyberSafe Top Secret 2:sta on tullut TrueCryptin korvaaja. Ainakin hetkeksi, kunnes kehittäjät tukevat tätä ohjelmaa tai kunnes löydän jotain parempaa. Se suorittaa täysin toiminnot, joita tarvitsen salatun virtuaalilevyn luomiseen, ja tarjoaa lisäksi muita. Uskon, että monet käyttäjät pitävät salattujen tiedostojen lähettämistä, sertifikaattien ja sähköisten digitaalisten allekirjoitusten käsittelystä hyödyllisinä. Ohjelman käyttöliittymä on yksinkertainen ja intuitiivinen, joten en usko, että sinulla on ongelmia sen muiden toimintojen käytössä, vaikka niitä ei käsitellä tässä artikkelissa.