04.02.2016, Чт, 11:49, Мск , Текст: Павел Притула
Системы прозрачного шифрования дисков – высокотехнологичный наукоемкий продукт, разработка и поддержка которого по силам весьма ограниченному кругу компаний. Но свою основную функцию – снижение уровня риска утечки конфиденциальной информации – они выполняют неплохо.Как отмечалось в «Как управлять рисками утечки критичных данных», бизнес вынужден постоянно снижать уровень риска утечки конфиденциальной информации. Наиболее простой и сравнительно недорогой способ – это использование систем прозрачного шифрования. Основное достоинство прозрачного шифрования заключается в том, что от пользователя не требуется никакого участия в процессах, все они происходят в фоновом режиме «на лету».
От постановки требований к системе зависит многое
Системы прозрачного шифрования, представленные на рынке, имеют, на первый взгляд, много общего: ведь все они решают одну и ту же задачу. Но у бизнеса всегда есть свои специфические требования. Ниже приведен список наиболее актуальных из них.
Требования, предъявляемые к системам прозрачного шифрования
| № | Описание требований | |
|---|---|---|
| 1 | Стойкость шифрования | Стойкость защиты должна быть такой, чтобы секретность не нарушалась даже в том случае, когда злоумышленнику становится известен метод шифрования |
| 2 | Надежность алгоритмов шифрования | Используемый алгоритм шифрования не должен иметь слабых мест, которыми могли бы воспользоваться криптоаналитики |
| 3 | Безопасное использование ключей | Ключ шифрования должен быть недоступен для злоумышленника. Несоблюдение принципов безопасного использования ключей шифрования может поставить под угрозу защищенность информации, даже при том, что в системе будут реализованы самые криптостойкие алгоритмы |
| 4 | «Прозрачность» шифрования | Шифрование должно происходить максимально «прозрачно» для пользователя – он не замечает процесса зашифрования и расшифрования данных во время работы |
| 5 | Устойчивость к ошибкам | Система должна быть максимально устойчива к случайным ошибкам и неправильным действиям пользователей |
| 6 | Многофакторная аутентификация | Выполнение проверки прав пользователей на доступ к защищаемым данным должно быть реализовано на основе средств многофакторной аутентификации |
| 7 | Дополнительный функционал для работы в чрезвычайных ситуациях | В чрезвычайных ситуациях, когда становится известно о попытке физического доступа или попытке изъятия серверного оборудования, крайне полезным инструментом защиты становится возможность экстренного прекращения доступа к данным |
| 8 | Защита от инсайдеров | Все пользователи системы, включая системных администраторов и технический персонал, должны иметь доступ к физической файловой системе исключительно в рамках своих полномочий, прописанных в ИБ-политиках компании |
Первые два пункта, касающиеся надежности и стойкости алгоритмов шифрования, требуют от поставщиков службы криптографии соответствия их продуктов требованиям регуляторов. В РФ это использование ГОСТ 28147‐89 с длиной ключа 256 бит в решениях от криптопровайдеров, имеющих лицензию ФСБ России.
Как защититься от системного администратора?
Злоумышленники, интересующиеся приватными данными, могут находиться и внутри компании. Серьезную угрозу, от которой не спасет криптография, представляют технические специалисты и системные администраторы компании. Но при всем при этом они, в силу своих должных обязанностей, обязаны следить за работоспособностью систем, обеспечивающих безопасность на каждом компьютере.
В условиях текущей непростой экономической ситуации у ряда сотрудников, включая системных администраторов, возникает желание скопировать корпоративную информацию для ее продажи на черном рынке или в качестве дополнительного преимущества перед конкурентами-соискателями при устройстве на новую работу. Это обостряет отношения между руководством и персоналом компаний.
А значит, выбираемая система прозрачного шифрования просто обязана иметь механизмы, реализующие комплекс требований по защите от системного администратора, что нашло свое место в списке требований к решению.
Виртуальная файловая система – важный компонент защиты
Так какой же механизм лежит в основе лучших в своем классе систем прозрачного шифрования, позволяющий реализовать многочисленные требования, представленные выше? На практике он выражается простой формулой: файл для владельца информации доступен в расшифрованном виде, а для всех остальных – только в зашифрованном виде без доступа к ключам. Специалисты называют этот функционал «одновременностью доступа».
«Но если на компьютере пользователя установлена ОС Windows, что в РФ практически стало корпоративным стандартом, то достижение «одновременности доступа» – задача не из простых. Виной тому эффект когерентности Windows: файл в ней может иметь свои копии, помимо файловой системы, в менеджере памяти или кэше. Поэтому приходится решать и проблему «одновременности существования» файлов», – рассказывает Илья Щавинский , менеджер по развитию бизнеса компании «Аладдин Р.Д.». А проблема решается оригинальным способом при помощи совместной работы «виртуальной файловой системы» (ВФС) и фильтра драйвера файловых систем, схема работы которых приведена ниже.
Виртуальная файловая система
Источник: «Аладдин Р.Д.», 2016
Как видно из схемы, диспетчер кэша «считает», что работает с двумя разными файлами. Для этого ВФС формирует дополнительную парную структуру описателей файлов. Специальный драйвер файловых систем обеспечивает постоянное обновление зашифрованного файла в реальной файловой системе, вслед за изменением его незашифрованной копии в ВФС. Таким образом, находящиеся на диске данные всегда зашифрованы.
Для ограничения доступа к файлам драйвер файловых систем при обращении к защищенным ресурсам загружает в оперативную память ключи шифрования. Сама же ключевая информация защищена ключевой парой сертификата пользователя и хранится в криптохранилище.
В результате авторизованный пользователь видит одну файловую систему, виртуальную с расшифрованными файлами, а неавторизованные в то же самое время будут видеть физическую (реальную) файловую систему, где имена и содержимое файлов зашифрованы.
Системные администраторы и другие технические специалисты, у которых нет возможности получить ключи шифрования в расшифрованном виде, будут работать с реальной, надежно зашифрованной файловой системой. При этом у них сохраняется возможность корректно выполнять свои служебные обязанности, например создавать резервные копии зашифрованной информации, не нарушая конфиденциальности самой информации. Тем самым выполнятся важное требование о защите информации от инсайдеров.
Без многофакторной аутентификации риски не снизить
Для многофакторной аутентификации пользователей для загрузки операционной системы и для доступа к зашифрованным данным обычно применяют токен или смарт-карту – устройство, на которых хранится сертификат открытого ключа этого пользователя и соответствующий ему закрытый ключ.
Централизованная система управления и хранения ключей шифрования защищает от потери этих ключей ‐ они находятся на защищенном сервере и передаются пользователю лишь по мере необходимости. Также компания контролирует доступ сотрудников к принадлежащим им данным и в любой момент может запретить его. Кроме того, возможен мониторинг событий доступа к защищенным данным, а также включение режима шифрования всех данных, отправляемых на флэш-накопители и т.д.
Состав типичной системы прозрачного шифрования
Каждый из нас хранит на жестком диске изрядное количество конфиденциальной информации. Для кого-то это всего лишь пароли от различных сетевых сервисов, другие ответственны за хранение важной документации, третьи уже не первый год занимаются разработкой инновационной программы. В любом случае, данные необходимо беречь от посторонних, что в нашем мобильном мире сделать довольно проблематично без использования систем шифрования.
Взглянув на список шифрующего ПО для Linux и проанализировав степень популярности и актуальности каждого из них, мы придем к выводу, что есть только четыре безопасные и поддерживаемые криптосистемы для шифрования жестких дисков и других носителей информации на лету:
WARNING
В целях безопасности индексацию зашифрованных разделов лучше отключить, отредактировав конфигурационный файл /etc/updatedb.conf. Файлы, зашифрованные EncFS, не могут иметь жестких ссылок, так как система шифрования привязывает данные не к inode, а к имени файла.
С открытым исходным кодом была популярна на протяжении 10 лет благодаря свой независимости от основных вендоров. Создатели программы публично неизвестны. Среди самых известных пользователей программы можно выделить Эдварда Сноудена и эксперта по безопасности Брюса Шнайера. Утилита позволяет превратить флеш-накопитель или жесткий диск в защищенное зашифрованное хранилище, в котором конфиденциальная информация скрыта от посторонних глаз.
Таинственные разработчики утилиты объявили о закрытии проекта в среду 28 мая, объяснив, что использование TrueCrypt небезопасно. «ВНИМАНИЕ: Использовать TrueCrypt небезопасно, т.к. программа может содержать неустраненные уязвимости» - такое сообщение можно увидеть на странице продукта на портале SourceForge. Далее следует еще одно обращение: «Вы должны перенести все данные, зашифрованные в TrueCrypt на зашифрованные диски или образы виртуальных дисков, поддерживаемые на вашей платформе».
Независимый эксперт по безопасности Грэм Клули вполне логично прокомментировал сложившуюся ситуацию: «Настало время подыскать альтернативное решение для шифрования файлов и жестких дисков» .
Это не шутка!
Первоначально появлялись предположения, что сайт программы был взломан киберпреступниками, но теперь становится ясно, что это не обман. Сайт SourceForge сейчас предлагает обновленную версию TrueCrypt (которая имеет цифровую подпись разработчиков), во время установки которой предлагается перейти на BitLocker или другой альтернативный инструмент.
Профессор в области криптографии университета Джона Хопкинаса Мэтью Грин сказал: «Очень маловероятно, что неизвестный хакер идентифицировал разработчиков TrueCrypt, украл их цифровую подпись и взломал их сайт».
Что использовать теперь?
Сайт и всплывающее оповещение в самой программе содержит инструкции по переносу файлов, зашифрованных TrueCrypt на сервис BitLocker от Microsoft, который поставляется вместе с ОС Microsoft Vista Ultimate/Enterprise, Windows 7 Ultimate/Enterprise и Windows 8 Pro/Enterprise. TrueCrypt 7.2 позволяет дешифровать файлы, но не позволяет создавать новые зашифрованные разделы.
Самой очевидной альтернативой программе является BitLocker, но есть и другие варианты. Шнайер поделился, что он возвращается к использованию PGPDisk от Symantec. (110 долларов за одну пользовательскую лицензию) использует хорошо известный и проверенный метод шифрования PGP.
Существуют и другие бесплатные альтернативы для Windows, например DiskCryptor . Исследователь по компьютерной безопасности, известный как The Grugq в прошлом году составил целый , который актуален и по сей день.
Йоханнес Ульрих, научный руководитель технологического института SANS пользователям Mac OS X рекомендует обратить внимание на FileVault 2, который встроен в OS X 10.7 (Lion) и более поздние ОС данного семейства. FileVault использует 128-битное шифрование XTS-AES, которое применяется в агентстве национальной безопасности США (NSA). По мнению Ульриха пользователи Linux должны придерживаться встроенного системного инструмента Linux Unified Key Setup (LUKS). Если Вы используете Ubuntu, то установщик этой ОС уже позволяет включить полное шифрование дисков с самого начала.
Тем не менее, пользователям понадобятся другие приложения для шифрования переносных носителей, которые используются на компьютерах с разными ОС. Ульрих сказал, что в этом случае на ум приходит .
Немецкая компания Steganos предлагает воспользоваться старой версией своей утилиты шифрования Steganos Safe (актуальная версия на данный момент - 15, а предлагается воспользоваться 14 версией), которая распространяется бесплатно.
Неизвестные уязвимости
Тот факт, что TrueCrypt может иметь уязвимости в безопасности вызывает серьезные опасения, особенно учитывая, что аудит программы не выявил подобных проблем. Пользователи программы накопили 70 000 долларов для проведения аудита после слухов о том, что агентство национальной безопасности США может декодировать значительные объемы зашифрованных данных. Первый этап исследования, в котором анализировался загрузчик TrueCrypt был проведен в прошлом месяце. Аудит не выявил ни бэкдоров, ни умышленных уязвимостей. Следующая фаза исследования, в которой должны были проверяться используемые методы криптографии была запланирована на это лето.
Грин был одним из экспертов, участвующих в аудите. Он рассказал, что не имел никакой предварительной информации о том, что разработчики планирую закрыть проект. Грин рассказал: «Последнее что я слышал от разработчиков TrueCrypt: «Мы с нетерпением ждем результаты 2 фазы испытания. Спасибо за ваши старания!». Нужно отметить, что аудит продолжится, как было запланировано, несмотря на остановку проекта TrueCrypt.
Возможно, создатели программы решили приостановить разработку, потому что утилита является устаревшей. Разработка прекратилась 5 мая 2014 года, т.е. уже после официального прекращения поддержки системы Windows XP. На SoundForge упоминается: «Windows 8/7/Vista и более поздние системы имеют встроенные средства для шифрования дисков и образов виртуальных дисков». Таким образом, шифрование данных встроено во многие ОС, и разработчики могли посчитать программу больше не нужной.
Чтобы добавить масла в огонь отметим, что 19 мая TrueCrypt была удалена из защищенной системы Tails (любимой системы Сноудена). Причина до конца не ясна, но использовать программу явно не следует – отметил Клули.
Клули также написал: «Будь то обман, взлом или логичный конец жизненного цикла TrueCrypt, становится ясно, что сознательные пользователи не будут чувствовать себя комфортно, доверяя свои данные программе после произошедшего фиаско».
Нашли опечатку? Выделите и нажмите Ctrl + Enter
Доброго времени суток тебе, читатель! Сегодня мы поговорим об очень интересном и полезном инструменте – о программе для шифрования данных TrueCrypt, с помощью которой можно творить настоящие чудеса.
Очень многие пользователи задаются вопросами, вроде: "Как поставить пароль на папку?", "Как зашифровать флешку?" и проч. Все это, и многое другое , умеет делать TrueCrypt. И я вам сейчас это докажу...
Все мы помним (и страсти до сих пор не утихают) о разоблачениях Эдварда Сноудена, Все мы видим, как правительство закручивает гайки пользователям интернета. Кроме того, интернет пестрит ежедневными новостями и систем. Все это весьма печально, и перспективы вырисовываются не очень радужные.
Но есть во всем этом один большой плюс – пользователи компьютеров, различных гаджетов и Интернета, наконец-таки стали больше задумываться не только о безопасности, но и об , приватности и конфиденциальности своих данных. Все больше людей интересуются , пользуются специальными браузерами (например, ). И, что немаловажно, особое внимание стало уделяться шифрованию данных , как со стороны рядовых пользователей, так и со стороны стартапов и гигантов hi-tech и интернет-отрасли.
Ведь кроме киберпреступников, угрозу конфиденциальным данным представляют еще и всевозможные проправительственные организации и структуры, правоохранительные органы и спецслужбы. И если наш главный государственный документ – Конституция РФ – не способен обеспечить соблюдение нашего законного права на неприкосновенность частной жизни (а порой даже наоборот – это право ), тогда мы будем защищать себя сами! И отличным подспорьем этому выступает TrueCrypt.
В данном руководстве я постараюсь описать все его основные возможности и дать максимально полную инструкцию. Но, как бы мне этого не хотелось, охватить весь спектр функций и сфер применения TrueCrypt, а также всевозможных нюансов при работе с ним, не получиться даже в нескольких статьях в формате блога. Для этих целей существует официальное руководство (в т.ч. и на русском языке). Настоятельно рекомендую ознакомиться с ним всем тем, в чью сферу интересов входит шифрование критических данных. О том, где его скачать расскажу чуть ниже.
Итак, свою инструкцию я решил разделить на две основные части, каждая из которых состоит из нескольких подразделов:
БАЗОВЫЙ УРОВЕНЬ
ПРОДВИНУТЫЙ УРОВЕНЬ (вторая часть статьи, она находится )
- Создание скрытого тома TrueCrypt
- Шифрование системного диска и операционной системы (ОС)
- Создание скрытой ОС
- Немного о дешифрации
- TrueCrypt и виртуальные машины
- Правдоподобное отрицание причастности (Plausible Deniability)
- Требования безопасности, меры предосторожности, утечки данных
И начну я, как вы уже догадались из заголовка, с Базового уровня. Итак, поехали!
О программе TrueCrypt. Немного теории
TrueCrypt – это бесплатное, кроссплатформенное криптографическое программное обеспечение (ПО) с открытым исходным кодом для шифрования данных "на лету" (On-the-fly encryption).
Данное ПО позволяет создавать отдельные криптоконтейнеры, шифровать целые разделы дисков, сами диски (в т.ч. и системные), а также съемные устройства хранения данных (USB-флешки, floppy-диски, внешние HDD).
Шифрование "на лету" означает, что все данные шифруются и дешифруются перед непосредственным обращением к ним (чтение, выполнение или сохранение), и какого-либо участия пользователя в этом процессе не требуется. При всем при этом данные шифруются в полном объеме, включая заголовки файлов, их содержимое, метаданные и т.п.
Работает такое шифрование примерно следующим образом...
Допустим, у вас имеется видео-файл (пусть это будет приватное хоум-видео =)), который хранится в зашифрованном контейнере. Следовательно, сам файл тоже зашифрован. При обращении к этому файлу (т.е. вы клацнули на нем дважды, и запустили) будет запущена программа, которая ассоциирована с этим типом файлов (напр., VLC Media Player, или любой другой проигрыватель). Естественно, речь идет о ситуации, когда том смонтирован.
Так вот, при запуске файла через VLC Media Player, этот проигрыватель начинает загружать небольшие порции данных из зашифрованного тома в ОЗУ (оперативную память), чтобы начать их воспроизводить. Пока часть этих данных загружается, TrueCrypt их расшифровывает в ОЗУ (не на HDD, как это делают, например, архиваторы, создавая временные файлы, а именно в оперативной памяти). После того, как часть данных дешифруется, они воспроизводятся в проигрывателе, тем временем в ОЗУ поступает новая порция зашифрованных данных. И так циклически, пока идет обращение к зашифрованному файлу.
Обратным примером шифрования "на лету" (и очень показательным), является то, например, как работают архиваторы (WinRAR, 7-Zip и проч.). Как многие из вас знают, при запуске запароленного архива, после введения пароля, необходимо дождаться момента, когда искомый файл разархивируется (извлечется), и только после этого он сможет быть прочитан (запустится). В зависимости от размера заархивированного файла и общего размера архива – это может занять очень длительное время. Кроме того, архиваторы создают временные локальные копии извлекаемых файлов, которые уже расшифрованы и хранятся на жестком диске в открытом виде. О чем я уже упоминал, и что не есть хорошо, когда речь идет о чем-то конфиденциальном.
Смонтированный же том, аналогичен обычному логическому диску или подключенному внешнему устройству (напр., флешке). И в этом плане с томом можно работать посредством всех стандартных средств, как проводник Windows, файловый менеджер и т.д.. В том числе и скорость работы с этим виртуальным диском (томом) чисто визуально аналогична тому, как если бы вы работали с обычным HDD или флешкой.
И еще один момент - все данные, находящиеся в зашифрованном контейнере (разделе диска, логическом диске, съемном носителе etc.) могут быть расшифрованы только при введении соответствующего пароля или ключевого файла. Не зная пароль, или не имея key-файла, расшифровать данные практически не представляется возможным. По крайней мере, в наш век и в ближайшие годы.
Итак, подытожим ключевые особенности и возможности, а также преимущества TrueCrypt:
- открытый исходный код, свободное (бесплатное) распространение, а также возможность портативного использования (portable truecrypt);
- кроссплатформенность – на момент написания статьи, TrueCrypt работает с ОС Windows, начиная с 2000/XP и выше (x32/x64), GNU/Linux (32- и 64-разрядные версии, ядро 2.6 или совместимое) и Mac OS X (10.4 Tiger и выше);
- стойкие алгоритмы шифрования - AES-256, Serpent и Twofish (в т.ч. и возможность их комбинирования);
- шифрование осуществляется "на лету" (в реальном времени), и совершенно не заметно для пользователя;
- возможность создания как отдельных файловых контейнеров (в том числе динамически расширяющихся), так и шифрования целых разделов жесткого диска, включая системные (дозагрузочная аутентификация);
- создание зашифрованных контейнеров, как на локальных дисках, так и на съемных, в том числе и в "облаке";
- внешне криптоконтейнер может выглядеть как обычный файл с любым расширением (или же без расширения), например, txt, doc(x), mp3, img, iso, mpg, avi и т.д.;
- полное шифрование содержимого устройств - жестких дисков, съемных носителей;
- создание скрытых томов, в т.ч. и скрытой ОС;
- различные вариации правдоподобного отрицания причастности , включая и то, что в системе невозможно однозначно определить наличие томов TrueCrypt – они представляют собой всего лишь набор случайных данных и идентифицировать их с TrueCrypt не представляется возможным (не считая метода termorectum cryptoanalysis ) ;
- и множество, множество других возможностей и функций.
Что касается открытого исходного кода...
Для сравнения возьмем другое криптографическое ПО, встроенное в некоторые версии Windows – BitLocker . Исходные коды BitLocker закрыты. Где тогда гарантия того, что в него не вшиты бэкдоры? Где гарантия того, что BitLocker не имеет какого-то общего мастер-ключа для дешифрации данных? Аналогичная ситуация складывается и с прочим ПО с закрытыми исходниками.
Это, конечно же, не значит, что тот же BitLocker наверняка имеет "закладки". Но и подтвердить обратное не представляется возможным. Так что, гарантий никаких. А учитывая все те же разоблачения Сноудена, выбор в сторону свободного и открытого ПО становится очевидным. Особенно, когда речь идет о критических данных.
Что касается TrueCrypt, то здесь есть занятный момент. Совсем недавно был создан проект IsTrueCryptAuditedYet , и начат сбор средств для оплаты независимого аудита. Сам аудит предполагается провести по следующим направлениям:
- юридический анализ лицензии ТруКрипт на соответствие требованиям, к примеру, лицензии GNU GPL (т.е. действительно ли данное ПО может считаться свободным);
- проверка на идентичность исходных кодов и бинарных версий ТруКрипт – идентичность позволит уверенно заявлять, что в исполняемый exe-файл с оф.сайта не "вшиты" никакие бэкдоры;
- полный аудит исходников
Заявленная сумма уже набрана, но сбор еще продолжается (на момент написания данной статьи) . И первые результаты не заставили себя долго ждать. В конце октября были опубликованы результаты проверки на идентичность готовой сборки (exe-файла с официального сайта) сборке, созданной собственными усилиями из исходников. Вердикт – официальная сборка (дистрибутив) не содержит каких-либо скрытых функций . Что ж, это радует. Осталось дождаться главного – проведения полного аудита (update от апреля 2015: аудит завершен, никаких серьезных проблем не найдено).
Ну а мы плавно перейдем к практике...
Установка TrueCrypt, русификация и настройка. TrueCrypt Portable
Первым делом, конечно же, нужно скачать TrueCrypt. Делаем это исключительно с официального сайта http://www.truecrypt.org/downloads (официальный сайт закрыт! Читайте об этом по предупредительной ссылке в начале статьи) . Последняя актуальная версия - 7.1a. Ни в коем случае не используйте версию 7.2!
Если выбрать вариант "Extract", то на выходе вы получите версию TrueCrypt Portable . Во многих случаях портативная версия предпочтительней. Например, чтобы исключить признаки использования данной программы (для этого извлеките файлы, к примеру, на флешку, и программа всегда будет с вами). Но следует помнить, что Portable версия TrueCrypt имеет ряд ограничений – в такой версии невозможно будет полностью зашифровать диски (в т.ч. и флешки) и системные разделы. Поэтому стоит выбирать используемую версию в зависимости от потребностей.
В данной статье мы будем работать с установленным TrueCrypt .
После установки программа предложит вам внести donate (пожертвование), и, если такая возможность у вас имеется, не скупитесь =)
После нажатия на "Finish" появится небольшое окно, где вас уведомят о том, что если вы впервые пользуетесь ТруКриптом, то можете ознакомиться с краткой инструкцией (на английском). Можете согласиться или отказаться.
Теперь, для удобства, можно русифицировать наш TrueCrypt. Официальные локализации находятся также на офсайте программы http://www.truecrypt.org/localizations. Имеется и украинский перевод, и белорусский, и многие другие. Выбирайте какой вам ближе всего.
Стоит отметить, что в русификаторе находится еще и официальная инструкция TrueCrypt (TrueCrypt User Guide.ru.pdf ), о которой я говорил ранее. Настоятельно рекомендую прочитать ее по мере свободного времени. Узнаете очень много нового и полезного! Если же вы поместите этот документ вместе с файлом русификации в директорию TrueCrypt, то русскоязычная справка будет в последующем доступна и из меню программы ("Справка" – "Руководство пользователя" ), что очень удобно.
Итак, чтобы русифицировать ТруКрипт, следует извлечь из скачанного архива файл Language.ru.xml в папку с установленной программой (по умолчанию – это C:\Program Files\TrueCrypt).
Затем запускаем TrueCrypt, и видим, наконец, рабочую область программы.
У меня ТруКрипт автоматически "подхватил" русский язык. Если же этого не произошло, то зайдите в "Settings" – "Language" , и выберите из списка "Русский".
Опишу только ключевые детали, и то, что нужно изменить:
- Ни в коем случае не отключаем работу TrueCrypt в фоновом режиме (должна стоять галочка "Включено"), иначе некоторый важный функционал будет недоступен.
- В разделе "Автоматическое размонтирование" можно активировать пункт, отвечающий за размонтирование при старте экранной заставки (а также при входе в энергосбережение). Также обязательно активируем возможность размонтирования при простое, и указываем время простоя (напр., 30 минут). Ни к чему держать смонтированные тома, когда они нам не нужны.
- И последнее – включим принудительную очистку кэша паролей (т.е. их запоминание) при выходе из программы.
Все остальное можно оставить по умолчанию.
Хотелось бы еще упомянуть об используемых в TrueCrypt горячих клавишах ("Настройки" – "Горячие клавиши..." ). В принципе, достаточно будет назначить всего одну критическую комбинацию клавиш, которая позволит немедленно размонтировать все тома, очистить кэш и выйти из программы. В форс-мажорных ситуациях может здорово выручить.
Мне, например, удобна комбинация "Ctrl + Shift + Стрелка вниз", как показано на рисунке. Первые две находятся очень близко, и легко зажимаются одним пальцем, ну а "стрелка вниз" нажимается другой рукой – все происходит почти мгновенно.
Так-с, TrueCrypt мы установили, русифицировали, немного поправили настройки, самое время теперь перейти непосредственно к работе с программой...
Создание простого тома и его монтирование (подключение) для последующей работы
В TrueCrypt томами называются любые криптоконтейнеры, будь-то файловые контейнеры, usb-флешки или целые разделы HDD. Простым (обычным) томом называется именно файловый контейнер. То есть, со стороны такой контейнер – это всего лишь обычный файл с абсолютно любым расширением (или без него). Когда же такой файл будет смонтирован, он будет выглядеть уже как съемный носитель или отдельный раздел жесткого диска.
Нажимаем кнопку "Создать том" в главном окне программы, после чего нас поприветствует :
Выбираем самый первый пункт "Создать зашифрованный файловый контейнер" , жмем "Далее". В следующем окне указываем "Обычный том" , а дальше нужно будет указать файл, который и будет являться нашим зашифрованным контейнером.
В качестве файла-контейнера можно выбрать любой существующий файл (но помните, что сам файл будет удален, и заменен на новый , с таким же именем), а можно просто создать пустой файл с любым именем.
В качестве выбора расширения файла можно руководствоваться примерно следующим принципом.
Если в контейнере планируется хранение множества зашифрованных данных большого размера, то следует выбирать расширение, характерное для больших файлов. Это может быть, например, видеофайл с названием какого-нибудь фильма и указанием качества (DVDRip, BDRip и т.п.), или же, iso-образ какой-нибудь игры, или любой другой дистрибутив. В общем, чтобы скрыть наличие контейнера в системе, выбирайте для него то расширение, каких файлов в системе много. Таким образом, контейнер "затеряется" в общей массе.
Если же в зашифрованном томе планируется хранить только небольшие файлы (документы, какую-то базу и проч.), то можно в качестве расширения файла выбрать, напр., mp3 или jpg. Я думаю, принцип понятен.
Когда укажете файл, не забудьте в том же окне отметить пункт "Не сохранять историю" .
Следующим этапом будет :
В принципе, здесь можно оставить все как есть и не менять алгоритмы шифрования и хеширования. Для большей стойкости можно выбрать алгоритм "посильнее", или же их сочетание (в выпадающем списке алгоритмы расположены в порядке возрастания, а также к каждому из них дается краткое пояснение). Но помните, чем более стойкий алгоритм, тем медленнее будет работать шифрация/дешифрация. На современных многопроцессорных компьютерах с большим кол-вом ОЗУ, по идее, это будет не особенно заметно. Но зачем усложнять себе жизнь (при условии, что шифруемые данные не столь критичны)? Алгоритм AES сам по себе более чем стойкий.
Кстати, чтобы протестировать скорость алгоритмов конкретно на вашем компьютере, существует кнопка "Тест" (также эта функция всегда доступна из меню "Сервис" – "Тест скорости..." )
Следующий этап - это указание размера тома. Размер можно указать в Кб, Мб или Гб. По потребностям.
Широкое распространение сетевых технологий (LAN , CAN , VPN) позволяет компаниям организовать быстрый и удобный обмен информацией на различных расстояниях. Тем не менее, защита информации в корпоративной среде – задача, которая остается актуальной по сегодняшний день и тревожит умы руководителей предприятий малого, среднего и крупного звена самых разнообразных сфер деятельности. Кроме того, какой бы ни была численность компании, для руководства практически всегда возникает необходимость разграничить права доступа сотрудников к конфиденциальной информации исходя из степени ее важности.
В этой статье мы поговорим о прозрачном шифровании как об одном из наиболее распространенных способов защиты информации в корпоративной среде, рассмотрим общие принципы шифрования для нескольких пользователей (криптография с несколькими открытыми ключами), а также расскажем о том, как настроить прозрачное шифрование сетевых папок при помощи программы CyberSafe Files Encryption .
В чем преимущество прозрачного шифрования?
Использование виртуальных криптодисков либо функции полнодискового шифрования вполне оправдано на локальном компьютере пользователя, однако в корпоративном пространстве более целесообразным подходом является использование прозрачного шифрования , поскольку эта функция обеспечивает быструю и удобную работу с засекреченными файлами одновременно для нескольких пользователей. При создании и редактировании файлов процессы их шифрования и дешифрования происходят автоматически, “на лету”. Для работы с защищенными документами сотрудникам компании не нужно иметь какие-либо навыки в области криптографии, они не должны выполнять какие-либо дополнительные действия для того чтобы расшифровать или зашифровать секретные файлы.Работа с засекреченными документами происходит в привычном режиме при помощи стандартных системных приложений. Все функции по настройке шифрования и разграничению прав доступа могут быть возложены на одного человека, например системного администратора.
Криптография с несколькими открытыми ключами и цифровые конверты
Прозрачное шифрование работает следующим образом. Для шифрования файла используется случайно сгенерированный симметричный сеансовый ключ, который в свою очередь защищается при помощи открытого асимметричного ключа пользователя. Если пользователь обращается к файлу для того, чтобы внести в него какие-то изменения, драйвер прозрачного шифрования расшифровывает симметричный ключ при помощи закрытого (приватного) ключа пользователя и далее, при помощи симметричного ключа, расшифровывает сам файл. Подробно о том, как работает прозрачное шифрование, мы рассказали в предыдущем топике .Но как быть в том случае, если пользователей несколько и засекреченные файлы хранятся не на локальном ПК, а в папке на удаленном сервере? Ведь зашифрованный файл - один и тот же, однако у каждого пользователя своя уникальная ключевая пара.
В этом случае используются так называемые цифровые конверты .
Как видно из рисунка, цифровой конверт содержит файл, зашифрованный при помощи случайно сгенерированного симметричного ключа, а также несколько копий этого симметричного ключа, защищенных при помощи открытых асимметричных ключей каждого из пользователей. Копий будет столько, скольким пользователям разрешен доступ к защищенной папке.
Драйвер прозрачного шифрования работает по следующей схеме: при обращении пользователя к файлу он проверяет, есть ли его сертификат (открытый ключ) в списке разрешенных. Если да – при помощи закрытого ключа этого пользователя расшифровывается именно та копия симметричного ключа, которая была зашифрована при помощи его открытого ключа. Если в списке сертификата данного пользователя нет, в доступе будет отказано.
Шифрование сетевых папок при помощи CyberSafe
Используя CyberSafe, системный администратор сможет настроить прозрачное шифрование сетевой папки без использования дополнительных протоколов защиты данных, таких как IPSec или WebDAV и в дальнейшем управлять доступом пользователей к той или иной зашифрованной папке.Для настройки прозрачного шифрования у каждого из пользователей, которым планируется разрешить доступ к конфиденциальной информации, на компьютере должен быть установлен CyberSafe, создан персональный сертификат, а открытый ключ опубликован на сервере публичных ключей CyberSafe.
Далее сисадмин на удаленном сервере создает новую папку, добавляет ее в CyberSafe и назначает ключи тех пользователей, которые в дальнейшем смогут работать с файлами в этой папке. Конечно, можно создавать столько папок, сколько требуется, хранить в них конфиденциальную информацию различной степени важности, а системный администратор в любой момент может удалить пользователя из числа имеющих к доступ к папке, либо добавить нового.
Рассмотрим простой пример:
На файловом сервере предприятия ABC хранится 3 базы данных с конфиденциальной информацией различной степени важности – ДСП, Секретно и Совершенно Секретно. Требуется обеспечить доступ: к БД1 пользователей Иванов, Петров, Никифоров, к БД2 Петрова и Смирнова, к БД3 Смирнова и Иванова.
Для этого на файл-севере, в качестве которого может быть любой сетевой ресурс, потребуется создать три отдельных папки для каждой БД и назначить этим папкам сертификаты (ключи) соответствующих пользователей:
Конечно, такую или другую аналогичную задачу с разграничением прав доступа можно решить и при помощи ACL Windows. Но этот метод может оказаться эффективным лишь при разграничении прав доступа на компьютерах сотрудников внутри компании. Сам по себе он не обеспечивает защиту конфиденциальной информации в случае стороннего подключения к файловому серверу и применение криптографии для защиты данных просто необходимо.
Кроме того, все настройки параметрами безопасности файловой системы можно сбросить при помощи командной строки. В Windows для этого существует специальный инструмент - «calcs», который можно использовать для просмотра разрешений на файлах и папках, а также для их сброса. В Windows 7 эта команда называется «icacls» и исполняется следующим образом:
1. В командной строке с правами администратора, вводим: cmd
2. Переходим к диску или разделу, например: CD /D D:
3. Для сброса всех разрешений вводим: icacls * /T /Q /C /RESET
Возможно, что icacls с первого раза не сработает. Тогда перед шагом 2 нужно выполнить следующую команду:
После этого ранее установленные разрешения на файлах и папках будут сброшены.
Можно создать систему на базе виртуального криптодиска и ACL (подробнее о такой системе при использовании криптодисков в организациях написано .). Однако такая система также уязвима, поскольку для обеспечения постоянного доступа сотрудников к данным на криптодиске администратору потребуется держать его подключенным (монтированным) в течении всего рабочего дня, что ставит под угрозу конфиденциальную информацию на криптодиске даже без знания пароля к нему, если на время подключения злоумышленник сможет подключиться к серверу.
Сетевые диски со встроенным шифрованием также не решают проблему, поскольку обеспечивают защиту данных лишь тогда, когда с ними никто не работает. То есть, встроенная функция шифрования сможет защитить конфиденциальные данные от компрометации лишь в случае хищения самого диска.
В CyberSafe шифрование/дешифрование файлов осуществляется не на файловом сервере, а на стороне пользователя . Поэтому конфиденциальные файлы хранятся на сервере только в зашифрованном виде, что исключает возможность их компрометации при прямом подключении злоумышленника к файл-серверу. Все файлы на сервере, хранящиеся в папке, защищенной при помощи прозрачного шифрования, зашифрованы и надежно защищены. В то же время, пользователи и приложения видят их как обычные файлы: Notepad, Word, Excel, HTML и др. Приложения могут осуществлять процедуры чтения и записи этих файлов непосредственно; тот факт, что они зашифрованы прозрачен для них.
Пользователи без доступа также могут видеть эти файлы, но они не могут читать и изменять их. Это означает, что если у системного администратора нет доступа к документам в какой-то из папок, он все равно может осуществлять их резервное копирование. Конечно, все резервные копии файлов также зашифрованы.
Однако когда пользователь открывает какой-либо из файлов для работы на своем компьютере, существует возможность, что к нему получат доступ нежелательные приложения (в том случае, конечно, если компьютер инфицирован). Для предотвращения этого в CyberSafe в качестве дополнительной меры безопасности существует система доверенных приложений , благодаря которой системный администратор может определить список программ, которые смогут получить доступ к файлам из защищенной папки. Все остальные приложения, не вошедшие в список доверенных, не будут иметь доступа.Так мы ограничим доступ к конфиденциальной информации для шпионских программ, руткитов и другого вредоносного ПО.
Поскольку вся работа с зашифрованными файлами осуществляется на стороне пользователя, это означает, что CyberSafe не устанавливается на файл-сервер и при работе в корпоративном пространстве программа может быть использована для защиты информации на сетевых хранилищах с файловой системой NTFS, таких как Windows Storage Server . Вся конфиденциальная информация в зашифрованном виде находится в таком хранилище, a CyberSafe устанавливается только на компьютеры пользователей, с которых они получают доступ к зашифрованным файлам.
В этом заключается преимущество CyberSafe перед TrueCrypt и другими программами для шифрования, которые требуют установки в место физического хранения файлов, а значит, в качестве сервера могут использовать лишь персональный компьютер, но не сетевой диск. Безусловно, использование сетевых хранилищ в компаниях и организациях намного более удобно и оправдано, нежели использование обычного компьютера.
Таким образом, при помощи CyberSafe без каких-либо дополнительных средств можно организовать эффективную защиту ценных файлов, обеспечить удобную работу с зашифрованными сетевыми папками, а также разграничить права доступа пользователей к конфиденциальной информации.
Диагностика автомобильного аккумулятора и его обслуживание
Советы как пользоваться ареометром для аккумулятора
Открытки для любимой девушки с признаниями в любви Открытки для влюбленных с надписями
Что можно отправить в подарок почтой?
Как отправить открытку по электронной почте