Защищённые носители информации

Защищённый носитель информации — устройство безопасного хранения информации с помощью одного из методов шифрования и возможностью экстренного уничтожения данных.

ВведениеПравить

В определённых случаях пользователям компьютера необходимо защитить результаты своей работы от несанкционированного доступа. Традиционный метод защиты — шифрование информации. Суть этого метода в следующем: пользователь по завершении своей работы либо шифрует файл (файлы) с использованием одной из многочисленных систем шифрования (GnuPG, TrueCrypt, PGP и т. д.), либо создаёт архив, защищённый паролем. Оба этих метода при соблюдении некоторых требований (использование пароля достаточной длины) позволяют достаточно надёжно защитить данные[1]. Однако работы с данными на основе указанных принципов достаточно неудобна: пользователю необходимо обеспечить надёжное уничтожение незашифрованной копии конфиденциальных данных, для продолжения работы с защищёнными данными необходимо создать их незашифрованную копию.

Альтернативой указанному методу может служить использование в работе полностью зашифрованных носителей информации. Зашифрованный носитель на уровне операционной системы представляет собой обычный логический диск. Существует два основных подхода к созданию зашифрованных носителей: программно-аппаратный и программный.

Возможности использования носителей информацииПравить

Защищённые носители информации позволяют организовать двухфакторную аутентификацию пользователя, когда для входа в систему необходимо предоставить пароль или pin-код от носителя и само устройство. Выделяют следующие возможности использования носителей информации:

  • Аутентификация пользователя в операционной системе, службах каталога и сетях (операционные системы Microsoft, Linux, Unix, Novell).
  • Защита компьютеров от несанкционированной загрузки.
  • Строгая аутентификация пользователей, разграничение доступа, защита передаваемых по сети данных в Web-ресурсах (Интернет-магазины, электронная коммерция).
  • Электронная почта — формирование ЭЦП и шифрование данных, контроль доступа, защита паролей.
  • Системы шифрования с открытым ключом (PKI), удостоверяющие центры — хранение сертификатов X.509, надёжное и безопасное хранение ключевой информации, значительное снижение риска компрометации закрытого ключа.
  • Организация защищённых каналов передачи данных (технология VPN, протоколы IPSec и SSL) — аутентификация пользователей, генерация ключей, обмен ключами.
  • Системы документооборота — создание юридически значимого защищённого документооборота с использованием ЭЦП и шифрования (передача налоговой отчётности, договоров и прочей коммерческой информации по сети Интернет).
  • Бизнес-приложения, базы данных, ERP системы — аутентификация пользователей, хранение конфигурационной информации, ЭЦП и шифрование передаваемых и хранящихся данных.
  • Системы «Клиент-Банк», электронные платежи — обеспечение юридической значимости совершенных транзакций, строгая взаимная аутентификация и авторизация клиентов.
  • Криптография − обеспечение удобного использования и безопасного хранения ключевой информации в сертифицированных средствах криптографической защиты информации(криптопровайдеры и криптобиблиотеки).
  • Терминальный доступ и тонкие клиенты — аутентификация пользователей, хранение параметров и настроек сеанса работы.
  • Шифрование дисков — разграничение и контроль доступа к защищённым данным, аутентификация пользователей, хранение ключей шифрования.
  • Шифрование данных на дисках — аутентификация пользователей, генерация ключей шифрования, хранение ключевой информации.
  • Поддержка унаследованных приложений и замены парольной защиты на более надёжную двухфакторную аутентификацию.

Аппаратные средства шифрованияПравить

Аппаратные средства шифрования реализуются либо в виде специализированных накопителей (IronKey, носители eToken NG-Flah, носители ruToken Flash), либо специализированных контроллеров доступа к жёстким дискам (устройства криптографической защиты данных КРИПТОН, разработка Фирмы «АНКАД»[2]).

Защищённые накопители представляют собой обычные флеш-накопители, шифрование данных для которых выполняется непосредственно при записи информации на накопитель с использованием специализированного контроллера. Для доступа к информации пользователь должен указать персональный пароль.

Контроллеры типа КРИПТОН представляют собой плату расширения стандарта PCI и обеспечивающую прозрачное шифрование записываемых на защищённый носитель данных. Существует также программная эмуляция аппаратного шифрования КРИПТОН — Crypton Emulator.

Программные методы шифрованияПравить

Программные методы шифрования заключаются в создании средствами определённого программного обеспечения защищённых носителей информации. Существует несколько методов создания защищённых носителей информации программными методами: создание защищённого файлового контейнера, шифрование раздела жесткого диска, шифрование системного раздела жесткого диска.

При создании защищённого носителя информации с использованием файлового контейнера специализированной программой создаётся на диске файл указанного размера. Для начала работы с защищённым носителем пользователь осуществляет его монтирование в операционной системе. Монтирование выполняется средствами программы, с использованием которой создавался носитель. При монтировании пользователь указывает пароль (возможны также методы идентификации пользователя с использованием ключевых файлов, smart-карт и т. д.). После монтирования в операционной системе появляется новый логический диск, с которым пользователь имеет возможность работать как с обычными (не зашифрованными) носителями. После завершения сеанса работы с защищённым носителем осуществляется его размонтирование. Шифрование информации на защищённом носителе осуществляется непосредственно в момент записи информации на него на уровне драйвера операционной системы. Получить доступ к защищённому содержимому носителя практически невозможно[3].

При шифровании целых разделов жёсткого диска порядок действий в целом аналогичен. На первом этапе создаётся обычный, нешифрованный раздел диска. Затем используя одно из средств шифрования выполняется шифрование раздела. После шифрования доступ к разделу может быть получен только после его монтирования. Не смонтированный зашифрованный раздел выглядит как неразмеченная область жёсткого диска.

В последних версиях систем шифрования появилась возможность шифрования системного раздела жёсткого диска. Данный процесс аналогичен шифрования раздела жёсткого диска за тем исключением, что монтирование раздела осуществляется при загрузке компьютера до загрузки операционной системы.

Некоторые системы шифрования предоставляют возможность создания в рамках зашифрованных носителей информации (любого из перечисленных выше типов: файловый контейнер, шифрованный раздел, шифрованный системный раздел) скрытых разделов. Для создания скрытого раздела пользователь создаёт защищённый носитель по обычным правилам. Затем в рамках созданного носителя создаётся ещё один, скрытый раздел. Для получения доступа к скрытому разделу пользователю необходимо указать пароль, отличный от пароля для получения доступа к открытому разделу. Таким образом, указывая различные пароли, пользователь получает возможность работы либо с одним (открытым), либо с другим (скрытым) разделом защищённого носителя. При шифровании системного раздела имеется возможность создания скрытой операционной системы (указывая пароль к открытому разделу, загружается одна копия операционной системы, указывая пароль к скрытому разделу — другая). При этом разработчики заявляют о том, что обнаружить факт наличия скрытого раздела в рамках открытого контейнера не представляется возможным[4]. Создание скрытых контейнеров поддерживается достаточно большим количеством программ: TrueCrypt, PGP, BestCrypt, DiskCryptor и т. д.

См. такжеПравить

ПримечанияПравить

  1. По данным исследований скорость подбора пароля для архиватора WinZIP 9+ длиной 8 символов (латинские маленькие и большие буквы и цифры) даже с использованием суперкомпьютера составит 31 день (статья Ивана Голубева «О скоростях перебора паролей на CPU и GPU»)
  2. Устройства криптографической защиты данных серии КРИПТОН
  3. По оценке исследователей Алекса Бирюкова и Йохана Гроссшадля из Лаборатории алгоритмики, криптологии и безопасности Университета Люксембурга, для взлома алгоритма AES (часто используется при создании защищённых контейнеров) с длиной ключа 256 байт потребуется более одного триллиона долларов и года
  4. Группе исследователей под руководством Брюса Шнайера удалось обнаружить скрытые файлы в рамках шифрованного раздела, созданного с использованием TrueCrypt 5.0 (журнал xakep.ru, 18 июля 2008 г).

СсылкиПравить