Bezpečná paměťová média

Bezpečné paměťové médium  je zařízení pro bezpečné uložení informací pomocí některého ze způsobů šifrování a možnosti nouzového zničení dat.

Úvod

V určitých případech musí uživatelé počítačů chránit výsledky své práce před neoprávněným přístupem . Tradiční metodou ochrany je šifrování informací. Podstata této metody je následující: uživatel po dokončení své práce buď zašifruje soubor (soubory) pomocí některého z četných šifrovacích systémů ( GnuPG , TrueCrypt , PGP atd.), nebo vytvoří archiv chráněný heslem . Oba tyto způsoby při dodržení určitých požadavků (při použití hesla dostatečné délky) umožňují spolehlivě chránit data [1] . Práce s daty na těchto principech je však značně nepohodlná: uživatel potřebuje bezpečně zničit nešifrovanou kopii důvěrných dat a pro další práci s chráněnými daty je nutné vytvořit jejich nešifrovanou kopii.

Alternativou k této metodě může být použití plně šifrovaných paměťových médií. Šifrované médium na úrovni operačního systému je běžný logický disk . Existují dva hlavní přístupy k vytváření šifrovaných médií: hardware-software a software.

Možnosti použití paměťových médií

Zabezpečená média vám umožňují organizovat dvoufaktorové ověření uživatele, když potřebujete zadat heslo nebo PIN kód z média a samotného zařízení pro vstup do systému. Existují následující možnosti využití nosičů informací:

• Autentizace uživatelů v operačním systému, adresářových službách a sítích ( operační systémy Microsoft , Linux , Unix , Novell ).
• Ochrana počítačů před neoprávněným stahováním.
• Silná autentizace uživatelů, kontrola přístupu, ochrana dat přenášených po síti ve webových zdrojích ( internetové obchody , elektronický obchod ).
• E-mail - generování EDS a šifrování dat, kontrola přístupu, ochrana heslem.
• Public Key Encryption Systems ( PKI ), Certifikační autority - úložiště certifikátů X.509 , spolehlivé a bezpečné uložení informací o klíčích, výrazné snížení rizika kompromitace soukromého klíče.
• Organizace zabezpečených kanálů přenosu dat ( technologie VPN , protokoly IPSec a SSL ) - autentizace uživatelů, generování klíčů, výměna klíčů.
• Workflow systémy — vytvoření právně významného chráněného workflow pomocí EDS a šifrování (přenos daňových hlášení, smluv a dalších komerčních informací přes internet).
• Obchodní aplikace, databáze, ERP systémy - autentizace uživatelů, ukládání konfiguračních informací, digitální podpis a šifrování přenášených a ukládaných dat.
• Systémy „Klient-Bank“, elektronické platby – zajištění právního významu uskutečněných transakcí, přísná vzájemná autentizace a autorizace klientů.
• Kryptografie – zajištění pohodlného používání a bezpečného uložení klíčových informací v certifikovaných nástrojích ochrany kryptografických informací (kryptoproviderů a kryptoknihoven).
• Terminálový přístup a tenký klienti - ověřování uživatelů, ukládání parametrů a nastavení relace.
• Šifrování disku - rozlišení a kontrola přístupu k chráněným datům, autentizace uživatele, uložení šifrovacích klíčů.
• Šifrování dat na discích - autentizace uživatele, generování šifrovacích klíčů, ukládání informací o klíčích.
• Podpora starších aplikací a nahrazení ochrany heslem silnější dvoufaktorovou autentizací .

Hardwarové šifrování

Šifrovací hardware je implementován buď ve formě specializovaných disků ( IronKey , média eToken NG-Flah, média ruToken Flash), nebo specializovaných řadičů přístupu k pevným diskům (zařízení na ochranu kryptografických dat KRYPTON, vyvinuté společností ANKAD [2] ).

Chráněné disky jsou běžné flash disky , u kterých se šifrování dat provádí přímo při zápisu informací na disk pomocí specializovaného řadiče. Pro přístup k informacím musí uživatel zadat osobní heslo.

Řadiče typu KRYPTON jsou standardní rozšiřující karta PCI , která poskytuje transparentní šifrování dat zapsaných na bezpečné paměťové médium. K dispozici je také softwarová emulace hardwarového šifrování KRYPTON - Crypton Emulator.

Metody softwarového šifrování

Metody softwarového šifrování spočívají ve vytváření bezpečných médií pomocí určitého softwaru. Existuje několik metod pro vytváření bezpečných úložných médií pomocí softwarových metod: vytvoření zabezpečeného kontejneru souborů, šifrování oddílu pevného disku , šifrování systémového oddílu pevného disku.

Při vytváření chráněného paměťového média pomocí kontejneru souborů vytvoří specializovaný program na disku soubor zadané velikosti. Chcete-li začít pracovat s chráněným médiem, uživatel je připojí do operačního systému. Montáž se provádí pomocí programu, který byl použit k vytvoření média. Při montáži uživatel zadá heslo (možné jsou i způsoby identifikace uživatele pomocí souborů klíčů, čipových karet atd.). Po připojení se v operačním systému objeví nová logická jednotka, se kterou má uživatel možnost pracovat jako s běžným (nešifrovaným) médiem. Po dokončení relace s chráněným médiem je odpojeno. Šifrování informací na zabezpečeném médiu se provádí okamžitě v okamžiku zápisu informací na ně na úrovni ovladače operačního systému. Přístup k chráněnému obsahu médií je téměř nemožný [3] .

Při šifrování celých částí pevného disku je postup obecně stejný. V první fázi se vytvoří běžný, nešifrovaný diskový oddíl. Poté pomocí jednoho ze šifrovacích nástrojů je oddíl zašifrován. Jakmile je oddíl zašifrován, lze k němu přistupovat pouze po jeho připojení. Nepřipojený šifrovaný oddíl vypadá jako nepřidělená oblast pevného disku.

V nejnovějších verzích šifrovacích systémů bylo možné zašifrovat systémový oddíl pevného disku. Tento proces je podobný šifrování oddílu pevného disku, s tím rozdílem, že oddíl je připojen, když se počítač spustí před spuštěním operačního systému.

Některé šifrovací systémy umožňují vytvářet skryté oddíly v rámci šifrovaného úložného média (jakýkoli z výše uvedených typů: kontejner souborů, šifrovaný oddíl, šifrovaný systémový oddíl). Pro vytvoření skrytého oddílu uživatel vytvoří chráněné médium podle obvyklých pravidel. Poté se v rámci vytvořeného média vytvoří další, skrytý oddíl. Pro získání přístupu do skryté sekce musí uživatel zadat jiné heslo než heslo pro přístup do veřejné sekce. Zadáním různých hesel tedy uživatel získá možnost pracovat buď s jednou (otevřenou) nebo jinou (skrytou) částí chráněného média. Při šifrování systémového oddílu je možné vytvořit skrytý operační systém (zadáním hesla pro otevřený oddíl se načte jedna kopie operačního systému a zadáním hesla pro skrytý oddíl další). Vývojáři zároveň prohlašují, že není možné detekovat přítomnost skryté sekce v rámci otevřeného kontejneru [4] . Vytváření skrytých kontejnerů je podporováno poměrně velkým množstvím programů: TrueCrypt , PGP , BestCrypt , DiskCryptor atd.

Viz také

• Informační bezpečnost
• Hardwarová ochrana informačních systémů
• Šifrování

Poznámky

1. ↑ Podle výzkumu bude rychlost výběru hesla pro archivátor WinZIP 9+ o délce 8 znaků (latinská malá a velká písmena a číslice) i pomocí superpočítače 31 dní (článek Ivana Golubeva „ O rychlosti hesla brutálně vynutit na CPU a GPU „ Archivní kopie ze dne 21. června 2013 na Wayback Machine “)
2. ↑ Kryptografické prostředky pro ochranu dat řady KRYPTON . Získáno 2. června 2016. Archivováno z originálu 17. prosince 2017. (neurčitý)
3. ↑ Podle výzkumníků Alexe Biryukova a Johana Grossshadla z Laboratoře algoritmů, kryptologie a bezpečnosti Lucemburské univerzity bude trvat více než jeden bilion dolarů a rok , než se podaří prolomit algoritmus AES (často používaný při vytváření bezpečných kontejnerů) pomocí délka klíče 256 bajtů
4. ↑ Skupině výzkumníků pod vedením Bruce Schneiera se podařilo najít skryté soubory v zašifrovaném oddílu vytvořeném pomocí TrueCrypt 5.0 (časopis xakep.ru, 18. července 2008) Archivováno 1. prosince 2012 na Wayback Machine .

Odkazy

• První odhad praktického hackování AES: 1,5 bilionu USD a méně než rok výpočtu
• openPGP v Rusku