Тот, кто владеет информацией, владеет миром. В здании компании информацию сохранить гораздо легче, но как быть, если ее уносит сотрудник с целью поработать дома на благо фирмы?

 

   Дмитрий Махаев / CNews

 

   Шифрование информации может проводиться двумя путями: первый путь - применение программных методов, второй путь – шифрование с применением аппаратных средств аутентификации.

  

   Второй путь считается более надежным, поскольку, чтобы прочесть зашифрованную информацию, потребуется не просто указать пароль и нажать клавишу Enter. Потребуется еще и специальное оборудование – дешифратор или ключ, зашифрованный в чипе оборудования. Основной минус – высокая стоимость оборудования, его не очень удобно использовать в повседневной жизни.

 

   С точки зрения специалиста по защите информации, ничего хуже, чем ОС Windows, люди еще не придумали, но, тем не менее, новые версии Windows, а в частности Vista, все же изменились в лучшую сторону.

 

 

 

   Например, появился BitLocker - средство для защиты данных, которое шифрует сразу весь том жесткого диска. Возможно шифрование с помощью TPM (Trusted Platform Module) версии 1.2 и BIOS с поддержкой TPM и SRTM (Static Root of Trust Measurement), также с использованием USB–ключа или ПИН – кода.

 

 

   BitLocker - средство для защиты данных, которое шифрует сразу весь том жесткого диска

 

Алгоритм, применяемый для шифрования – AES с длиной ключа 128 или 256 бит (меняется с помощью групповых политик или WMI). Перед шифрованием используется алгоритм-диффузер (diffuser), при котором даже незначительное изменение исходного текста вызовет значительное изменение всего сектора зашифрованных данных.

   Результат работы BitLocker – то, что два сектора с одинаковыми данными в зашифрованном виде будут выглядеть по-разному. При загрузке система BitLocker в большинстве случаев не требует вмешательства пользователя.

   Немаловажный факт – особенно когда дело касается импортных программ защиты информации – по заверениям Microsoft, в системе BitLocker "нет лазеек для государственных властей и правоохранительных органов", которыми могли бы воспользоваться хакеры. Но нет гарантий, что нет неумышленных уязвимостей в результате ошибок самих разработчиков.

Основное отличие от известной функции шифрования, встроенной в файловую систему NTFS – средство EFS (Encrypted File System), состоит в том, что в EFS необходимо вручную указывать, какие файлы надо шифровать, BitLocker же осуществляет шифрование "прозрачно", сразу при записи на защищенный им том, при минимуме вмешательств со стороны пользователя. Однако BitLocker не шифрует метаданные, загрузочные сектора и поврежденные сектора.

   Следует иметь в виду, что BitLocker "привязывается" к определенному ПК, и на другом ПК (если он только не будет на 100% идентичен первому, что невозможно), данные будет невозможно (или чрезвычайно трудно) прочитать даже с использованием USB-ключа.

   Поскольку в жизни всякое бывает, система может дать сбой и тогда данные на зашифрованном томе окажутся недоступными. При шифровании тома предлагается сохранить на USB-флеш/распечатать пароль восстановления. К этой операции стоит отнестись серьезно – на сегодняшний день без пароля эти данные восстановить невозможно. При списывании старых ПК Microsoft предлагает достаточно простое решение – стереть все ключи из области метаданных тома (под понятием "стирание" следует понимать необратимое уничтожение информации, т.е. перезапись этих секторов). Если все ключи из метаданных утеряны, пароли восстановления тоже утеряны, то на настоящий момент такие данные считаются не подлежащими восстановлению. Другой пример использования BitLocker – при перевозке ПК. Можно стереть из области метаданных ключи, оставив их копии в защищенном месте. Потом опять записать ключи шифрования в область метаданных.

   Минус этого способа состоит в том, что авторизованный владелец всегда сможет получить доступ к данным, если у него есть пароль восстановления или копия ключей (а это нежелательно в случае увольнения сотрудника, который "очень много знает"). Также ключи сможет восстановить грамотный специалист, поскольку область метаданных не шифруется, следовательно, доступ к ней может получить любой человек.

   Кому необходимы такие системы? В первую очередь – работникам, которые не любят соблюдать рекомендации специалистов по безопасности, не собираются осваивать сторонние программы защиты информации и упорно ставят пароли на данные фирмы в виде слова password.

 

   Основной плюс BitLocker – отсутствие конфликтов с самой ОС, поскольку он является ее составной частью. В отличие от большинства сторонних программ шифрования – авторизация происходит сразу при включении компьютера (т.е. при загрузки ОС). Но поскольку это продукт, предназначенный для довольно распространенной платформы, ясно, что его будут пытаться взломать, и когда–нибудь кому-нибудь это удастся.

Возможность контроля через Active Directory 
Работа алгоритма на уровне тома, что обеспечивает высокую степень устойчивости 

Возможность использования аппаратного средства защиты – чипа TPM 

Нет лазеек для госвластей и правоохранительных органов 
Основан на алгоритме AES, считающийся достаточно надежным алгоритмом. 

На ПК с TPM может проверить целостность загрузочных компонентов до запуска ОС 

Идеальное решение для защиты от Offline атак (атаки с выключением) 
Не надо платить лишние деньги – включено в ОС

Прозрачная работа, не "грузит" систему

Ожидается версия для XP / 2003 Server

 

Пока возможен только на Windows Vista Enterprise/Ultimate/2008 Server

Недостаточно проработанная предварительная аутентификация – возможно создание руткита, изменяющего загрузочные файлы ОС – потребуется восстановление данных (при исп. без TPM чипа)

Плохая поддержка многофакторной аутентификации (только TPM и USB-ключ)

Трудности в настройке (много настроек через консоль)

Вследствие тесной интеграции с ОС уязвимости в последней могут быть использованы для снятия данных / ключей (пока таких случаев не зарегистрировано)

Новая система, могут обнаружиться ошибки разработки

Требуется Vista-совместимый компьютер

 

   В то же время, без использования TPM-чипа система теряет значительную часть своей привлекательности, поскольку если необходимо вскрыть достаточную важную информацию, кластер из современных компьютеров сможет подобрать 48-значный пароль восстановления.

 

  

   В Windows XP нет поддержки BitLocker. Она предлагает для защиты данных только встроенное средство файловой системы NTFS – EFS (Encrypted File System) (эта же функция доступна и для Vista). Основное отличие от BitLocker – шифрование только файлов и каталогов. Впервые EFS появилась в Windows 2000, но в Windows XP претерпела некоторые усовершенствования. Пакеты обновления для Windows 2000 также улучшили EFS.

   Начиная с версии Windows XP SP1, EFS использует алгоритм AES с длиной ключа 256 бит, после чего полученный результат дополнительно шифруется парой (открытый (public) и закрытый (private)) ключей RSA.

 

 

    Технически данная система выполнена в виде драйвера, тесно связанного с драйвером NTFS и работающего в режиме ядра ОС. Для каждого файла система создает свой ключ FEK (File Encryption Key, шифровальный ключ файла), затем тело шифруется при помощи алгоритма AES (в ранних версиях – при помощи DESX), далее FEK шифруется при помощи RSA.

   Зашифрованный пользовательским общим ключом FEK сохраняется в DDF (Data Decryption Field, поле расшифровки данных) шифруемого файла. Кроме того, для обеспечения возможности восстановления файла система EFS создает еще одну зашифрованную с помощью общего ключа восстановления файлов (FR, File Recovery) копию  FEK, которую помещает в поле DRF (Data Recovery Field, поле восстановления данных файла). FR создается либо доменным администратором, либо самой Windows с учетной записью администратора. Администратор, обладающий этим ключом, называется агентом восстановления данных (DRA, Data Recovery Agent).

   Следует иметь в виду, что используемые закрытые (private) ключи для генерирования и защиты шифрованных данных  применяют DPAPI – интерфейс (DPAPI – Data Protection Application Interface – прикладной программный интерфейс защиты данных), который использует для защиты данных производные данные учетных записей пользователя. Как следствие, надежность шифрования данных будет зависеть от того, насколько надежен пароль пользователя. Надежными сейчас считаются пароли из 15 – 16 (и более) символов, притом, что они должны быть не только длинные, но и сложные.

   Стоит отметить, что файл, зашифрованный с помощью Windows XP SP1 и выше, будет невозможно прочитать на ранних версиях Windows 2000, XP. Для решения проблемы необходимо установить алгоритм шифрования DESX; система предоставляет возможность выбора между алгоритмами DESX и AES.