Захищені носії інформації
Захищений носій інформації — пристрій безпечного зберігання інформації за допомогою одного з методів шифрування і можливістю екстреного знищення даних.
Введення
У певних випадках користувачам комп'ютера необхідно захистити результати своєї роботи від несанкціонованого доступу. Традиційний метод захисту — шифрування інформації. Суть цього методу в наступному: користувач по завершенні своєї роботи або шифрує файл (файли) з використанням однієї з численних систем шифрування (GnuPG, TrueCrypt, PGP і т. д.), або створює архів, захищений паролем. Обидва цих методи, при дотриманні певних вимог (використання пароля достатньої довжини), дозволяють досить надійно захистити дані. Однак робота з даними, на основі зазначених принципів, доволі незручна: користувачеві необхідно забезпечити надійне знищення незашифрованої копії конфіденційних даних, для продовження роботи із захищеними даними необхідно створити їх незашифрованную копію[1].
Альтернативою вказаниму методу може служити використання в роботі повністю зашифрованих носіїв інформації. Зашифрований носій на рівні операційної системи являє собою звичайний логічний диск. Існує два основних підходи до створення зашифрованих носіїв: програмно-апаратний і програмний.
Можливості використання носіїв інформації
Захищені носії інформації дозволяють організувати двофакторну аутентифікацію користувача, коли для входу в систему необхідно надати пароль або pin-код від носія і сам пристрій. Виділяють наступні можливості використання носіїв інформації:
- Аутентифікація користувача в операційній системі, служби каталогу й мережах (операційні системи Microsoft, Linux, Unix, Novell).
- Захист комп'ютерів від несанкціонованого завантаження.
- Сувора аутентифікація користувачів, розмежування доступу, захист переданих по мережі даних у Web-ресурси (Інтернет-магазини, електронна комерція).
- Електронна пошта — формування ЕЦП і шифрування даних, контроль доступу, захист паролів.
- Системи шифрування з відкритим ключем (PKI), засвідчувальні центри — зберігання сертифікатів X. 509, надійне і безпечне зберігання ключової інформації, значне зниження ризику компрометації закритого ключа.
- Організація захищених каналів передачі даних (технологія VPN, протоколи IPSec та SSL) — аутентифікація користувачів, генерація ключів, обмін ключами.
- Системи документообігу — створення юридично значимого захищеного документообігу з використанням ЕЦП і шифрування (передача податкової звітності, договорів та іншої комерційної інформації з мережі Інтернет).
- Бізнес-додатки, бази даних, ERP системи — аутентифікація користувачів, зберігання конфігураційної інформації, ЕЦП і шифрування переданих і збережених даних.
- Системи «Клієнт-Банк», електронні платежі — забезпечення юридичної значимості здійснених транзакцій, сувора взаємна аутентифікація і авторизація клієнтів.
- Криптографія − забезпечення зручного використання та збереження ключової інформації у сертифікованих засобах криптографічного захисту інформації(криптопровайдери і криптобібліотеки).
- Термінальний доступ і тонкі клієнти — аутентифікація користувачів, зберігання параметрів і налаштувань сеансу роботи.
- Шифрування дисків — розмежування і контроль доступу до захищених даних, аутентифікація користувачів, зберігання ключів шифрування.
- Шифрування даних на дисках — аутентифікація користувачів, генерація ключів шифрування, зберігання ключової інформації.
- Підтримка успадкованих додатків і заміни парольного захисту на більш надійну двофакторну аутентифікацію[1].
Апаратні засоби шифрування
Апаратні засоби шифрування реалізуються або у вигляді спеціалізованих накопичувачів (IronKey, носії eToken NG-Flah, носії ruToken Flash), або спеціалізованих контролерів доступу до жорстких дисків (пристрої криптографічного захисту даних КРИПТОН, розробка Фірми «АНКАД»[2]).
Захищені накопичувачі являють собою звичайні флеш-накопичувачі, шифрування даних для яких, виконується безпосередньо при запису інформації на накопичувач з використанням спеціалізованого контролера. Для доступу до інформації користувач повинен вказати персональний пароль.
Контролери типу КРИПТОН являють собою плату розширення стандарту PCI і забезпечує прозоре шифрування записуваних на захищений носій даних. Існує також програмна емуляція апаратного шифрування КРИПТОН — Crypton Emulator.
Програмні методи шифрування
Програмні методи шифрування полягають у створенні засобами певного програмного забезпечення захищених носіїв інформації. Існує кілька методів створення захищених носіїв інформації програмними методами: створення захищеного файлового контейнера, шифрування розділу жорсткого диска, шифрування системного розділу жорсткого диска.
При створенні захищеного носія інформації з використанням файлового контейнера спеціалізованою програмою, створюється на диску файл зазначеного розміру. Для початку роботи з захищеним носієм користувач здійснює його монтування в операційній системі. Монтування виконується засобами програми, з використанням якої створювався носій. При монтуванні користувач вказує пароль (можливі методи ідентифікації користувача з використанням ключових файлів, smart-карт і т. д.). Після монтування в операційній системі з'являється новий логічний диск, з якими користувач має можливість працювати як із звичайними (не зашифрованими) носіями. Після завершення сеансу роботи з захищеним носієм здійснюється його демонтування. Шифрування інформації на захищеному носії здійснюється безпосередньо в момент запису інформації на нього на рівні драйвера операційної системи. Отримати доступ до захищеного вмісту носія практично неможливо.
При шифруванні цілих розділів жорсткого диска порядок дій у цілому аналогічний. На першому етапі створюється звичайний, нешифрованный розділ диска. Потім використовуючи один із засобів шифрування, виконується шифрування розділу. Після шифрування доступ до розділу може бути отриманий тільки після його монтування. Не змонтований зашифрований розділ виглядає як нерозмічена область жорсткого диска.
В останніх версіях систем шифрування з'явилася можливість шифрування системного розділу жорсткого диска. Цей процес аналогічний шифрування розділу жорсткого диска за тим винятком, що монтування розділу здійснюється при завантаженні комп'ютера до завантаження операційної системи.
Деякі системи шифрування надають можливість створення в рамках зашифрованих носіїв інформації (будь-якого з перерахованих вище типів: файловий контейнер, зашифрований розділ, шифрований системний розділ) прихований розділ. Для створення прихованого розділу користувач створює захищений носій за звичайними правилами. Потім у рамках створеного носія створюється ще один, прихований розділ. Для отримання доступу до прихованого розділу користувачеві необхідно вказати пароль, відмінний від пароля для отримання доступу до відкритого розділу. Таким чином, вказуючи різні паролі, користувач отримує можливість роботи або з одним (відкритим), або з іншим (прихованим) розділом захищеного носія. При шифруванні системного розділу є можливість створення прихованої операційної системи (вказуючи пароль до відкритого розділу, завантажується одна копія операційної системи, вказуючи пароль до прихованого розділу — інша). При цьому розробники заявляють про те, що виявити факт наявності прихованого розділу в рамках відкритого контейнера не представляється можливим. Створення прихованих контейнерів підтримується досить великою кількістю програм: TrueCrypt, PGP, BestCrypt, DiskCryptor і т. д.[1]