1-freelance.ru

Журнал "Фрилансер"
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Жесткий диск с защитой данных

Жесткий диск с защитой данных

Система защиты конфиденциальной информации и персональных данных Secret Disk.

Secret Disk 4 — система от несанкционированного доступа и раскрытия конфиденциальной информации, хранящейся и обрабатываемой на персональном компьютере или ноутбуке, когда есть риск его кражи, утери или несанкционированного использования.

Secret Disk 4 позволяет шифровать системный раздел жёсткого диска. Для доступа к загрузке операционной системы пользователь должен подключить USB-ключ eToken и ввести PIN-код.

Также Secret Disk 4 позволяет шифровать несистемные разделы жёстких дисков, тома на динамических дисках, съёмные носители (USB-диски, Flash-диски, ZIP, магнитооптические диски, дискеты, карты памяти для мобильных устройств и т.п.), а также создавать виртуальные зашифрованные диски в виде файлов-контейнеров.

Операции первоначального зашифрования, перешифрования и расшифрования проводятся в фоновом режиме и не мешают работе пользователя. Secret Disk 4 осуществляет динамическое потребление системных ресурсов во время выполнения операций первоначального зашифрования и полного перешифрования/расшифрования дисков. Балансировка нагрузки производится по остаточному принципу, т.е. приоритет отдается пользовательским приложениям, и Secret Disk абсолютно не мешает работе, даже если во время операций шифрования работает большое число программ.

Данные, защищаемые Secret Disk 4, хранятся на дисках в зашифрованном виде. При чтении с зашифрованного диска происходит автоматическое и незаметное для пользователя расшифрование данных, а при записи на зашифрованный диск — их зашифрование. Для доступа к зашифрованному диску необходимо иметь USB-ключ или смарт-карту и знать его PIN-код.

Зашифрованная информация не может быть просмотрена, скопирована, уничтожена или повреждена другими пользователями, любопытными коллегами, администраторами или хакерами, подключившимися к компьютеру по сети. Она также не может быть использована посторонними при ремонте или краже компьютера, при утере съёмного защищённого диска.

  • Защита от несанкционированного доступа и раскрытия конфиденциальной информации, хранящейся и обрабатываемой на персональном компьютере или ноутбуке, когда есть риск его кражи, утери или несанкционированного использования
  • Защита информации при переносе и хранении на съемных носителях

Secret Disk 4 шифрует системный раздел жёсткого диска и требует строгой двухфакторной аутентификации пользователей до загрузки операционной системы.

Secret Disk 4 создает на персональном компьютере скрытые ресурсы — зашифрованные диски, предназначенные для безопасного хранения конфиденциальной информации.

Защита дисков достигается за счет «прозрачного» шифрования данных — при записи на зашифрованный диск информация автоматически зашифровывается, при чтении — расшифровывается.

Доступ к зашифрованной информации может получить только ее владелец либо авторизованные им доверенные лица, имеющие электронный ключ eToken и знающие PIN-код.

Для других пользователей этот зашифрованный ресурс будет не виден и недоступен. Более того, они могут даже и не догадываться о его наличии. В отключенном состоянии зашифрованный диск выглядит как неразмеченная область жесткого диска или файл, содержащий «мусор».

  • Шифрование системного раздела, разделов на жестких дисках, томов на динамических дисках, виртуальных дисков и съемных носителей
  • Аутентификация пользователя по USB-ключу eToken для загрузки операционной системы и для доступа к зашифрованным данным
  • Запрет доступа по сети к зашифрованным данным для всех пользователей, включая системного администратора
  • Восстановление доступа к данным в случае утери USB-ключа
  • Защита данных от сбоев во время операций шифрования, включая перебои электропитания
  • Режим энергосбережения для ноутбуков
  • Динамическое распределение скорости шифрования

Типовая схема использования персонального компьютера в локальной сети организации

  • Злоумышленник (человек, сознательной целью которого является получение доступа к вашим конфиденциальным данным), получивший физический доступ к персональному компьютеру и/или дискам с конфиденциальными данными, и обладающий возможностью привлечения значительных вычислительных ресурсов для получения доступа к данным.
  • Постороннее лицо, получившее легальный доступ к персональному компьютеру (например, при сервисном обслуживании во внешней компании или во внутренней IT-службе).
  • Любопытный сотрудник — сотрудник организации (по роду своей деятельности не должен иметь доступа к конфиденциальным данным, но желающий с ними ознакомиться), который может воспользоваться отсутствием сотрудника на своём рабочем месте или ошибками администрирования, (например, неожиданно представившейся возможностью просмотра содержимого диска с конфиденциальной информацией по сети) или повысить свой уровень полномочий в операционной системе до административного с целью скопировать интересующие файлы в конфиденциальной информацией для последующего просмотра.
  • Системный администратор (администратор домена Windows) (по умолчанию имеет самый высокий уровень прав доступа), имеющий возможность обратиться по сети к любому диску персонального компьютера с помощью так называемых административных сетевых ресурсов).

Схема работы с использованием Secret Disk

  • Администратор Secret Disk 4.0 осуществляет установку и управление Secret Disk 4.0 на персональном компьютере, проводит операции шифрования системного раздела, создаёт зашифрованные диски. Администратор Secret Disk 4.0 регистрирует пользователей Secret Disk 4.0 и управляет доступом к данным на зашифрованных дисках, включая возможность загрузки операционной системы с зашифрованного системного раздела.
  • Незарегистрированные пользователи, включая системного администратора, не имеют доступа к загрузке операционной системы с зашифрованного системного раздела и доступа, в том числе по сети, к данным на зашифрованных дисках.
  • Незарегистрированные пользователи обращаются к общим файлам на незашифрованных дисках по сети, при наличии прав доступа к таким общим файлам.
  • Пользователи Secret Disk 4.0 имеют доступ к загрузке операционной системы с зашифрованного системного раздела и доступ к данным на зашифрованных дисках.
  • Пользователи Secret Disk 4.0 могут нажатием клавиш быстрого вызова закрыть сеанс и отключить подключенные зашифрованные диски; скрыть отображение значка SD4 на панели задач.
Читайте так же:
Блютуз ресивер для наушников к телевизору

Преимущества:

  • Защита сеанса загрузки операционной системы: для загрузки операционной системы с зашифрованного системного раздела пользователь должен подключить USB-ключ eToken и ввести его PIN-код
  • Двухфакторная аутентификация: для доступа к зашифрованной информации пользователь должен подключить eToken и ввести его PIN-код
  • Блокирование доступа по сети к зашифрованным данным даже для системного администратора
  • Поддержка «спящего» режима с сохранением образа оперативной памяти в зашифрованном виде, также в зашифрованном виде сохраняется образ памяти, записываемый на жесткий диск операционной системой в случае фатальных ошибок
  • Блокирование компьютера в перерывах между работой и автоматическое отключение зашифрованных дисков при отсоединении eToken
  • Возможность использования российских сертифицированных криптоалгоритмов (ГОСТ 28147-89)
  • Защита от сбоев во время выполнения операций шифрования, включая перебои электропитания
  • Защита от случайного / умышленного уничтожения или повреждения зашифрованных данных
  • Аварийное восстановление главной загрузочной записи (Master Boot Record) с использованием специального загрузочного Rescue CD
  • Резервное копирование / восстановление ключей шифрования
  • Фоновое шифрование: операции зашифрования, расшифрования и перешифрования дисков проводятся в фоновом режиме, с возможностью приостановки и дальнейшего продолжения выполнения этих операций, что позволяет быстро ввести систему в эксплуатацию
  • Оптимизация скорости работы системы при операциях первичного зашифрования (инициализации) и перешифрования/расшифрования защищенных дисков. Это достигается за счет применения алгоритма, определяющего количество системных ресурсов, требуемое Secret Disk, по остаточному принципу, что дает возможность проводить указанные операции без значительного изменения общей производительности системы
  • Многопользовательская работа: несколько пользователей (каждый со своим USB-ключом) могут загружать ОС с зашифрованного системного раздела и получать доступ к зашифрованным дискам
  • Режим сохранения заряда батарей для ноутбуков
  • Полная интеграция в Windows 2000, XP, Vista
  • Шифрование системного раздела жесткого диска. Системный раздел жесткого диска содержит большое количество информации, представляющей особенный интерес для злоумышленников (хакеры, конкурентная разведка, инсайдеры): учетные записи пользователей, логины и пароли доступа к закрытым информационным ресурсам, электронная корреспонденция пользователя, лицензионная информация используемого программного обеспечения, личная информация пользователя. Эти данные можно получить, анализируя временные файлы и файлы-журналы приложений, файл подкачки операционной системы, а также сохраняемый на жесткий диск образ оперативной памяти (в «спящем» режиме или при возникновении фатальной ошибки). Secret Disk 4, в отличие от многих конкурентов, позволяет целиком зашифровать системный раздел, и защитить хранящуюся на нем информацию.
  • Загрузка операционной системы по USB-ключу. Получив доступ к персональному компьютеру, злоумышленник или недобросовестный сотрудник может использовать его для получения доступа к закрытым ресурсам (корпоративным серверам или платежной системе пользователя). Стандартные средства авторизации Windows не могут надежно ограничить несанкционированную загрузку и использование операционной системы. Использование USB-ключей для аутентификации пользователя гарантируют использование компьютера только доверенными лицами. Secret Disk 4 предоставляет наиболее безопасную на сегодняшний день процедуру подтверждения прав пользователя — необходимо наличие USB-ключа и знание PIN-кода для загрузки операционной системы.
  • Фоновые операции шифрования. При работе с ранее зашифрованными дисками операции шифрования проводятся незаметно. А операции начального зашифрования или полного перешифрования диска могут потребовать значительного времени, что при их выполнении в выделенном режиме создаст неудобство для пользователя. Secret Disk 4 проводит все операции зашифрования, перешифрования и расшифрования дисков в фоновом режиме, что экономит время пользователя и не отвлекает его от работы.
  • Восстановление доступа к зашифрованным дискам. В Secret Disk 4 предусмотрена возможность восстановления доступа к данным в случае утери или поломки USB-ключа.

Получить более подробную информацию о вариантах и условиях внедрения системы информационной безопасности всегда можно у наших специалистов по телефону +7(495) 223-66-64

Как защитить паролем внешний жесткий диск без его шифрования?

Иногда я ношу с собой свой внешний жесткий диск, и мне было интересно, есть ли способ защитить паролем весь диск, без лишних хлопот или чего-то еще, просто простая защита паролем . если возможно, это решение должно предотвратить попытки кого-то отформатировать диск . спасибо!

примечание: должно быть совместимо с Windows XP / Vista / 7, не беспокоиться о Mac.

РЕДАКТИРОВАТЬ: Я хочу решение, которое не включает в себя шифрование диска, я слишком опасаюсь шифрования, по крайней мере, пока .

Единственный способ сделать это возможным — использовать механизмы защиты паролем Parallel ATA (иначе IDE). Спецификация PATA позволяет установить пароль жесткого диска:

пароли и безопасность жесткого диска

Блокировка диска — это встроенная функция безопасности на диске. Он является частью спецификации ATA и, следовательно, не относится к какой-либо марке или устройству.

Если диск защищен паролем, вам нужен пароль, чтобы разблокировать его, прежде чем он будет доступен.

Однако я бы скорее посоветовал против этого: эта функция ATA используется редко, и для ее использования требуется специальное программное обеспечение на главном компьютере (которое, в свою очередь, обычно требует прав администратора для установки на главном компьютере). Также я не уверен, что он будет работать со съемными дисками, и я считаю, что в Serial ATA его нет. Наконец, это может быть побеждено, используя специальное программное обеспечение (или аппаратную обработку) на большинстве дисков (хотя это может быть сложно).

Читайте так же:
Материнка для amd ryzen 5 1600

Кроме этого, я не верю, что есть решение вашей проблемы. Если вы хотите запретить другим читать или манипулировать данными, шифрование (в частности, полное шифрование диска / FDE) — это путь, например TrueCrypt. Это достаточно кроссплатформенный, удобный и безопасный. Однако это не помешает кому-либо отформатировать диск.

Что касается защиты от форматирования:

Если вы хотите, чтобы люди не уничтожали данные на диске, вам все равно необходимо обеспечить их физическую защиту. Если кто-то просто хочет уничтожить данные, он может просто повредить диск .

Я думаю, что средство BitLocker в Windows 7 является наиболее надежным средством защиты внешнего диска или диска для извлечения. Хотя он будет зашифровывать ваш диск, но не стоит беспокоиться о шифровании BitLocker, вы можете доверять ему. Я нашел учебник @ http://techstrick.blogspot.com/2012/04/how-to-password-protect-usb-drive-in.html, в котором они описывают использование BitLocker для защиты паролем USB-накопителя, но этот учебник также применимо для других дисков, таких как внешний жесткий диск, внутренний жесткий диск и т. д.

Эй, ребята, это очень просто: возьмите отвертку и извлеките внутренний жесткий диск из вашего ноутбука. как только вы загрузите sys, он не будет читать hd. Затем вставьте внешний жесткий диск и перезагрузите систему с помощью компакт-диска Windowrs в DVD-ROM. Установить windows на внешний жесткий диск. чем перезагрузить систему и зайти в settings-security-password, чтобы hdd вынуть внешний жесткий диск и вернуть свой внутренний жесткий диск. теперь wenever u будет подключать внешний жесткий диск к системе, которая запрашивает пароль жесткого диска, прежде чем открыть его.

Зашифрованный жесткий диск

Зашифрованный жесткий диск использует быстрое шифрование, которое обеспечивается шифрованием диска BitLocker для повышения безопасности и управления данными.

Путем передачи криптографических операций в оборудование функция "Зашифрованный жесткий диск" повышает производительность BitLocker и снижает потребление ресурсов ЦП и электроэнергии. Благодаря тому, что функция зашифрованных жестких дисков быстро шифрует данные, устройства организации могут расширять развертывания BitLocker с минимальным влиянием на производительность.

Зашифрованные жесткие диски — это новый класс жестких дисков, которые самостоятельно шифруются на уровне оборудования и позволяют полностью шифрование оборудования на диске. Вы можете установить Windows на зашифрованные жесткие диски без дополнительных изменений, начиная с Windows 8 и Windows Server 2012.

Зашифрованные жесткие диски обеспечивают:

  • Лучшая производительность: оборудование шифрования, интегрированное в контроллер диска, позволяет диску работать с полной скоростью данных без ухудшения производительности.
  • Сильная безопасность, основанная наоборудовании: шифрование всегда "на", а ключи шифрования никогда не покидают жесткий диск. Проверка подлинности пользователей выполняется диском, прежде чем он снимет блокировку (независимо от операционной системы).
  • Простотаиспользования. Шифрование является прозрачным для пользователя, и пользователю не нужно его включить. Зашифрованные жесткие диски легко удаляются с помощью встроенного ключа шифрования; нет необходимости повторно шифровать данные на диске.
  • Более низкая стоимостьвладения: нет необходимости в новой инфраструктуре для управления ключами шифрования, так как BitLocker использует существующую инфраструктуру для хранения данных восстановления. Устройство работает более эффективно, так как циклы процессора не требуют использования для процесса шифрования.

Зашифрованные жесткие диски поддерживаются в операционной системе с помощью следующих механизмов:

  • Идентификация. Операционная система может определить, что диск является типом зашифрованного жесткого диска
  • Активация. Утилита управления дисками операционной системы может активировать, создавать и соеди-
  • Конфигурация. Операционная система может создавать и соеди-
  • API: поддержка API для приложений для управления зашифрованными жесткими дисками независимо от шифрования дисков BitLocker (BDE)
  • Поддержка BitLocker. Интеграция с панелью управления BitLocker обеспечивает бесшовную возможность работы с конечным пользователем BitLocker.

Self-Encrypting жесткие диски и зашифрованные жесткие диски для Windows не являются одним и тем же типом устройства. Зашифрованные жесткие диски для Windows для определенных протоколов TCG, а также соответствия требованиям IEEE 1667; Self-Encrypting жесткие диски не имеют этих требований. Важно подтвердить, что тип устройства — это зашифрованный жесткий диск для Windows при планировании развертывания.

Если вы поставщик устройств хранения, который ищет дополнительные сведения о том, как реализовать зашифрованный жесткий диск, см. в руководстве по зашифрованным устройствам жесткого диска.

Требования к системе

Для использования зашифрованных жестких дисков применяются следующие требования к системе:

Для зашифрованного жесткого диска, используемой в качестве диска данных:

  • Диск должен быть в неинициализированном состоянии.
  • Диск должен быть в неактивном состоянии безопасности.

Для зашифрованного жесткого диска, используемой в качестве диска запуска:

  • Диск должен быть в неинициализированном состоянии.
  • Диск должен быть в неактивном состоянии безопасности.
  • Компьютер должен быть на основе UEFI 2.3.1 и иметь определение EFI_STORAGE_SECURITY_COMMAND_PROTOCOL. (Этот протокол используется для того, чтобы разрешить программам, работающим в среде служб загрузки EFI, отправлять команды протокола безопасности на диск).
  • На компьютере должен быть отключен модуль поддержки совместимости (CSM) в UEFI.
  • Компьютер всегда должен загрузиться из UEFI.

Для правильной работы все зашифрованные жесткие диски должны быть присоединены к контроллерам без RAID.

Читайте так же:
Можно ли следить за человеком через компьютер

Технический обзор

Быстрое шифрование в BitLocker непосредственно решает потребности предприятий в области безопасности, предлагая при этом значительно улучшенную производительность. В версиях Windows раньше Windows Server 2012, BitLocker требовал двухшагового процесса для выполнения запросов на чтение и написание. В Windows Server 2012, Windows 8 или позже зашифрованные жесткие диски сгружают криптографические операции с контроллером диска для повышения эффективности. Когда операционная система определяет зашифрованный жесткий диск, он активирует режим безопасности. Эта активация позволяет контроллеру диска создавать клавишу мультимедиа для каждого тома, который создает хост-компьютер. Этот ключ мультимедиа, который никогда не подвергается воздействию за пределами диска, используется для быстрого шифрования или расшифровки всех byte данных, отосланных или полученных с диска.

Настройка зашифрованных жестких дисков в качестве дисков запуска

Конфигурация зашифрованных жестких дисков в качестве дисков запуска делается с помощью тех же методов, что и стандартные жесткие диски. Эти методы включают в себя:

  • Развертывание из мультимедиа. Настройка зашифрованных жестких дисков происходит автоматически в процессе установки.
  • Развертываниеиз сети. Этот метод развертывания включает загрузку среды Windows pe и использование средств визуализации для применения Windows изображения из сетевой доли. С помощью этого метода дополнительный служба хранилища дополнительный компонент должен быть включен в Windows PE. Этот компонент можно включить с помощью диспетчера сервера, Windows PowerShell или средства командной строки DISM. Если этого компонента нет, конфигурация зашифрованных жестких дисков не будет работать.
  • Развертывание с сервера. Этот метод развертывания включает загрузку PXE клиента с зашифрованными жесткими дисками. Конфигурация зашифрованных жестких дисков происходит автоматически в этой среде, когда компонент Enhanced служба хранилища добавляется в изображение загрузки PXE. Во время развертывания параметр TCGSecurityActivationDisabled в unattend.xml управляет поведением шифрования зашифрованных жестких дисков.
  • Дублированиедиска. Этот метод развертывания включает использование ранее настроенных средств дублирования устройств и дисков для применения Windows изображения к зашифрованному жесткому диску. Диски необходимо разделять, используя по крайней мере Windows 8 или Windows Server 2012 для работы этой конфигурации. Изображения, сделанные с помощью дубликатов дисков, не будут работать.

Настройка шифрования на основе оборудования с помощью групповой политики

Существует три связанных параметра групповой политики, которые помогают управлять использованием bitLocker аппаратного шифрования и алгоритмами шифрования. Если эти параметры не настроены или отключены в системах, оснащенных зашифрованными дисками, BitLocker использует шифрование на основе программного обеспечения:

Зашифрованная архитектура жесткого диска

Зашифрованные жесткие диски используют два ключа шифрования на устройстве для управления блокировкой и разблокировки данных на диске. Это ключ шифрования данных (DEK) и ключ проверки подлинности (AK).

Ключ шифрования данных — это ключ, используемый для шифрования всех данных на диске. Диск создает deK и никогда не покидает устройство. Он хранится в зашифрованном формате в случайном расположении на диске. Если deK изменен или стерт, данные, зашифрованные с помощью DEK, невозвратны.

Ключ проверки подлинности — это ключ, используемый для разблокировки данных на диске. Хаш ключа хранится на диске и требует подтверждения для расшифровки DEK.

Когда компьютер с зашифрованным жестким диском находится в отключенном состоянии, диск блокируется автоматически. Как компьютер работает, устройство остается в заблокированном состоянии и разблокировано только после расшифровки ключа проверки подлинности ключ шифрования данных. После расшифровки ключа проверки подлинности ключ шифрования данных на устройстве могут происходить операции с чтением.

При записи данных на диск он передается через механизм шифрования до завершения операции записи. Кроме того, для считывания данных с диска требуется, чтобы механизм шифрования расшифровыл данные перед передачей этих данных пользователю. В случае необходимости изменения или стирки deK данные на диске не должны повторно шифроваться. Необходимо создать новый ключ проверки подлинности, который будет повторно шифровать DEK. После завершения, DEK теперь можно разблокировать с помощью нового АК и читать-записи в том можно продолжить.

Перенастройка зашифрованных жестких дисков

Многие зашифрованные устройства жесткого диска предварительно настроены для использования. Если требуется перенастройка диска, используйте следующую процедуру после удаления всех доступных томов и возвращания диска в единое состояние:

Надежная защита жестких дисков

Шифрование всего содержимого жесткого диска помогает избежать проблем, которые в последнее время часто возникают в связи с утерями и кражами оборудования. Новой эту идею, конечно, не назовешь, однако последние разработки в данной области устраняют ряд сложностей, удерживавших ранее менеджеров ИТ от освоения данной технологии.

Примером может служить решение Safe Mobile Hard Drive with Encryption (что переводится как "безопасный мобильный жесткий диск с шифрованием") фирмы LaCie. Оно представляет собой внешний жесткий диск с интерфейсом USB, оснащенный аппаратными средствами шифрования по алгоритмам DES (стандарт шифрования данных) и TDES (тройной DES).

Благодаря технологии единого входа в систему пользователю Momentum FDE.2 достаточно помнить только имя и пароль.

По оценке представителей LaCie, около 95% пользователей готовы отдать предпочтение более стойкому шифрованию TDES. Его применение, правда, несколько снижает скорость работы системы, но ненамного. Если в обычном режиме пропускная способность диска составляет в среднем 25 Мб/с, то после включения TDES она снижается до 18-20 Мб/с.

Читайте так же:
Материнская плата asus hb1 plus

Однако решение LaCie ничем не может помочь в случае такой распространенной беды, как бесследное исчезновение ноутбука. Но здесь на помощь приходит другая разработка — фирма Seagate Technology предлагает полностью шифруемый 2,5-дюймовый жесткий диск под названием Momentus 5400 FDE.2.

Данные на жестком диске

Seagate Momentus надежно

зашифрованы по алгоритму AES

На плате дисковода установлены аппаратные средства 128-разрядного шифрования по алгоритму AES (усовершенствованный стандарт шифрования), которые нисколько не замедляют передачу данных по каналу SATA — она остается на том же уровне в 1,5 Гбит/с.

Стандарт AES используется сегодня в правительственных учреждениях. От своих предшественников DES и TDES он отличается повышенной скоростью и стойкостью шифрования. Применить его в своих безопасных дисках намерена и фирма LaCie, однако ее представителей тревожат возможные проблемы с экспортом технологии AES в другие страны.

Жесткий диск Momentus FDE.2 с интерфейсом Ultra ATA и пропускной способностью 100 Мб/с выпускается уже больше года, но на новых ноутбуках применяется редко, поскольку их производители отдают предпочтение дисководам SATA. В таком варианте этот дисковод должен появиться в I квартале 2007 г.

Защищенность информации во многом зависит от того, насколько последовательно реализуются все необходимые меры. Поэтому их техническое упрощение должно благотворно сказаться на соблюдении правил безопасности в масштабах всей компании. А биометрический сканер отпечатков пальцев, которым снабжен безопасный диск LaCie, не только надежно оберегает данные от несанкционированного доступа, но и очень удобен в работе.

Об удобстве позаботились и разработчики компании Seagate, создавая диск Momentum FDE.2. Благодаря реализованной здесь технологии единого входа в систему пользователю достаточно помнить только имя и пароль. Администратор при желании может дополнить парольную защиту аутентификацией либо по биометрическим параметрам, либо посредством микропроцессорной карточки. Если же пользователь забудет пароль, он сможет произвести сброс системы. Для этой цели служит файл экстренного восстановления, хранящийся на флэш-карте типа Thumb Drive или другом внешнем устройстве памяти.

Полное удаление данных с жесткого диска раньше было процессом довольно нудным и очень долгим. Когда же вся информация на диске зашифрована, безопасное перепрофилирование и утилизация устаревшей техники занимают не часы, а считанные секунды. Теперь достаточно удалить криптоключ, и диск можно не чистить — хранящимися в зашифрованном виде данными никто больше не сможет воспользоваться.

Решения с полным шифрованием данных, в том числе безопасный диск LaCie и дисковод Seagate Momentus FDE.2, пока стоят довольно дорого. Однако по мере наполнения этого рынка разница в цене между шифруемыми и нешифруемыми жесткими дисками должна постепенно уменьшаться.

В заключение посоветуем менеджерам ИТ сравнить эти технологии с технологией шифрования жестких дисков Windows BitLocker Drive Encryption, которую Microsoft обещает включить в свою новейшую операционную систему Windows Vista.

Шифрование диска

Шифрование диска — технология защиты информации, переводящая данные на диске в нечитаемый код, который нелегальный пользователь не сможет легко расшифровать. Для шифрования диска используется специальное программное или аппаратное обеспечение, которое шифрует каждый бит хранилища.

Выражение full disk encryption (FDE) обычно означает, что всё на диске находится в зашифрованном виде, в том числе и загрузочные системные разделы.

Содержание

Классификация [ править | править код ]

На рынке есть множество реализаций полного шифрования диска, они могут очень сильно различаться по возможностям и защищённости, их можно разделить на программные и аппаратные [1] . Аппаратные в свою очередь можно разделить на те, что реализованы в самом устройстве хранения, и другие, например, адаптер шины [2] .

Аппаратно реализованные системы полного шифрования внутри диска называются самошифрующимися (Self-Encrypted Drive — SED). В отличие от программно-реализованного FDE, SED более производительный [3] . Более того, ключ шифрования никогда не покидает устройства, а значит, недоступен вирусам в операционной системе [1] .

Для самошифрующихся дисков существует Trusted Computing Group(англ.) Opal Storage Specification (OPAL)(англ.), которая предоставляет принятые в отрасли стандарты.

Прозрачное шифрование [ править | править код ]

Прозрачное шифрование (Transparent encryption), также называемое шифрованием в реальном времени (real-time encryption) или шифрованием на лету (on-the-fly encryption) — это метод, использующий какое-нибудь программное обеспечение для шифрования диска [4] . Слово «прозрачный» означает, что данные автоматически зашифровываются или расшифровываются при чтении или записи, для чего обычно требуется работа с драйверами, для установки которых нужны специальные права доступа. Однако некоторые FDE после установки и настройки администратором позволяют обычным пользователям шифровать диски [5] .

Существует несколько способов организации прозрачного шифрования: шифрование разделов и шифрование на уровне файлов. Примером первого может быть шифрование всего диска, второго — шифрованная файловая система (EFS). В первом случае, вся файловая система на диске находится в зашифрованном виде (названия папок, файлов их содержимое и метаданные), и без корректного ключа нельзя получить доступ к данным. Во втором шифруются только данные выбранных файлов [4] .

Шифрование диска и шифрование на уровне файловой системы [ править | править код ]

Шифрование на уровне файловой системы (filesystem-level encryption — FLE (англ.)) — процесс шифрования каждого файла в хранилище. Доступ к зашифрованным данным можно получить только после успешной аутентификации. Некоторые операционные системы имеют собственные приложения для FLE, при этом доступно и множество реализаций от сторонних разработчиков. FLE прозрачно, это значит, что каждый, кто имеет доступ к файловой системе, может просматривать названия и метаданные зашифрованных файлов, которыми может воспользоваться злоумышленник [6] .

Читайте так же:
Затычка для разъема наушников

Шифрование на уровне файловой системы отличается от полного шифрования диска. FDE защищает данные до тех пор, пока пользователь не пройдёт загрузку, так что в случае утраты или кражи диска данные будут для злоумышленника недоступны, если же во время работы диск расшифрован и злоумышленник получил доступ к компьютеру, то он получает доступ ко всем файлам в хранилище. FLE же защищает до тех пор, пока пользователь не пройдёт аутентификацию для конкретного файла, при работе с одним файлом остальные всё так же зашифрованы, поэтому FLE может быть использован вместе с полным шифрованием для большей безопасности [7] .

Ещё одно важное отличие заключается в том, что FDE автоматически шифрует все данные на диске, в то время как FLE не защищает данные вне зашифрованных файлов и папок, поэтому временные и swap файлы могут содержать незашифрованную информацию [7] .

Шифрование диска и Trusted Platform Module [ править | править код ]

Trusted Platform Module (TPM) — это безопасный криптопроцессор, встроенный в материнскую плату, который может быть использован для аутентификации аппаратных устройств. Так же он может хранить большие двоичные данные, например, секретные ключи и связывать их с конфигурацией целевой системы, в результате чего они будут зашифрованы, и расшифровать их можно будет только на выбранном устройстве [8] .

Есть как FDE, использующие TPM, например, BitLocker, так и те, которые не поддерживают работу с ним, например TrueCrypt [9] .

Полное шифрование и главная загрузочная запись [ править | править код ]

При установке программно реализованного FDE на загрузочный диск операционной системы, которая использует главную загрузочную запись (англ.  master boot record, MBR ), FDE должен перенаправлять MBR на специальную предзагрузочную среду (англ.  pre-boot environment, PBE ), для осуществления предзагрузочной аутентификации (англ.  Pre-Boot Authentication, PBA ). Только после прохождения PBA будет расшифрован загрузочный сектор операционной системы. Некоторые реализации предоставляют возможность PBA по сети [10] .

Однако изменение процесса загрузки может привести к проблемам. Например, это может помешать осуществлению мультизагрузки или привести к конфликту с программами, которые обычно сохраняют свои данные в дисковое пространство, где, после установки FDE, будет расположена PBE. Так же это может помешать пробуждению по сигналу из локальной сети, так как перед загрузкой требуется PBA. Некоторые реализации FDE можно настроить так, чтобы они пропускали PBA, но это создаёт дополнительные уязвимости, которыми может воспользоваться злоумышленник. Данных проблем не возникает при использовании самошифрующихся дисков [11] . В свою очередь, это не означает преимущество самошифрующихся дисков над остальными накопителями. Для сохранения мультизагрузки операционных систем разных семейств, необязательно настраивать программный процесс шифрования до инсталляции операционной системы: полное шифрование диска с сохранением мультизагрузки возможно применить при уже установленных системах. [12]

Механизмы восстановления пароля/данных [ править | править код ]

Для систем шифрования дисков необходимы безопасные и надёжные механизмы восстановления данных. Реализация должна предоставлять простой и безопасный способ восстановления паролей (наиболее важную информацию) в случае, если пользователь его забудет.

Большинство реализаций предлагают решения на основе пароля пользователя. К примеру, если есть защищённый компьютер, то он может отправить пользователю, забывшему пароль, специальный код, который он потом использует для доступа к сайту восстановления данных. Сайт задаст пользователю секретный вопрос, на который пользователь ранее давал ответ, после чего ему будет выслан пароль или одноразовый код восстановления данных. Это также может быть реализовано обращением к службе поддержки [13] .

Другие подходы к восстановлению данных, как правило, сложнее. Некоторые FDE предоставляют возможность самому без обращения к службе поддержки восстановить данные. Например, используя смарт-карты или криптографические токены. Также есть реализации, поддерживающие локальный механизм восстановления данных «вопрос-ответ» [14] . Но такие подходы уменьшают защищённость данных, поэтому многие компании не разрешают использовать их. Утрата аутентификатора может привести к потере доступа к данным или к доступу злоумышленника к ним [15] .

Проблемы безопасности [ править | править код ]

Большинство программно реализованных систем полного шифрования уязвимы для атаки методом холодной перезагрузки, посредством которого ключи могут быть украдены [16] . Атака основана на том, что данные в оперативной памяти могут сохраняться до нескольких минут после выключения компьютера. Время сохранения можно увеличить охлаждением памяти [17] . Системы, использующие TPM, тоже неустойчивы к такой атаке, так как ключ, необходимый операционной системе для доступа к данным, хранится в оперативной памяти [18] .

Программные реализации также сложно защитить от аппаратных кейлогеров. Есть реализации, способные их обнаружить, но они аппаратно зависимы [19] .

голоса
Рейтинг статьи
Ссылка на основную публикацию
Adblock
detector