Jak na šifrovací software

14.12.2009

Jak na šifrovací software Slovo šifrování nahání často běžným uživatelům hrůzu nebo alespoň vyvolává představy něčeho nesrozumitelného a složitého (má to tak asi být). Odborník jen tuší, že nastanou problémy. Zabránit zneužití dat neautorizovanými osobami je však v dnešním a budoucím světě nutností. Samotný proces šifrování pomocí nejnovějších algoritmů a současného hardware není nijak náročný. Největší problémy tkví v implementaci a provozu adekvátního šifrovacího řešení. Systém musí být navržen především s ohledem na počet uživatelů, množství šifrovaných dat, síťovou a komunikační infrastrukturu, požadavky na bezpečnost, způsoby autentizace a krizový management.

Pokud chce společnost využít služeb šifrovacích produktů, měla by nejprve zvážit, zda půjde cestou šifrování jednotlivých souborů a složek (FE - File Encryption),  a/nebo šifrování disků/partition (DE - Disk Encryption), jestli potřebuji centrální management, kde budou uloženy klíče a další citlivá data a databáze, zda využije i šifrování komunikačních linek apod. V dalším textu uvedu výhody a nevýhody dvou způsobů šifrování Disk Encryption a File (Folder) Encryption.

Hlavní rozdíl obou technik je v tom, že programy pro šifrování souborů pracují na úrovni file systému, zatímco šifrování disku probíhá na vrstvě diskových sektorů. Programy pro šifrování disku chrání celou partition nebo pevný disk – nemusíme se tedy starat o to, které soubory zabezpečíme nebo jestli jsme nezapomněli nějaký zašifrovat. Jsou zašifrované všechny. Tuto vlastnost oceníme zejména při krádeži notebooku nebo pevného disku. Útočník nemá šanci se dostat k systémovým či aplikačním logům, registrům, heslům a certifikátům uloženým v systému.

Většina produktů založených na DE (např. SafeNet ProtectDrive) funguje tak, že uživatel jednou disk zašifruje pomocí silného symetrického algoritmu (dnes převážně AES 256bit) a poté se pracuje se soubory úplně normálně s tím, že jsou online dešifrovány a při uložení na disk zase zašifrovány stejným klíčem. Pokud se data kopírují na nešifrované disky, posílají po síti nebo emailem, jsou v nezašifrované podobě, a je proto nutné provést další opatření jako VPN tunely na různých síťových vrstvách, šifrování výměnných médií, popř. šifrování e-mailové komunikace.

Naproti tomu FE (např. SafeNet ProtectFile) používá zvolené/vygenerované klíče nebo hesla k zašifrování jednotlivých souborů. K otevření zašifrovaného souboru je vždy potřeba mít klíč k dispozici. Klíč se může nacházet v paměti počítače, na disku nebo na bezpečném externím úložišti (tokenu nebo MSH zařízení).

 

Co se týká složitosti nasazení jednotlivých systémů, liší se produkt od produktu. Klientská instalace je většinou jednoduchá, různé jsou však možnosti administrace a uživatelská přívětivost. Důležitá je správa uživatelů a jejich šifrovacích klíčů. Výhoda FE je v tom, že uživatelská práva k souborům se dají přiřazovat variabilně. Programy pro šifrování disků většinou pracují s databází uživatelů autorizovaných k používání šifrovaného disku/operačního systému. U lepších produktů, které jsou určeny také pro nasazení ve větších podnicích, je standardem těsná spolupráce s adresářovými službami jako Active Directory. Při výběru by se měla zvážit i licenční politika (opensource, licence na počítač, hromadné licence, možnost trial verze,...).

Pro každodenní práci s počítačem je velmi podstatná otázka zpomalování systému. Pokud se pomocí FE šifrují velké objemy dat, bootování a práce se soubory se znatelně zpomalí. Systémy DE šifrují „on the fly“, proto dochází k poklesu výkonu počítače. Například u produktu SafeNet ProtectDrive je toto snížení o cca 2-4%, což běžný uživatel nepozná.

V nabídce šifrovacích programů se lze částečně orientovat podle získaných certifikátů (FIPS 140-2, Common Criteria EAL, ITSEC). Měli bychom se ale mít na pozoru před přílišnými nároky na bezpečnost. Čím větší bezpečnost, tím roste i riziko nouzových stavů, havárií systémů a neochoty uživatelů spolupracovat. Toto riziko roste samozřejmě i s neinformovaností a liknavostí při implementaci. Bezpečnostní produkty jsou také z těch, kde se vyplatí číst dokumentaci popř. zvolit konzultaci s odborníkem.

Aby bylo šifrování disku účinné (tj. aby se zašifrovaly i soubory OS), disponují DE programy tzv. pre-boot autentizací. Program změní Master Boot Record disku a před startem OS spustí obrazovku s přihlašovacími údaji. Po správném zadání jména/hesla nebo po dvoufaktorové autentizaci tokenem (čipovou kartou) se z přihlašovacích údajů vygeneruje klíč pro dešifrování hlavního šifrovacího klíče k disku. Tímto klíčem se dešifrují soubory operačního systému a poté i průběžně otvírané programy a soubory. Pokud neproběhne řádná autentizace, jakákoli data na disku nejsou přístupná, a to ani po vložení disku do jiného počítače, případně při bootování z CD.

Zajímavou možností, jak chránit citlivá data ve větších firmách nebo na úřadech, je využití šifrování výměnných disků. Produkty umožňují nastavit jednotlivým uživatelům čtecí/zapisovací práva pro jednotlivá média (CD, USB drive, disketa apod.), což zabrání únikům dat ze společnosti popř. omezí přísun škodlivých kódů zvenčí. Pokud jsou přenosná média nutností, dá se vynutit (např. v rámci podniku) používání pouze zašifrovaných médií. To znamená, že mezi zašifrovanými stanicemi se data budou moci bez problémů přenášet, ale pokud uživatel bude chtít použít stejnou USB flashku doma, nepůjde to.

Velmi důležitou součástí šifrovacího řešení, bez které je šifrovací program bezcenný, jsou možnosti obnovy systému při neobvyklých situacích (Recovery).

FE: Ztrátu dat může způsobit ztráta šifrovacích klíčů. Proto je užitečné šifrovací klíče zálohovat. Některé aplikace zálohu nabízejí coby rozšiřující modul k softwaru, někdy je nutné na ni myslet samostatně. Určitě zde doporučuji ukládání klíčů a hesel na osobní USB tokeny nebo v případě extrémně důležitých dat na HSM zařízení, které jsou pro tyto účely přímo navrhovány a zálohu řeší nezávisle na šifrovacím softwaru. Řešení SafeNet DataSecure ProtectFile nabízí centrální platformu pro management klíčů a uživatelů s tím, že klíče jsou uloženy mimo stanice ve specializovaném hardwaru.

DE: Zde je nedostupnost disku nebo ztráta dat způsobena buď zapomenutím přihlašovacích údajů/tokenu, nebo poškozením disku. V prvním případě může administrátor povolit nouzové přihlášení metodou dotaz-odpověď, v druhém případě je nutné pomocí certifikátů a dalších bezpečnostních souborů (ty by měl každý uživatel bezpečně uložit hned po instalaci) obnovit klíč k disku. Následně se dá například z prostředí DOSu disk nouzově dešifrovat.

Autentizace a šifrování

Správná autentizace (ověření proklamované totožnosti uživatele) je nedílnou součástí bezpečnosti IT systémů. Pokud se do systému dostane přes autentizační proces nepovolaná osoba, je nám veškeré šifrování k ničemu. Proto dnešní šifrovací programy podporují moderní metody autentizace (PKI, dvoufaktorové), které jsou na uživatelské straně zabezpečeny čipovými kartami a USB tokeny.

PKI (Public Key Infrastructure) je soubor entit, které v rámci firmy zajišťují přístupový a datový management pomocí digitálních certifikátů. Prakticky to znamená, že jsou zaměstnancům vydány certifikáty s příslušným oprávněním. Certifikát, resp. odpovídající asymetrický klíč se pak používá pro přihlášení do OS, šifrování, digitální podpis a k dalším účelům. Vzhledem k tomu, že certifikát je velmi důležitý identifikační prvek a jeho zneužití se přímo nabízí, je bezpečnější příslušné klíče generovat přímo (nebo alespoň uložit) na čipové kartě nebo USB tokenu, které používají vícefaktorovou autentizaci. Citlivá data jsou pak na tokenu chráněny PINem a volitelně také biometrickými údaji.

FE:  U těchto systémů je zpravidla možnost uložit šifrovací klíč do bezpečného úložiště (tokenu). Klíč pak není možné bez znalosti PINu použít. Privátní klíč nejde za žádných okolností z tokenu exportovat. Zároveň se dají tokeny využít k zálohování.

DE: Pokud šifrovací řešení podporuje PKI, příslušný certifikát na tokenu umožní přihlášení do OS v rámci pre-boot autentizace (viz výše). Dá se nastavit, zda se bude uživatel do pre-bootu hlásit pouze tokenem, pouze heslem nebo může mít obě možnosti. V nástroji SafeNet ProtectDrive lze navíc vygenerovat sdílený klíč, který je uložen na USB tokenu iKey 1000 (klíč je sdílen tokenem a šifrovacím programem), a ten se poté použije v rámci přihlášení do pre-boot obrazovky.

 

Na trhu existují lepší i horší, levnější i dražší šifrovací řešení a každá společnost i její administrátoři mají pochopitelně jiné požadavky. V tomto článku jsem se pokusil poukázat na kritéria, podle kterých se může daná organizace rozhodovat, než investuje čas a peníze. Zmínil jsem i téma autentizace, které je pro celkovou bezpečnost IT stěžejní. Zejména použití bezpečných úložišť klíčů a hesel (tokenů) stojí za uvážení.

Sekce: Články   |   Tisk   |   Poslat článek známému


RSS kanál  |  XML Sitemap  |  Mapa webu  |  Redakční systém WebRedakce - NETservis s.r.o. © 2024

Použití obsahu těchto webových stránek je podmíněno souhlasem společnosti ASKON International.