Криптозащита данных на жестком диске

В современном мире большинство крупных организаций выделяют деньги на сохранность и безопасность коммерческих данных своей структуры. Такая поддержка зачастую требует немалых вложений. Однако, это не всегда оправдано. В большинстве случаев можно обойтись квалифицированным системным администратором, который поможет избежать потери или кражи конфиденциальной информации программными средствами. Для среднестатистического пользователя PC любая переписка посредством IM-пейджеров или электронной почты, важные рабочие документы либо другая личная информация может быть надёжно защищена собственными силами.

Жесткий диск. По статистике, основные секретные документы хранятся именно на жёстком диске. Поэтому необходимо предпринять меры по их шифрованию. В этом нам поможет Open Source продукт - TrueCrypt. Неоспоримое преимущество данного программного обеспечения - поддержка RAID и flash-носителей. В отличие от PGP Desktop и Secure Disk, это бесплатный и кроссплатформенный продукт c поддержкой многих языков. Скачать TrueCrypt и русскоязычную локализацию можно на сайте truecrypt.org. После установки следует создать том. В качестве тома может выступать криптоконтейнер (файл, при монтировании к которому создаётся отдельный логический диск) или целый файловый раздел. Что немаловажно, TrueCrypt позволяет создавать и скрытые тома. В этом случае зашифрованный раздел будет скрыт от иного лица. Обычно это помогает при вымогательстве пароля злоумышленником. Кстати, в качестве ключа доступа к тому может выступать как пароль, так и ключевой файл.

Один из плюсов TrueCrypt - это поддержка надёжных хэш-функций и всех современных алгоритмов шифрования: AES, Twofish, Serpent. Все три алгоритма очень надёжны, сейчас не существует даже теоретического способа взлома, кроме как метод полного перебора (Brute-force). Кроме всего прочего, есть возможность использования каскады алгоритмов (прим: связка AES-Twofish). В настройках можно указать время авторазмонтирования тома при простое PC. Также при отключении электропитания (или батареи в ноутбуке) данные надёжно сохранятся в зашифрованном томе. Кроме GUI, в TrueCrypt предусмотрены консольные команды - удобно для удаленной установки и настройки на Linux сервере.

ICQ. К сожалению, icq-протокол изначально не был спроектирован для шифрования передаваемой информации, в отличие от Jabber. Однако можно прибегнуть к альтернативным IM-клиентам, позволяющим безопасно вести разговор, не опасаясь за перехват данных. Одна из таких программ - Miranda IM. Основное её достоинство - это возможность расширения при помощи плагинов. Уже "из коробки" Miranda поддерживает множество протоколов: ICQ, IRC, Jabber, Yahoo, MSN и другие. Для шифрования передаваемых сообщений можно использовать плагин SecureIM. Принцип его работы заключается в передаче ключа собеседнику, что позволяет создать зашифрованный канал данных, таким образом, для его использования требуется, чтобы с обеих сторон был установлен SecureIM. Miranda удобна тем, что после установки, единожды настроив, её можно использовать на любом PC, т.к. она не делает записей в системном реестре, а с плагином SecureDB можно полностью защитить свой профиль (т.е. сохранённый пароль, контакт-лист и историю сообщений). Наконец, записав на flash-карту, её можно использовать в публичных местах, не опасаясь при этом за сохранность данных. В Линукс Miranda успешно эмулируется при помощи Wine. Клиент и плагины можно найти на сайте miranda-im.org.

Однако не всегда необходимо безопасно общаться в реальном времени, иногда приходится попросту скрывать свою переписку. В QIP и Miranda история сообщений хранится в той же директории, что и сама программа, поэтому достаточно перенести папку с программой на зашифрованный логический диск TrueCrypt. С ICQ 2002-2003 аналогично: история хранится в файле номер_icq.dat. С ICQ 5 и 6 немного труднее: придётся шифровать весь логический диск, т.к. история хранится в %AppData%\ICQLite\HistoryDB\номер_icq.

Mail. В основном, в деловой переписке используется электронная почта. И это неспроста: тысячи бесплатных mail-серверов, простота использования и возможность вложения файлов. Однако подмена отправителя и взлом электронной почты позволяет злоумышленнику прочитать и отредактировать письмо. В таких случаях на помощь приходит комплекс криптографического ПО вроде PGP или GnuPG (последнее распространяется под свободной лицензией GNU). Рассмотрим второй вариант, не требующий денежных вложений при той же надёжности. Основные реализации выпускаются под *nix, а под Windows именуется Gpg4Win (gpg4win.org). Принцип его работы построен на шифровании сообщений, используя ассиметричную пару ключей. Открытый ключ, генерируемый пользователем, может передаваться через сервера ключей. В комплект Gpg4win входят: само ядро, построенное на стандарте OpenPGP, менеджер ключей, плагин для MS Outlook, плагин для MS Explorer (позволяет шифровать отдельные файлы) и полноценная почтовая программа, поддерживающая GnuPG. Также имеется поддержка The Bat!. В полной версии присутствует руководство на английском и немецком языках. Кстати, стандарт OpenPGP использует все те же открытые алгоритмы: AES, Twofish. При шифровании файлов с помощью плагина для Explorer используется симметричный ключ и создаётся файл с расширением .gpg, который можно в дальнейшем декодировать. Для конфиденциальных переговоров удобным вариантом будет использование почтового клиента Mozilla Thunderbird (mozilla.com/thunderbird) вместе с плагином Enigmail (addons.mozilla.org). Совместно они создают безопасное средство, позволяющее шифровать и создавать цифровую подпись сообщениям. Последнее используется для гарантии целостности письма и адреса отправителя.

Принцип, по которому осуществляется передача сообщений, в первую очередь, заключается в передаче ключа собеседнику, затем можно шифровать само сообщение или добавить лишь цифровую подпись. Конечно, это доставляет некоторое неудобство, особенно когда у вас большой круг общения, но при деловой беседе с партнёром по бизнесу это будет очень кстати.

Защита информации уже давно практикуется во многих странах. Например, в США алгоритм AES принят как государственный стандарт защиты данных.

Максим ГУРСКИЙ aka [GuRik],
ICQ: 419-157

Версия для печатиВерсия для печати

Номер: 

11 за 2008 год

Рубрика: 

Защита информации
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!