Meniul
AcasăFoto și video

Criptarea discului din mers: cum să protejați informațiile confidențiale. Criptare transparentă a folderelor de rețea în spațiul corporativ

  • Blogul companiei CyberSoft

    • Utilizarea pe scară largă a tehnologiilor de rețea (LAN, CAN, VPN) permite companiilor să organizeze un schimb rapid și convenabil de informații pe diferite distanțe. Cu toate acestea, protejarea informațiilor într-un mediu corporativ este o sarcină care rămâne relevantă până în zilele noastre și îngrijorează mintea managerilor întreprinderilor mici, mijlocii și mari dintr-o mare varietate de domenii de activitate. În plus, indiferent de dimensiunea companiei, conducerea aproape întotdeauna trebuie să diferențieze drepturile de acces ale angajaților la informațiile confidențiale în funcție de gradul de importanță.

    În acest articol vom vorbi despre criptare transparentă Ca una dintre cele mai comune metode de protejare a informațiilor într-un mediu corporativ, ne vom uita la principiile generale de criptare pentru mai mulți utilizatori (criptografie cu chei publice multiple) și, de asemenea, vom vorbi despre cum să configurați criptarea transparentă a folderelor de rețea folosind CyberSafe. Program de criptare a fișierelor.

    Care este avantajul criptării transparente?

    Utilizarea discurilor virtuale de criptare sau a funcției de criptare a discului complet este destul de justificată pe computerul local al utilizatorului, dar în spațiul corporativ o abordare mai adecvată este utilizarea criptare transparentă, deoarece această funcție oferă o muncă rapidă și convenabilă cu fișiere clasificate pentru mai mulți utilizatori simultan. La crearea și editarea fișierelor, procesele de criptare și decriptare au loc automat, „din mers”. Pentru a lucra cu documente protejate, angajații companiei nu trebuie să aibă abilități în domeniul criptografiei; nu trebuie să efectueze niciun pas suplimentar pentru a decripta sau a cripta fișierele secrete.

    Lucrul cu documente clasificate are loc ca de obicei folosind aplicații standard de sistem. Toate funcțiile pentru configurarea criptării și delimitarea drepturilor de acces pot fi atribuite unei singure persoane, de exemplu unui administrator de sistem.

    Criptografie cu chei publice multiple și plicuri digitale

    Criptarea transparentă funcționează după cum urmează. O cheie de sesiune simetrică generată aleatoriu este utilizată pentru a cripta fișierul, care, la rândul său, este protejat folosind cheia publică asimetrică a utilizatorului. Dacă un utilizator accesează un fișier pentru a-i face unele modificări, driverul de criptare transparent decriptează cheia simetrică folosind cheia privată a utilizatorului și apoi decriptează fișierul în sine folosind cheia simetrică. Am descris în detaliu cum funcționează criptarea transparentă.

    Dar dacă există mai mulți utilizatori și fișierele clasificate sunt stocate nu pe computerul local, ci într-un folder de pe un server la distanță? La urma urmei, fișierul criptat este același, dar fiecare utilizator are propria sa pereche de chei unică.

    În acest caz, așa-numitul plicuri digitale.

    După cum puteți vedea din figură, plicul digital conține un fișier criptat folosind o cheie simetrică generată aleatoriu, precum și mai multe copii ale acestei chei simetrice, protejate folosind cheile publice asimetrice ale fiecărui utilizator. Vor exista atâtea copii câte utilizatori au voie să acceseze folderul protejat.

    Driverul de criptare transparent funcționează după următoarea schemă: atunci când un utilizator accesează un fișier, verifică dacă certificatul acestuia (cheia publică) se află în lista celor permise. Dacă da, copia cheii simetrice care a fost criptată folosind cheia publică este decriptată folosind cheia privată a acestui utilizator. Dacă certificatul utilizatorului nu este listat, accesul va fi refuzat.

    Criptarea folderelor de rețea folosind CyberSafe

    Folosind CyberSafe, administratorul de sistem va putea configura criptarea transparentă a unui folder de rețea fără a utiliza protocoale suplimentare de protecție a datelor, cum ar fi IPSec sau WebDAV și, ulterior, va putea controla accesul utilizatorului la un anumit folder criptat.

    Pentru a configura o criptare transparentă, fiecare utilizator căruia i se va permite accesul la informații confidențiale trebuie să aibă CyberSafe instalat pe computer, trebuie creat un certificat personal, iar cheia publică trebuie publicată pe serverul de chei publice CyberSafe.

    Apoi, administratorul de sistem de pe serverul de la distanță creează un folder nou, îl adaugă la CyberSafe și atribuie chei acelor utilizatori care vor putea lucra cu fișierele din acest folder în viitor. Desigur, puteți crea câte foldere este necesar, puteți stoca în ele informații confidențiale de diferite grade de importanță, iar administratorul de sistem poate oricând să elimine un utilizator din cei care au acces la folder, sau să adauge unul nou.

    Să ne uităm la un exemplu simplu:

    Serverul de fișiere al întreprinderii ABC stochează 3 baze de date cu informații confidențiale de diferite grade de importanță - DSP, Secret și Top Secret. Este necesar să se ofere acces la: DB1 pentru utilizatorii Ivanov, Petrov, Nikiforov, DB2 pentru Petrov și Smirnov, DB3 pentru Smirnov și Ivanov.

    Pentru a face acest lucru, pe serverul de fișiere, care poate fi orice resursă de rețea, va trebui să creați trei foldere separate pentru fiecare bază de date și să atribuiți certificate (chei) ale utilizatorilor corespunzători acestor foldere:

    Desigur, aceasta sau o altă problemă similară cu diferențierea drepturilor de acces poate fi rezolvată folosind ACL-uri Windows. Dar această metodă poate fi eficientă numai atunci când delimitează drepturile de acces pe computerele angajaților din cadrul companiei. În sine, nu protejează informațiile confidențiale în cazul unei conexiuni terță parte la un server de fișiere, iar utilizarea criptografiei pentru a proteja datele este pur și simplu necesară.

    În plus, toate setările de securitate ale sistemului de fișiere pot fi resetate folosind linia de comandă. În Windows, există un instrument special pentru aceasta - „calcs”, care poate fi folosit pentru a vizualiza permisiunile pentru fișiere și foldere, precum și pentru a le reseta. În Windows 7, această comandă se numește „icacls” și se execută după cum urmează:

    1. În linia de comandă cu drepturi de administrator, introduceți: cmd
    2. Accesați discul sau partiția, de exemplu: CD /D D:
    3. Pentru a reseta toate permisiunile, introduceți: icacls * /T /Q /C /RESET

    Este posibil ca icacls să nu funcționeze prima dată. Apoi, înainte de pasul 2, trebuie să rulați următoarea comandă:
    După aceasta, permisiunile setate anterior pentru fișiere și foldere vor fi resetate.

    Puteți crea un sistem bazat pe criptodisc virtual și ACL(sunt scrise mai multe detalii despre un astfel de sistem atunci când se utilizează discuri criptografice în organizații.). Cu toate acestea, un astfel de sistem este, de asemenea, vulnerabil, deoarece pentru a asigura accesul constant al angajaților la datele de pe criptodisc, administratorul va trebui să îl mențină conectat (montat) pe toată durata zilei de lucru, ceea ce pune în pericol informațiile confidențiale de pe criptodisc chiar și fără a ști. parola acestuia, dacă un atacator se află în mijlocul conectării, se va putea conecta la server.

    De asemenea, unitățile de rețea cu criptare încorporată nu rezolvă problema, deoarece protejează datele doar atunci când nimeni nu lucrează cu ele. Adică, funcția de criptare încorporată poate proteja datele confidențiale de compromisuri numai dacă discul în sine este furat.

    În CyberSafe, criptarea/decriptarea fișierelor se efectuează nu pe serverul de fișiere, ci pe partea utilizatorului. Prin urmare, fișierele confidențiale sunt stocate pe server doar în formă criptată, ceea ce elimină posibilitatea ca acestea să fie compromise atunci când un atacator se conectează direct la serverul de fișiere. Toate fișierele de pe server, stocate într-un folder protejat cu criptare transparentă, sunt criptate și protejate în siguranță. În același timp, utilizatorii și aplicațiile le văd ca fișiere obișnuite: Notepad, Word, Excel, HTML etc. Aplicațiile pot citi și scrie direct aceste fișiere; faptul că sunt criptate este transparent pentru ei.

    Utilizatorii fără acces pot vedea și aceste fișiere, dar nu le pot citi sau modifica. Aceasta înseamnă că, dacă administratorul de sistem nu are acces la documentele dintr-unul dintre foldere, el poate încă să le facă copii de rezervă. Desigur, toate copiile de rezervă ale fișierelor sunt, de asemenea, criptate.

    Cu toate acestea, atunci când un utilizator deschide oricare dintre fișierele pentru lucru pe computerul său, există posibilitatea ca aplicațiile nedorite să aibă acces la el (dacă, desigur, computerul este infectat). Pentru a preveni acest lucru, CyberSafe are ca măsură suplimentară de securitate, datorită căreia administratorul de sistem poate defini o listă de programe care pot accesa fișierele dintr-un folder protejat. Toate celelalte aplicații care nu sunt incluse în lista de încredere nu vor avea acces. Acest lucru va limita accesul la informații confidențiale pentru spyware, rootkit-uri și alte programe malware.

    Deoarece toate lucrările cu fișiere criptate se desfășoară din partea utilizatorului, aceasta înseamnă că CyberSafe nu este instalat pe un server de fișiere și, atunci când lucrați într-un spațiu corporativ, programul poate fi utilizat pentru a proteja informațiile de pe dispozitivele de stocare în rețea cu fișierul NTFS. sistem, cum ar fi Windows Storage Server. Toate informațiile confidențiale sunt criptate într-un astfel de stocare, iar CyberSafe este instalat numai pe computerele utilizatorilor de pe care aceștia accesează fișiere criptate.

    Acesta este avantajul CyberSafe față de TrueCrypt și alte programe de criptare care necesită instalare într-un loc în care fișierele sunt stocate fizic, ceea ce înseamnă că doar un computer personal poate fi folosit ca server, dar nu și o unitate de rețea. Desigur, utilizarea stocării în rețea în companii și organizații este mult mai convenabilă și mai justificată decât utilizarea unui computer obișnuit.

    Astfel, cu ajutorul CyberSafe, fără instrumente suplimentare, puteți organiza o protecție eficientă a fișierelor valoroase, puteți asigura o muncă convenabilă cu foldere de rețea criptate și, de asemenea, puteți diferenția drepturile de acces ale utilizatorilor la informații confidențiale.

    02.04.2016, joi, ora 11:49, ora Moscovei, Text: Pavel Pritula

    Sistemele transparente de criptare a discurilor sunt un produs de înaltă tehnologie, cu cunoștințe intensive, a cărui dezvoltare și suport se află în capacitatea unui număr foarte limitat de companii. Dar își îndeplinesc funcția principală – reducerea riscului de scurgere a informațiilor confidențiale – bine.

    După cum se menționează în „Cum să gestionați riscul de scurgere de date critice”, companiile sunt forțate să reducă în mod constant riscul de scurgere de informații confidențiale. Cea mai simplă și relativ ieftină modalitate este de a folosi sisteme transparente de criptare. Principalul avantaj al criptării transparente este că utilizatorul nu necesită nicio participare la procese; toate se întâmplă în fundal din mers.

    Multe depind de setarea cerințelor pentru sistem

    La prima vedere, sistemele de criptare transparente de pe piață au multe în comun: la urma urmei, toate rezolvă aceeași problemă. Dar afacerile au întotdeauna propriile cerințe specifice. Mai jos este o listă cu cele mai relevante.

    Cerințe pentru sistemele de criptare transparente

    Descrierea cerințelor
    1 Puterea criptării Puterea protecției trebuie să fie astfel încât secretul să nu fie încălcat chiar dacă atacatorul devine conștient de metoda de criptare
    2 Fiabilitatea algoritmilor de criptare Algoritmul de criptare utilizat nu ar trebui să aibă puncte slabe care ar putea fi exploatate de criptoanalisti
    3 Utilizarea în siguranță a cheilor Cheia de criptare trebuie să fie inaccesibilă unui atacator. Nerespectarea principiilor utilizării în siguranță a cheilor de criptare poate pune în pericol securitatea informațiilor, chiar dacă sistemul va implementa cei mai siguri algoritmi
    4 „Transparența” criptării Criptarea ar trebui să aibă loc cât mai transparent posibil pentru utilizator - el nu observă procesul de criptare și decriptare a datelor în timpul funcționării
    5 Toleranță de eroare Sistemul trebuie să fie cât mai rezistent posibil la erori aleatorii și acțiuni incorecte ale utilizatorului.
    6 Autentificare cu mai mulți factori Verificarea drepturilor utilizatorilor de a accesa datele protejate ar trebui implementată pe baza instrumentelor de autentificare cu mai mulți factori
    7 Funcționalități suplimentare pentru lucrul în situații de urgență În situații de urgență, atunci când se știe despre o încercare de a accesa fizic sau de a încerca să confisca echipamentele serverului, abilitatea de a întrerupe urgent accesul la date devine un instrument de protecție extrem de util.
    8 Protecție împotriva persoanelor din interior Toți utilizatorii de sistem, inclusiv administratorii de sistem și personalul tehnic, trebuie să aibă acces la sistemul de fișiere fizic numai în limitele autorității lor, așa cum este specificat în politicile de securitate a informațiilor ale companiei.

    Primele două puncte, referitoare la fiabilitatea și puterea algoritmilor de criptare, impun furnizorilor de servicii de criptare să îndeplinească cerințele de reglementare pentru produsele lor. În Federația Rusă, aceasta este utilizarea GOST 28147-89 cu o lungime a cheii de 256 de biți în soluții de la furnizorii cripto licențiați de FSB al Rusiei.

    Cum să te protejezi de administratorul de sistem?

    Atacatorii interesați de date private se pot afla și în interiorul companiei. O amenințare serioasă de la care criptografie nu poate salva este reprezentată de specialiștii tehnici și administratorii de sistem ai companiei. Dar, în același timp, datorită atribuțiilor lor, aceștia sunt obligați să monitorizeze performanța sistemelor care asigură securitatea pe fiecare computer.

    În actuala situație economică dificilă, un număr de angajați, inclusiv administratori de sistem, au dorința de a copia informații corporative pentru a le vinde pe piața neagră sau ca un avantaj suplimentar față de candidații concurenți atunci când aplică pentru un nou loc de muncă. Acest lucru încordează relația dintre conducere și personalul companiei.

    Aceasta înseamnă că sistemul de criptare transparent selectat trebuie să aibă pur și simplu mecanisme care implementează un set de cerințe de protecție de la administratorul de sistem, care și-a găsit locul în lista de cerințe pentru soluție.

    Sistemul de fișiere virtual este o componentă importantă de securitate

    Deci, care este mecanismul de bază din spatele celor mai bune sisteme de criptare transparente din clasă, care pot îndeplini multe dintre cerințele prezentate mai sus? În practică, este exprimat printr-o formulă simplă: fișierul este disponibil proprietarului informațiilor în formă decriptată și pentru toți ceilalți - numai în formă criptată, fără acces la chei. Experții numesc această funcționalitate „acces simultan”.

    „Dar dacă computerul utilizatorului are instalat Windows, care a devenit practic un standard corporativ în Federația Rusă, atunci obținerea „accesului simultan” nu este o sarcină ușoară. Acest lucru se datorează efectului de coerență Windows: un fișier din el poate avea copiile sale, pe lângă sistemul de fișiere, în managerul de memorie sau cache. Prin urmare, trebuie să rezolvăm problema „existenței simultane” a fișierelor”, spune Ilya Shchavinsky, manager de dezvoltare a afacerii la Aladdin R.D. Și problema este rezolvată într-un mod original, folosind munca comună a unui „sistem de fișiere virtual” (VFS) și a unui filtru de driver de sistem de fișiere, a cărui diagramă de funcționare este prezentată mai jos.

    Sistem de fișiere virtual


    Sursa: „Aladdin R.D.”, 2016

    După cum puteți vedea din diagramă, managerul de cache „crede” că funcționează cu două fișiere diferite. În acest scop, VFS formează o structură suplimentară de perechi de descriptori de fișiere. Un driver special de sistem de fișiere asigură actualizarea constantă a fișierului criptat în sistemul de fișiere real, în urma modificărilor copiei sale necriptate în VFS. Astfel, datele de pe disc sunt întotdeauna criptate.

    Pentru a restricționa accesul la fișiere, driverul sistemului de fișiere încarcă cheile de criptare în RAM atunci când accesează resursele protejate. Informațiile cheie în sine sunt protejate de perechea de chei a certificatului utilizatorului și sunt stocate într-o facilitate de cripto-stocare.

    Ca urmare, un utilizator autorizat vede un sistem de fișiere, unul virtual cu fișiere decriptate, în timp ce utilizatorii neautorizați vor vedea în același timp un sistem de fișiere fizic (real), în care numele și conținutul fișierelor sunt criptate.

    Administratorii de sistem și alți specialiști tehnici care nu au nicio modalitate de a obține chei de criptare decriptate vor lucra cu un sistem de fișiere real, criptat în siguranță. În același timp, își păstrează posibilitatea de a-și îndeplini corect sarcinile oficiale, de exemplu, de a crea copii de rezervă ale informațiilor criptate fără a încălca confidențialitatea informațiilor în sine. Acest lucru va îndeplini cerința importantă de a proteja informațiile de persoane din interior.

    Fără autentificarea cu mai mulți factori, riscurile nu pot fi reduse

    Pentru autentificarea multifactorială a utilizatorilor, un token sau un card inteligent este de obicei folosit pentru a porni sistemul de operare și pentru a accesa date criptate - un dispozitiv care stochează certificatul cheii publice ale utilizatorului și cheia privată corespunzătoare.

    Un sistem centralizat de gestionare și stocare a cheilor de criptare protejează împotriva pierderii acestor chei - ele sunt situate pe un server securizat și sunt transferate utilizatorului doar după cum este necesar. De asemenea, compania controlează accesul angajaților la datele lor și le poate refuza oricând. În plus, este posibil să monitorizați evenimentele de acces la datele protejate, precum și să activați modul de criptare pentru toate datele trimise pe unități flash etc.

    Compoziția unui sistem de criptare transparent tipic


    ) permite companiilor să organizeze un schimb rapid și convenabil de informații la diferite distanțe. Cu toate acestea, protejarea informațiilor într-un mediu corporativ este o sarcină care rămâne relevantă până în zilele noastre și îngrijorează mintea managerilor întreprinderilor mici, mijlocii și mari dintr-o mare varietate de domenii de activitate. În plus, indiferent de dimensiunea companiei, conducerea aproape întotdeauna trebuie să diferențieze drepturile de acces ale angajaților la informațiile confidențiale în funcție de gradul de importanță.

    În acest articol vom vorbi despre criptare transparentă Ca una dintre cele mai comune metode de protejare a informațiilor într-un mediu corporativ, ne vom uita la principiile generale de criptare pentru mai mulți utilizatori (criptografie cu chei publice multiple) și, de asemenea, vom vorbi despre cum să configurați criptarea transparentă a folderelor de rețea folosind CyberSafe. Program de criptare a fișierelor.

    Care este avantajul criptării transparente?

    Utilizarea discurilor virtuale de criptare sau a funcției de criptare a discului complet este destul de justificată pe computerul local al utilizatorului, dar în spațiul corporativ o abordare mai adecvată este utilizarea criptare transparentă, deoarece această funcție oferă o muncă rapidă și convenabilă cu fișiere clasificate pentru mai mulți utilizatori simultan. La crearea și editarea fișierelor, procesele de criptare și decriptare au loc automat, „din mers”. Pentru a lucra cu documente protejate, angajații companiei nu trebuie să aibă abilități în domeniul criptografiei; nu trebuie să efectueze niciun pas suplimentar pentru a decripta sau a cripta fișierele secrete.

    Lucrul cu documente clasificate are loc ca de obicei folosind aplicații standard de sistem. Toate funcțiile pentru configurarea criptării și delimitarea drepturilor de acces pot fi atribuite unei singure persoane, de exemplu unui administrator de sistem.

    Criptografie cu chei publice multiple și plicuri digitale

    Criptarea transparentă funcționează după cum urmează. O cheie de sesiune simetrică generată aleatoriu este utilizată pentru a cripta fișierul, care, la rândul său, este protejat folosind cheia publică asimetrică a utilizatorului. Dacă un utilizator accesează un fișier pentru a-i face unele modificări, driverul de criptare transparent decriptează cheia simetrică folosind cheia privată a utilizatorului și apoi decriptează fișierul în sine folosind cheia simetrică. Am descris în detaliu cum funcționează criptarea transparentă în subiectul anterior.

    Dar dacă există mai mulți utilizatori și fișierele clasificate sunt stocate nu pe computerul local, ci într-un folder de pe un server la distanță? La urma urmei, fișierul criptat este același, dar fiecare utilizator are propria sa pereche de chei unică.

    În acest caz, așa-numitul plicuri digitale.


    După cum puteți vedea din figură, plicul digital conține un fișier criptat folosind o cheie simetrică generată aleatoriu, precum și mai multe copii ale acestei chei simetrice, protejate folosind cheile publice asimetrice ale fiecărui utilizator. Vor exista atâtea copii câte utilizatori au voie să acceseze folderul protejat.

    Driverul de criptare transparent funcționează după următoarea schemă: atunci când un utilizator accesează un fișier, verifică dacă certificatul acestuia (cheia publică) se află în lista celor permise. Dacă da, copia cheii simetrice care a fost criptată folosind cheia publică este decriptată folosind cheia privată a acestui utilizator. Dacă certificatul utilizatorului nu este listat, accesul va fi refuzat.

    Criptarea folderelor de rețea folosind CyberSafe

    Folosind CyberSafe, administratorul de sistem va putea configura criptarea transparentă a unui folder de rețea fără a utiliza protocoale suplimentare de protecție a datelor, cum ar fi IPSec sau WebDAV și, ulterior, va putea controla accesul utilizatorului la un anumit folder criptat.

    Pentru a configura o criptare transparentă, fiecare utilizator căruia i se va permite accesul la informații confidențiale trebuie să aibă CyberSafe instalat pe computer, trebuie creat un certificat personal, iar cheia publică trebuie publicată pe serverul de chei publice CyberSafe.

    Apoi, administratorul de sistem de pe serverul de la distanță creează un folder nou, îl adaugă la CyberSafe și atribuie chei acelor utilizatori care vor putea lucra cu fișierele din acest folder în viitor. Desigur, puteți crea câte foldere este necesar, puteți stoca în ele informații confidențiale de diferite grade de importanță, iar administratorul de sistem poate oricând să elimine un utilizator din cei care au acces la folder, sau să adauge unul nou.

    Să ne uităm la un exemplu simplu:

    Serverul de fișiere al întreprinderii ABC stochează 3 baze de date cu informații confidențiale de diferite grade de importanță - DSP, Secret și Top Secret. Este necesar să se ofere acces la: DB1 pentru utilizatorii Ivanov, Petrov, Nikiforov, DB2 pentru Petrov și Smirnov, DB3 pentru Smirnov și Ivanov.

    Pentru a face acest lucru, pe serverul de fișiere, care poate fi orice resursă de rețea, va trebui să creați trei foldere separate pentru fiecare bază de date și să atribuiți certificate (chei) ale utilizatorilor corespunzători acestor foldere:



    Desigur, aceasta sau o altă problemă similară cu diferențierea drepturilor de acces poate fi rezolvată folosind ACL-uri Windows. Dar această metodă poate fi eficientă numai atunci când delimitează drepturile de acces pe computerele angajaților din cadrul companiei. În sine, nu protejează informațiile confidențiale în cazul unei conexiuni terță parte la un server de fișiere, iar utilizarea criptografiei pentru a proteja datele este pur și simplu necesară.

    În plus, toate setările de securitate ale sistemului de fișiere pot fi resetate folosind linia de comandă. În Windows, există un instrument special pentru aceasta - „calcs”, care poate fi folosit pentru a vizualiza permisiunile pentru fișiere și foldere, precum și pentru a le reseta. În Windows 7, această comandă se numește „icacls” și se execută după cum urmează:

    1. În linia de comandă cu drepturi de administrator, introduceți: cmd
    2. Accesați discul sau partiția, de exemplu: CD /D D:
    3. Pentru a reseta toate permisiunile, introduceți: icacls * /T /Q /C /RESET

    Este posibil ca icacls să nu funcționeze prima dată. Apoi, înainte de pasul 2, trebuie să rulați următoarea comandă:

    După aceasta, permisiunile setate anterior pentru fișiere și foldere vor fi resetate.

    Puteți crea un sistem bazat pe criptodisc virtual și ACL(sunt scrise mai multe detalii despre un astfel de sistem atunci când se utilizează discuri criptografice în organizații.). Cu toate acestea, un astfel de sistem este, de asemenea, vulnerabil, deoarece pentru a asigura accesul constant al angajaților la datele de pe criptodisc, administratorul va trebui să îl mențină conectat (montat) pe toată durata zilei de lucru, ceea ce pune în pericol informațiile confidențiale de pe criptodisc chiar și fără a ști. parola acestuia, dacă un atacator se află în mijlocul conectării, se va putea conecta la server.

    De asemenea, unitățile de rețea cu criptare încorporată nu rezolvă problema, deoarece protejează datele doar atunci când nimeni nu lucrează cu ele. Adică, funcția de criptare încorporată poate proteja datele confidențiale de compromisuri numai dacă discul în sine este furat.

    ) permite companiilor să organizeze un schimb rapid și convenabil de informații la diferite distanțe. Cu toate acestea, protejarea informațiilor într-un mediu corporativ este o sarcină care rămâne relevantă până în zilele noastre și îngrijorează mintea managerilor întreprinderilor mici, mijlocii și mari dintr-o mare varietate de domenii de activitate. În plus, indiferent de dimensiunea companiei, conducerea aproape întotdeauna trebuie să diferențieze drepturile de acces ale angajaților la informațiile confidențiale în funcție de gradul de importanță.

    În acest articol vom vorbi despre criptare transparentă Ca una dintre cele mai comune metode de protejare a informațiilor într-un mediu corporativ, ne vom uita la principiile generale de criptare pentru mai mulți utilizatori (criptografie cu mai multe chei publice) și, de asemenea, vom vorbi despre cum să configurați criptarea transparentă a folderelor de rețea folosind program.

    Care este avantajul criptării transparente?

    Utilizarea discurilor virtuale de criptare sau a funcției de criptare a discului complet este destul de justificată pe computerul local al utilizatorului, dar în spațiul corporativ o abordare mai adecvată este utilizarea criptare transparentă, deoarece această funcție oferă o muncă rapidă și convenabilă cu fișiere clasificate pentru mai mulți utilizatori simultan. La crearea și editarea fișierelor, procesele de criptare și decriptare au loc automat, „din mers”. Pentru a lucra cu documente protejate, angajații companiei nu trebuie să aibă abilități în domeniul criptografiei; nu trebuie să efectueze niciun pas suplimentar pentru a decripta sau a cripta fișierele secrete.

    Lucrul cu documente clasificate are loc ca de obicei folosind aplicații standard de sistem. Toate funcțiile pentru configurarea criptării și delimitarea drepturilor de acces pot fi atribuite unei singure persoane, de exemplu unui administrator de sistem.

    Criptografie cu chei publice multiple și plicuri digitale

    Criptarea transparentă funcționează după cum urmează. O cheie de sesiune simetrică generată aleatoriu este utilizată pentru a cripta fișierul, care, la rândul său, este protejat folosind cheia publică asimetrică a utilizatorului. Dacă un utilizator accesează un fișier pentru a-i face unele modificări, driverul de criptare transparent decriptează cheia simetrică folosind cheia privată a utilizatorului și apoi decriptează fișierul în sine folosind cheia simetrică. Am descris în detaliu cum funcționează criptarea transparentă.

    Dar dacă există mai mulți utilizatori și fișierele clasificate sunt stocate nu pe computerul local, ci într-un folder de pe un server la distanță? La urma urmei, fișierul criptat este același, dar fiecare utilizator are propria sa pereche de chei unică.

    În acest caz, așa-numitul plicuri digitale.

    După cum puteți vedea din figură, plicul digital conține un fișier criptat folosind o cheie simetrică generată aleatoriu, precum și mai multe copii ale acestei chei simetrice, protejate folosind cheile publice asimetrice ale fiecărui utilizator. Vor exista atâtea copii câte utilizatori au voie să acceseze folderul protejat.

    Driverul de criptare transparent funcționează după următoarea schemă: atunci când un utilizator accesează un fișier, verifică dacă certificatul acestuia (cheia publică) se află în lista celor permise. Dacă da, copia cheii simetrice care a fost criptată folosind cheia publică este decriptată folosind cheia privată a acestui utilizator. Dacă certificatul utilizatorului nu este listat, accesul va fi refuzat.

    Criptarea folderelor de rețea folosind CyberSafe

    Folosind CyberSafe, administratorul de sistem va putea configura criptarea transparentă a unui folder de rețea fără a utiliza protocoale suplimentare de protecție a datelor, cum ar fi sau gestionarea suplimentară a accesului utilizatorului la un anumit folder criptat.

    Pentru a configura o criptare transparentă, fiecare utilizator căruia i se va permite accesul la informații confidențiale trebuie să aibă CyberSafe instalat pe computer, trebuie creat un certificat personal, iar cheia publică trebuie publicată pe serverul de chei publice CyberSafe.

    Apoi, administratorul de sistem de pe serverul de la distanță creează un folder nou, îl adaugă la CyberSafe și atribuie chei acelor utilizatori care vor putea lucra cu fișierele din acest folder în viitor. Desigur, puteți crea câte foldere este necesar, puteți stoca în ele informații confidențiale de diferite grade de importanță, iar administratorul de sistem poate oricând să elimine un utilizator din cei care au acces la folder, sau să adauge unul nou.

    Să ne uităm la un exemplu simplu:

    Serverul de fișiere al întreprinderii ABC stochează 3 baze de date cu informații confidențiale de diferite grade de importanță - DSP, Secret și Top Secret. Este necesar să se ofere acces la: DB1 pentru utilizatorii Ivanov, Petrov, Nikiforov, DB2 pentru Petrov și Smirnov, DB3 pentru Smirnov și Ivanov.

    Pentru a face acest lucru, pe serverul de fișiere, care poate fi orice resursă de rețea, va trebui să creați trei foldere separate pentru fiecare bază de date și să atribuiți certificate (chei) ale utilizatorilor corespunzători acestor foldere:

    Desigur, aceasta sau o altă problemă similară cu diferențierea drepturilor de acces poate fi rezolvată folosind Windows. Dar această metodă poate fi eficientă numai atunci când delimitează drepturile de acces pe computerele angajaților din cadrul companiei. În sine, nu protejează informațiile confidențiale în cazul unei conexiuni terță parte la un server de fișiere, iar utilizarea criptografiei pentru a proteja datele este pur și simplu necesară.

    În plus, toate setările de securitate ale sistemului de fișiere pot fi resetate folosind linia de comandă. În Windows, există un instrument special pentru aceasta - „calcs”, care poate fi folosit pentru a vizualiza permisiunile pentru fișiere și foldere, precum și pentru a le reseta. În Windows 7, această comandă se numește „icacls” și se execută după cum urmează:

    1. În linia de comandă cu drepturi de administrator, introduceți: cmd
    2. Accesați discul sau partiția, de exemplu: CD /D D:
    3. Pentru a reseta toate permisiunile, introduceți: icacls * /T /Q /C /RESET


    Este posibil ca icacls să nu funcționeze prima dată. Apoi, înainte de pasul 2, trebuie să rulați următoarea comandă:

    După aceasta, permisiunile setate anterior pentru fișiere și foldere vor fi resetate.

    Puteți crea un sistem bazat pe criptodisc virtual și ACL(sunt scrise mai multe detalii despre un astfel de sistem atunci când se utilizează discuri criptografice în organizații.). Cu toate acestea, un astfel de sistem este, de asemenea, vulnerabil, deoarece pentru a asigura accesul constant al angajaților la datele de pe criptodisc, administratorul va trebui să îl mențină conectat (montat) pe toată durata zilei de lucru, ceea ce pune în pericol informațiile confidențiale de pe criptodisc chiar și fără a ști. parola acestuia, dacă un atacator se află în mijlocul conectării, se va putea conecta la server.

    De asemenea, unitățile de rețea cu criptare încorporată nu rezolvă problema, deoarece protejează datele doar atunci când nimeni nu lucrează cu ele. Adică, funcția de criptare încorporată poate proteja datele confidențiale de compromisuri numai dacă discul în sine este furat.

    Criptarea/decriptarea fișierelor nu se realizează pe serverul de fișiere, ci pe partea utilizatorului. Prin urmare, fișierele confidențiale sunt stocate pe server doar în formă criptată, ceea ce elimină posibilitatea ca acestea să fie compromise atunci când un atacator se conectează direct la serverul de fișiere. Toate fișierele de pe server, stocate într-un folder protejat cu criptare transparentă, sunt criptate și protejate în siguranță. În același timp, utilizatorii și aplicațiile le văd ca fișiere obișnuite: Notepad, Word, Excel, HTML etc. Aplicațiile pot citi și scrie direct aceste fișiere; faptul că sunt criptate este transparent pentru ei.

    Utilizatorii fără acces pot vedea și aceste fișiere, dar nu le pot citi sau modifica. Aceasta înseamnă că, dacă administratorul de sistem nu are acces la documentele dintr-unul dintre foldere, el poate încă să le facă copii de rezervă. Desigur, toate copiile de rezervă ale fișierelor sunt, de asemenea, criptate.

    Cu toate acestea, atunci când un utilizator deschide oricare dintre fișierele pentru lucru pe computerul său, există posibilitatea ca aplicațiile nedorite să aibă acces la el (dacă, desigur, computerul este infectat). Pentru a preveni acest lucru, CyberSafe are ca măsură suplimentară de securitate, datorită căreia administratorul de sistem poate defini o listă de programe care pot accesa fișierele dintr-un folder protejat. Toate celelalte aplicații care nu sunt incluse în lista de încredere nu vor avea acces. Acest lucru va limita accesul la informații confidențiale pentru spyware, rootkit-uri și alte programe malware.

    Deoarece toate lucrările cu fișiere criptate se desfășoară din partea utilizatorului, aceasta înseamnă că CyberSafe nu este instalat pe un server de fișiere și, atunci când lucrați într-un spațiu corporativ, programul poate fi utilizat pentru a proteja informațiile de pe dispozitivele de stocare în rețea cu fișierul NTFS. sistem, cum ar fi . Toate informațiile confidențiale sunt criptate într-un astfel de stocare, iar CyberSafe este instalat numai pe computerele utilizatorilor de pe care aceștia accesează fișiere criptate.

    Acesta este avantajul CyberSafe față de TrueCrypt și alte programe de criptare care necesită instalare într-un loc în care fișierele sunt stocate fizic, ceea ce înseamnă că doar un computer personal poate fi folosit ca server, dar nu și o unitate de rețea. Desigur, utilizarea stocării în rețea în companii și organizații este mult mai convenabilă și mai justificată decât utilizarea unui computer obișnuit.

    Astfel, cu ajutorul CyberSafe, fără instrumente suplimentare, puteți organiza o protecție eficientă a fișierelor valoroase, puteți asigura o muncă convenabilă cu foldere de rețea criptate și, de asemenea, puteți diferenția drepturile de acces ale utilizatorilor la informații confidențiale.

    Pentru a cripta discuri fizice și a crea discuri virtuale criptate. Cu toate acestea, o astfel de criptare nu este întotdeauna convenabilă.
    În primul rând, nu este întotdeauna posibilă criptarea unui întreg disc fizic. În al doilea rând, dacă utilizați discuri virtuale, fișierele container ocupă de obicei sute de megaocteți de spațiu pe disc și sunt foarte ușor de detectat de către un atacator. Da, există date, dar lenea umană învinge. În al treilea rând, folderul criptat poate crește constant, iar dimensiunea discului cripto este limitată de dimensiunea specificată atunci când a fost creat.
    Toată lumea vrea să lucreze cu fișierele în mod convenabil și, în același timp, fișierele sunt protejate în mod fiabil. Există un astfel de compromis - aceasta este o criptare transparentă a fișierelor, atunci când fișierele sunt criptate și decriptate „din mers” - în timp ce lucrați cu ele. Fișierele rămân criptate și lucrați cu ele ca și cu fișierele obișnuite. De exemplu, dacă ați criptat folderul C:\Documents și ați plasat documentele în el, atunci când deschideți un document din acest folder, pornește Word sau Excel și nici măcar nu bănuiesc că sunt criptate. Lucrezi cu fișiere criptate ca și cu cele obișnuite, fără să te gândești deloc la criptare, montare, discuri virtuale etc.
    Pe lângă ușurința în utilizare, criptarea transparentă are un alt avantaj semnificativ. De regulă, un număr mare de fișiere sunt stocate pe discuri virtuale criptate. Pentru a lucra chiar și cu unul dintre ele, trebuie să conectați întregul disc cripto. Ca rezultat, toate celelalte fișiere devin vulnerabile. Desigur, puteți crea multe discuri criptografice mici și puteți atribui fiecăruia o parolă separată, dar acest lucru nu este foarte convenabil.
    În cazul criptării transparente, puteți crea câte foldere criptate aveți nevoie și plasați diferite grupuri de fișiere în fiecare dintre ele - documente, fotografii personale etc. În acest caz, numai acele fișiere care sunt accesate sunt decriptate și nu toate fișierele de pe discul criptografic simultan.

    Avantajele și dezavantajele EFS

    În Windows (începând cu Windows 2000 și cu excepția edițiilor Home), sistemul de fișiere criptat - EFS (Encrypting File System) - este folosit în mod tradițional pentru a organiza criptarea transparentă.
    EFS este conceput pentru a împiedica un utilizator să acceseze fișierele (criptate) ale altui utilizator. De ce a fost necesar să se creeze EFS dacă NTFS acceptă drepturi de acces? Deși NTFS este un sistem de fișiere destul de sigur, de-a lungul timpului au apărut diverse utilitare (una dintre primele a fost NTFSDOS, care vă permite să citiți fișiere aflate pe o partiție NTFS dintr-un mediu DOS) care ignoră drepturile de acces NTFS. Era nevoie de protecție suplimentară. EFS trebuia să fie o astfel de protecție.
    În esență, EFS este un supliment pentru NTFS. EFS este convenabil deoarece este inclus în Windows și nu aveți nevoie de niciun software suplimentar pentru a cripta fișierele - tot ce aveți nevoie este deja în Windows. Nu sunt necesari pași preliminari pentru a începe criptarea fișierelor, deoarece prima dată când un fișier este criptat, un certificat de criptare și o cheie privată sunt generate automat pentru utilizator.
    Un alt avantaj al EFS este că atunci când mutați un fișier dintr-un folder criptat în oricare altul, acesta rămâne criptat, iar atunci când copiați un fișier într-un folder criptat, acesta este criptat automat. Nu este nevoie să efectuați pași suplimentari.
    Această abordare, desigur, este foarte convenabilă, iar utilizatorul pare să aibă un singur beneficiu de pe urma EFS. Dar asta nu este adevărat. Pe de o parte, în circumstanțe nefavorabile, utilizatorul poate pierde complet accesul la fișierele criptate. Acest lucru se poate întâmpla în următoarele cazuri:
    1. Probleme hardware, de exemplu, placa de bază este defectă, bootloader-ul este deteriorat, fișierele de sistem sunt deteriorate din cauza unei defecțiuni a hard diskului (sectoare defecte). Drept urmare, puteți conecta hard disk-ul la alt computer pentru a copia fișiere de pe acesta, dar dacă sunt criptate cu EFS, nu veți reuși.
    2. Sistemul a fost reinstalat. Windows poate fi reinstalat din mai multe motive. În acest caz, accesul la datele criptate se va pierde, desigur.
    3. Profilul utilizatorului a fost șters. Chiar dacă creați un utilizator cu același nume, i se va atribui un alt ID, iar datele nu vor fi tot decriptabile.
    4. Administratorul de sistem sau utilizatorul însuși reseta parola. După aceasta, accesul la datele EFS se va pierde și el.
    5. Transfer incorect al utilizatorului pe alt domeniu. Dacă transferul unui utilizator nu se face corect, acesta nu va putea accesa fișierele criptate.

    Când utilizatorii (în special începătorii) încep să folosească EFS, puțini oameni se gândesc la asta. Dar, pe de altă parte, există un software special (și va fi demonstrat mai târziu) care vă permite să accesați datele chiar dacă sistemul a fost reinstalat și unele chei s-au pierdut. Și nici măcar nu știu dacă acest fapt poate fi considerat un avantaj sau un dezavantaj - acest software vă permite să restabiliți accesul la date, dar, în același timp, poate fi folosit de un atacator pentru a obține acces neautorizat la fișierele criptate.
    S-ar părea că datele criptate folosind EFS sunt foarte sigure. La urma urmei, fișierele de pe disc sunt criptate folosind FEK (File Encryption Key), care este stocată în atributele fișierului. FEK-ul în sine este criptat cu cheia principală, care, la rândul său, este criptată cu cheile utilizatorilor de sistem care au acces la acest fișier. Cheile de utilizator sunt criptate cu hash-urile parolei acestor utilizatori, iar hash-urile parolei sunt, de asemenea, criptate cu SYSKEY.
    S-ar părea că un astfel de lanț de criptare ar trebui să ofere o protecție fiabilă a datelor, dar totul se reduce pur și simplu la o autentificare și o parolă. Odată ce utilizatorul resetează parola sau reinstalează sistemul, nu va mai fi posibil să obțină acces la datele criptate.
    Dezvoltatorii EFS au jucat în siguranță și au implementat agenți de recuperare (EFS Recovery Agent), adică utilizatori care pot decripta datele criptate de alți utilizatori. Cu toate acestea, utilizarea conceptului EFS RA nu este foarte convenabilă și chiar dificilă, mai ales pentru utilizatorii începători. Drept urmare, acești utilizatori foarte începători știu cum să cripteze fișierele folosind EFS, dar nu știu ce să facă într-o situație de urgență. Este bine că există un software special care poate ajuta în această situație, dar același software poate fi folosit și pentru accesul neautorizat la date, așa cum sa menționat deja.
    Dezavantajele EFS includ, de asemenea, incapacitatea de a furniza criptarea rețelei (dacă aveți nevoie de ea, trebuie să utilizați alte protocoale de criptare a datelor, cum ar fi IPSec) și lipsa suportului pentru alte sisteme de fișiere. Dacă copiați un fișier criptat într-un sistem de fișiere care nu acceptă criptarea, cum ar fi FAT/FAT32, fișierul va fi decriptat și poate fi vizualizat de oricine. Nu este nimic surprinzător în asta, EFS este doar un add-on peste NTFS.
    Se pare că EFS face mai mult rău decât bine. Dar, pentru a nu fi nefondat, voi da un exemplu de utilizare a programului Advanced EFS Data Recovery pentru a avea acces la date criptate. Scenariul va fi foarte simplu: mai întâi mă voi autentifica ca alt utilizator și voi încerca să accesez un fișier criptat pe care l-a criptat un alt utilizator. Apoi voi simula o situație reală în care certificatul utilizatorului care a criptat fișierul a fost șters (acest lucru s-ar putea întâmpla, de exemplu, în cazul reinstalării Windows). După cum veți vedea, programul va face față acestei situații fără probleme.

    Utilizarea Advanced EFS Data Recovery pentru a decripta fișierele criptate EFS

    Să vedem cum puteți decripta fișierele criptate cu EFS. Primul pas este să activați criptarea pentru unul dintre dosare. Pentru demonstrație, am creat în mod special un folder EFS-Crypted. Pentru a activa criptarea EFS pentru un folder, trebuie pur și simplu să activați atributul corespunzător în proprietățile acestuia (Fig. 1).

    Orez. 1. Activați criptarea pentru un folder

    Numele folderului criptat și toate fișierele plasate în acesta (care vor fi criptate automat) sunt afișate cu verde în Explorer. După cum se arată în Fig. 2, am adăugat un fișier text config.txt în folderul criptat, al cărui conținut vom încerca să vedem logându-ne ca alt utilizator. Pentru test, a fost creat un alt utilizator cu drepturi de administrator (astfel de drepturi sunt cerute de programul Advanced EFS Data Recovery (AEFSDR) al ElcomSoft), vezi Fig. 3.


    Orez. 2. Conținutul folderului criptat


    Orez. 3. Creat utilizator nou

    Desigur, dacă vă conectați ca alt utilizator și încercați să citiți fișierul config.txt, nimic nu va funcționa (Fig. 4).


    Orez. 4. Acces refuzat

    Dar nu contează - lansăm programul Advanced EFS Data Recovery și trecem direct în modul Expert (puteți folosi, desigur, vrăjitorul care se deschide la prima lansare (Fig. 5)), dar îmi place mai mult modul expert .


    Orez. 5. Expert la lansarea Advanced EFS Data Recovery


    Orez. 6. Modul expert Advanced EFS Data Recovery

    Deci, accesați fila Fișiere criptateși apăsați butonul Scanați fișierele criptate. În fig. 6 arată deja rezultatul scanării - singurul nostru fișier criptat C:\EFS-Crypted\config.txt a fost găsit. Selectați-l și faceți clic pe butonul Decriptați. Programul vă va solicita să selectați directorul în care doriți să decriptați fișierele (Fig. 7).


    Orez. 7. Selectați directorul în care fișierele vor fi decriptate

    Deoarece am o versiune de probă a programului, pentru a continua trebuie să dau clic Continua(Fig. 8). Fișierele decriptate sunt plasate în subdosarul AEFS_<имя_диска>_DECRIPTAT (Fig. 9). Vă rugăm să rețineți că fișierul nostru config.txt nu mai este evidențiat în verde și putem vizualiza conținutul acestuia (Fig. 10).


    Orez. 8. Faceți clic pe butonul Continua


    Orez. 9. Fișiere decriptate


    Orez. 10. Conținutul fișierului config.txt

    Acum să complicăm sarcina programului Recuperare avansată de date EFS, și anume, vom șterge certificatul personal. Conectați-vă ca utilizator care a creat folderul criptat și lansați consola mmc, selectați comanda de meniu Fișier, Adăugați sau Eliminați Snap-in. Apoi, selectați un snap-in Certificateși apăsați butonul Adăuga(Fig. 11). În fereastra care apare, selectați contul meu de utilizator(Fig. 12).


    Orez. 11. Adăugarea echipamentelor


    Orez. 12. Snap-in Manager de certificate

    Apoi, faceți clic pe butonul Bine iar în fereastra care apare, accesați Certificate, Personale, Certificate. Veți vedea certificatele create pentru utilizatorul curent (Fig. 13). În cazul meu, utilizatorul este sunat Test. Faceți clic dreapta pe certificatul său și selectați Șterge pentru a elimina certificatul. Veți vedea un avertisment că nu va mai fi posibilă decriptarea datelor criptate folosind acest certificat. Ei bine, vom verifica asta în curând.


    Orez. 13. Certificate personale


    Orez. 14. Avertizare la ștergerea unui certificat

    1. Închideți snap-in-ul și încercați să accesați fișierul criptat. Nimic nu va funcționa pentru tine, în ciuda faptului că ai criptat acest fișier. La urma urmei, certificatul a fost șters.
    2. Schimbați utilizatorul, rulați programul Advanced EFS Data Recovery. Încercați să decriptați fișierul așa cum este arătat mai devreme. În primul rând, programul va raporta că certificatul nu a fost găsit. Prin urmare, trebuie să mergeți la fila Fișiere legate de EFSși apăsați butonul Scanează după chei. După ceva timp, programul vă va spune că a găsit cheile, dar probabil nu toate (Fig. 15). Programul vă recomandă să scanați din nou cheile, dar de data aceasta cu opțiunea activată Scanați pe sectoare(Fig. 16), dar nu am făcut asta și am mers imediat la filă Fișiere criptate. Programul a găsit și decriptat cu succes fișierul. În fig. Figura 17 arată că am salvat deja fișierul decriptat pe desktop.


    Orez. 15. Căutați cheile


    Orez. 16. Fereastra de scanare


    Orez. 17. Fișierul este decriptat din nou

    Spre rușinea EFS sau spre meritul Advanced EFS Data Recovery, în ambele cazuri fișierul a fost decriptat. În același timp, după cum puteți vedea, nu aveam nevoie de cunoștințe sau abilități speciale. Tot ce trebuie să faceți este să lansați un program care va face toată munca pentru dvs. Puteți citi despre cum funcționează programul pe site-ul web al dezvoltatorilor (http://www.elcomsoft.ru/); nu vom discuta în detaliu principiul funcționării acestuia în acest articol, deoarece AEFSDR nu face obiectul articolului .
    Pentru a fi corect, trebuie spus că specialiștii pot configura sistemul astfel încât Advanced EFS Data Recovery să fie neputincios. Cu toate acestea, am acoperit cea mai frecventă utilizare a EFS pentru marea majoritate a utilizatorilor.

    Sistem de criptare transparent implementat în CyberSafe Top Secret

    Să vedem cum este implementată criptarea transparentă în CyberSafe. Pentru criptarea transparentă, este utilizat driverul Alfa Transparent File Encryptor (http://www.alfasp.com/products.html), care criptează fișierele folosind algoritmul AES-256 sau algoritmul GOST 28147-89 (când se utilizează Crypto-Pro ).
    Regula de criptare (mască de fișier, procese permise/interzise etc.), precum și cheia de criptare, sunt trimise șoferului. Cheia de criptare în sine este stocată în folderul ADS (Alternate Data Streams, eb.by/Z598) și criptată folosind OpenSSL (algoritm RSA) sau GOST R 34.10-2001 - pentru aceasta se folosesc certificate.
    Logica este următoarea: adăugați un folder, CyberSafe creează o cheie pentru driver, o criptează cu certificatele publice selectate (acestea trebuie să fie create sau importate în prealabil în CyberSafe). Când orice utilizator încearcă să acceseze un folder, CyberSafe deschide folderul ADS și citește cheia criptată. Dacă acest utilizator are cheia privată a certificatului (el poate avea unul sau mai multe certificate proprii) care a fost folosită pentru a cripta cheia, el poate deschide acest folder și poate citi fișierele. Trebuie remarcat faptul că driverul decriptează doar ceea ce este necesar și nu toate fișierele atunci când accesul la fișier este acordat. De exemplu, dacă utilizatorul deschide un document Word mare, atunci numai partea care este încărcată în prezent în editor este decriptată, iar restul este încărcat după cum este necesar. Dacă fișierul este mic, atunci este complet decriptat, dar fișierele rămase rămân criptate.
    Dacă folderul este un folder de rețea partajat, atunci fișierele din acesta rămân criptate; driverul client decriptează doar fișierul sau o parte a fișierului din memorie, deși acest lucru este valabil și pentru un folder local. La editarea unui fișier, driverul criptează modificările din memorie și le scrie în fișier. Cu alte cuvinte, chiar și atunci când un folder este activat (vă vom arăta mai târziu despre ce este vorba), datele de pe disc rămân întotdeauna criptate.

    Utilizarea CyberSafe Top Secret pentru a cripta în mod transparent fișierele și folderele

    Este timpul să ne uităm la utilizarea practică a CyberSafe Top Secret. Pentru a cripta un folder, accesați secțiunea program Criptare transparentă(fila Criptarea fișierelor), vezi fig. 18. Apoi, din Explorer, trageți folderele pe care doriți să le criptați în zona de lucru a programului. Puteți folosi și butonul Ext. pliant. Am adăugat un folder - C:\CS-Crypted.


    Orez. 18. Program CyberSafe Top Secret

    Faceți clic pe butonul aplica. În fereastra care apare (Fig. 19), faceți clic pe butonul da sau Da pentru tot x (dacă încercați să criptați mai multe foldere simultan). În continuare, veți vedea o fereastră pentru selectarea certificatelor, ale căror chei vor fi folosite pentru criptarea transparentă a folderului (Fig. 20). De regulă, certificatele sunt create imediat după instalarea programului. Dacă nu ați făcut acest lucru încă, va trebui să reveniți la secțiune Chei privateși apăsați butonul Crea.


    Orez. 19. Faceți clic pe Da


    Orez. 20. Selectarea certificatelor pentru criptare transparentă

    Următoarea întrebare din program este dacă trebuie să setați o cheie de administrator pentru acest folder (Fig. 21). Fără o cheie de administrator, nu veți putea face modificări în dosar, așa că faceți clic pe butonul da.


    Orez. 21. Apăsați din nou da

    După aceasta, veți reveni la fereastra principală a programului. Înainte de a începe să lucrați cu un folder criptat, trebuie să îl selectați și să faceți clic pe butonul Porniți. Programul va cere parola certificatului (Fig. 22) specificată pentru a cripta acest folder. După aceasta, lucrul cu un folder criptat nu va diferi de lucrul cu un folder obișnuit. În fereastra CyberSafe, folderul va fi marcat ca deschis și o pictogramă de blocare va apărea în stânga pictogramei folderului (Fig. 23).


    Orez. 22. Introduceți parola certificatului


    Orez. 23. Folder criptat conectat

    În Explorer, nici folderul criptat, nici fișierele criptate nu sunt marcate în niciun fel. În exterior, ele arată la fel ca și alte foldere și fișiere (spre deosebire de EFS, unde numele fișierelor/dosarelor criptate sunt evidențiate în verde), vezi fig. 24.


    Orez. 24. Folder criptat CS-Crypted în Explorer

    Trebuie remarcat faptul că puteți cripta un folder de rețea în același mod. În acest caz, programul CyberSafe ar trebui să fie localizat numai pe computerul utilizatorilor și nu pe serverul de fișiere. Toată criptarea este efectuată pe client și fișierele deja criptate sunt transferate pe server. Această decizie este mai mult decât justificată. În primul rând, datele deja criptate sunt transmise prin rețea. În al doilea rând, chiar dacă administratorul serverului dorește să acceseze fișierele, el nu va putea face nimic, deoarece numai utilizatorii ale căror certificate au fost specificate în timpul criptării pot decripta fișierele. Dar administratorul, dacă este necesar, poate face copii de rezervă ale fișierelor criptate.
    Când folderul criptat nu mai este necesar, trebuie să mergeți la programul CyberSafe, să selectați folderul și să faceți clic pe butonul Opriți. Este posibil ca această soluție să nu vi se pară la fel de convenabilă ca EFS - trebuie să apăsați butoanele pornit/oprit. Dar asta este doar la prima vedere. În primul rând, utilizatorul are o înțelegere clară că folderul este criptat și nu va uita de acest fapt atunci când reinstalează Windows. În al doilea rând, cu EFS, dacă trebuie să fii departe de computer, trebuie să te deconectezi, deoarece în timp ce ești departe, oricine poate merge la computer și să-ți acceseze fișierele. Tot ce va trebui să facă este să vă copieze fișierele pe un dispozitiv care nu acceptă criptare, cum ar fi o unitate flash FAT32. Apoi va putea vizualiza fișierele în afara computerului dvs. Cu CyberSafe, totul este puțin mai convenabil. Da, trebuie să faceți o acțiune suplimentară („închideți” folderul) și toate fișierele criptate vor deveni inaccesibile. Dar, pe de altă parte, nu va trebui să relansați toate programele și să deschideți toate documentele (inclusiv cele necriptate) - ca după ce vă conectați din nou.
    Cu toate acestea, fiecare produs are propriile sale caracteristici. CyberSafe nu face excepție. Să ne imaginăm că ați criptat folderul C:\CS-Crypted și ați plasat acolo fișierul report.txt. Când folderul este dezactivat, desigur, nu veți putea citi fișierul. Când folderul inclus, puteți accesa fișierul și, în consecință, îl puteți copia în orice alt folder necriptat. Dar după ce a copiat fișierul într-un folder necriptat, acesta continuă să-și trăiască propria viață. Pe de o parte, nu este la fel de convenabil ca în cazul EFS, pe de altă parte, cunoscând această caracteristică a programului, utilizatorul va fi mai disciplinat și își va stoca fișierele secrete doar în foldere criptate.

    Performanţă

    Acum să încercăm să aflăm care este mai rapid - EFS sau CyberSafe Top Secret. Toate testele sunt efectuate pe o mașină reală - fără mașini virtuale. Configurația laptopului este următoarea - Intel 1000M (1,8 GHz)/4 GB RAM/WD WD5000LPVT (500 GB, SATA-300, 5400 RPM, 8 MB buffer/Windows 7 64-bit). Mașina nu este foarte puternică, dar este ceea ce este.
    Testul va fi extrem de simplu. Vom copia fișierele în fiecare folder și vom vedea cât durează copierea. Următorul scenariu simplu ne va ajuta să ne dăm seama care instrument de criptare transparent este mai rapid:

    @echo off echo „Se copiază 5580 de fișiere în EFS-Crypted” echo %time% robocopy c:\Joomla c:\EFS-Crypted /E > log1 echo %time% echo „Se copiază 5580 de fișiere în CS-Crypted” echo %time% robocopy c:\Joomla c:\CS-Crypted /E > log2 echo %time%

    Nu este nevoie de un guru de programare pentru a-și da seama ce face acest script. Nu este un secret pentru nimeni că lucrăm adesea cu fișiere relativ mici, cu dimensiuni cuprinse între câteva zeci și câteva sute de kiloocteți. Acest script copiază Joomla! 3.3.6, care conține 5580 dintre aceste fișiere mici, mai întâi într-un folder criptat EFS și apoi într-un folder criptat CyberSoft. Să vedem cine va fi câștigătorul.
    Comanda robocopy este folosită pentru a copia recursiv fișiere, inclusiv cele goale (opțiunea /E), iar rezultatul său este redirecționat în mod deliberat către un fișier text (dacă se dorește, puteți vizualiza ce a fost copiat și ce nu) pentru a nu aglomera. ieșirea scriptului.
    Rezultatele celui de-al doilea test sunt prezentate în Fig. 25. După cum puteți vedea, EFS a finalizat această sarcină în 74 de secunde, iar CyberSoft în doar 32 de secunde. Având în vedere că în majoritatea cazurilor utilizatorii lucrează cu multe fișiere mici, CyberSafe va fi de peste două ori mai rapid decât EFS.


    Orez. 25. Rezultatele testelor

    Beneficiile CyberSafe Transparent Encryption

    Acum să rezumam puțin. Avantajele criptării transparente CyberSafe includ următoarele fapte:
    1. Când dezactivați un folder, fișierele pot fi copiate criptate oriunde, ceea ce vă permite să organizați criptarea în cloud.
    2. Driverul programului CyberSafe vă permite să lucrați într-o rețea, ceea ce face posibilă organizarea.
    3. Pentru a decripta un folder, nu trebuie doar să cunoașteți parola, ci trebuie să aveți certificatele corespunzătoare. Când utilizați Crypto-Pro, cheia poate fi transferată pe token.
    4. Aplicația CyberSafe acceptă setul de instrucțiuni AES-NI, care are un efect pozitiv asupra performanței programului (după cum demonstrează testele de mai sus).
    5. Vă puteți proteja de accesul neautorizat la cheile private folosind autentificarea cu doi factori.
    6. Suport pentru aplicații de încredere
    Ultimele două avantaje merită o atenție deosebită. Pentru a vă proteja de accesul la cheile private ale utilizatorului, puteți proteja programul CyberSafe în sine. Pentru a face acest lucru, executați comanda Instrumente, Setări(Fig. 26). În fereastra Setări, pe fila Autentificare puteți activa fie autentificarea prin parolă, fie autentificarea cu doi factori. Pentru detalii despre cum să faceți acest lucru, consultați manualul CyberSafe la pagina 119.


    Orez. 26. Protejarea programului CyberSafe în sine

    Pe fila Permis. aplicatii Puteți defini aplicații de încredere cărora li se permite să lucreze cu fișiere criptate. În mod implicit, toate aplicațiile sunt de încredere. Dar pentru o mai mare securitate, puteți seta aplicații cărora li se permite să lucreze cu fișiere criptate. În fig. 27 Am specificat MS Word și MS Excel ca aplicații de încredere. Dacă orice alt program încearcă să acceseze folderul criptat, i se va refuza accesul. Pentru mai multe informații, consultați articolul „Criptați în mod transparent fișierele pe computerul dvs. local utilizând CyberSafe Files Encryption” (http://site/company/cybersafe/blog/210458/). Adaugă etichete