Thực đơn
trang chủẢnh và video

Mã hóa ổ đĩa nhanh chóng: cách bảo vệ thông tin bí mật. Mã hóa minh bạch các thư mục mạng trong không gian công ty

  • Blog công ty CyberSoft

    • Việc sử dụng rộng rãi các công nghệ mạng (LAN, CAN, VPN) cho phép các công ty tổ chức trao đổi thông tin nhanh chóng và thuận tiện trên nhiều khoảng cách khác nhau. Tuy nhiên, bảo vệ thông tin trong môi trường doanh nghiệp là một nhiệm vụ vẫn còn phù hợp cho đến ngày nay và khiến các nhà quản lý doanh nghiệp nhỏ, vừa và lớn trong nhiều lĩnh vực hoạt động khác nhau lo lắng. Ngoài ra, bất kể quy mô của công ty, ban quản lý hầu như luôn cần phân biệt quyền truy cập của nhân viên vào thông tin bí mật dựa trên mức độ quan trọng của nó.

    Trong bài viết này chúng ta sẽ nói về mã hóa minh bạch Là một trong những phương pháp bảo vệ thông tin phổ biến nhất trong môi trường doanh nghiệp, chúng tôi sẽ xem xét các nguyên tắc chung về mã hóa cho nhiều người dùng (mật mã nhiều khóa công khai), đồng thời nói về cách thiết lập mã hóa minh bạch các thư mục mạng bằng CyberSafe Chương trình mã hóa tập tin.

    Ưu điểm của mã hóa minh bạch là gì?

    Việc sử dụng đĩa mật mã ảo hoặc chức năng mã hóa toàn bộ đĩa khá hợp lý trên máy tính cục bộ của người dùng, nhưng trong không gian công ty, cách tiếp cận thích hợp hơn là sử dụng mã hóa minh bạch, vì chức năng này cung cấp công việc nhanh chóng và thuận tiện với các tệp được phân loại cho nhiều người dùng cùng một lúc. Khi tạo và chỉnh sửa tệp, các quá trình mã hóa và giải mã diễn ra tự động “nhanh chóng”. Để làm việc với các tài liệu được bảo vệ, nhân viên công ty không cần phải có bất kỳ kỹ năng nào trong lĩnh vực mật mã; họ không phải thực hiện bất kỳ bước bổ sung nào để giải mã hoặc mã hóa các tệp bí mật.

    Làm việc với các tài liệu mật diễn ra như bình thường bằng cách sử dụng các ứng dụng hệ thống tiêu chuẩn. Tất cả các chức năng thiết lập mã hóa và phân định quyền truy cập có thể được chỉ định cho một người, ví dụ như quản trị viên hệ thống.

    Nhiều mật mã khóa công khai và phong bì kỹ thuật số

    Mã hóa minh bạch hoạt động như sau. Khóa phiên đối xứng được tạo ngẫu nhiên được sử dụng để mã hóa tệp, do đó tệp này được bảo vệ bằng khóa bất đối xứng công khai của người dùng. Nếu người dùng truy cập vào một tệp để thực hiện một số thay đổi đối với tệp đó, trình điều khiển mã hóa trong suốt sẽ giải mã khóa đối xứng bằng khóa riêng của người dùng và sau đó giải mã chính tệp đó bằng khóa đối xứng. Chúng tôi đã mô tả chi tiết cách hoạt động của mã hóa minh bạch.

    Nhưng điều gì sẽ xảy ra nếu có một số người dùng và các tệp phân loại không được lưu trữ trên PC cục bộ mà trong một thư mục trên máy chủ từ xa? Xét cho cùng, tệp được mã hóa giống nhau nhưng mỗi người dùng có cặp khóa duy nhất của riêng mình.

    Trong trường hợp này, cái gọi là phong bì kỹ thuật số.

    Như bạn có thể thấy trong hình, phong bì kỹ thuật số chứa một tệp được mã hóa bằng khóa đối xứng được tạo ngẫu nhiên, cũng như một số bản sao của khóa đối xứng này, được bảo vệ bằng khóa bất đối xứng công khai của mỗi người dùng. Sẽ có bao nhiêu bản sao mà người dùng được phép truy cập vào thư mục được bảo vệ.

    Trình điều khiển mã hóa minh bạch hoạt động theo sơ đồ sau: khi người dùng truy cập một tệp, nó sẽ kiểm tra xem chứng chỉ (khóa chung) của nó có nằm trong danh sách được phép hay không. Nếu vậy, bản sao của khóa đối xứng đã được mã hóa bằng khóa chung của anh ấy sẽ được giải mã bằng khóa riêng của người dùng này. Nếu chứng chỉ của người dùng không được liệt kê, quyền truy cập sẽ bị từ chối.

    Mã hóa thư mục mạng bằng CyberSafe

    Khi sử dụng CyberSafe, quản trị viên hệ thống sẽ có thể định cấu hình mã hóa minh bạch cho thư mục mạng mà không cần sử dụng các giao thức bảo vệ dữ liệu bổ sung, chẳng hạn như IPSec hoặc WebDAV, sau đó kiểm soát quyền truy cập của người dùng vào một thư mục được mã hóa cụ thể.

    Để thiết lập mã hóa minh bạch, mỗi người dùng muốn được phép truy cập vào thông tin bí mật phải cài đặt CyberSafe trên máy tính của họ, phải tạo chứng chỉ cá nhân và khóa chung phải được xuất bản trên máy chủ khóa công khai CyberSafe.

    Tiếp theo, quản trị viên hệ thống trên máy chủ từ xa tạo một thư mục mới, thêm nó vào CyberSafe và gán khóa cho những người dùng có thể làm việc với các tệp trong thư mục này trong tương lai. Tất nhiên, bạn có thể tạo bao nhiêu thư mục theo yêu cầu, lưu trữ thông tin bí mật có mức độ quan trọng khác nhau trong đó và quản trị viên hệ thống có thể xóa người dùng khỏi những người có quyền truy cập vào thư mục bất cứ lúc nào hoặc thêm một người dùng mới.

    Hãy xem một ví dụ đơn giản:

    Máy chủ tệp của doanh nghiệp ABC lưu trữ 3 cơ sở dữ liệu với thông tin bí mật có mức độ quan trọng khác nhau - DSP, Bí mật và Bí mật hàng đầu. Cần cung cấp quyền truy cập vào: DB1 cho người dùng Ivanov, Petrov, Nikiforov, DB2 cho Petrov và Smirnov, DB3 cho Smirnov và Ivanov.

    Để thực hiện việc này, trên máy chủ tệp, có thể là bất kỳ tài nguyên mạng nào, bạn sẽ cần tạo ba thư mục riêng cho từng cơ sở dữ liệu và gán chứng chỉ (khóa) của người dùng tương ứng cho các thư mục này:

    Tất nhiên, vấn đề này hoặc vấn đề tương tự khác về việc phân biệt quyền truy cập có thể được giải quyết bằng cách sử dụng Windows ACL. Nhưng phương pháp này chỉ có thể phát huy tác dụng khi phân định quyền truy cập vào máy tính của nhân viên trong công ty. Bản thân nó không bảo vệ thông tin bí mật trong trường hợp bên thứ ba kết nối với máy chủ tệp và việc sử dụng mật mã để bảo vệ dữ liệu là cần thiết.

    Ngoài ra, tất cả các cài đặt bảo mật hệ thống tệp có thể được đặt lại bằng dòng lệnh. Trong Windows, có một công cụ đặc biệt dành cho việc này - "calcs", có thể được sử dụng để xem các quyền trên các tệp và thư mục cũng như để đặt lại chúng. Trong Windows 7, lệnh này được gọi là "icacls" và được thực thi như sau:

    1. Tại dòng lệnh với quyền quản trị viên, nhập: cmd
    2. Đi tới đĩa hoặc phân vùng, ví dụ: CD /D D:
    3. Để đặt lại tất cả các quyền, hãy nhập: icacls * /T /Q /C /RESET

    Có thể icacls sẽ không hoạt động trong lần đầu tiên. Sau đó, trước bước 2, bạn cần chạy lệnh sau:
    Sau đó, các quyền đã đặt trước đó trên các tệp và thư mục sẽ được đặt lại.

    Bạn có thể tạo một hệ thống dựa trên đĩa mã hóa ảo và ACL(sẽ có thêm thông tin chi tiết về hệ thống như vậy khi sử dụng đĩa mật mã trong các tổ chức.). Tuy nhiên, hệ thống như vậy cũng dễ bị tấn công, vì để đảm bảo nhân viên có quyền truy cập liên tục vào dữ liệu trên đĩa mật mã, quản trị viên sẽ cần giữ cho nó được kết nối (được gắn kết) trong suốt cả ngày làm việc, điều này gây nguy hiểm cho thông tin bí mật trên đĩa mật mã ngay cả khi không biết. mật khẩu của nó, nếu kẻ tấn công đang trong quá trình kết nối sẽ có thể kết nối với máy chủ.

    Ổ đĩa mạng có mã hóa tích hợp cũng không giải quyết được vấn đề vì chúng chỉ bảo vệ dữ liệu khi không có ai làm việc với nó. Nghĩa là, chức năng mã hóa tích hợp chỉ có thể bảo vệ dữ liệu bí mật khỏi bị xâm phạm nếu bản thân đĩa bị đánh cắp.

    Trong CyberSafe, việc mã hóa/giải mã tập tin không được thực hiện trên máy chủ tập tin mà về phía người dùng. Do đó, các tệp bí mật chỉ được lưu trữ trên máy chủ ở dạng mã hóa, giúp loại bỏ khả năng chúng bị xâm phạm khi kẻ tấn công kết nối trực tiếp với máy chủ tệp. Tất cả các tệp trên máy chủ, được lưu trữ trong một thư mục được bảo vệ bằng mã hóa minh bạch, đều được mã hóa và bảo vệ an toàn. Đồng thời, người dùng và ứng dụng xem chúng như các tệp thông thường: Notepad, Word, Excel, HTML, v.v. Ứng dụng có thể đọc và ghi trực tiếp các tệp này; thực tế là chúng được mã hóa là minh bạch đối với họ.

    Người dùng không có quyền truy cập cũng có thể xem các tệp này nhưng họ không thể đọc hoặc sửa đổi chúng. Điều này có nghĩa là nếu quản trị viên hệ thống không có quyền truy cập vào tài liệu ở một trong các thư mục, anh ta vẫn có thể sao lưu chúng. Tất nhiên, tất cả các bản sao lưu tập tin cũng được mã hóa.

    Tuy nhiên, khi người dùng mở bất kỳ tệp nào để làm việc trên máy tính của mình, có khả năng các ứng dụng không mong muốn sẽ có quyền truy cập vào tệp đó (tất nhiên là nếu máy tính bị nhiễm virus). Để ngăn chặn điều này, CyberSafe có một biện pháp bảo mật bổ sung, nhờ đó quản trị viên hệ thống có thể xác định danh sách các chương trình có thể truy cập các tệp từ thư mục được bảo vệ. Tất cả các ứng dụng khác không có trong danh sách tin cậy sẽ không có quyền truy cập, điều này sẽ hạn chế quyền truy cập vào thông tin bí mật dành cho phần mềm gián điệp, rootkit và phần mềm độc hại khác.

    Vì mọi công việc với các tệp được mã hóa đều được thực hiện từ phía người dùng, điều này có nghĩa là CyberSafe không được cài đặt trên máy chủ tệp và khi làm việc trong không gian công ty, chương trình có thể được sử dụng để bảo vệ thông tin trên các thiết bị lưu trữ mạng bằng tệp NTFS hệ thống, chẳng hạn như Windows Storage Server. Tất cả thông tin bí mật đều được mã hóa trong bộ lưu trữ như vậy và CyberSafe chỉ được cài đặt trên máy tính của người dùng mà từ đó họ truy cập các tệp được mã hóa.

    Đây là lợi thế của CyberSafe so với TrueCrypt và các chương trình mã hóa khác yêu cầu cài đặt ở nơi tệp được lưu trữ vật lý, có nghĩa là chỉ có thể sử dụng máy tính cá nhân làm máy chủ chứ không phải ổ đĩa mạng. Tất nhiên, việc sử dụng kho lưu trữ mạng ở các công ty, tổ chức sẽ thuận tiện và hợp lý hơn rất nhiều so với việc sử dụng máy tính thông thường.

    Do đó, với sự trợ giúp của CyberSafe, không cần bất kỳ công cụ bổ sung nào, bạn có thể tổ chức bảo vệ hiệu quả các tệp có giá trị, đảm bảo làm việc thuận tiện với các thư mục mạng được mã hóa, đồng thời phân biệt quyền truy cập của người dùng vào thông tin bí mật.

    04/02/2016, Thứ năm, 11:49, giờ Moscow, Text: Pavel Pritula

    Hệ thống mã hóa đĩa trong suốt là một sản phẩm công nghệ cao, giàu kiến ​​thức, việc phát triển và hỗ trợ sản phẩm này nằm trong khả năng của một số rất ít công ty. Nhưng chúng thực hiện tốt chức năng chính của mình – giảm nguy cơ rò rỉ thông tin bí mật.

    Như đã lưu ý trong “Cách quản lý rủi ro rò rỉ dữ liệu quan trọng”, các doanh nghiệp buộc phải liên tục giảm nguy cơ rò rỉ thông tin bí mật. Cách đơn giản và tương đối ít tốn kém nhất là sử dụng các hệ thống mã hóa minh bạch. Ưu điểm chính của mã hóa minh bạch là người dùng không yêu cầu bất kỳ sự tham gia nào vào các quy trình; tất cả chúng đều diễn ra nhanh chóng ở chế độ nền.

    Rất nhiều phụ thuộc vào việc thiết lập các yêu cầu cho hệ thống

    Thoạt nhìn, các hệ thống mã hóa minh bạch trên thị trường có rất nhiều điểm chung: xét cho cùng, chúng đều giải quyết được cùng một vấn đề. Nhưng kinh doanh luôn có những yêu cầu cụ thể của riêng mình. Dưới đây là danh sách những cái có liên quan nhất.

    Yêu cầu đối với hệ thống mã hóa minh bạch

    Mô tả các yêu cầu
    1 Cường độ mã hóa Độ mạnh của biện pháp bảo vệ phải sao cho bí mật không bị vi phạm ngay cả khi kẻ tấn công biết được phương thức mã hóa
    2 Độ tin cậy của thuật toán mã hóa Thuật toán mã hóa được sử dụng không được có bất kỳ điểm yếu nào có thể bị các nhà phân tích mật mã khai thác
    3 Sử dụng chìa khóa an toàn Khóa mã hóa phải không thể bị kẻ tấn công tiếp cận được. Việc không tuân thủ các nguyên tắc sử dụng khóa mã hóa an toàn có thể gây nguy hiểm cho việc bảo mật thông tin, ngay cả khi hệ thống sẽ triển khai các thuật toán an toàn nhất
    4 “Minh bạch” về mã hóa Quá trình mã hóa phải diễn ra một cách minh bạch nhất có thể đối với người dùng - anh ta không nhận thấy quá trình mã hóa và giải mã dữ liệu trong quá trình hoạt động
    5 Khả năng chịu lỗi Hệ thống phải có khả năng chống lại các lỗi ngẫu nhiên và hành động không chính xác của người dùng ở mức tốt nhất có thể.
    6 Xác thực đa yếu tố Việc xác minh quyền truy cập dữ liệu được bảo vệ của người dùng cần được thực hiện dựa trên các công cụ xác thực đa yếu tố
    7 Chức năng bổ sung để làm việc trong các tình huống khẩn cấp Trong các tình huống khẩn cấp, khi biết về nỗ lực truy cập vật lý hoặc cố gắng chiếm đoạt thiết bị máy chủ, khả năng chấm dứt khẩn cấp quyền truy cập vào dữ liệu sẽ trở thành một công cụ bảo vệ cực kỳ hữu ích.
    8 Bảo vệ khỏi người trong cuộc Tất cả người dùng hệ thống, bao gồm quản trị viên hệ thống và nhân viên kỹ thuật, phải có quyền truy cập vào hệ thống tệp vật lý chỉ trong phạm vi quyền hạn của họ như được quy định trong chính sách bảo mật thông tin của công ty

    Hai điểm đầu tiên, liên quan đến độ tin cậy và sức mạnh của thuật toán mã hóa, yêu cầu các nhà cung cấp dịch vụ mật mã phải đáp ứng các yêu cầu quy định đối với sản phẩm của họ. Tại Liên bang Nga, đây là việc sử dụng GOST 28147-89 với độ dài khóa 256 bit trong các giải pháp từ các nhà cung cấp tiền điện tử được FSB của Nga cấp phép.

    Làm cách nào để bảo vệ bản thân khỏi quản trị viên hệ thống?

    Những kẻ tấn công quan tâm đến dữ liệu riêng tư cũng có thể ở bên trong công ty. Một mối đe dọa nghiêm trọng mà mật mã không thể cứu được được đặt ra bởi các chuyên gia kỹ thuật và quản trị viên hệ thống của công ty. Nhưng đồng thời, do nhiệm vụ của mình, họ có nghĩa vụ giám sát hoạt động của các hệ thống đảm bảo an ninh trên mỗi máy tính.

    Trong tình hình kinh tế khó khăn hiện nay, một số nhân viên, bao gồm cả quản trị viên hệ thống, có mong muốn sao chép thông tin công ty để bán trên thị trường chợ đen hoặc như một lợi thế bổ sung so với các ứng viên cạnh tranh khi xin việc mới. Điều này làm căng thẳng mối quan hệ giữa ban lãnh đạo và nhân viên công ty.

    Điều này có nghĩa là hệ thống mã hóa minh bạch được chọn chỉ cần có các cơ chế thực hiện một bộ yêu cầu bảo vệ từ quản trị viên hệ thống, người đã tìm thấy vị trí của mình trong danh sách các yêu cầu đối với giải pháp.

    Hệ thống tệp ảo là một thành phần bảo mật quan trọng

    Vậy cơ chế cơ bản đằng sau các hệ thống mã hóa minh bạch tốt nhất có thể đạt được nhiều yêu cầu nêu trên là gì? Trong thực tế, nó được thể hiện bằng một công thức đơn giản: tệp có sẵn cho chủ sở hữu thông tin ở dạng được giải mã và cho những người khác - chỉ ở dạng được mã hóa mà không có quyền truy cập vào khóa. Các chuyên gia gọi chức năng này là “truy cập đồng thời”.

    “Nhưng nếu máy tính của người dùng được cài đặt Windows, Windows gần như đã trở thành một tiêu chuẩn công ty ở Liên bang Nga, thì việc đạt được “quyền truy cập đồng thời” không phải là một nhiệm vụ dễ dàng. Điều này là do hiệu ứng kết hợp của Windows: một tệp trong đó có thể có các bản sao của nó, ngoài hệ thống tệp, trong trình quản lý bộ nhớ hoặc bộ đệm. Vì vậy, chúng ta phải giải quyết vấn đề “tồn tại đồng thời” của các tập tin,” nói Ilya Shchavinsky, giám đốc phát triển kinh doanh tại Aladdin R.D. Và vấn đề được giải quyết theo cách nguyên bản bằng cách sử dụng công việc chung của “hệ thống tệp ảo” (VFS) và bộ lọc trình điều khiển hệ thống tệp, sơ đồ hoạt động của nó được đưa ra dưới đây.

    Hệ thống tập tin ảo


    Nguồn: “Aladdin R.D.”, 2016

    Như bạn có thể thấy từ sơ đồ, trình quản lý bộ nhớ đệm “tin rằng” nó đang hoạt động với hai tệp khác nhau. Với mục đích này, VFS tạo thành một cặp cấu trúc mô tả tệp bổ sung. Trình điều khiển hệ thống tệp đặc biệt đảm bảo cập nhật liên tục tệp được mã hóa trong hệ thống tệp thực, sau những thay đổi trong bản sao không được mã hóa của nó trong VFS. Nhờ đó, dữ liệu trên đĩa luôn được mã hóa.

    Để hạn chế quyền truy cập vào tệp, trình điều khiển hệ thống tệp sẽ tải khóa mã hóa vào RAM khi truy cập các tài nguyên được bảo vệ. Bản thân thông tin khóa được bảo vệ bằng cặp khóa chứng chỉ của người dùng và được lưu trữ trong cơ sở lưu trữ mật mã.

    Kết quả là, người dùng được ủy quyền sẽ nhìn thấy một hệ thống tệp, một hệ thống ảo với các tệp được giải mã, trong khi người dùng trái phép sẽ đồng thời nhìn thấy hệ thống tệp vật lý (thực), trong đó tên và nội dung tệp được mã hóa.

    Quản trị viên hệ thống và các chuyên gia kỹ thuật khác không có cách nào lấy được khóa mã hóa đã giải mã sẽ làm việc với một hệ thống tệp thực sự được mã hóa an toàn. Đồng thời, họ vẫn có cơ hội thực hiện đúng nhiệm vụ chính thức của mình, chẳng hạn như tạo bản sao dự phòng của thông tin được mã hóa mà không vi phạm tính bảo mật của chính thông tin đó. Điều này sẽ đáp ứng yêu cầu quan trọng để bảo vệ thông tin từ người trong cuộc.

    Không thể giảm thiểu rủi ro nếu không xác thực đa yếu tố

    Để xác thực đa yếu tố của người dùng, mã thông báo hoặc thẻ thông minh thường được sử dụng để khởi động hệ điều hành và truy cập dữ liệu được mã hóa - một thiết bị lưu trữ chứng chỉ khóa chung của người dùng và khóa riêng tương ứng của nó.

    Một hệ thống tập trung để quản lý và lưu trữ các khóa mã hóa sẽ bảo vệ khỏi việc mất các khóa này - chúng được đặt trên một máy chủ an toàn và chỉ được chuyển đến người dùng khi cần. Công ty cũng kiểm soát quyền truy cập của nhân viên vào dữ liệu của họ và có thể từ chối nó bất cứ lúc nào. Ngoài ra, có thể theo dõi các sự kiện truy cập vào dữ liệu được bảo vệ, cũng như bật chế độ mã hóa cho tất cả dữ liệu được gửi đến ổ đĩa flash, v.v.

    Thành phần của một hệ thống mã hóa minh bạch điển hình


    ) cho phép các công ty tổ chức trao đổi thông tin nhanh chóng và thuận tiện ở nhiều khoảng cách khác nhau. Tuy nhiên, bảo vệ thông tin trong môi trường doanh nghiệp là một nhiệm vụ vẫn còn phù hợp cho đến ngày nay và khiến các nhà quản lý doanh nghiệp nhỏ, vừa và lớn trong nhiều lĩnh vực hoạt động khác nhau lo lắng. Ngoài ra, bất kể quy mô của công ty, ban quản lý hầu như luôn cần phân biệt quyền truy cập của nhân viên vào thông tin bí mật dựa trên mức độ quan trọng của nó.

    Trong bài viết này chúng ta sẽ nói về mã hóa minh bạch Là một trong những phương pháp bảo vệ thông tin phổ biến nhất trong môi trường doanh nghiệp, chúng tôi sẽ xem xét các nguyên tắc chung về mã hóa cho nhiều người dùng (mật mã nhiều khóa công khai), đồng thời nói về cách thiết lập mã hóa minh bạch các thư mục mạng bằng CyberSafe Chương trình mã hóa tập tin.

    Ưu điểm của mã hóa minh bạch là gì?

    Việc sử dụng đĩa mật mã ảo hoặc chức năng mã hóa toàn bộ đĩa khá hợp lý trên máy tính cục bộ của người dùng, nhưng trong không gian công ty, cách tiếp cận thích hợp hơn là sử dụng mã hóa minh bạch, vì chức năng này cung cấp công việc nhanh chóng và thuận tiện với các tệp được phân loại cho nhiều người dùng cùng một lúc. Khi tạo và chỉnh sửa tệp, các quá trình mã hóa và giải mã diễn ra tự động “nhanh chóng”. Để làm việc với các tài liệu được bảo vệ, nhân viên công ty không cần phải có bất kỳ kỹ năng nào trong lĩnh vực mật mã; họ không phải thực hiện bất kỳ bước bổ sung nào để giải mã hoặc mã hóa các tệp bí mật.

    Làm việc với các tài liệu mật diễn ra như bình thường bằng cách sử dụng các ứng dụng hệ thống tiêu chuẩn. Tất cả các chức năng thiết lập mã hóa và phân định quyền truy cập có thể được chỉ định cho một người, ví dụ như quản trị viên hệ thống.

    Nhiều mật mã khóa công khai và phong bì kỹ thuật số

    Mã hóa minh bạch hoạt động như sau. Khóa phiên đối xứng được tạo ngẫu nhiên được sử dụng để mã hóa tệp, do đó tệp này được bảo vệ bằng khóa bất đối xứng công khai của người dùng. Nếu người dùng truy cập vào một tệp để thực hiện một số thay đổi đối với tệp đó, trình điều khiển mã hóa trong suốt sẽ giải mã khóa đối xứng bằng khóa riêng của người dùng và sau đó giải mã chính tệp đó bằng khóa đối xứng. Chúng tôi đã mô tả chi tiết cách hoạt động của mã hóa minh bạch trong chủ đề trước.

    Nhưng điều gì sẽ xảy ra nếu có một số người dùng và các tệp phân loại không được lưu trữ trên PC cục bộ mà trong một thư mục trên máy chủ từ xa? Xét cho cùng, tệp được mã hóa giống nhau nhưng mỗi người dùng có cặp khóa duy nhất của riêng mình.

    Trong trường hợp này, cái gọi là phong bì kỹ thuật số.


    Như bạn có thể thấy trong hình, phong bì kỹ thuật số chứa một tệp được mã hóa bằng khóa đối xứng được tạo ngẫu nhiên, cũng như một số bản sao của khóa đối xứng này, được bảo vệ bằng khóa bất đối xứng công khai của mỗi người dùng. Sẽ có bao nhiêu bản sao mà người dùng được phép truy cập vào thư mục được bảo vệ.

    Trình điều khiển mã hóa minh bạch hoạt động theo sơ đồ sau: khi người dùng truy cập một tệp, nó sẽ kiểm tra xem chứng chỉ (khóa chung) của nó có nằm trong danh sách được phép hay không. Nếu vậy, bản sao của khóa đối xứng đã được mã hóa bằng khóa chung của anh ấy sẽ được giải mã bằng khóa riêng của người dùng này. Nếu chứng chỉ của người dùng không được liệt kê, quyền truy cập sẽ bị từ chối.

    Mã hóa thư mục mạng bằng CyberSafe

    Khi sử dụng CyberSafe, quản trị viên hệ thống sẽ có thể định cấu hình mã hóa minh bạch cho thư mục mạng mà không cần sử dụng các giao thức bảo vệ dữ liệu bổ sung, chẳng hạn như IPSec hoặc WebDAV, sau đó kiểm soát quyền truy cập của người dùng vào một thư mục được mã hóa cụ thể.

    Để thiết lập mã hóa minh bạch, mỗi người dùng muốn được phép truy cập vào thông tin bí mật phải cài đặt CyberSafe trên máy tính của họ, phải tạo chứng chỉ cá nhân và khóa chung phải được xuất bản trên máy chủ khóa công khai CyberSafe.

    Tiếp theo, quản trị viên hệ thống trên máy chủ từ xa tạo một thư mục mới, thêm nó vào CyberSafe và gán khóa cho những người dùng có thể làm việc với các tệp trong thư mục này trong tương lai. Tất nhiên, bạn có thể tạo bao nhiêu thư mục theo yêu cầu, lưu trữ thông tin bí mật có mức độ quan trọng khác nhau trong đó và quản trị viên hệ thống có thể xóa người dùng khỏi những người có quyền truy cập vào thư mục bất cứ lúc nào hoặc thêm một người dùng mới.

    Hãy xem một ví dụ đơn giản:

    Máy chủ tệp của doanh nghiệp ABC lưu trữ 3 cơ sở dữ liệu với thông tin bí mật có mức độ quan trọng khác nhau - DSP, Bí mật và Bí mật hàng đầu. Cần cung cấp quyền truy cập vào: DB1 cho người dùng Ivanov, Petrov, Nikiforov, DB2 cho Petrov và Smirnov, DB3 cho Smirnov và Ivanov.

    Để thực hiện việc này, trên máy chủ tệp, có thể là bất kỳ tài nguyên mạng nào, bạn sẽ cần tạo ba thư mục riêng cho từng cơ sở dữ liệu và gán chứng chỉ (khóa) của người dùng tương ứng cho các thư mục này:



    Tất nhiên, vấn đề này hoặc vấn đề tương tự khác về việc phân biệt quyền truy cập có thể được giải quyết bằng cách sử dụng Windows ACL. Nhưng phương pháp này chỉ có thể phát huy tác dụng khi phân định quyền truy cập vào máy tính của nhân viên trong công ty. Bản thân nó không bảo vệ thông tin bí mật trong trường hợp bên thứ ba kết nối với máy chủ tệp và việc sử dụng mật mã để bảo vệ dữ liệu là cần thiết.

    Ngoài ra, tất cả các cài đặt bảo mật hệ thống tệp có thể được đặt lại bằng dòng lệnh. Trong Windows, có một công cụ đặc biệt dành cho việc này - "calcs", có thể được sử dụng để xem các quyền trên các tệp và thư mục cũng như để đặt lại chúng. Trong Windows 7, lệnh này được gọi là "icacls" và được thực thi như sau:

    1. Tại dòng lệnh với quyền quản trị viên, nhập: cmd
    2. Đi tới đĩa hoặc phân vùng, ví dụ: CD /D D:
    3. Để đặt lại tất cả các quyền, hãy nhập: icacls * /T /Q /C /RESET

    Có thể icacls sẽ không hoạt động trong lần đầu tiên. Sau đó, trước bước 2, bạn cần chạy lệnh sau:

    Sau đó, các quyền đã đặt trước đó trên các tệp và thư mục sẽ được đặt lại.

    Bạn có thể tạo một hệ thống dựa trên đĩa mã hóa ảo và ACL(sẽ có thêm thông tin chi tiết về hệ thống như vậy khi sử dụng đĩa mật mã trong các tổ chức.). Tuy nhiên, hệ thống như vậy cũng dễ bị tấn công, vì để đảm bảo nhân viên có quyền truy cập liên tục vào dữ liệu trên đĩa mật mã, quản trị viên sẽ cần giữ cho nó được kết nối (được gắn kết) trong suốt cả ngày làm việc, điều này gây nguy hiểm cho thông tin bí mật trên đĩa mật mã ngay cả khi không biết. mật khẩu của nó, nếu kẻ tấn công đang trong quá trình kết nối sẽ có thể kết nối với máy chủ.

    Ổ đĩa mạng có mã hóa tích hợp cũng không giải quyết được vấn đề vì chúng chỉ bảo vệ dữ liệu khi không có ai làm việc với nó. Nghĩa là, chức năng mã hóa tích hợp chỉ có thể bảo vệ dữ liệu bí mật khỏi bị xâm phạm nếu bản thân đĩa bị đánh cắp.

    ) cho phép các công ty tổ chức trao đổi thông tin nhanh chóng và thuận tiện ở nhiều khoảng cách khác nhau. Tuy nhiên, bảo vệ thông tin trong môi trường doanh nghiệp là một nhiệm vụ vẫn còn phù hợp cho đến ngày nay và khiến các nhà quản lý doanh nghiệp nhỏ, vừa và lớn trong nhiều lĩnh vực hoạt động khác nhau lo lắng. Ngoài ra, bất kể quy mô của công ty, ban quản lý hầu như luôn cần phân biệt quyền truy cập của nhân viên vào thông tin bí mật dựa trên mức độ quan trọng của nó.

    Trong bài viết này chúng ta sẽ nói về mã hóa minh bạch Là một trong những phương pháp bảo vệ thông tin phổ biến nhất trong môi trường doanh nghiệp, chúng tôi sẽ xem xét các nguyên tắc chung về mã hóa cho nhiều người dùng (mật mã bằng nhiều khóa chung), đồng thời nói về cách thiết lập mã hóa minh bạch các thư mục mạng bằng cách sử dụng chương trình.

    Ưu điểm của mã hóa minh bạch là gì?

    Việc sử dụng đĩa mật mã ảo hoặc chức năng mã hóa toàn bộ đĩa khá hợp lý trên máy tính cục bộ của người dùng, nhưng trong không gian công ty, cách tiếp cận thích hợp hơn là sử dụng mã hóa minh bạch, vì chức năng này cung cấp công việc nhanh chóng và thuận tiện với các tệp được phân loại cho nhiều người dùng cùng một lúc. Khi tạo và chỉnh sửa tệp, các quá trình mã hóa và giải mã diễn ra tự động “nhanh chóng”. Để làm việc với các tài liệu được bảo vệ, nhân viên công ty không cần phải có bất kỳ kỹ năng nào trong lĩnh vực mật mã; họ không phải thực hiện bất kỳ bước bổ sung nào để giải mã hoặc mã hóa các tệp bí mật.

    Làm việc với các tài liệu mật diễn ra như bình thường bằng cách sử dụng các ứng dụng hệ thống tiêu chuẩn. Tất cả các chức năng thiết lập mã hóa và phân định quyền truy cập có thể được chỉ định cho một người, ví dụ như quản trị viên hệ thống.

    Nhiều mật mã khóa công khai và phong bì kỹ thuật số

    Mã hóa minh bạch hoạt động như sau. Khóa phiên đối xứng được tạo ngẫu nhiên được sử dụng để mã hóa tệp, do đó tệp này được bảo vệ bằng khóa bất đối xứng công khai của người dùng. Nếu người dùng truy cập vào một tệp để thực hiện một số thay đổi đối với tệp đó, trình điều khiển mã hóa trong suốt sẽ giải mã khóa đối xứng bằng khóa riêng của người dùng và sau đó giải mã chính tệp đó bằng khóa đối xứng. Chúng tôi đã mô tả chi tiết cách hoạt động của mã hóa minh bạch.

    Nhưng điều gì sẽ xảy ra nếu có một số người dùng và các tệp phân loại không được lưu trữ trên PC cục bộ mà trong một thư mục trên máy chủ từ xa? Xét cho cùng, tệp được mã hóa giống nhau nhưng mỗi người dùng có cặp khóa duy nhất của riêng mình.

    Trong trường hợp này, cái gọi là phong bì kỹ thuật số.

    Như bạn có thể thấy trong hình, phong bì kỹ thuật số chứa một tệp được mã hóa bằng khóa đối xứng được tạo ngẫu nhiên, cũng như một số bản sao của khóa đối xứng này, được bảo vệ bằng khóa bất đối xứng công khai của mỗi người dùng. Sẽ có bao nhiêu bản sao mà người dùng được phép truy cập vào thư mục được bảo vệ.

    Trình điều khiển mã hóa minh bạch hoạt động theo sơ đồ sau: khi người dùng truy cập một tệp, nó sẽ kiểm tra xem chứng chỉ (khóa chung) của nó có nằm trong danh sách được phép hay không. Nếu vậy, bản sao của khóa đối xứng đã được mã hóa bằng khóa chung của anh ấy sẽ được giải mã bằng khóa riêng của người dùng này. Nếu chứng chỉ của người dùng không được liệt kê, quyền truy cập sẽ bị từ chối.

    Mã hóa thư mục mạng bằng CyberSafe

    Khi sử dụng CyberSafe, quản trị viên hệ thống sẽ có thể định cấu hình mã hóa minh bạch cho thư mục mạng mà không cần sử dụng các giao thức bảo vệ dữ liệu bổ sung, chẳng hạn như hoặc quản lý thêm quyền truy cập của người dùng vào một thư mục được mã hóa cụ thể.

    Để thiết lập mã hóa minh bạch, mỗi người dùng muốn được phép truy cập vào thông tin bí mật phải cài đặt CyberSafe trên máy tính của họ, phải tạo chứng chỉ cá nhân và khóa chung phải được xuất bản trên máy chủ khóa công khai CyberSafe.

    Tiếp theo, quản trị viên hệ thống trên máy chủ từ xa tạo một thư mục mới, thêm nó vào CyberSafe và gán khóa cho những người dùng có thể làm việc với các tệp trong thư mục này trong tương lai. Tất nhiên, bạn có thể tạo bao nhiêu thư mục theo yêu cầu, lưu trữ thông tin bí mật có mức độ quan trọng khác nhau trong đó và quản trị viên hệ thống có thể xóa người dùng khỏi những người có quyền truy cập vào thư mục bất cứ lúc nào hoặc thêm một người dùng mới.

    Hãy xem một ví dụ đơn giản:

    Máy chủ tệp của doanh nghiệp ABC lưu trữ 3 cơ sở dữ liệu với thông tin bí mật có mức độ quan trọng khác nhau - DSP, Bí mật và Bí mật hàng đầu. Cần cung cấp quyền truy cập vào: DB1 cho người dùng Ivanov, Petrov, Nikiforov, DB2 cho Petrov và Smirnov, DB3 cho Smirnov và Ivanov.

    Để thực hiện việc này, trên máy chủ tệp, có thể là bất kỳ tài nguyên mạng nào, bạn sẽ cần tạo ba thư mục riêng cho từng cơ sở dữ liệu và gán chứng chỉ (khóa) của người dùng tương ứng cho các thư mục này:

    Tất nhiên, vấn đề này hoặc một vấn đề tương tự khác về việc phân biệt quyền truy cập có thể được giải quyết bằng Windows. Nhưng phương pháp này chỉ có thể phát huy tác dụng khi phân định quyền truy cập vào máy tính của nhân viên trong công ty. Bản thân nó không bảo vệ thông tin bí mật trong trường hợp bên thứ ba kết nối với máy chủ tệp và việc sử dụng mật mã để bảo vệ dữ liệu là cần thiết.

    Ngoài ra, tất cả các cài đặt bảo mật hệ thống tệp có thể được đặt lại bằng dòng lệnh. Trong Windows, có một công cụ đặc biệt dành cho việc này - "calcs", có thể được sử dụng để xem các quyền trên các tệp và thư mục cũng như để đặt lại chúng. Trong Windows 7, lệnh này được gọi là "icacls" và được thực thi như sau:

    1. Tại dòng lệnh với quyền quản trị viên, nhập: cmd
    2. Đi tới đĩa hoặc phân vùng, ví dụ: CD /D D:
    3. Để đặt lại tất cả các quyền, hãy nhập: icacls * /T /Q /C /RESET


    Có thể icacls sẽ không hoạt động trong lần đầu tiên. Sau đó, trước bước 2, bạn cần chạy lệnh sau:

    Sau đó, các quyền đã đặt trước đó trên các tệp và thư mục sẽ được đặt lại.

    Bạn có thể tạo một hệ thống dựa trên đĩa mã hóa ảo và ACL(sẽ có thêm thông tin chi tiết về hệ thống như vậy khi sử dụng đĩa mật mã trong các tổ chức.). Tuy nhiên, hệ thống như vậy cũng dễ bị tấn công, vì để đảm bảo nhân viên có quyền truy cập liên tục vào dữ liệu trên đĩa mật mã, quản trị viên sẽ cần giữ cho nó được kết nối (được gắn kết) trong suốt cả ngày làm việc, điều này gây nguy hiểm cho thông tin bí mật trên đĩa mật mã ngay cả khi không biết. mật khẩu của nó, nếu kẻ tấn công đang trong quá trình kết nối sẽ có thể kết nối với máy chủ.

    Ổ đĩa mạng có mã hóa tích hợp cũng không giải quyết được vấn đề vì chúng chỉ bảo vệ dữ liệu khi không có ai làm việc với nó. Nghĩa là, chức năng mã hóa tích hợp chỉ có thể bảo vệ dữ liệu bí mật khỏi bị xâm phạm nếu bản thân đĩa bị đánh cắp.

    Việc mã hóa/giải mã các tập tin không được thực hiện trên máy chủ tập tin mà về phía người dùng. Do đó, các tệp bí mật chỉ được lưu trữ trên máy chủ ở dạng mã hóa, giúp loại bỏ khả năng chúng bị xâm phạm khi kẻ tấn công kết nối trực tiếp với máy chủ tệp. Tất cả các tệp trên máy chủ, được lưu trữ trong một thư mục được bảo vệ bằng mã hóa minh bạch, đều được mã hóa và bảo vệ an toàn. Đồng thời, người dùng và ứng dụng xem chúng như các tệp thông thường: Notepad, Word, Excel, HTML, v.v. Ứng dụng có thể đọc và ghi trực tiếp các tệp này; thực tế là chúng được mã hóa là minh bạch đối với họ.

    Người dùng không có quyền truy cập cũng có thể xem các tệp này nhưng họ không thể đọc hoặc sửa đổi chúng. Điều này có nghĩa là nếu quản trị viên hệ thống không có quyền truy cập vào tài liệu ở một trong các thư mục, anh ta vẫn có thể sao lưu chúng. Tất nhiên, tất cả các bản sao lưu tập tin cũng được mã hóa.

    Tuy nhiên, khi người dùng mở bất kỳ tệp nào để làm việc trên máy tính của mình, có khả năng các ứng dụng không mong muốn sẽ có quyền truy cập vào tệp đó (tất nhiên là nếu máy tính bị nhiễm virus). Để ngăn chặn điều này, CyberSafe có một biện pháp bảo mật bổ sung, nhờ đó quản trị viên hệ thống có thể xác định danh sách các chương trình có thể truy cập các tệp từ thư mục được bảo vệ. Tất cả các ứng dụng khác không có trong danh sách tin cậy sẽ không có quyền truy cập, điều này sẽ hạn chế quyền truy cập vào thông tin bí mật dành cho phần mềm gián điệp, rootkit và phần mềm độc hại khác.

    Vì mọi công việc với các tệp được mã hóa đều được thực hiện từ phía người dùng, điều này có nghĩa là CyberSafe không được cài đặt trên máy chủ tệp và khi làm việc trong không gian công ty, chương trình có thể được sử dụng để bảo vệ thông tin trên các thiết bị lưu trữ mạng bằng tệp NTFS hệ thống, chẳng hạn như . Tất cả thông tin bí mật đều được mã hóa trong bộ lưu trữ như vậy và CyberSafe chỉ được cài đặt trên máy tính của người dùng mà từ đó họ truy cập các tệp được mã hóa.

    Đây là lợi thế của CyberSafe so với TrueCrypt và các chương trình mã hóa khác yêu cầu cài đặt ở nơi tệp được lưu trữ vật lý, có nghĩa là chỉ có thể sử dụng máy tính cá nhân làm máy chủ chứ không phải ổ đĩa mạng. Tất nhiên, việc sử dụng kho lưu trữ mạng ở các công ty, tổ chức sẽ thuận tiện và hợp lý hơn rất nhiều so với việc sử dụng máy tính thông thường.

    Do đó, với sự trợ giúp của CyberSafe, không cần bất kỳ công cụ bổ sung nào, bạn có thể tổ chức bảo vệ hiệu quả các tệp có giá trị, đảm bảo làm việc thuận tiện với các thư mục mạng được mã hóa, đồng thời phân biệt quyền truy cập của người dùng vào thông tin bí mật.

    Để mã hóa đĩa vật lý và tạo đĩa mã hóa ảo. Tuy nhiên, việc mã hóa như vậy không phải lúc nào cũng thuận tiện.
    Thứ nhất, không phải lúc nào cũng có thể mã hóa toàn bộ đĩa vật lý. Thứ hai, nếu bạn sử dụng ổ đĩa ảo, các tệp chứa thường chiếm hàng trăm megabyte dung lượng ổ đĩa và rất dễ bị kẻ tấn công phát hiện. Vâng, có dữ liệu, nhưng sự lười biếng của con người đã chiến thắng. Thứ ba, thư mục được mã hóa có thể liên tục phát triển và kích thước của đĩa mật mã bị giới hạn bởi kích thước được chỉ định khi nó được tạo.
    Mọi người đều muốn làm việc với các tệp một cách thuận tiện, đồng thời, các tệp được bảo vệ một cách đáng tin cậy. Có một sự thỏa hiệp như vậy - đây là mã hóa tệp minh bạch, khi các tệp được mã hóa và giải mã “nhanh chóng” - trong khi làm việc với chúng. Các tệp vẫn được mã hóa và bạn làm việc với chúng như với các tệp thông thường. Ví dụ: nếu bạn đã mã hóa thư mục C:\Documents và đặt tài liệu của mình vào đó, thì khi bạn mở tài liệu từ thư mục này, Word hoặc Excel sẽ khởi động và chúng thậm chí không nghi ngờ rằng chúng đã được mã hóa. Bạn làm việc với các tệp được mã hóa như với các tệp thông thường mà không cần suy nghĩ gì về mã hóa, gắn kết, đĩa ảo, v.v.
    Ngoài việc dễ sử dụng, mã hóa minh bạch còn có một lợi thế đáng kể khác. Theo quy định, một số lượng lớn tệp được lưu trữ trên các đĩa ảo được mã hóa. Để làm việc với dù chỉ một trong số chúng, bạn cần kết nối toàn bộ đĩa mật mã. Kết quả là tất cả các tệp khác đều dễ bị tấn công. Tất nhiên, bạn có thể tạo nhiều đĩa mật mã nhỏ và gán cho mỗi đĩa một mật khẩu riêng, nhưng điều này không thuận tiện lắm.
    Trong trường hợp mã hóa minh bạch, bạn có thể tạo bao nhiêu thư mục được mã hóa tùy thích và đặt các nhóm tệp khác nhau vào mỗi thư mục đó - tài liệu, ảnh cá nhân, v.v. Trong trường hợp này, chỉ những tệp được truy cập mới được giải mã chứ không phải tất cả các tệp trên đĩa mật mã cùng một lúc.

    Ưu điểm và nhược điểm của EFS

    Trong Windows (bắt đầu với Windows 2000 và ngoại trừ phiên bản Home), hệ thống tệp được mã hóa - EFS (Hệ thống tệp mã hóa) - theo truyền thống được sử dụng để tổ chức mã hóa minh bạch.
    EFS được thiết kế để ngăn chặn một người dùng truy cập vào các tệp (được mã hóa) của người dùng khác. Tại sao cần tạo EFS nếu NTFS hỗ trợ quyền truy cập? Mặc dù NTFS là một hệ thống tệp khá an toàn, nhưng theo thời gian, nhiều tiện ích khác nhau đã xuất hiện (một trong những tiện ích đầu tiên là NTFSDOS, cho phép bạn đọc các tệp nằm trên phân vùng NTFS từ môi trường DOS) bỏ qua quyền truy cập NTFS. Cần có sự bảo vệ bổ sung. EFS được cho là sự bảo vệ như vậy.
    Về cơ bản, EFS là một tiện ích bổ sung cho NTFS. EFS thuận tiện vì nó được bao gồm trong Windows và bạn không cần bất kỳ phần mềm bổ sung nào để mã hóa tệp - mọi thứ bạn cần đều đã có trong Windows. Không cần thực hiện các bước sơ bộ để bắt đầu mã hóa tệp vì lần đầu tiên tệp được mã hóa, chứng chỉ mã hóa và khóa riêng sẽ được tạo tự động cho người dùng.
    Một ưu điểm khác của EFS là khi bạn di chuyển một tệp từ thư mục được mã hóa sang bất kỳ thư mục nào khác, nó vẫn được mã hóa và khi bạn sao chép tệp vào thư mục được mã hóa, nó sẽ tự động được mã hóa. Không cần phải thực hiện bất kỳ bước bổ sung nào.
    Tất nhiên, cách tiếp cận này rất thuận tiện và người dùng dường như chỉ được hưởng một lợi ích từ EFS. Nhưng điều đó không đúng. Một mặt, trong những trường hợp không thuận lợi, người dùng có thể mất quyền truy cập hoàn toàn vào các tệp được mã hóa. Điều này có thể xảy ra trong các trường hợp sau:
    1. Các vấn đề về phần cứng, ví dụ như bo mạch chủ bị lỗi, bootloader bị hỏng, file hệ thống bị hỏng do lỗi ổ cứng (bad Sector). Do đó, bạn có thể kết nối ổ cứng với máy tính khác để sao chép các tệp từ đó, nhưng nếu chúng được mã hóa bằng EFS thì bạn sẽ không thành công.
    2. Hệ thống đã được cài đặt lại. Windows có thể được cài đặt lại vì nhiều lý do. Trong trường hợp này, quyền truy cập vào dữ liệu được mã hóa tất nhiên sẽ bị mất.
    3. Hồ sơ người dùng đã bị xóa. Ngay cả khi bạn tạo một người dùng có cùng tên, anh ta sẽ được gán một ID khác và dữ liệu vẫn không thể giải mã được.
    4. Người quản trị hệ thống hoặc người dùng tự đặt lại mật khẩu. Sau đó, quyền truy cập vào dữ liệu EFS cũng sẽ bị mất.
    5. Chuyển người dùng sang tên miền khác không chính xác. Nếu quá trình chuyển của người dùng không được thực hiện chính xác, họ sẽ không thể truy cập các tệp được mã hóa của mình.

    Khi người dùng (đặc biệt là người mới bắt đầu) bắt đầu sử dụng EFS, ít người nghĩ tới điều đó. Tuy nhiên, mặt khác, có một phần mềm đặc biệt (và nó sẽ được trình bày sau) cho phép bạn truy cập dữ liệu ngay cả khi hệ thống đã được cài đặt lại và một số khóa đã bị mất. Và tôi thậm chí còn không biết liệu thực tế này có thể được coi là lợi thế hay bất lợi - phần mềm này cho phép bạn khôi phục quyền truy cập vào dữ liệu, nhưng đồng thời nó có thể bị kẻ tấn công sử dụng để truy cập trái phép vào các tệp được mã hóa.
    Có vẻ như dữ liệu được mã hóa bằng EFS rất an toàn. Rốt cuộc, các tệp trên đĩa được mã hóa bằng FEK (Khóa mã hóa tệp), được lưu trữ trong thuộc tính tệp. Bản thân FEK được mã hóa bằng khóa chính, sau đó, khóa này được mã hóa bằng khóa của người dùng hệ thống có quyền truy cập vào tệp này. Khóa người dùng được mã hóa bằng hàm băm mật khẩu của những người dùng này và hàm băm mật khẩu cũng được mã hóa bằng SYSKEY.
    Có vẻ như chuỗi mã hóa như vậy sẽ cung cấp khả năng bảo vệ dữ liệu đáng tin cậy, nhưng mọi thứ chỉ đơn giản là thông tin đăng nhập và mật khẩu. Sau khi người dùng đặt lại mật khẩu hoặc cài đặt lại hệ thống, họ sẽ không thể truy cập vào dữ liệu được mã hóa nữa.
    Các nhà phát triển EFS đã chơi nó một cách an toàn và triển khai các tác nhân khôi phục (EFS Recovery Agent), tức là những người dùng có thể giải mã dữ liệu được mã hóa bởi những người dùng khác. Tuy nhiên, việc sử dụng khái niệm EFS RA không mấy thuận tiện và thậm chí còn khó khăn, đặc biệt đối với những người mới làm quen. Do đó, những người dùng mới làm quen này biết cách mã hóa tệp bằng EFS nhưng không biết phải làm gì trong trường hợp khẩn cấp. Thật tốt khi có một phần mềm đặc biệt có thể trợ giúp trong tình huống này, nhưng phần mềm tương tự cũng có thể được sử dụng để truy cập dữ liệu trái phép, như đã lưu ý.
    Nhược điểm của EFS còn bao gồm không có khả năng cung cấp mã hóa mạng (nếu cần, bạn phải sử dụng các giao thức mã hóa dữ liệu khác, chẳng hạn như IPSec) và thiếu hỗ trợ cho các hệ thống tệp khác. Nếu bạn sao chép tệp được mã hóa sang hệ thống tệp không hỗ trợ mã hóa, chẳng hạn như FAT/FAT32, tệp sẽ được giải mã và bất kỳ ai cũng có thể xem được. Không có gì đáng ngạc nhiên ở đây, EFS chỉ là một tiện ích bổ sung trên NTFS.
    Hóa ra EFS có hại nhiều hơn có lợi. Tuy nhiên, để không vô căn cứ, tôi sẽ đưa ra một ví dụ về việc sử dụng chương trình Advanced EFS Data Recovery để có quyền truy cập vào dữ liệu được mã hóa. Kịch bản sẽ rất đơn giản: đầu tiên tôi sẽ đăng nhập với tư cách một người dùng khác và cố gắng truy cập vào một tệp được mã hóa mà người dùng khác đã mã hóa. Sau đó, tôi sẽ mô phỏng một tình huống thực tế trong đó chứng chỉ của người dùng đã mã hóa tệp đã bị xóa (ví dụ: điều này có thể xảy ra trong trường hợp cài đặt lại Windows). Như bạn sẽ thấy, chương trình sẽ giải quyết tình huống này mà không gặp vấn đề gì.

    Sử dụng Phục hồi dữ liệu EFS nâng cao để giải mã các tệp được mã hóa EFS

    Hãy xem cách bạn có thể giải mã các tệp được mã hóa bằng EFS. Bước đầu tiên là kích hoạt mã hóa cho một trong các thư mục. Để trình diễn, tôi đã tạo riêng một thư mục EFS-Crypted. Để kích hoạt mã hóa EFS cho một thư mục, bạn chỉ cần kích hoạt thuộc tính tương ứng trong thuộc tính của nó (Hình 1).

    Cơm. 1. Kích hoạt mã hóa cho một thư mục

    Tên của thư mục được mã hóa và tất cả các tệp được đặt trong đó (sẽ được mã hóa tự động) được hiển thị bằng màu xanh lục trong Explorer. Như thể hiện trong hình. 2, Tôi đã thêm tệp văn bản config.txt vào thư mục được mã hóa, nội dung mà chúng tôi sẽ cố gắng xem bằng cách đăng nhập với tư cách người dùng khác. Để kiểm tra, một người dùng khác có quyền quản trị viên đã được tạo (các quyền đó được yêu cầu bởi chương trình Phục hồi dữ liệu EFS nâng cao (AEFSDR) của ElcomSoft), xem Hình 2. 3.


    Cơm. 2. Nội dung thư mục được mã hóa


    Cơm. 3. Người dùng mới được tạo

    Đương nhiên, nếu bạn đăng nhập với tư cách người dùng khác và cố đọc tệp config.txt, sẽ không có gì hoạt động (Hình 4).


    Cơm. 4. Truy cập bị từ chối

    Nhưng điều đó không thành vấn đề - chúng tôi khởi chạy chương trình Phục hồi dữ liệu EFS nâng cao và chuyển thẳng đến chế độ Chuyên gia (tất nhiên, bạn có thể sử dụng trình hướng dẫn mở khi khởi chạy lần đầu (Hình 5)), nhưng tôi thích chế độ chuyên gia hơn .


    Cơm. 5. Wizard khi khởi chạy Advanced EFS Data Recovery


    Cơm. 6. Chế độ chuyên gia Phục hồi dữ liệu EFS nâng cao

    Vì vậy hãy chuyển đến tab Tệp được mã hóa và nhấn nút Quét các tập tin được mã hóa. Trong bộ lễ phục. 6 đã hiển thị kết quả quét - tệp được mã hóa duy nhất của chúng tôi C:\EFS-Crypted\config.txt đã được tìm thấy. Chọn nó và nhấp vào nút Giải mã. Chương trình sẽ nhắc bạn chọn thư mục mà bạn muốn giải mã các tập tin (Hình 7).


    Cơm. 7. Chọn thư mục nơi các tập tin sẽ được giải mã

    Vì tôi có phiên bản dùng thử của chương trình nên để tiếp tục, tôi cần nhấp vào Tiếp tục(Hình 8). Các tệp được giải mã được đặt trong thư mục con AEFS_<имя_диска>_GIẢI MÃ (Hình 9). Xin lưu ý rằng tệp config.txt của chúng tôi không còn được đánh dấu bằng màu xanh lục nữa và chúng tôi có thể xem nội dung của nó (Hình 10).


    Cơm. 8. Bấm vào nút Tiếp tục


    Cơm. 9. Tập tin được giải mã


    Cơm. 10. Nội dung của file config.txt

    Bây giờ hãy làm phức tạp nhiệm vụ của chương trình Phục hồi dữ liệu EFS nâng cao, cụ thể là chúng tôi sẽ xóa chứng chỉ cá nhân. Đăng nhập với tư cách người dùng đã tạo thư mục được mã hóa và khởi chạy bảng điều khiển mmc, chọn lệnh menu Tệp, Thêm hoặc Xóa Snap-in. Tiếp theo, chọn một phần đính kèm Chứng chỉ và nhấn nút Thêm vào(Hình 11). Trong cửa sổ hiện ra, chọn tài khoản người dùng của tôi(Hình 12).


    Cơm. 11. Thêm trang bị


    Cơm. 12. Phần đính kèm của Trình quản lý Chứng chỉ

    Tiếp theo, nhấp vào nút ĐƯỢC RỒI và trong cửa sổ xuất hiện, hãy đi tới Chứng chỉ, Cá nhân, Chứng chỉ. Bạn sẽ thấy các chứng chỉ đã tạo cho người dùng hiện tại (Hình 13). Trong trường hợp của tôi, người dùng được gọi Bài kiểm tra. Nhấp chuột phải vào chứng chỉ của nó và chọn Xóa bỏđể loại bỏ chứng chỉ. Bạn sẽ thấy cảnh báo rằng sẽ không thể giải mã dữ liệu được mã hóa bằng chứng chỉ này nữa. Vâng, chúng tôi sẽ kiểm tra điều đó sớm.


    Cơm. 13. Chứng chỉ cá nhân


    Cơm. 14. Cảnh báo khi xóa chứng chỉ

    1. Đóng phần đính vào và thử truy cập vào tệp được mã hóa. Không có gì hiệu quả với bạn, mặc dù thực tế là bạn đã mã hóa tệp này. Rốt cuộc, chứng chỉ đã bị xóa.
    2. Thay đổi người dùng, chạy chương trình Advanced EFS Data Recovery. Hãy thử giải mã tập tin như được hiển thị trước đó. Đầu tiên, chương trình sẽ báo cáo rằng không tìm thấy chứng chỉ. Vì vậy, bạn cần vào tab Các tập tin liên quan đến EFS và nhấn nút Quét tìm chìa khóa. Sau một thời gian, chương trình sẽ cho bạn biết rằng nó đã tìm thấy các khóa, nhưng có lẽ không phải tất cả các khóa đó (Hình 15). Chương trình khuyên bạn nên quét lại các phím của mình, nhưng lần này với tùy chọn được bật Quét theo lĩnh vực(Hình 16), nhưng tôi không làm điều này và ngay lập tức chuyển đến tab Tệp được mã hóa. Chương trình đã tìm thấy và giải mã thành công tập tin. Trong bộ lễ phục. Hình 17 cho thấy tôi đã lưu tệp được giải mã vào màn hình nền của mình.


    Cơm. 15. Tìm kiếm chìa khóa


    Cơm. 16. Cửa sổ quét


    Cơm. 17. File được giải mã lại

    Trước sự xấu hổ của EFS hoặc sự ghi nhận của Phục hồi dữ liệu EFS nâng cao, trong cả hai trường hợp, tệp đã được giải mã. Đồng thời, như bạn có thể thấy, tôi không cần bất kỳ kiến ​​​​thức hay kỹ năng đặc biệt nào. Tất cả những gì bạn cần làm là khởi chạy một chương trình sẽ thực hiện tất cả công việc cho bạn. Bạn có thể đọc về cách hoạt động của chương trình trên trang web của nhà phát triển (http://www.elcomsoft.ru/); chúng tôi sẽ không thảo luận chi tiết về nguyên tắc hoạt động của nó trong bài viết này, vì AEFSDR không phải là chủ đề của bài viết .
    Công bằng mà nói, phải nói rằng các chuyên gia có thể cấu hình hệ thống để Advanced EFS Data Recovery sẽ bất lực. Tuy nhiên, chúng tôi đã đề cập đến cách sử dụng EFS phổ biến nhất cho đại đa số người dùng.

    Hệ thống mã hóa minh bạch được triển khai trong CyberSafe Top Secret

    Hãy xem cách triển khai mã hóa minh bạch trong CyberSafe. Để mã hóa minh bạch, trình điều khiển Bộ mã hóa tệp trong suốt Alfa (http://www.alfasp.com/products.html) được sử dụng để mã hóa các tệp bằng thuật toán AES-256 hoặc thuật toán GOST 28147-89 (khi sử dụng Crypto-Pro ).
    Quy tắc mã hóa (mặt nạ tệp, quy trình được phép/bị cấm, v.v.), cũng như khóa mã hóa, được gửi tới trình điều khiển. Bản thân khóa mã hóa được lưu trữ trong thư mục ADS (Luồng dữ liệu thay thế, eb.by/Z598) và được mã hóa bằng OpenSSL (thuật toán RSA) hoặc GOST R 34.10-2001 - các chứng chỉ được sử dụng cho việc này.
    Logic như sau: thêm một thư mục, CyberSafe tạo khóa cho trình điều khiển, mã hóa nó bằng các chứng chỉ công khai đã chọn (chúng phải được tạo hoặc nhập trước đó vào CyberSafe). Khi bất kỳ người dùng nào cố gắng truy cập vào một thư mục, CyberSafe sẽ mở thư mục ADS và đọc khóa được mã hóa. Nếu người dùng này có khóa riêng của chứng chỉ (anh ta có thể có một hoặc nhiều chứng chỉ của riêng mình) được sử dụng để mã hóa khóa, anh ta có thể mở thư mục này và đọc các tệp. Cần lưu ý rằng trình điều khiển chỉ giải mã những gì cần thiết chứ không phải tất cả các tệp khi quyền truy cập vào tệp được cấp. Ví dụ: nếu người dùng mở một tài liệu Word lớn, thì chỉ phần hiện được tải vào trình chỉnh sửa mới được giải mã và phần còn lại sẽ được tải khi cần. Nếu tệp nhỏ thì nó sẽ được giải mã hoàn toàn, nhưng các tệp còn lại vẫn được mã hóa.
    Nếu thư mục là thư mục mạng dùng chung thì các tệp trong đó vẫn được mã hóa; trình điều khiển máy khách chỉ giải mã tệp hoặc một phần tệp trong bộ nhớ, mặc dù điều này cũng đúng đối với thư mục cục bộ. Khi chỉnh sửa tệp, trình điều khiển sẽ mã hóa các thay đổi trong bộ nhớ và ghi chúng vào tệp. Nói cách khác, ngay cả khi một thư mục được bật (chúng tôi sẽ cho bạn biết đó là gì sau), dữ liệu trên đĩa vẫn luôn được mã hóa.

    Sử dụng CyberSafe Top Secret để mã hóa các tệp và thư mục một cách minh bạch

    Đã đến lúc xem xét công dụng thực tế của CyberSafe Top Secret. Để mã hóa một thư mục, hãy vào phần chương trình Mã hóa minh bạch(chuyển hướng Mã hóa tập tin), xem hình. 18. Sau đó, từ Explorer, kéo các thư mục bạn muốn mã hóa vào vùng làm việc của chương trình. Bạn cũng có thể sử dụng nút Ex. thư mục. Tôi đã thêm một thư mục - C:\CS-Crypted.


    Cơm. 18. Chương trình Bí mật hàng đầu của CyberSafe

    Nhấn vào nút Áp dụng. Trong cửa sổ xuất hiện (Hình 19), hãy nhấp vào nút Đúng hoặc Có cho mọi thứ x (nếu bạn đang cố mã hóa nhiều thư mục cùng một lúc). Tiếp theo, bạn sẽ thấy một cửa sổ để chọn chứng chỉ, các khóa của cửa sổ này sẽ được sử dụng để mã hóa thư mục trong suốt (Hình 20). Theo quy định, chứng chỉ được tạo ngay sau khi cài đặt chương trình. Nếu bạn chưa làm điều này, bạn sẽ phải quay lại phần Khóa riêng và nhấn nút Tạo nên.


    Cơm. 19. Bấm Có


    Cơm. 20. Lựa chọn chứng chỉ để mã hóa minh bạch

    Câu hỏi tiếp theo của chương trình là liệu bạn có cần đặt khóa quản trị viên cho thư mục này hay không (Hình 21). Nếu không có khóa quản trị viên, bạn sẽ không thể thực hiện các thay đổi đối với thư mục, vì vậy hãy nhấp vào nút Đúng.


    Cơm. 21. Nhấn lại Đúng

    Sau đó, bạn sẽ trở lại cửa sổ chương trình chính. Trước khi bắt đầu làm việc với một thư mục được mã hóa, bạn cần chọn nó và nhấp vào nút Bật. Chương trình sẽ yêu cầu mật khẩu của chứng chỉ (Hình 22) được chỉ định để mã hóa thư mục này. Sau này, làm việc với một thư mục được mã hóa sẽ không khác gì làm việc với một thư mục thông thường. Trong cửa sổ CyberSafe, thư mục sẽ được đánh dấu là đang mở và biểu tượng ổ khóa sẽ xuất hiện ở bên trái biểu tượng thư mục (Hình 23).


    Cơm. 22. Nhập mật khẩu chứng chỉ


    Cơm. 23. Đã kết nối thư mục được mã hóa

    Trong Explorer, cả thư mục được mã hóa và tệp được mã hóa đều không được đánh dấu theo bất kỳ cách nào. Nhìn bề ngoài, chúng trông giống như các thư mục và tệp khác (không giống như EFS, trong đó tên của các tệp/thư mục được mã hóa được đánh dấu màu xanh lục), xem hình. 24.


    Cơm. 24. Thư mục được mã hóa CS-Crypted trong Explorer

    Cần lưu ý rằng bạn có thể mã hóa thư mục mạng theo cách tương tự. Trong trường hợp này, chương trình CyberSafe chỉ được đặt trên máy tính của người dùng chứ không phải trên máy chủ tệp. Tất cả quá trình mã hóa được thực hiện trên máy khách và các tệp đã được mã hóa sẽ được chuyển đến máy chủ. Quyết định này còn hơn cả hợp lý. Thứ nhất, dữ liệu đã được mã hóa sẽ được truyền qua mạng. Thứ hai, ngay cả khi quản trị viên máy chủ muốn truy cập các tệp, anh ta sẽ không thể làm bất cứ điều gì vì chỉ những người dùng có chứng chỉ được chỉ định trong quá trình mã hóa mới có thể giải mã các tệp. Nhưng quản trị viên, nếu cần, có thể sao lưu các tệp được mã hóa.
    Khi thư mục đã mã hóa không còn cần thiết nữa, bạn cần vào chương trình CyberSafe, chọn thư mục và nhấn nút Tắt. Giải pháp này có vẻ không thuận tiện với bạn như EFS - bạn cần nhấn nút bật/tắt. Nhưng đây chỉ là cái nhìn đầu tiên. Đầu tiên, người dùng hiểu rõ rằng thư mục đã được mã hóa và anh ta sẽ không quên sự thật này khi cài đặt lại Windows. Thứ hai, với EFS, nếu bạn cần rời khỏi máy tính, bạn cần phải đăng xuất, vì khi bạn vắng mặt, bất kỳ ai cũng có thể đến gần máy tính của bạn và truy cập các tệp của bạn. Tất cả những gì anh ta phải làm là sao chép các tập tin của bạn sang một thiết bị không hỗ trợ mã hóa, chẳng hạn như ổ flash FAT32. Sau đó, anh ấy sẽ có thể xem các tập tin bên ngoài máy tính của bạn. Với CyberSafe, mọi thứ trở nên thuận tiện hơn một chút. Có, bạn cần thực hiện thêm hành động (“tắt” thư mục) và tất cả các tệp được mã hóa sẽ không thể truy cập được. Nhưng mặt khác, bạn sẽ không cần phải khởi chạy lại tất cả các chương trình và mở tất cả tài liệu (kể cả những tài liệu không được mã hóa) - như sau khi đăng nhập lại.
    Tuy nhiên, mỗi sản phẩm đều có những đặc điểm riêng. CyberSafe cũng không ngoại lệ. Hãy tưởng tượng rằng bạn đã mã hóa thư mục C:\CS-Crypted và đặt tệp report.txt vào đó. Khi thư mục bị vô hiệu hóa tất nhiên bạn sẽ không thể đọc được file. Khi thư mục bao gồm, bạn có thể truy cập tệp và theo đó, sao chép nó vào bất kỳ thư mục nào khác, không được mã hóa. Nhưng sau khi sao chép tập tin vào một thư mục không được mã hóa, nó vẫn tiếp tục hoạt động. Một mặt, nó không thuận tiện như trường hợp của EFS, mặt khác, khi biết tính năng này của chương trình, người dùng sẽ kỷ luật hơn và sẽ chỉ lưu trữ các tệp bí mật của mình trong các thư mục được mã hóa.

    Hiệu suất

    Bây giờ chúng ta hãy thử xem cái nào nhanh hơn - EFS hay CyberSafe Top Secret. Tất cả các thử nghiệm được thực hiện trên máy thật - không có máy ảo. Cấu hình máy tính xách tay như sau - Intel 1000M (1,8 GHz)/RAM 4 GB/WD WD5000LPVT (500 GB, SATA-300, 5400 RPM, bộ đệm 8 MB/Windows 7 64-bit). Chiếc xe không mạnh mẽ lắm, nhưng nó là như vậy.
    Bài kiểm tra sẽ cực kỳ đơn giản. Chúng ta sẽ sao chép file vào từng thư mục và xem quá trình sao chép mất bao lâu. Kịch bản đơn giản sau đây sẽ giúp chúng tôi tìm ra công cụ mã hóa minh bạch nào nhanh hơn:

    @echo off echo "Sao chép 5580 tệp sang EFS-Crypted" echo %time% robocopy c:\Joomla c:\EFS-Crypted /E > log1 echo %time% echo "Sao chép 5580 tệp sang CS-Crypted" echo %time% robocopy c:\Joomla c:\CS-Crypted /E > log2 echo %time%

    Không cần phải có chuyên gia lập trình mới có thể hiểu được kịch bản này làm gì. Không có gì bí mật khi chúng ta thường làm việc với các tệp tương đối nhỏ có kích thước từ vài chục đến vài trăm kilobyte. Tập lệnh này sao chép Joomla! 3.3.6, chứa 5580 tệp nhỏ này, đầu tiên là trong thư mục được mã hóa EFS và sau đó là trong thư mục được mã hóa CyberSoft. Hãy xem ai sẽ là người chiến thắng.
    Lệnh robocopy được sử dụng để sao chép đệ quy các tệp, bao gồm cả các tệp trống (tùy chọn /E) và đầu ra của nó được cố tình chuyển hướng đến một tệp văn bản (nếu muốn, bạn có thể xem những gì đã được sao chép và những gì không) để không gây lộn xộn đầu ra kịch bản.
    Kết quả của thử nghiệm thứ hai được thể hiện trong Hình 2. 25. Như bạn có thể thấy, EFS đã hoàn thành nhiệm vụ này trong 74 giây và CyberSoft chỉ trong 32 giây. Xét thấy rằng trong hầu hết các trường hợp, người dùng làm việc với nhiều tệp nhỏ, CyberSafe sẽ nhanh hơn gấp đôi so với EFS.


    Cơm. 25. Kết quả kiểm tra

    Lợi ích của mã hóa minh bạch CyberSafe

    Bây giờ hãy tóm tắt một chút. Ưu điểm của mã hóa minh bạch CyberSafe bao gồm các sự kiện sau:
    1. Khi bạn tắt một thư mục, các tệp có thể được sao chép và mã hóa ở bất kỳ đâu, điều này cho phép bạn tổ chức mã hóa đám mây.
    2. Trình điều khiển chương trình CyberSafe cho phép bạn làm việc qua mạng, giúp bạn có thể tổ chức.
    3. Để giải mã một thư mục, bạn không chỉ cần biết mật khẩu mà còn phải có chứng chỉ phù hợp. Khi sử dụng Crypto-Pro, khóa có thể được chuyển thành mã thông báo.
    4. Ứng dụng CyberSafe hỗ trợ tập lệnh AES-NI, có tác động tích cực đến hiệu suất chương trình (như đã được chứng minh qua các thử nghiệm ở trên).
    5. Bạn có thể tự bảo vệ mình khỏi bị truy cập trái phép vào khóa riêng của mình bằng cách sử dụng xác thực hai yếu tố.
    6. Hỗ trợ các ứng dụng đáng tin cậy
    Hai ưu điểm cuối cùng đáng được quan tâm đặc biệt. Để bảo vệ bản thân khỏi quyền truy cập vào khóa riêng của người dùng, bạn có thể bảo vệ chính chương trình CyberSafe. Để thực hiện việc này, hãy chạy lệnh Công cụ, Cài đặt(Hình 26). Trong cửa sổ Cài đặt, trên tab Xác thực bạn có thể kích hoạt xác thực mật khẩu hoặc xác thực hai yếu tố. Để biết chi tiết về cách thực hiện việc này, hãy xem sổ tay hướng dẫn CyberSafe ở trang 119.


    Cơm. 26. Bảo vệ chính chương trình CyberSafe

    Trên tab Cho phép. các ứng dụng Bạn có thể xác định các ứng dụng đáng tin cậy được phép hoạt động với các tệp được mã hóa. Theo mặc định, tất cả các ứng dụng đều được tin cậy. Nhưng để bảo mật hơn, bạn có thể đặt các ứng dụng được phép hoạt động với các tệp được mã hóa. Trong bộ lễ phục. 27 Tôi đã chỉ định MS Word và MS Excel là các ứng dụng đáng tin cậy. Nếu bất kỳ chương trình nào khác cố gắng truy cập vào thư mục được mã hóa, nó sẽ bị từ chối truy cập. Để biết thêm thông tin, hãy xem bài viết “Mã hóa minh bạch các tệp trên máy tính cục bộ của bạn bằng Mã hóa tệp CyberSafe” (http://site/company/cybersafe/blog/210458/). Thêm thẻ