Biztonságos adathordozó

A biztonságos adathordozó az információk biztonságos tárolására szolgáló eszköz a titkosítási módszerek egyikével és a vészhelyzeti adatmegsemmisítés lehetőségével.

Bevezetés

Bizonyos esetekben a számítógép-felhasználóknak meg kell védeniük munkájuk eredményét az illetéktelen hozzáféréstől . A hagyományos védekezési módszer az információ titkosítása . Ennek a módszernek a lényege a következő: a felhasználó a munkája befejeztével vagy titkosítja a fájlt (fájlokat) a számos titkosítási rendszer ( GnuPG , TrueCrypt , PGP stb.) valamelyikével, vagy létrehoz egy jelszóval védett archívumot. . Mindkét módszer bizonyos követelmények betartása mellett (megfelelő hosszúságú jelszó használatával) lehetővé teszi az adatok megbízható védelmét [1] . Az adatokkal ezen elvek alapján dolgozni azonban meglehetősen kényelmetlen: a felhasználónak biztonságosan meg kell semmisítenie a bizalmas adatok titkosítatlan másolatát, és a védett adatokkal való munka folytatásához létre kell hoznia egy titkosítatlan másolatot.

A módszer alternatívája lehet a teljesen titkosított adathordozók használata. A titkosított adathordozó az operációs rendszer szintjén egy szokásos logikai meghajtó . Két fő megközelítés létezik a titkosított adathordozók létrehozására: hardver-szoftver és szoftver.

Adathordozók használatának lehetőségei

A biztonságos adathordozó lehetővé teszi a kétfaktoros felhasználói hitelesítés megszervezését, amikor jelszót vagy PIN-kódot kell megadnia a médiáról és magáról az eszközről a rendszerbe való belépéshez. Az információhordozók használatának lehetőségei a következők:

Felhasználói hitelesítés operációs rendszerben, címtárszolgáltatásokban és hálózatokban ( Microsoft , Linux , Unix , Novell operációs rendszerek ).
A számítógépek védelme a jogosulatlan letöltésektől.
Erős felhasználói hitelesítés, hozzáférés-ellenőrzés, a hálózaton keresztül továbbított adatok védelme webes erőforrásokban ( Internetes áruházak , elektronikus kereskedelem ).
E-mail - EDS generálás és adattitkosítás, beléptetés, jelszavas védelem.
Nyilvános kulcsú titkosítási rendszerek ( PKI ), hitelesítésszolgáltatók - X.509-tanúsítványok tárolása, a kulcsinformációk megbízható és biztonságos tárolása, a privát kulcs kompromittálásának kockázatának jelentős csökkentése.
Biztonságos adatátviteli csatornák szervezése ( VPN technológia , IPSec és SSL protokollok ) - felhasználó hitelesítés, kulcsgenerálás, kulcscsere.
Munkafolyamat-rendszerek — jogilag jelentős védett munkafolyamat létrehozása EDS és titkosítás segítségével (adóbevallások, szerződések és egyéb kereskedelmi információk továbbítása az interneten keresztül).
Üzleti alkalmazások, adatbázisok, ERP rendszerek - felhasználói hitelesítés, konfigurációs információk tárolása, digitális aláírás és a továbbított és tárolt adatok titkosítása.
"Client-Bank" rendszerek, elektronikus fizetések - a lebonyolított tranzakciók jogi jelentőségének biztosítása, az ügyfelek szigorú kölcsönös azonosítása és jogosultsága.
Kriptográfia – a kulcsfontosságú információk kényelmes használatának és biztonságos tárolásának biztosítása tanúsított kriptográfiai információvédelmi eszközökben (kriptoszolgáltatók és kriptokönyvtárak).
Terminálhozzáférés és vékony kliensek – felhasználói hitelesítés, paraméterek és munkamenet-beállítások tárolása.
Lemeztitkosítás - a védett adatokhoz való hozzáférés megkülönböztetése és ellenőrzése, felhasználói hitelesítés, titkosítási kulcsok tárolása.
Lemezeken lévő adatok titkosítása - felhasználói hitelesítés, titkosítási kulcsok generálása, kulcsinformációk tárolása.
A régebbi alkalmazások támogatása és a jelszavas védelem felváltása erősebb kéttényezős hitelesítéssel .

Hardveres titkosítás

A titkosítási hardver vagy speciális meghajtók ( IronKey , eToken NG-Flah média, ruToken Flash média), vagy speciális merevlemez-hozzáférési vezérlők (KRYPTON kriptográfiai adatvédelmi eszközök, az ANKAD által kifejlesztett [2] ) formájában valósul meg.

A védett meghajtók közönséges flash meghajtók , amelyek adattitkosítása közvetlenül történik, amikor az információkat egy speciális vezérlővel írják a meghajtóra. Az információk eléréséhez a felhasználónak meg kell adnia egy személyes jelszót.

A KRYPTON típusú vezérlők egy PCI szabványú bővítőkártya, amely biztosítja a biztonságos adathordozóra írt adatok átlátható titkosítását. Létezik a hardveres titkosítás szoftveres emulációja is, a KRYPTON - Crypton Emulator.

Szoftveres titkosítási módszerek

A szoftveres titkosítási módszerek bizonyos szoftverek segítségével biztonságos adathordozók létrehozásából állnak. Számos módszer létezik a biztonságos adathordozó létrehozására szoftveres módszerekkel: biztonságos fájltároló létrehozása, merevlemez-partíció titkosítása, merevlemez-rendszerpartíció titkosítása.

Ha védett adathordozót hoz létre egy fájltároló használatával, egy speciális program létrehozza a megadott méretű fájlt a lemezen. A védett adathordozókkal való munka megkezdéséhez a felhasználó beilleszti azt az operációs rendszerbe. A rögzítés az adathordozó létrehozásához használt program segítségével történik. Felszereléskor a felhasználó jelszót ad meg (a kulcsfájlok, intelligens kártyák stb. segítségével történő felhasználói azonosítási módszerek is lehetségesek). Felszerelés után egy új logikai meghajtó jelenik meg az operációs rendszerben, amellyel a felhasználónak lehetősége van úgy dolgozni, mint a hagyományos (nem titkosított) adathordozókkal. Miután a védett adathordozóval végzett munkamenet befejeződött, a rendszer leválasztja. A biztonságos adathordozón lévő információk titkosítása azonnal megtörténik, amikor az adatokat az operációs rendszer illesztőprogramjának szintjén írják rá. A média védett tartalmaihoz való hozzáférés szinte lehetetlen [3] .

A merevlemez teljes szakaszainak titkosítása során az eljárás általában ugyanaz. Az első szakaszban egy rendes, titkosítatlan lemezpartíció jön létre. Ezután az egyik titkosítási eszköz segítségével a partíció titkosításra kerül. A titkosítást követően a partíció csak a csatlakoztatás után érhető el. A fel nem csatolt titkosított partíció úgy néz ki, mint a merevlemez le nem osztott területe.

A titkosítási rendszerek legújabb verzióiban lehetővé vált a merevlemez rendszerpartíciójának titkosítása. Ez a folyamat hasonló a merevlemez-partíció titkosításához, azzal a különbséggel, hogy a partíciót a rendszer akkor csatlakoztatja, amikor a számítógép elindul, mielőtt az operációs rendszer elindulna.

Egyes titkosítási rendszerek lehetővé teszik rejtett partíciók létrehozását a titkosított adathordozókon belül (a fent felsorolt típusok bármelyike: fájltároló, titkosított partíció, titkosított rendszerpartíció). Rejtett partíció létrehozásához a felhasználó egy védett adathordozót hoz létre a szokásos szabályok szerint. Ezután a létrehozott média keretein belül egy másik, rejtett partíció jön létre. A rejtett részhez való hozzáféréshez a felhasználónak a jelszótól eltérő jelszót kell megadnia a nyilvános részhez való hozzáféréshez. Így különböző jelszavak megadásával a felhasználó lehetőséget kap arra, hogy a védett adathordozó egyik (nyitott) vagy másik (rejtett) részével dolgozzon. Rendszerpartíció titkosításánál lehetőség van rejtett operációs rendszer létrehozására (a nyílt partíció jelszavának megadásával az operációs rendszer egyik példánya, a rejtett partíció jelszavának megadásával egy másik példány betöltődik). A fejlesztők ugyanakkor kijelentik, hogy egy nyitott konténeren belül nem lehet kimutatni egy rejtett szakasz jelenlétét [4] . A rejtett konténerek létrehozását meglehetősen sok program támogatja: TrueCrypt , PGP , BestCrypt , DiskCryptor stb.

Lásd még

Jegyzetek

↑ Kutatások szerint a 8 karakteres (latin kis- és nagybetűk és számok) WinZIP 9+ archiváló jelszóválasztási sebessége szuperszámítógép használatával is 31 nap lesz (Ivan Golubev cikke " A jelszó sebességéről brute hatályos a CPU-ra és a GPU -ra " A Wayback Machine 2013. június 21-i archív példánya ")
↑ A KRYPTON sorozat kriptográfiai adatvédelmi eszközei . Letöltve: 2016. június 2. Az eredetiből archiválva : 2017. december 17. (határozatlan)
↑ Alex Biryukov és Johan Grossshadl, a Luxemburgi Egyetem Algoritmikus, Kriptológiai és Biztonsági Laboratóriumának kutatói szerint több mint ezermilliárd dollárba és egy évbe telik az AES algoritmus (gyakran használnak biztonságos konténerek készítésekor) megtöréséhez. kulcs hossza 256 bájt
↑ Bruce Schneier vezette kutatócsoportnak sikerült rejtett fájlokat találnia a TrueCrypt 5.0 használatával létrehozott titkosított partíción belül (xakep.ru magazin, 2008. július 18.) Archiválva : 2012. december 1. a Wayback Machine -en .