Suojattu tallennusväline

Turvallinen tallennusväline on laite tietojen turvalliseen tallentamiseen käyttämällä yhtä salausmenetelmistä ja mahdollisuutta tuhota tiedot hätätilanteessa.

Johdanto

Tietyissä tapauksissa tietokoneen käyttäjien on suojattava työnsä tulokset luvattomalta käytöltä . Perinteinen suojausmenetelmä on tiedon salaus . Tämän menetelmän ydin on seuraava: työnsä päätyttyä käyttäjä joko salaa tiedoston (tiedostot) jollakin lukuisista salausjärjestelmistä ( GnuPG , TrueCrypt , PGP jne.) tai luo salasanalla suojatun arkiston . Molemmat menetelmät mahdollistavat tietojen luotettavan suojaamisen tietyin edellytyksin (käyttäen riittävän pitkää salasanaa) [1] . Näihin periaatteisiin perustuvien tietojen kanssa työskentely on kuitenkin melko hankalaa: käyttäjän on tuhottava salaamaton kopio luottamuksellisista tiedoista turvallisesti, ja suojattujen tietojen kanssa työskentelyn jatkamiseksi on luotava niistä salaamaton kopio.

Vaihtoehto tälle menetelmälle voi olla täysin salattujen tallennusvälineiden käyttö. Salattu media käyttöjärjestelmätasolla on tavallinen looginen asema . Salatun median luomiseen on kaksi päätapaa: laitteisto-ohjelmisto ja ohjelmisto.

Tallennusvälineiden käyttömahdollisuudet

Suojatun median avulla voit järjestää kaksivaiheisen käyttäjän todennuksen, kun sinun on annettava salasana tai pin-koodi medialta ja itse laitteelta päästäksesi järjestelmään. Tietovälineiden käyttömahdollisuudet ovat seuraavat:

Käyttäjien todennus käyttöjärjestelmissä, hakemistopalveluissa ja verkoissa ( Microsoft , Linux , Unix , Novell käyttöjärjestelmät ).
Suojaa tietokoneita luvattomilta latauksilta.
Vahva käyttäjän todennus, kulunvalvonta, verkon kautta siirrettävien tietojen suojaus verkkoresursseissa ( Internet-kaupat , sähköinen kaupankäynti ).
Sähköposti - EDS :n luominen ja tietojen salaus, kulunvalvonta, salasanasuojaus.
Julkisen avaimen salausjärjestelmät ( PKI ), varmentajat - X.509-varmenteiden tallennus, avaintietojen luotettava ja turvallinen tallennus, mikä vähentää merkittävästi yksityisen avaimen vaarantumisen riskiä.
Turvallisten tiedonsiirtokanavien organisointi ( VPN -tekniikka , IPSec- ja SSL-protokollat ) - käyttäjien todennus, avainten luominen, avainten vaihto.
Työnkulkujärjestelmät — oikeudellisesti merkittävän suojatun työnkulun luominen EDS:n ja salauksen avulla (veroilmoitusten, sopimusten ja muiden kaupallisten tietojen siirto Internetin kautta).
Liiketoimintasovellukset, tietokannat, ERP -järjestelmät - käyttäjien todennus, konfigurointitietojen tallennus, digitaalinen allekirjoitus ja siirrettävien ja tallennettujen tietojen salaus.
"Asiakas-pankki" -järjestelmät, sähköiset maksut - suoritettujen tapahtumien oikeudellisen merkityksen varmistaminen, tiukka keskinäinen autentikointi ja asiakkaiden valtuutus.
Kryptografia - varmistaa avaintietojen kätevän käytön ja turvallisen tallennuksen sertifioiduissa kryptografisten tietojen suojaustyökaluissa (salauspalveluntarjoajat ja kryptolibrit).
Päätepääsy ja ohuet asiakkaat - käyttäjien todennus, parametrien ja istuntoasetusten tallennus.
Levyn salaus - suojattujen tietojen eriyttäminen ja pääsyn valvonta, käyttäjien todennus, salausavainten tallennus.
Levyillä olevien tietojen salaus - käyttäjän todennus, salausavainten luominen, avaintietojen tallennus.
Tuki vanhoille sovelluksille ja salasanasuojauksen korvaaminen vahvemmalla kaksivaiheisella todennuksella .

Hardware Encryption

Salauslaitteistot toteutetaan joko erikoisasemien muodossa ( IronKey , eToken NG-Flah media, ruToken Flash media) tai erikoistuneina kiintolevyn pääsyohjaimina (ANKADin kehittämät KRYPTON-salaustietosuojalaitteet [2] ).

Suojatut asemat ovat tavallisia flash-asemia , joiden tietojen salaus suoritetaan suoraan, kun tiedot kirjoitetaan asemaan erityisellä ohjaimella. Päästäkseen tietoihin käyttäjän on määritettävä henkilökohtainen salasana.

KRYPTON-tyyppiset ohjaimet ovat PCI -standardin laajennuskortti, joka tarjoaa läpinäkyvän salauksen suojatulle tallennusvälineelle kirjoitetuille tiedoille. Laitteistosalauksesta on myös ohjelmistoemulointi KRYPTON - Crypton Emulator.

Ohjelmiston salausmenetelmät

Ohjelmiston salausmenetelmät koostuvat suojatun median luomisesta tiettyjen ohjelmistojen avulla. Suojatun tallennusvälineen luomiseen ohjelmistomenetelmillä on useita tapoja: suojatun tiedostosäiliön luominen, kiintolevyosion salaus, kiintolevyn järjestelmäosion salaus.

Kun suojattua tallennusvälinettä luodaan tiedostosäiliön avulla, erikoisohjelma luo määritetyn kokoisen tiedoston levylle. Aloitakseen suojatun median käytön käyttäjä asentaa sen käyttöjärjestelmään. Asennus suoritetaan median luomiseen käytetyn ohjelman avulla. Asennettaessa käyttäjä määrittää salasanan (myös käyttäjien tunnistamismenetelmät avaintiedostoilla, älykorteilla jne. ovat mahdollisia). Asennuksen jälkeen käyttöjärjestelmään ilmestyy uusi looginen asema, jonka kanssa käyttäjällä on mahdollisuus työskennellä kuten tavallisen (salaamattoman) median kanssa. Kun istunto suojatun median kanssa on päättynyt, se poistetaan. Tietojen salaus suojatulla medialla suoritetaan välittömästi, kun siihen kirjoitetaan tietoja käyttöjärjestelmän ajurin tasolla. Median suojattuun sisältöön pääsy on lähes mahdotonta [3] .

Kun salataan kiintolevyn kokonaisia osia, menettely on yleensä sama. Ensimmäisessä vaiheessa luodaan tavallinen, salaamaton levyosio. Sitten osio salataan jollakin salaustyökalulla. Kun osio on salattu, sitä voidaan käyttää vasta sen jälkeen, kun se on asennettu. Kiinnittämätön salattu osio näyttää kiintolevyn varaamattomalta alueelta.

Salausjärjestelmien uusimmissa versioissa tuli mahdolliseksi salata kiintolevyn järjestelmäosio. Tämä prosessi on samanlainen kuin kiintolevyosion salaus, paitsi että osio asennetaan, kun tietokone käynnistyy ennen käyttöjärjestelmän käynnistymistä.

Jotkut salausjärjestelmät tarjoavat mahdollisuuden luoda piilotettuja osioita salatuille tallennusvälineille (mikä tahansa edellä luetelluista tyypeistä: tiedostosäilö, salattu osio, salattu järjestelmäosio). Piilotetun osion luomiseksi käyttäjä luo suojatun median tavallisten sääntöjen mukaisesti. Sitten luodun median puitteissa luodaan toinen piilotettu osio. Päästäkseen piilotettuun osioon käyttäjän on määritettävä salasanasta eri salasana päästäkseen julkiseen osioon. Siten eri salasanoja määrittämällä käyttäjä saa mahdollisuuden työskennellä suojatun median yhden (avoimen) tai toisen (piilotetun) osan kanssa. Kun järjestelmäosio salataan, on mahdollista luoda piilotettu käyttöjärjestelmä (määrittämällä avoimen osion salasana, käyttöjärjestelmästä ladataan yksi kopio ja piilotetun osion salasanalla toinen). Samalla kehittäjät ilmoittavat, että avoimessa säiliössä ei ole mahdollista havaita piilotetun osan läsnäoloa [4] . Piilotettujen säiliöiden luomista tukee melko suuri määrä ohjelmia: TrueCrypt , PGP , BestCrypt , DiskCryptor jne.

Katso myös

Muistiinpanot

↑ Tutkimusten mukaan 8 merkin pituisen WinZIP 9+ -arkiston (latinalaiset pienet ja suuret kirjaimet ja numerot) salasanan valintanopeus jopa supertietokonetta käytettäessä on 31 päivää (Ivan Golubevin artikkeli " Salasanan nopeudesta brute " voimassa CPU:ssa ja GPU:ssa " Arkistokopio päivätty 21. kesäkuuta 2013 Wayback Machinessa ")
↑ KRYPTON-sarjan kryptografiset tietosuojalaitteet . Haettu 2. kesäkuuta 2016. Arkistoitu alkuperäisestä 17. joulukuuta 2017. (määrätön)
↑ Luxemburgin yliopiston algoritmien, kryptologian ja turvallisuuden laboratorion tutkijoiden Alex Biryukovin ja Johan Grossshadlin mukaan kestää yli biljoona dollaria ja vuosi rikkoa AES -algoritmi (jota käytetään usein suojattujen säiliöiden luomisessa) avaimen pituus 256 tavua
↑ Bruce Schneierin johtama tutkijaryhmä onnistui löytämään piilotetut tiedostot TrueCrypt 5.0 :lla luodussa salatussa osiossa (xakep.ru-lehti, 18. heinäkuuta 2008) Arkistoitu 1. joulukuuta 2012 Wayback Machinessa .