Narzędzia do szyfrowania danych

0

Każdego tygodnia na świecie giną dziesiątki tysięcy laptopów pozostawionych w hotelach, samochodach i na lotniskach. Łupem złodziei pada nie tylko sprzęt, ale i ogrom danych przechowywanych na dyskach skradzionych komputerów. Szyfrowanie danych zabezpiecza je przed ujawnieniem.

Jak wynika z raportu The Cost of a Lost Laptop, opublikowanego w zeszłym roku przez Ponemon Institute, średni koszt utraty notebooka wynosi 49,246 dolarów. 80% tych kosztów przypada na utratę lub ujawnienie danych. Raport ujawnia także inną istotną zależność. W przypadku urządzeń, których dyski zabezpieczono przez szyfrowanie, koszt utraty był o prawie 20 tysięcy niższy niż w przypadku laptopów, które takiego zabezpieczenia nie miały. Odpowiedź na pytanie, czy warto szyfrować dane, jest zatem oczywista: zdecydowanie tak!

Istnieje co najmniej kilka powodów, dla których należy szyfrować dane. Informacje przechowywane na służbowych laptopach, stacjach roboczych i serwerach zawierają dane osobowe oraz tajemnice firmy – ewidencję przychodów i rozchodów, umowy handlowe, dokumenty wewnętrzne itd. To niezły kąsek dla konkurencji. Ich ujawnienie może powodować również rozmaite perturbacje prawne. Szyfrowanie zapewnia poufność danych, niezwykle pożądaną w czasach, kiedy coraz więcej informacji składowanych jest na notebookach i pamięciach przenośnych.

Najwyższe bezpieczeństwo danych zapewnia szyfrowanie całego dysku twardego komputera. Zabezpieczenie partycji systemowej zwiększa poziom ochrony. Oprócz zwykłych plików szyfrowane są pliki tymczasowe oraz pamięć swap, w których mogą znaleźć się poufne informacje. Szyfrowanie podstawowej partycji dysku wymaga jednak, aby uwierzytelnienie użytkownika przeprowadzone zostało już na etapie uruchamiania komputera.

Na rynku znajdziemy aplikacje, które umożliwiają szyfrowanie wybranych plików lub folderów na dysku. Do tej grupy można zaliczyć także wbudowany w Windows mechanizm EFS (Encrypted File System) zapewniający szyfrowanie danych na poziomie systemu plikowego.

Wirtualne kontenery
Osobną grupę programów stanowią narzędzia umożliwiające zaszyfrowanie wydzielonego obszaru dysku. Zasada ich działania polega na tworzeniu wirtualnych dysków w postaci zaszyfrowanego pliku. W zależności od nomenklatury przyjętej przez producenta oprogramowania takie dyski nazywane są kontenerami, magazynami, sejfami itd.

Zaszyfrowany plik jest zwykłym obiektem przechowywanym na dysku twardym komputera lub dowolnym, innym nośniku danych. Po poprawnym podłączeniu (zamontowaniu) kontener staje się widoczny w systemie operacyjnym jako kolejny dysk (partycja), na którym możemy zapisywać poufne informacje. Niektóre aplikacje umożliwiają podłączenie wirtualnego magazynu pod wybranym folderem zamiast pod własną literą dysku.

Przechowywanie danych w wirtualnych kontenerach ma swoje plusy i minusy. Do zalet tego rozwiązania należą:

  • bezpieczne i szybkie wdrożenie – tworzenie nowego sejfu nie wpływa na sposób funkcjonowania systemu operacyjnego. Kontenery mogą być tworzone przez zwykłych użytkowników
  • łatwe przenoszenie i kopiowanie – kontener może zostać skopiowany na inny nośnik danych lub komputer,
  • prostota tworzenia kopii zapasowych – wystarczy nagrać zaszyfrowany plik na płytę DVD, zapisać na taśmie, pamięci przenośnej lub zewnętrznym dysku twardym,
  • interoperacyjność – kontener może być podłączany w innym systemie operacyjnym (o ile aplikacja daje taką możliwość tak jak np. TrueCrypt). Warunkiem jest obsługa systemu plikowego założonego na wirtualnym dysku przez system operacyjny hosta.

Wśród wad wirtualnych dysków należy wymienić:

  • konieczność każdorazowego podłączania zabezpieczonego magazynu w systemie,
  • wymóg zapisu danych w szyfrowanym kontenerze, zapis w innym miejscu np. na Pulpicie powoduje, że dane te nie są zabezpieczone,
  • problematyczne odzyskanie plików w przypadku uszkodzenia wirtualnego dysku,
  • brak szyfrowania plików tymczasowych, pliku wymiany i innych obiektów tworzonych poza kontenerem.

Tutaj nic nie ma
Ukryte wolumeny to jedna z ciekawszych funkcji wybranych programów szyfrujących, zapewniająca dodatkową warstwę ochrony danych przed ich ujawnieniem. Zasada działania tego mechanizmu jest prosta i garściami czerpie z dziedziny nauki zwanej steganografią. Wewnątrz zwykłego wolumenu tworzony jest dodatkowy, ukryty wolumen. Oba wolumeny są szyfrowane niezależnym kluczem. W przypadku ujawnienia klucza do wolumenu głównego dane zgromadzone w wolumenie ukrytym pozostają bezpieczne. Atakujący nie jest w stanie stwierdzić, czy wewnątrz wolumenu znajdują się inne obiekty, czy też nie. Jedynym sposobem, aby się o tym przekonać jest poprawne (kolejne) uwierzytelnienie za pomocą hasła lub klucza do ukrytego wolumenu. Dla zmylenia przeciwnika zwykły wolumen wypełniany jest nieistotnymi danymi (plikami). Wydzieloną część jego obszaru wypełnia ukryty wolumen, w którym użytkownik gromadzi poufne informacje.

Mechanizm ukrytych wolumenów chroni nas w sytuacji, w której zmuszeni jesteśmy do ujawnienia klucza. Wyobraźmy sobie sytuację, w której do podania hasła zmuszeni jesteśmy przemocą (sytuacja zagrożenia życia) lub zobligowani prawnie (osobną kwestią pozostaje pytanie czy musimy ujawnić dowody świadczące przeciwko nam?). Ukryte wolumeny zapewniają wyższy poziom bezpieczeństwa poufnych informacji, jednocześnie stanowią potężne narzędzie niejednokrotnie wykorzystywane przez przestępców (pedofilia, terroryzm).

Dawid z Goliatem
W kryptografii, podobnie jak w innych dziedzinach nauki i życia, między twórcami zabezpieczeń, a ludźmi i organizacjami rządowymi chcącymi je złamać, toczy się zacięty bój. Siła zabezpieczenia zależy od algorytmu, długości klucza szyfrowania oraz sposobu, w jaki jest on przechowywany.

Na rynku dostępne jest oprogramowanie Passware Kit, które za jedyne 795 dolarów umożliwia odszyfrowanie dysków zabezpieczonych BitLockerem lub TrueCryptem. Passware Kit wykorzystuje dobrze znany atak Cold Boot polegający na uzyskaniu klucza szyfrującego przechowywanego w pamięci RAM komputera. Atakujący musi uzyskać więc fizyczny dostęp do komputera, ale samo urządzenie może być w trybie uśpienia, a nawet – w specyficznych warunkach – wyłączone. Mimo swojej ulotności dane pozostają w pamięci RAM jeszcze przez chwile po wyłączeniu komputera. Passware Kit wymaga, aby komputer był włączony, a zaszyfrowany wolumen podłączony w systemie. Aplikacja wykonuje zrzut pamięci atakowanego komputera, a następnie próbuje uzyskać klucz szyfrowania, który posłuży do odszyfrowania dysku twardego.

Osobną grupę stanowią ataki polegające na uzyskaniu hasła do zaszyfrowanego wolumenu podczas jego wprowadzania z klawiatury. Z zadaniem tym poradzi sobie dowolny keylogger, o ile wolumen jest podłączany w trakcie pracy z Windows. Aplikacje TopSecret oraz Jetico BestCrypt mają wbudowany moduł ochrony przed keyloggerami zapewniający dodatkową warstwę ochrony podczas montowania wirtualnego magazynu. Zdecydowanie trudniejszym zadaniem jest wykradzenie hasła do zaszyfrowanej partycji systemowej. Uwierzytelnienie użytkownika odbywa się już na etapie uruchomienia komputera. Potrzebna więc będzie bardziej wyrafinowana forma ataku.

Atak opisany jako Evil Maid polega na wprowadzeniu do menedżera startu TrueCrypt’a własnego keyloggera, który zarejestruje hasło wprowadzone przez użytkownika. Do wykonania tego zadania niezbędne jest uruchomienie (zbootowanie) komputera ze specjalnie przygotowanej pamięci USB. Teraz wystarczy poczekać, aż użytkownik poprawnie „zaloguje się” do komputera, a następnie odczytać przechwycone hasło ponownie uruchamiając komputer z nośnika USB. Nazwa Evil Maid („Zła pokojówka”) nie jest więc przypadkowa. Scenariusz, w którym atakujący uzyskuje dwukrotny dostęp do pozostawionego laptopa, z powodzeniem może zostać zrealizowany w zaciszu hotelowego pokoju.

Aby uzyskać więcej informacji o potencjalnych zagrożeniach oraz słabościach mechanizmów szyfrowania warto zajrzeć do dokumentacji TrueCrypta.

Jak ustrzec się przed tego typu atakami? Przede wszystkim, o ile to możliwe, nie powinniśmy zostawiać laptopa bez opieki. Skutecznym sposobem na uniknięcie ataku Evil Maid jest wyłączenie w BIOS-ie komputera możliwości uruchomienia z pamięci przenośnej lub CD. Komputer warto wyposażyć w dobry program antywirusowy, który zapewni ochronę przez szkodliwym oprogramowaniem i keyloggerami.

Bardzo ważnym aspektem jest wyłączanie komputera zamiast przenoszenia go w stan uśpienia lub hibernacji. Zasada ta powinna być przestrzegana bez względu na to jakiego oprogramowania szyfrującego używamy.

Co testowaliśmy?
Do testów wybraliśmy sześć programów przeznaczonych do szyfrowania danych. W zestawieniu uwzględniliśmy narzędzia do szyfrowania całych dysków, aplikacje do zabezpieczania danych w wirtualnych wolumenach w postaci zaszyfrowanego pliku oraz łączące obie te funkcje jednocześnie.

W przeglądzie znalazło się następujące oprogramowanie:

Licencja oraz wymagania systemowe
TrueCrypt oraz DiskCryptor są rozpowszechniane na zasadach otwartej licencji i mogą być używane za darmo w zastosowaniach prywatnych i komercyjnych. BitLocker jest jednym z ważniejszych składników systemu Windows. Funkcja ta dostępna jest jedynie w najdroższych edycjach Windows Vista i 7 oznaczonych jako Ultimate i Enterprise oraz wszystkich wersjach Windows Server 2008. Pojedyncza licencja na programy R-Crypto (bezpłatny dla domu), G Data TopSecret oraz Jetico BestCrypt to wydatek niewiele ponad stu złotych.

Wszystkie testowane aplikacje poprawnie działają w systemie Windows. Standardem jest już obsługa najnowszej edycji Windows 7. Wśród nich wyróżnia się TrueCrypt, którego autorzy udostępnili wersję programu dla Linuksa i MacOS X. W wersji dla Linuksa wydawany jest także Jetico BestCrypt.

Interfejs i obsługa
Polski interfejs użytkownika dostępny jest w programach TrueCrypt, TopSecret oraz BitLocker. W przypadku aplikacji z rodziny Jetico BestCrypt tylko moduł Volume Encryption przetłumaczony został na język polski.

Większość testowanych aplikacji, poza BestCrypt i DiskCryptor, wyposażono w graficzny kreator, który prowadzi użytkownika krok po kroku przez wszystkie etapy szyfrowania dysku lub tworzenia wirtualnego kontenera. Osoby, dla których ważnym kryterium wyboru jest prostota obsługi, powinny zainteresować się programami TopSecret oraz R-Crypto. Obie aplikacje mają czytelny, kolorowy interfejs, a ich obsługa jest niezwykle intuicyjna. Nieco trudniejsza okaże się natomiast konfiguracja funkcji BitLocker. Aby zaszyfrować pamięć przenośną wystarczy wejść w Panel sterowania i wybrać odpowiednią opcję. Ale już zmiana sposobu działania BitLockera wymaga modyfikacji Zasad Grupy. Nie należy jednak traktować tego jako wadę programu. Administratorzy IT docenią możliwość spójnej konfiguracji wszystkich składników systemu Windows.

Wszystkie omawiane programy, poza TopSecret, mogą być obsługiwane z wiersza poleceń. Do najważniejszych funkcji, które uda nam się w ten sposób wykonać, należy podłączanie i odłączanie zaszyfrowanych wolumenów. Standardem jest także możliwość używania skrótów klawiaturowych. Niestety, w przypadku R-Crypto i BestCrypt jedyną opcją, którą wywołamy przez skrót, jest odłączenie wolumenów.

Funkcje szyfrowania i nie tylko
Funkcja szyfrowania całych wolumenów dostępna jest w programach TrueCrypt, BestCrypt, BitLocker oraz BestCrypt Volume Encryption.

Obsługę wirtualnych kontenerów zaimplementowano w programach TrueCrypt, R-Crypto, TopSecret oraz BestCrypt. Trzy ostatnie z wymienionych aplikacji wykorzystują dyski w postaci pliku jako podstawowy sposób zabezpieczania danych.

Z kolei mechanizm ukrytych wolumenów dostępny jest m.in. w programach TrueCrypt oraz BestCrypt. TrueCrypt umożliwia tworzenie ukrytych wolumenów wewnątrz szyfrowanego dysku lub wirtualnego kontenera.

Typowe oprogramowanie do szyfrowania danych wyposażone jest w szereg innych, dodatkowych funkcji. Moduł Benchmark, dostępny m.in. w aplikacjach TrueCrypt, BestCrypt oraz DiskCryptor, pozwala sprawdzić wydajność algorytmów szyfrowania na danym komputerze. W ten sposób, jeszcze przed wyborem właściwego algorytmu, możemy dowiedzieć się z jaką maksymalną szybkością będzie odbywał się zapis na zabezpieczonym w ten sposób nośniku.

Wirtualne magazyny TrueCrypt i TopSecret mogą być podłączane na dowolnym komputerze bez konieczności instalowania programu w systemie.W TopSecret funkcję tę nazwano Sejfy przenośne, w TrueCrypt – Dysk podróżny.

Warto również zwrócić uwagę na funkcje bezpowrotnego kasowania danych wbudowane w aplikacjach R-Crypto i BestCrypt (BCWipe).

Algorytmy i szyfrowanie kaskadowe
Najczęściej implementowanym w programach szyfrujących algorytmem jest AES (Advanced Encryption Standard) z 256-bitowym kluczem działającym w trybie szyfrowania XTS. Szyfrując nośnik użytkownik może wybierać spośród najważniejszych konkurentów AES-a: Serpent, Twofish, rzadziej Mars (program TopSecret) i RC6 (TopSecret, BestCrypt). Wszystkie te algorytmy były finalistami konkursu ogłoszonego w 1997 roku przez agencję NIST (National Institute of Standard and Technology) na nowy standard algorytmu szyfrującego, który miał zastąpić uznanego wówczas za zbyt prosty do złamania algorytm DES.

W aplikacjach TrueCrypt oraz DiskCryptor wbudowano mechanizm szyfrowania kaskadowego. Zapewnia on ochronę danych, nawet gdyby któryś z użytych algorytmów został złamany. Wadą tego rozwiązania jest dłuższy czas wykonywania operacji szyfrowania i deszyfrowania. Dane są szyfrowane w dwóch lub trzech przebiegach, w każdym wykorzystywany jest inny algorytm z niezależnym kluczem. Przykładowo, TrueCrypt umożliwia użycie trzech szyfrów AES-Twofish-Serpent w trybie XTS. Każdy blok jest szyfrowany kolejno algorytmami Serpent, Twofish i AES z niezależnymi kluczami o długości 256 bitów. BitLocker wykorzystuje zaprojektowany przez Microsoft dyfuzor odpowiedzialny za mieszanie danych, które następnie są szyfrowane algorytmem AES działającym w trybie CBC.

Zabezpieczenia wolumenów
Podstawowym sposobem zabezpieczenia zaszyfrowanego wolumenu jest hasło. Najczęściej jest ono łączone z innymi metodami uwierzytelniania. Funkcja BitLocker używa modułu TPM do sprawdzenia integralności procesu uruchomienia systemu. BitLocker przechowuje w module TPM klucz szyfrowania. Uwierzytelnienie użytkownika w trakcie próby dostępu do sejfów TopSecret możliwe jest przy użyciu karty inteligentnej lub czytnika linii papilarnych (bardzo popularne rozwiązanie w biznesowych modelach laptopów). Składowanie kluczy na tokenie bezpieczeństwa lub karcie inteligentnej zgodnym z PKCS #11 umożliwia również TrueCrypt. Dodatkowy poziom zabezpieczeń w programach TrueCrypt i DiskCryptor zapewnia (obok hasła) klucz przechowywany w pliku. Obie aplikacje mają wbudowany generator plików klucza. TrueCrypt umożliwia wygenerowanie klucza funkcją mieszającą RIPEMD-160, SHA-512 lub Whirlpool.

Podsumowanie
Zaletą omówionych aplikacji jest niski koszt oraz wysoka skuteczność zabezpieczeń. Niewystarczający budżet na wdrożenie systemu szyfrowania w firmie nie może już być wymówką na pytanie – dlaczego nasze dane nie są odpowiednio chronione?

Oto szczegółowe komentarze dotyczące poszczególnych programów:

  • DiskCryptor – esencja najlepszych algorytmów szyfrowania zamknięta w niezbyt przyjaznym interfejsie. Zamiast wodotrysków otrzymujemy potężne narzędzie do szyfrowania partycji dyskowych, w tym partycji na której zainstalowano Windows. Możliwość integracji z menedżerami startu LILO i GRUB.
  • G Data Software TopSecret – przyjazne narzędzie dla Windows umożliwiające zabezpieczenie poufnych plików w wirtualnych sejfach. Rozbudowany system uprawnień dostępu do sejfów. Na uwagę zasługuje wsparcie dla kart inteligentnych oraz czytników linii papilarnych.
  • Jetico BestCrypt i BestCrypt Volume Encryption – kompletny zestaw narzędzi do zabezpieczania danych w wirtualnych kontenerach oraz szyfrowania całych wolumenów (Volume Encryption). Duża liczba algorytmów do wyboru, szyfrowanie partycji wymiany. Na plus – duża liczba modułów dodatkowych m.in. do bezpowrotnego kasowania danych oraz tworzenia zaszyfrowanych archiwów z plikami.
  • Microsoft BitLocker – wybór redakcji w kategorii rozwiązania dla dużych firm i korporacji. Uproszczona instalacja w Windows 7, możliwość konfiguracji przez Zasady grupy, integracja z Active Directory oraz BitLocker to Go dla szyfrowania pamięci przenośnych. Na minus – funkcja ta dostępna jest wyłącznie w najdroższych wersjach Windows.
  • R-Tools Technology R-Crypto – solidny wybór dla osób preferujących przechowywanie danych w wirtualnych kontenerach. Nieskomplikowany w użyciu, niezawodny w działaniu. Idealny w najprostszych zastosowaniach. Raczej dla domu niż dla firmy.
  • TrueCrypt – wybór redakcji w kategorii najlepszy darmowy program do szyfrowania danych. Zapewnia wysoką funkcjonalność i bezpieczeństwo przy zerowej cenie za licencję. Uniwersalny. Pozwala zaszyfrować cały dysk lub tylko najważniejsze dane przechowywane w wirtualnym kontenerze. Dodatkowo, działa w Windows, Linuksie i MacOS X. Znakomite rozwiązanie dla domu, małych i średnich firm oraz instytucji publicznych.
PODZIEL SIĘ

BRAK KOMENTARZY

ZOSTAW ODPOWIEDŹ