Алгоритмы шифрования данных

Одним из преимуществ продуктов линейки Secret Disk является отсутствие встроенных средств шифрования. Продукты Secret Disk не относятся к шифросредствам, не подпадают под законодательные ограничения по распространению и не требуют наличия соответствующих лицензий ФСБ России.

Для шифрования данных в продуктах линейки Secret Disk используются входящий в состав операционной системы криптографический драйвер режима ядра и отдельно устанавливаемые криптопровайдеры Signal-COM CSP, КриптоПро CSP, Infotecs CSP. Опционально устанавливаемый пакет дополнительных алгоритмов шифрования Secret Disk Crypto Pack позволит расширить стандартный поставщик службы криптографии алгоритмами AES и Twofish.

Пакет дополнительных алгоритмов Secret Disk Crypto Pack

Secret Disk Crypto Pack — это пакет дополнительных алгоритмов шифрования для продуктов линейки Secret Disk. Без установки этого пакета в стандартной комплектации Secret Disk для шифрования дисков доступны алгоритмы DES и Triple DES, при этом шифрование осуществляется криптографическим драйвером режима ядра, входящего в состав операционной системы.

Алгоритм DES разработан в 1975 году и принят в качестве стандарта Национальным институтом стандартизации США (ANSI) в 1981 году. Длина криптографического ключа — 56 бит. Развитие вычислительной техники привело к тому, что полный перебор всех 56-битных ключей представляется возможным. Поэтому DES не может больше использоваться в качестве надёжного средства защиты электронной информации. Его можно рекомендовать лишь для целей тестирования.

Алгоритм Triple DES представляет собой троекратное преобразование данных по алгоритму DES с тремя различными 56-битными ключами. Таким образом, длина ключа алгоритма Triple DES — 168 бит. Triple DES существенно надёжнее DES. Полный перебор 168-битных ключей в наше время считается невозможным. Но преобразование данных по алгоритму Triple DES происходит в три раза медленнее, чем по алгоритму DES. Поэтому использование Triple DES в продуктах семейства Secret Disk NG приводит к заметному замедлению процессов обращения к данным на зашифрованных дисках.

Advanced Encryption Standard (AES), также известный как Rijndael — симметричный алгоритм блочного шифрования (размер блока 128 бит, ключ 128/192/256 бит), принятый в качестве стандарта шифрования правительством США по результатам конкурса AES. Этот алгоритм хорошо проанализирован и сейчас широко используется, как это было с его предшественником DES. Secret Disk Crypto Pack позволяет использовать алгоритм AES с длинами ключей 128 и 256 бит.

Алгоритм Twofish был предложен в 1998 году и разработан на основе алгоритмов Blowfish, SAFER и Square. Информация также шифруется 128-битными блоками. Secret Disk Crypto Pack позволяет использовать алгоритм Twofish с длиной ключа 256 бит.

Загрузить Secret Disk Crypto Pack вы можете в «Центре загрузки»:

• Secret Disk Crypto Pack для Secret Disk 4;
• Secret Disk Crypto Pack для Secret Disk Server NG;

Модули сопряжения Secret Disk

Модули сопряжения Secret Disk необходимы для взаимодействия продуктов линейки Secret Disk с внешними поставщиками службы криптографии, такими как Signal-COM CSP, КриптоПро CSP или Infotecs CSP, которые обеспечивают шифрование данных по алгоритму ГОСТ 28147-89.

Алгоритм ГОСТ 28147-89 это советский и российский стандарт симметричного шифрования, введённый в 1990 году, также является стандартом в странах СНГ. Он представляет собой блочный шифроалгоритм с 256-битным ключом и 32 циклами преобразования, оперирующий 64-битными блоками. Достоинством алгоритма является бесперспективность атаки методом перебора и высокое быстродействие.

Загрузить модули сопряжения вы можете в «Центре загрузки»:

• модули сопряжения для Secret Disk 4;
• модули сопряжения для Secret Disk Server NG;

Рекомендации по выбору алгоритма и повышению производительности

Выбор алгоритма всегда компромисс между производительностью и криптостойкостью:

• Если при выборе алгоритма определяющим фактором является производительность, используйте алгоритм AES с ключом 128 бит.
• Если необходимо обеспечить высокую криптостойкость, используйте алгоритмы с длиной ключа 256 бит: AES, Twofish, ГОСТ 28147-89.

Также необходимо учитывать другие факторы использования продуктов Secret Disk:

• кэширование используемых файлов;
• работа Secret Disk на уровне поставщика криптографии или с драйвером режима ядра;
• размер обрабатываемых файлов;
• настройка серверов БД, если файлы баз данных расположены на зашифрованном диске.

О производительности алгоритмов по данным исследований Aladdin можно судить по следующей таблице:

Алгоритм	Длина ключа	Программная реализация	Производ-ть *
AES	128 бит	Secret Disk NG Crypto Pack	46.55 МБ/с
	256 бит		36.57 МБ/с
Twofish	256 бит		42.67 МБ/с
DES	56 бит	Windows Kernel Mode Crypto Driver	26.95 МБ/с
Triple DES	168 бит		10.67 МБ/с
ГОСТ 28147-89	256 бит	Криптопровайдеры КриптоПро CSP, Signal-COM CSP	Нет данных

* Измерения производительности проводились на компьютере с процессором AMD Athlon MP 2200+ (1,8 ГГц). Размеры шифруемых файлов варьировались от 0,5 до 64 КБ.