Secret Disk 4. Как защитить цифровое достояние?

Майкл Демидов, softkey.info

Количество данных, используемых информационными системами, будь то домашняя ОС или корпоративная СЭД, растет ежесекундно. Как и любой другой вид информации, цифровой контент необходимо защищать. И личные паспортные данные, и финансовый отчет компании являются конфиденциальной информацией. О том, как защитить ее с помощью решения Secret Disk 4 от компании Aladdin, читайте в этом материале.

Задача разделения доступа к цифровому контенту до сих пор не имеет однозначного решения. Однако то, что доступ к данным обязательно должен быть в той или иной степени разграничен, не представляется спорным. Для того чтобы определить, какую информацию и какому пользователю необходимо предоставлять (или, наоборот, ограничить его доступ), необходимо произвести идентификацию. Классический пример - связка логина и пароля, которая используется при загрузке сеанса в операционных системах или при авторизации на сайтах. Все же этот способ не является надежным для того, чтобы обезопасить данные от несанкционированного доступа. Причина проста - учетные данные для авторизации можно подобрать, украсть или просто подсмотреть. Их можно также потерять или забыть. По результатам проведенного компанией Positive Technologies исследования, в России пользователи создают пароли, не превышающие восьми символов и низкой стойкости – они или находятся в общедоступных словарях (15%), или совпадают с логином (10%), или в 2% случаях представляют собой пустую строку (отсутствуют). Словарные атаки позволяют подобрать порядка 37% существующих паролей, причем это учетные данные не рядовых пользователей, а системных администраторов и менеджмента компании, что указывает на очень высокий риск потери информации и компрометации информационной системы предприятия.

Гораздо эффективнее в этом отношении выглядит двухфакторная аутентификация с использованием электронных ключей доступа, например аппаратных ключей (eToken). Последние – достаточно популярные смарт-карты и USB-брелоки, в памяти которых записан специальный программный код, содержащий неизвлекаемую секретную информацию для авторизации владельца устройства. Соответственно, только после подключения такого средства к компьютеру появляется окно для ввода логина и пароля пользователя. После успешной верификации пароля можно получить доступ к зашифрованным дискам. Подобные решения часто используются в системах с зашифрованным контентом, например в банковской сфере или на оборонных предприятиях. Их принято называть решениями с двухфакторной аутентификацией. Они могут применяться в компаниях любой сферы деятельности. Стимулом к этому станет и вступление в силу федерального закона ФЗ-152 «О персональных данных». Кроме того, важно, чтобы внутри самой компании было понимание ценности хранимой информации и готовность применять подобные средства защиты. Сегодня мы расскажем о том, как эти и многие другие возможности реализованы в Secret Disk 4.

Secret Disk 4 – специальный комплект, состоящий из компакт-диска с программным обеспечением и USB-ключа eToken. На диске содержатся драйверы, необходимые для корректной работы ключа, клиентское приложение PKI Client, само ПО Secret Disk 4, набор криптографических модулей Secret Disk CryptoPack, образ диска для восстановления (файл SDboot.iso), а также необходимая документация к решению. На диске также размещены эксплуатационная документация и информационные буклеты по использованию решений линейки Secret Disk и eToken в корпоративном сегменте, в которых рассмотрены распространенные варианты использования Secret Disk 4 с корпоративными информационными системами, например с СУБД Oracle. Материалы находятся в PDF-формате. Кроме того, производитель записал на диск демоверсию другого решения для использования в ЛВС - Secret Disk Server NG. Это серверная версия ПО, работающая с электронными ключами и поддерживающая криптографию для файловых серверов и серверов приложений. Дальнейшее изложение материала будет касаться персональной версии Secret Disk 4 под ОС Windows. Системные требования позволяют устанавливать данное решение на Windows 2000/XP/Vista/7 32- и 64-битных изданий.

Несколько слов о том, что представляет собой Secret Disk как решение для защиты данных. С его помощью пользователь может создавать зашифрованные диски (винчестеры, флешки, компакт-диски), доступ к которым возможен только для авторизованного пользователя. Для этого нужен USB-ключ, в памяти которого может находиться сертификат. Во-первых, подобные решения применяются для защиты системных дисков компьютеров от несанкционированного доступа обычных пользователей. Во-вторых, Secret Disk 4 может использоваться для организации хранилища конфиденциальной информации на одном или нескольких разделах жесткого диска. В-третьих, данный продукт прекрасно подходит для шифрования мобильных накопителей. Это решение является более удобным и надежным, чем традиционная парольная защита.

Работа с Secret Disk 4 начинается с инсталляции приложения на компьютер. Для этого нужны полномочия локального администратора: необходимо установить драйверы. Далее к компьютеру необходимо подключить USB-ключ, содержащий лицензию на использование Secret Disk. На следующем этапе в систему следует добавить пользователей. Они могут использовать сертификаты открытого ключа (например, от решения стороннего поставщика) или сертификат, сгенерированный с помощью средств Secret Disk 4. Добавление пользователя осуществляется соответствующей командой в Secret Disk 4. После этого пользователю или пользователям назначаются права на доступ к диску. Решение работает со встроенными в Windows инструментами (Microsoft Enhanced CSP, Microsoft Enhanced RSA/AES CP) и сторонними криптопровайдерами. Второй вариант подходит организациям, в которых развернут центр сертификации (на базе "КриптоПро CSP", "Крипто-Ком CSP", Infotecs CSP, например). Данное решение, как отмечает разработчик, позволяет задействовать встроенные в Windows средства защиты, что существенно сэкономит деньги компании.

В процессе создания зашифрованного диска требуется указать алгоритм шифрования. В частности, решение поддерживает AES и Twofish (после установки Secret Disk CryptoPack). После выбора поставщика криптографии будет сгенерирован уникальный мастер-ключ. Его необходимо сохранить в безопасном месте, поскольку он потребуется в дальнейшем при обращении к диску. При шифровании необходимо учитывать, что приложение работает только с файловыми системами NTFS (наиболее распространенная файловая система для системных разделов жестких дисков ОС Windows выше 2000) и FAT12/16/32 (актуально для сменных USB-носителей). По окончании процесса владелец диска может добавить пользователей, которым будет открыт доступ к материалам диска (при обязательном прохождении процедуры аутентификации с eToken).

Как уже говорилось выше, сертификат открытого ключа и связанный с ним закрытый ключ находятся в памяти eToken. После манипуляций с сертификатами пользователь создает зашифрованный диск для продолжения работы. Для этого предусмотрены соответствующие команды на вкладке "Диски". Приложение поддерживает работу с обычными жесткими дисками, USB-носителями, ZIP-драйвами, а также с виртуальными носителями. Стоит подчеркнуть, что с точки зрения типов накопителей зашифрованными могут быть как логические разделы обычных базовых дисков, тома динамических дисков, так и весь системный раздел. Например, компания может создать специальный динамический диск, на котором будут храниться персональные данные сотрудников. Просматривать их смогут несколько пользователей, у которых будет eToken и соответствующие полномочия.

Рассмотрим классический пример использования средства для шифрования – в качестве сокрытия доступа к разделу жесткого диска, на котором установлены ОС и приложения. Если компьютер имеет несколько винчестеров, зашифровать в Secret Disk 4 можно только один загрузочный раздел, расположенный на первом жестком диске. Secret Disk 4 поддерживает только стандартный загрузчик Windows. Поэтому в случае замены его на альтернативные решения (например, используемый в мультизагрузке Windows и Linux Grub) или мультизагрузчики операционная система загружаться не будет. На работу решения повлияет и установка программ, вносящих изменения в MBR-раздел, который был зашифрован. Например, это могут быть решения для восстановления информации, редакторы разделов жесткого диска, некоторые утилиты для тестирования винчестеров с низкоуровневым доступом к диску и некоторые другие программы. Шифрование системного раздела, наконец, может проводиться только с использованием алгоритма AES с 256-битным ключом, но данный алгоритм обеспечивает разумный компромисс между безопасностью и скоростью работы. В итоге доступ к защищенному разделу системного диска останется только у администраторов локальной сети. При загрузке операционной системы потребуется подключить eToken и ввести уникальный PIN-код.

С зашифрованными дисками проводятся все основные операции, предусмотренные ОС Windows. В том числе форматирование. Для этого пользователь должен подключить их в соответствующем разделе Secret Disk 4, подключить в USB-разъем eToken и пройти авторизацию. Другие сценарии работы приложения позволяют использовать решение и для создания виртуальных зашифрованных дисков, на которых будет сохраняться конфиденциальная информация.

Выше мы коснулись возможной проблемы с системными дисками: перезаписи MBR после процесса шифрования. Для ее решения в составе предусмотрен образ резервной копии диска восстановлении системы – его необходимо записать и загрузить систему (восстановление будет произведено в автоматическом режиме). Он же поможет в случае, если были зашифрованы все диски в системе.

Подведем итоги. Решение от Aladdin обеспечивает необходимую для защиты информации функциональность, позволяя разграничить права доступа к данным с помощью надежного USB-ключа. Тем не менее при использовании данного продукта следует соблюдать необходимые меры предосторожности. Обязательно сохранять все PIN-коды, относящиеся к используемым ключам eToken, а также к мастер-ключам. Кроме того, USB-брелоки, несмотря на их удобную для переноски форму и прочность, необходимо оберегать от грубых механических воздействий.

В целом работа с Secret Disk 4 построена прозрачно и понятно. Но мы должны отметить некоторые недостатки продукта, которые можно устранить в последующих версиях. К ним относится расширение поддерживаемых файловых систем (в частности, JFS, используемой в Linux). Кроме того, в стандартной комплектации продукта хорошо бы смотрелся запасной USB-ключ (специально для возможности создания резервной копии) и шнурок для переноски к нему.