Программа защиты конфиденциальной информации Secret Disk

 

     Встречаются ситуации, когда необходимо надежно хранить конфиденциальную информацию, но не просто хранить, а сделать так, чтобы с ней можно было легко и комфортно работать. Идея, реализованная в программно-аппаратном  комплексе Secret Disk, достаточно проста.  Пользователь работает с зашифрованным содержанием физических или виртуальны жестких дисков, после подключения к ним, в прозрачном режиме. Считываемые с диска или записываемые на диск данные автоматически, в зависимости от характера операции,  расшифровываются или зашифровываются с использование ключа шифрования, хранящегося на аппаратном носителе – токене. В качестве него используется какая-то модель ключа из серии eToken, например, eToken PRO/ 32K. 32К – это размер защищенной памяти устройства в килобайтах, которая может использоваться для хранения конфиденциальной информации пользователя, например, такой как электронные цифровые сертификаты, пароли, pin-коды и так далее. Преимущество специализированных аппаратных ключей-токенов в сравнении с обычными флешками, не только в том, что конфиденциальная информация надежно защищена и не может быть считана или записана без ввода специального пин-кода (пароля), но еще и в том, что встроенный в устройство криптопроцессор выполняет преобразования без использования центрального процессора компьютера. Это обеспечивает не только более высокую степень защищенности информации, но и повышает скорость ее обработки. Поддерживается аппаратная работа с цифровыми сертификатами и электронно-цифровой подписью (ЭЦП). Устройство eToken универсально, так как может применяться в любых приложениях, использующих технологии смарт-карт или PKI (Public Key Infrastructure). Важно отметить, что eToken является сертифицированным аппаратным решением: электронные ключи eToken одобрены ФСТЭК России и ФСБ России и могут применяться в рамках российского законодательства.

            Более подробную информацию по ключам eToken можно найти на сайте http://www.aladdin-rd.ru/catalog/etoken/. Производит аппаратные ключи и программное обеспечение фирма SafeNet (http://www.safenet-inc.com/) – мировой лидер в области обеспечения информационной безопасности. Образованная более 25 лет назад, на сегодняшний день компания SafeNet предлагает решения, обеспечивающие комплексную защиту и использующие технологии шифрования для защиты систем коммуникаций, программных разработок и контроля цифровой идентификации. SafeNet предлагает полный спектр продуктов, включая как аппаратные, так и программные решения, а так же микросхемы для их реализации. А куда же делась фирма Аладдин, которую многие из нас хорошо знают именно по данному типу программно-аппаратных систем защиты? Ошибки тут нет, обращаясь по знакомому адресу сайта http://www.aladdin.ru/ получаем окошко с надписью «Aladdin Knowledge Systems Ltd. and its subsidiaries are wholly-owned subsidiaries of SafeNet Inc.» и переадресацию на главный сайт SafeNet. Если Вы не слишком сильны в английском, то не дословно, но самую суть можно передать двумя словами: одна крупная фирма купила другую. Старая привычная версия сайта находится по адресу http://www.aladdin-rd.ru.

Рассмотрим подробно работу с программой Secret Disk. В настоящее время для загрузки с сайта доступна четвертая версия программы (4.5.0.173). Скачать русскую версию можно по ссылке http://www.aladdin-rd.ru/support/download/get.php?ID=17719 (Windows, 14.8 Мб). Программу можно скачать и установить совершенно бесплатно, а ключ eToken PRO/32K купить за 1289 рублей. Однако, тот же самый продукт в коробке с инструкцией, аппаратным ключом и диском, на который записана программа, продается в несколько раз дороже. Secret Disk 4 базовый комплект с USB-ключом      4240 р., а Secret Disk 4 Workgroup Edition (возможность доступа к защищенным дискам по сети)  базовый комплект с USB-ключом — 12440 р. В чем тут подвох? Некоторым людям, не очень чтоб особо почитающим лицензии и права на использование чужой интеллектуальной собственности, на первый взгляд все очевидно, купи дешево отдельно ключ, скачай программу и пользуйся себе на здоровье. Но, к счастью или нет, не все так просто. Без лицензионного кода, записанного в ключ, программа работать не будет. Ключ eToken продается с записанной в него лицензией, которую нельзя извлечь из ключа и записать в другой ключ. Если Вы случайно отформатируете ключ, то лицензионный код будет стерт, и работать с программой больше Вы не сможете.  Останется единственный путь, обращаться в службу поддержки, указав ID смарт-карты, и, если благосклонно отнесутся к вашей просьбе, то пришлют программу позволяющую восстановить лицензию для данной смарт-карты. Причем здесь смарт-карта, если говорим о ключе eToken? Все дело в том, что аппаратный ключ представляет собой собранный в одном неразборном корпусе считыватель смарт-карт со вставленной в него смарт-картой типа eToken. Если Вы хотите работать со стандартным смарт-ридером и смарт-картой eToken, то нужно купить  смарт-карту eToken с записанной на нее лицензией (eToken PRO Smartcard — электронный ключ eToken PRO c объемом памяти 32KБ в форм-факторе смарт-карты).  Несмотря на то, что смарт-карты легкие и компактные, но на практике большинство пользователей выбирают все же аппаратные ключи, считая такое решение более удобным для работы.

        Установив Secret Disk 4 на персональном компьютере, можно создавать на компьютере зашифрованные диски (секретные диски), работать с которыми сможет только пользователь-владелец и его доверенные лица. Secret Disk 4 позволяет устанавливать защиту и на системный диск компьютера, с которого  загружается операционная система. Для начала работы с компьютером пользователь должен пройти процедуру строгой двухфакторной аутентификации с использованием eToken, то есть у пользователя а) должен быть этот самый ключ eToken, б) пользователь должен знать пароль для доступа к секретной информации, записанной в ключе. Процедура аутентификации выполняется до загрузки ОС, сразу после включения персонального компьютера, поэтому злоумышленник, не имея ключа и не зная пароль, доступа к операционной системе не получит. Загрузка с альтернативного носителя злоумышленнику тоже ничего не даст, так как вся информация на секретном диске зашифрована, а ключ для расшифровки записан в аппаратный eToken, которого у злоумышленника нет. Даже кража ключа злоумышленнику не поможет, если он не знает пароль. Количество неправильных вводов пароля задается пользователем, но не может быть установлено больше 15, так что использовать программу подбора паролей методом перебора бесполезно.

Secret Disk 4 позволяет зашифровывать существующие диски, в том числе съёмные и динамические,  а,  также, создавать зашифрованные виртуальные диски (файлы-контейнеры). Всё содержимое файла-контейнера хранится в зашифрованном виде, по своей сути файл-контейнер — это просто файл с зашифрованной информацией. Подключенный зашифрованный виртуальный диск операционная система видит как обычный диск, буква диска задается при создании диска, но впоследствии может быть изменена. Удаление файла подключенного зашифрованного виртуального диска невозможно, поэтому случайно удалить этот файл Вы не сможете. По умолчанию работа с зашифрованными дисками возможна только при наличии аппаратного устройства eToken. Если пользователь отключает eToken (в экстренной ситуации можно просто выдернуть USB ключ из порта компьютера), то все зашифрованные диски автоматически становятся недоступными. Отключенные зашифрованные диски операционная система воспринимает как неотформатированную область.

Как уже было отмечено ранее, для использования Secret Disk 4 в памяти устройства eToken должна  быть записана  лицензия. Владелец ключа eToken с лицензией, в соответствии с условиями лицензионного соглашения, имеет законную возможность использовать Secret Disk 4 на любом количестве компьютеров. Владелец диска может предоставить возможность сетевого доступа к зашифрованному диску. Для этого в памяти его ключа eToken должна находиться лицензия Secret Disk 4 Workgroup Edition (Secret Disk 4 WE).

Лицензия Secret Disk 4 не имеет ограничения по количеству пользователей, которым владелец диска может предоставить доступ к зашифрованным дискам. Это, конечно, хорошо, но только не следует забывать, что для работы с секретными дисками данного компьютера к этому компьютеру должен быть подключен ключ eToken с записанной на него лицензией. Другими словами, Вы можете использовать без каких либо лицензионных ограничений одно и тоже устройство для создания и работы с секретными дисками на домашнем компьютере, на компьютере у Вас на работе или где-то в другом месте. Естественно, что не одновременно, так как устройство только одно. Технически ограничения возможны только со стороны защищенной памяти устройства. В памяти eToken хранятся электронные цифровые сертификаты пользователей, если их несколько или пользователя, если он один. В Secret Disk 4 могут использоваться сертификаты, выданные центром сертификации предприятия или каким-либо иным центром сертификации. В качестве альтернативы в Secret Disk 4 предусмотрено встроенное средство создания сертификатов, позволяющее пользователю самому создать сертификат в случае необходимости. Электронный цифровой сертификат пользователя используется в Secret Disk 4 для аутентификации пользователей, но не только. Сертификаты открытого ключа и соответствующие им закрытые ключи применяются для защиты мастер-ключей зашифрованных дисков. У каждого пользователя Secret Disk 4 его сертификаты открытого ключа с соответствующими закрытыми ключами хранятся в памяти eToken. Сертификат является идентификатором пользователя. При регистрации пользователя указывается сертификат для каждого из поставщиков криптографии, который пользователь будет применять. Secret Disk 4 сопоставляет пользователя только по одному сертификату для каждого поставщика криптографии. Во время установки защиты системного  жесткого диска, Secret Disk 4 генерирует мастер-ключ, который сохраняется в памяти eToken пользователя, выполняющего установку защиты системного диска,  и доступ к нему возможен только после ввода пароля eToken. Для применения при шифровании дисков алгоритмов, доступных в составе стандартного поставщика криптографии, может использоваться любой действительный сертификат (со следующими параметрами: открытый ключ RSA;  использование ключа: шифрование ключей). В качестве компонента стандартного поставщика криптографии, осуществляющего операции с ключами RSA, используется Microsoft Enhanced CSP (в операционной системе Windows 2000 и Windows ХР Service Pack 1 и ниже) или Microsoft Enhanced RSA and AES Cryptographic Provider (в операционных системах Windows XP Service Pack 2 и выше. В документации к программе отмечено, что для защиты мастер-ключей дисков, зашифрованных с помощью алгоритма ГОСТ 28147-89 (поставщик — КриптоПро CSP, Signal-COM CSP, Infotecs CSP), может использоваться любой сертификат, созданный с помощью соответствующего поставщика службы криптографии. Параметры следующие: · открытый ключ: ГОСТ Р 34.10-94 (1024 бит) или ГОСТ Р 34.10-2001 (512 бит);  использование ключа: шифрование ключей.

         Рассмотрим более подробно, как можно работать с секретными (защищенными) дисками и создавать их. В начале процесса зашифрования или перешифрования уже существующего диска (например, раздел винчестера, видимый ОС под буквой D) пользователь Secret Disk 4 должен выбрать алгоритм шифрования диска. При выборе алгоритма шифрования указывается поставщик криптографии, реализующий этот алгоритм. После выбора алгоритма шифрования поставщик криптографии генерирует мастер-ключ зашифрованного диска. Для каждого пользователя Secret Disk 4 сгенерированный мастер-ключ зашифрованного диска зашифровывается с применением открытого ключа соответствующего сертификата и сохраняется в зашифрованном виде на системном диске в хранилище Secret Disk. Содержимое диска шифруется посекторно с использованием выбранного алгоритма шифрования и сгенерированного мастер-ключа зашифрованного диска. Для того чтобы открыть доступ к данным на зашифрованном диске, пользователь Secret Disk 4 должен подключить диск. Для этого хранящийся в памяти eToken закрытый ключ  используется для расшифрования находящейся в хранилище Secret Disk копии мастер-ключа зашифрованного диска, относящейся к данному пользователю. Расшифрованный таким образом мастер-ключ зашифрованного диска загружается в драйвер Secret Disk 4 или передаeтся под управление используемого поставщика службы криптографии (CSP). При чтении данных с зашифрованного диска происходит их расшифрование с помощью мастер-ключа зашифрованного диска, а при записи на диск — зашифрование с помощью того же ключа. Находящиеся на зашифрованном диске данные всегда зашифрованы. В памяти ключа eToken могут быть записаны сертификатами, являющиеся идентификаторами различных пользователей. В этом случае Secret Disk 4 проверяет настройки сеанса каждого из этих пользователей. Во всех случаях, когда требуется указать пользователя, сеанс которого необходимо открыть, на экране появляется окно идентификации. В этом окне перечисляются сертификаты, хранящиеся в памяти подключенных к компьютеру eToken и являющиеся идентификаторами зарегистрированных пользователей. Список сертификатов автоматически обновляется при подключении и отключении различных eToken, что выгодно отличает окно идентификации Secret Disk 4 от многих аналогичных интерфейсов средств защиты, предлагаемых конкурентами. В Secret Disk 4 реализована схема проверки действительности сертификатов, с помощью которой администратор может управлять двумя параметрами проверки: включением/выключением проверки срока действия сертификата; включением/выключением проверки доверия. Для удобства домашних пользователей по умолчанию действительность сертификатов не проверяется.

          Создать зашифрованный диск можно одним из двух способов: зашифровать существующий диск или создать зашифрованный виртуальный диск. Обе эти операции можно выполнить из вкладки Диски на панели Secret Disk. Операции создания дисков достаточно просты и очень подробно рассмотрены в документации, поэтому останавливаться на них я не буду.

          Работать с программно-аппаратным средством не сложно, время на освоение работы в полном объеме для уверенного пользователя персонального компьютера – пара-тройка часов. Но, это если хочется выяснить и просмотреть все возможности от и до. По минимуму на установку самой программы, создание сертификата пользователя и секретного виртуального диска понадобится минут 15-20, а на быстрых компьютерах и того меньше. Работать просто, но следует помнить о таком важном моменте, как резервное копирование-сохранение ключевой информации. Аппаратный ключ может быть потерян, поврежден. Если вопросами резервного копирования пренебрегли, и у Вас нет ключа шифрования, которым зашифрованы данные на вашем диске, то расшифровать его Вы не сможете.  Мастер-ключи зашифрованных дисков хранятся в защищенном хранилище Secret Disk. Для каждого пользователя зашифрованного диска хранится отдельная защищённая копия мастер-ключа. Для предотвращения потери данных необходимо создать резервные копии мастер-ключей зашифрованных дисков. Резервная копия мастер-ключа может храниться: 1)         в памяти eToken: сможете при необходимости восстановить мастер-ключ в хранилище Secret Disk из резервной копии, расположенной в памяти eToken;  2) в файле с паролем: для восстановления мастер-ключа из файла в памяти eToken должны присутствовать: лицензия Secret Disk 4 и сертификат, относящийся к соответствующему поставщику криптографии. Например, диск был зашифрован с использованием алгоритма шифрования AES 256 бит. Предположим, что ключ Вы потеряли или злоумышленник пытается подобрать ключ, что в данном случае одно и то же. Просмотрев открытые публикации по теме оценки времени взлома этого алгоритма, найти точные данные я не смог, но отмечалось, что могут понадобиться сотни часов работы суперкомпьютеров. Другими словами, если реализация алгоритма шифрования выполнена корректно (об алгоритме можно прочитать, например, тут http://ru.wikipedia.org/wiki/Advanced_Encryption_Standard), то взлом методом перебора требует очень больших компьютерных мощностей. Если данный алгоритм шифрования чем-то не устраивает, то можно использовать другие из доступных в Secret Disk 4. 

          Подводим общий итог, а он таков. Программно-аппаратное решение Secret Disk достаточно хорошо подходит для защиты важной личной и коммерческой информации. Используемые современные алгоритмы шифрования, при соблюдении правил работы с Secret Disk, практически исключают возможность получения доступа к конфиденциальной информации  кого-либо другого, кроме самого законного пользователя.  Стоимость программно-аппаратного решения достаточно высока, но вполне доступна для обычного человека, заинтересованного в надежном хранении своих секретов, не говоря уже о ценовом доступности решения для коммерческих фирм. Без аппаратного ключа программа практически бесполезна, но маленький бонус все же есть, разработчиками была оставлена возможность гарантированного удаления или перемещения файлов и целых дисков, без возможности восстановления информации на прежнем месте. Известно, что когда Вы удаляете файл в операционной системе, то его содержимое, полностью или частично, можно восстановить. Связано это с тем, что место, которое  занимал раньше файл, просто помечается как доступное для повторного использования, но сами данные остаются. Гарантированное уничтожение возможно только в том случае, если все байты этой области будут перезаписаны, например, записываем в каждый из них 0.

 

           На этом обзор завершен. Надеюсь, что его прочтение, позволило получить общее представление о рассмотренном продукте, но не ставил перед собой цель написать альтернативный вариант инструкции по эксплуатации, которая написана предельно подробно и которую надо в обязательном порядке прочитать, несмотря на то, что чтение всякого рода инструкций довольно скучное, хотя и полезное, занятие.