Säkra lagringsmedia

Ett säkert lagringsmedium är en anordning för säker lagring av information med hjälp av en av krypteringsmetoderna och möjligheten till nöddataförstöring.

Introduktion

I vissa fall måste datoranvändare skydda resultaten av sitt arbete från obehörig åtkomst . Den traditionella skyddsmetoden är kryptering av information. Kärnan i denna metod är som följer: användaren, efter att ha avslutat sitt arbete, antingen krypterar filen (filerna) med ett av de många krypteringssystemen ( GnuPG , TrueCrypt , PGP , etc.), eller skapar ett lösenordsskyddat arkiv . Båda dessa metoder, med förbehåll för vissa krav (med ett lösenord av tillräcklig längd), tillåter dig att på ett tillförlitligt sätt skydda data [1] . Att arbeta med data baserat på dessa principer är dock ganska obekvämt: användaren måste säkert förstöra en okrypterad kopia av konfidentiell data, och för att fortsätta arbeta med skyddad data är det nödvändigt att skapa en okrypterad kopia av den.

Ett alternativ till denna metod kan vara användningen av helt krypterade lagringsmedia. Krypterade media på operativsystemnivå är en vanlig logisk enhet . Det finns två huvudsakliga metoder för att skapa krypterade media: hårdvara-mjukvara och mjukvara.

Möjligheter att använda lagringsmedia

Säker media låter dig organisera tvåfaktorsanvändarautentisering , när du behöver ange ett lösenord eller pinkod från media och själva enheten för att komma in i systemet. Det finns följande möjligheter att använda informationsbärare:

Användarautentisering i operativsystem, katalogtjänster och nätverk ( Microsoft , Linux , Unix , Novell operativsystem ).
Skyddar datorer från obehöriga nedladdningar.
Stark användarautentisering, åtkomstkontroll, skydd av data som överförs över nätverket i webbresurser ( internetbutiker , elektronisk handel ).
E-post - EDS -generering och datakryptering, åtkomstkontroll, lösenordsskydd.
Public Key Encryption Systems ( PKI ), Certification Authorities - lagring av X.509-certifikat , tillförlitlig och säker lagring av nyckelinformation, en betydande minskning av risken för äventyrande av den privata nyckeln.
Organisation av säkra dataöverföringskanaler ( VPN -teknik , IPSec och SSL-protokoll ) - användarautentisering, nyckelgenerering, nyckelutbyte.
Arbetsflödessystem — skapande av ett juridiskt viktigt skyddat arbetsflöde med hjälp av EDS och kryptering (överföring av skatterapporter, kontrakt och annan kommersiell information via Internet).
Affärsapplikationer, databaser, ERP- system - användarautentisering, lagring av konfigurationsinformation, digital signatur och kryptering av överförda och lagrade data.
"Client-Bank"-system, elektroniska betalningar - säkerställer den juridiska betydelsen av genomförda transaktioner, strikt ömsesidig autentisering och auktorisering av kunder.
Kryptografi - säkerställer bekväm användning och säker lagring av nyckelinformation i certifierade kryptografiska informationsskyddsverktyg (krypteringsleverantörer och kryptobibliotek).
Terminalåtkomst och tunna klienter - användarautentisering, lagring av parametrar och sessionsinställningar.
Diskkryptering - differentiering och kontroll av åtkomst till skyddad data, användarautentisering, lagring av krypteringsnycklar.
Kryptering av data på diskar - användarautentisering, generering av krypteringsnycklar, lagring av nyckelinformation.
Stöd för äldre applikationer och ersätter lösenordsskydd med starkare tvåfaktorsautentisering .

Maskinvarukryptering

Krypteringshårdvara implementeras antingen i form av specialiserade enheter ( IronKey , eToken NG-Flah media, ruToken Flash media), eller specialiserade hårddiskåtkomstkontrollanter (KRYPTON kryptografiska dataskyddsenheter, utvecklade av ANKAD [2] ).

Skyddade enheter är vanliga flashenheter , för vilka datakryptering utförs direkt när information skrivs till enheten med hjälp av en specialiserad styrenhet. För att få tillgång till information måste användaren ange ett personligt lösenord.

Styrenheter av KRYPTON-typ är ett PCI -standardexpansionskort som ger transparent kryptering av data som skrivits till ett säkert lagringsmedium. Det finns också en mjukvaruemulering av hårdvarukryptering KRYPTON - Crypton Emulator.

Programvarukrypteringsmetoder

Krypteringsmetoder för programvara består i att skapa säkra media med hjälp av viss programvara. Det finns flera metoder för att skapa säkra lagringsmedia med programvarumetoder: skapa en säker filbehållare, kryptera en hårddiskpartition , kryptera en hårddisksystempartition.

När du skapar ett skyddat lagringsmedium med hjälp av en filbehållare, skapar ett specialiserat program en fil med angiven storlek på disken. För att börja arbeta med skyddad media monterar användaren den i operativsystemet. Montering utförs med hjälp av programmet som användes för att skapa media. Vid montering anger användaren ett lösenord (metoder för användaridentifiering med nyckelfiler, smartkort etc. är också möjliga). Efter montering dyker en ny logisk enhet upp i operativsystemet, med vilken användaren har möjlighet att arbeta som med vanliga (ej krypterade) media. När sessionen med det skyddade mediet har slutförts avmonteras det. Kryptering av information på ett säkert medium utförs omedelbart vid tidpunkten för skrivning av information till det på nivån för operativsystemets drivrutin. Tillgång till det skyddade innehållet i media är nästan omöjligt [3] .

Vid kryptering av hela delar av en hårddisk är proceduren i allmänhet densamma. I det första steget skapas en vanlig okrypterad diskpartition. Sedan, med ett av krypteringsverktygen, krypteras partitionen. När den väl är krypterad kan partitionen endast nås efter att den har monterats. En omonterad krypterad partition ser ut som ett oallokerat område på hårddisken.

I de senaste versionerna av krypteringssystem blev det möjligt att kryptera systempartitionen på en hårddisk. Denna process liknar kryptering av en hårddiskpartition, förutom att partitionen monteras när datorn startar upp innan operativsystemet startar.

Vissa krypteringssystem ger möjlighet att skapa dolda partitioner inom krypterade lagringsmedia (någon av de typer som anges ovan: filbehållare, krypterad partition, krypterad systempartition). För att skapa en dold partition skapar användaren ett skyddat media enligt de vanliga reglerna. Sedan, inom ramen för det skapade mediet, skapas en annan, dold partition. För att få tillgång till en dold sektion måste användaren ange ett annat lösenord än lösenordet för att få tillgång till den offentliga sektionen. Genom att ange olika lösenord får användaren alltså möjlighet att arbeta med antingen en (öppen) eller annan (dold) del av det skyddade mediet. När du krypterar en systempartition är det möjligt att skapa ett dolt operativsystem (genom att ange lösenordet för den öppna partitionen laddas en kopia av operativsystemet och genom att ange lösenordet för den dolda partitionen, en annan). Samtidigt deklarerar utvecklarna att det inte är möjligt att upptäcka närvaron av en dold sektion i en öppen container [4] . Skapandet av dolda behållare stöds av ett ganska stort antal program: TrueCrypt , PGP , BestCrypt , DiskCryptor , etc.

Se även

Anteckningar

↑ Enligt forskning kommer hastigheten för val av lösenord för WinZIP 9+ -arkiveraren med en längd på 8 tecken (latinska små och stora bokstäver och siffror) även med en superdator att vara 31 dagar (Ivan Golubevs artikel " On the speed of password brute " kraft på CPU och GPU " Arkivkopia daterad 21 juni 2013 på Wayback Machine ")
↑ Kryptografiska dataskyddsenheter i KRYPTON-serien . Hämtad 2 juni 2016. Arkiverad från originalet 17 december 2017. (obestämd)
↑ Enligt forskarna Alex Biryukov och Johan Grossshadl från Laboratory of Algorithmics, Cryptology and Security vid University of Luxembourg kommer det att ta mer än en biljon dollar och ett år att bryta AES- algoritmen (som ofta används när man skapar säkra behållare) med en nyckellängd på 256 byte
↑ En grupp forskare under ledning av Bruce Schneier lyckades hitta dolda filer i en krypterad partition skapad med TrueCrypt 5.0 (tidningen xakep.ru, 18 juli 2008) Arkiverad 1 december 2012 på Wayback Machine .