Sikker lagringsmedie

Et sikkert lagringsmedium er en enhed til sikker lagring af information ved hjælp af en af krypteringsmetoderne og muligheden for nøddestruktion af data.

Introduktion

I visse tilfælde skal computerbrugere beskytte resultaterne af deres arbejde mod uautoriseret adgang . Den traditionelle beskyttelsesmetode er kryptering af information. Essensen af denne metode er som følger: Brugeren krypterer efter afslutningen af sit arbejde enten filen (filerne) ved hjælp af et af de mange krypteringssystemer ( GnuPG , TrueCrypt , PGP osv.), eller opretter et adgangskodebeskyttet arkiv . Begge disse metoder giver dig mulighed for pålideligt at beskytte data [1] , underlagt visse krav (ved at bruge en adgangskode af tilstrækkelig længde) . Men at arbejde med data baseret på disse principper er ret ubelejligt: Brugeren skal sikkert ødelægge en ukrypteret kopi af fortrolige data, og for at fortsætte med at arbejde med beskyttede data er det nødvendigt at oprette en ukrypteret kopi af dem.

Et alternativ til denne metode kan være brugen af fuldt krypterede lagermedier. Krypterede medier på operativsystemniveau er et almindeligt logisk drev . Der er to hovedtilgange til at skabe krypterede medier: hardware-software og software.

Muligheder for at bruge lagermedier

Sikkert medie giver dig mulighed for at organisere to-faktor brugergodkendelse, når du skal angive en adgangskode eller pinkode fra mediet og selve enheden for at komme ind i systemet. Der er følgende muligheder for at bruge informationsbærere:

Brugergodkendelse i operativsystemer, katalogtjenester og netværk ( Microsoft , Linux , Unix , Novell -operativsystemer ).
Beskyttelse af computere mod uautoriserede downloads.
Stærk brugergodkendelse, adgangskontrol, beskyttelse af data transmitteret over netværket i webressourcer ( internetbutikker , elektronisk handel ).
E-mail - EDS -generering og datakryptering, adgangskontrol, adgangskodebeskyttelse.
Public Key Encryption Systems ( PKI ), certificeringsmyndigheder - opbevaring af X.509-certifikater , pålidelig og sikker lagring af nøgleinformation, en væsentlig reduktion af risikoen for kompromittering af den private nøgle.
Organisering af sikre datatransmissionskanaler ( VPN -teknologi , IPSec og SSL-protokoller ) - brugergodkendelse, nøglegenerering, nøgleudveksling.
Arbejdsgangssystemer — oprettelse af en juridisk væsentlig beskyttet arbejdsgang ved hjælp af EDS og kryptering (overførsel af skatterapporter, kontrakter og andre kommercielle oplysninger via internettet).
Forretningsapplikationer, databaser, ERP -systemer - brugergodkendelse, lagring af konfigurationsinformation, digital signatur og kryptering af transmitterede og lagrede data.
"Client-Bank" systemer, elektroniske betalinger - sikring af den juridiske betydning af gennemførte transaktioner, streng gensidig autentificering og godkendelse af kunder.
Kryptografi - sikring af bekvem brug og sikker opbevaring af nøgleoplysninger i certificerede kryptografiske informationsbeskyttelsesværktøjer (kryptoudbydere og kryptobiblioteker).
Terminaladgang og tynde klienter - brugergodkendelse, lagring af parametre og sessionsindstillinger.
Diskkryptering - differentiering og kontrol af adgang til beskyttede data, brugergodkendelse, opbevaring af krypteringsnøgler.
Kryptering af data på diske - brugergodkendelse, generering af krypteringsnøgler, opbevaring af nøgleinformation.
Understøttelse af ældre applikationer og erstatning af adgangskodebeskyttelse med stærkere to-faktor-godkendelse .

Hardwarekryptering

Krypteringshardware implementeres enten i form af specialiserede drev ( IronKey , eToken NG-Flah-medier, ruToken Flash-medier) eller specialiserede harddiskadgangscontrollere (KRYPTON kryptografiske databeskyttelsesenheder, udviklet af ANKAD [2] ).

Beskyttede drev er almindelige flashdrev , hvor datakryptering udføres direkte, når information skrives til drevet ved hjælp af en specialiseret controller. For at få adgang til oplysninger skal brugeren angive en personlig adgangskode.

KRYPTON type controllere er et PCI standard udvidelseskort, der giver gennemsigtig kryptering af data skrevet til et sikkert lagermedium. Der er også en softwareemulering af hardwarekryptering KRYPTON - Crypton Emulator.

Softwarekrypteringsmetoder

Softwarekrypteringsmetoder består i at skabe sikre medier ved hjælp af bestemt software. Der er flere metoder til at skabe sikre lagermedier ved hjælp af softwaremetoder: oprettelse af en sikker filbeholder, kryptering af en harddiskpartition , kryptering af en harddisksystempartition.

Når du opretter et beskyttet lagringsmedium ved hjælp af en filbeholder, opretter et specialiseret program en fil med den angivne størrelse på disken. For at begynde at arbejde med beskyttede medier, monterer brugeren det i operativsystemet. Montering udføres ved hjælp af det program, der blev brugt til at oprette mediet. Ved montering angiver brugeren en adgangskode (metoder til brugeridentifikation ved hjælp af nøglefiler, smartcards osv. er også mulige). Efter montering dukker et nyt logisk drev op i styresystemet, som brugeren har mulighed for at arbejde med som med almindelige (ikke krypterede) medier. Efter sessionen med det beskyttede medie er afsluttet, afmonteres det. Kryptering af information på et sikkert medie udføres umiddelbart på tidspunktet for skrivning af information til det på niveau med operativsystemdriveren. Adgang til mediets beskyttede indhold er næsten umuligt [3] .

Når du krypterer hele sektioner af en harddisk, er proceduren generelt den samme. I første fase oprettes en almindelig, ukrypteret diskpartition. Derefter, ved hjælp af et af krypteringsværktøjerne, krypteres partitionen. Når den er krypteret, kan partitionen kun tilgås, efter at den er blevet monteret. En umonteret krypteret partition ligner et ikke-allokeret område på harddisken.

I de seneste versioner af krypteringssystemer blev det muligt at kryptere systempartitionen på en harddisk. Denne proces ligner kryptering af en harddiskpartition, bortset fra at partitionen monteres, når computeren starter op, før operativsystemet starter.

Nogle krypteringssystemer giver mulighed for at oprette skjulte partitioner i krypterede lagermedier (enhver af de typer, der er anført ovenfor: filbeholder, krypteret partition, krypteret systempartition). For at oprette en skjult partition opretter brugeren et beskyttet medie i henhold til de sædvanlige regler. Derefter, inden for rammerne af det oprettede medie, oprettes en anden, skjult partition. For at få adgang til en skjult sektion skal brugeren angive en anden adgangskode end adgangskoden for at få adgang til den offentlige sektion. Ved at angive forskellige adgangskoder får brugeren således mulighed for at arbejde med enten en (åben) eller en anden (skjult) del af det beskyttede medie. Når du krypterer en systempartition, er det muligt at oprette et skjult operativsystem (ved at angive adgangskoden til den åbne partition, indlæses en kopi af operativsystemet, og ved at angive adgangskoden til den skjulte partition, en anden). Samtidig erklærer udviklerne, at det ikke er muligt at opdage tilstedeværelsen af en skjult sektion i en åben beholder [4] . Oprettelse af skjulte containere understøttes af et ret stort antal programmer: TrueCrypt , PGP , BestCrypt , DiskCryptor , osv.

Se også

Noter

↑ Ifølge forskning vil hastigheden af adgangskodevalg til WinZIP 9+ arkiver med en længde på 8 tegn (latinske små og store bogstaver og tal) selv ved brug af en supercomputer være 31 dage (Ivan Golubevs artikel " On the speed of password brute kraft på CPU'en og GPU'en " Arkivkopi dateret 21. juni 2013 på Wayback Machine ")
↑ Kryptografiske databeskyttelsesenheder i KRYPTON-serien . Hentet 2. juni 2016. Arkiveret fra originalen 17. december 2017. (ubestemt)
↑ Ifølge forskerne Alex Biryukov og Johan Grossshadl fra Laboratory of Algorithmics, Cryptology and Security ved University of Luxembourg, vil det tage mere end en billion dollars og et år at bryde AES -algoritmen (ofte brugt ved oprettelse af sikre containere) med en nøglelængde på 256 bytes
↑ En gruppe forskere ledet af Bruce Schneier formåede at finde skjulte filer i en krypteret partition oprettet ved hjælp af TrueCrypt 5.0 (xakep.ru magazine, 18. juli 2008) Arkiveret 1. december 2012 på Wayback Machine .