А ведь это устройство он приобрел как раз из соображений обеспечения безопасности...
Системы защиты компьютерных данных: потребительский классСтрашилки или правда страшно?
Невозможно представить себе современного финансового аналитика с арифмометром, пером и стопкой писчей бумаги. Его инструментом стал, естественно, компьютер, «под завязку» наполненный всякой корпоративной информацией, утечка которой может обернуться очень серьезными потерями. Понятно, что в этом случае нужна надлежащая защита.
Между тем, практически любые данные могут стать товаром. Возьмите, например, такие электронные информационные издания, как «WA2-регистр», «Бизнес-карта», «Карты Москвы и Подмосковья» или «Кто есть кто». Свободное обращение контрафактных копий подобных справочников оборачивается гигантскими финансовыми потерями для настоящих правообладателей.
Одним из лучших способов защиты корпоративной информации считается организационный, когда в приказном порядке устанавливаются такие правила работы с конфиденциальными данными, которые не позволяют их случайно рассекретить. Содержащие подобные сведения компьютеры изолируются от локальной сети, не имеют выхода в Internet, а доступом к ним обладает ограниченный круг лиц. Однако такие меры, к сожалению, порождают определенные трудности в работе и далеко не всегда спасают от ограбления. Судите сами: если компьютер не является персональным в строгом смысле этого слова, то он превращается в общую кладовку. Если же специалист работает дома, то его деловая информация и вовсе может стать достоянием кого угодно лишь потому, что этим ПК пользуются все члены семьи.
Как же уберечься от вторжения посторонних?
Пойди туда, не знаю куда, найди...
Где же найти средства защиты? Можно, например, начать с www. yandex.ru (эта поисковая машина, по-моему, одна из лучших в русскоязычной зоне). Однако более миллиона полученных ссылок поневоле отпугнут. При более конкретной формулировке запроса («защита конфиденциальной информации») ответы и Яndex, и другой поисковой машины «АПОРТ» практически совпадают: в основном они ссылаются на пакет SecretDisk компании «Аладдин». Случайно ли это? Существуют ли другие решения и насколько они адекватны запросам потребителей, таким как:
- защита от несанкционированного доступа;
- надежное шифрование информации;
- шифрование-дешифровка информации «на лету»;
- отсутствие «потайной калитки», например депонированных ключей, помогающих раскрыть секретные сведения при краже ПК или жесткого диска;
- полная блокировка доступа или физическое уничтожение информации после ввода «ошибочного» пароля при работе пользователя под принуждением;
- возможность «попробовать» систему до ее приобретения.
Весьма важно, чтобы пользовательский интерфейс системы защиты информации не был чрезвычайно сложным. Большинство потенциальных пользователей, будучи специалистами в других областях, не владеют основами администрирования компьютерных систем и не имеют специальных знаний в сфере обеспечения компьютерной безопасности. Если одни из них, возможно, и смогут грамотно сконфигурировать сложно настраиваемый комплекс, то другие не справятся даже с подключением внешних устройств. Поэтому необходимо, чтобы системы защиты информации для малых и домашних офисов удовлетворяли стандартным требованиям к установке и использованию массовых программных продуктов. Такие пакеты следует поставлять в виде готового коробочного продукта, предназначенного для работы под управлением Windows 9x (можно и для других ОС, но наличие версии для Windows 9x обязательно) и не содержащего компонентов, устанавливаемых внутрь ПК. Кроме того, документация (непременно бумажная!) должна предельно ясно и достаточно подробно объяснять последовательность действий при установке и использовании продукта. Электронная версия руководства тоже возможна, но она ни в коем случае не должна заменять собой бумажную. Заметим, что сам процесс установки должен быть простым и максимально автоматизированным.
Стоимость системы защиты информации потребительского класса не может быть непомерно высокой. Для России на сегодняшний день такой ценовой границей стали 100 долл. Незначительные отклонения от этого уровня не являются для отечественного потребителя определяющими. Гораздо важнее для него соответствие параметров системы его личным представлениям о «правильности» продукта.
Наши шифры лучшие в мире
Отличная научная школа криптографии сложилась еще в СССР в период многолетней «холодной войны», когда экспорт технологий сильной криптозащиты был запрещен. Сегодня, благодаря появившимся возможностям использования современных аппаратных средств, наши производители могут предложить отечественным и зарубежным потребителям целый ряд высокопрофессиональных систем защиты информации.
По большому счету она подобна дисководу, который при записи данных на дискету шифрует их, а при считывании — расшифровывает. Для того чтобы получить доступ к зашифрованной информации, необходимо:
- присоединить к компьютеру электронный идентификатор;
- ввести пароль;
- вставить носитель в соответствующий дисковод.
Если кто-то украдет дискету и поместит ее в обыкновенный дисковод, то она «не прочитается». И даже если у злоумышленника в распоряжении окажется такой же шифрующий дисковод, он все равно не сможет раскрыть информацию, не зная ключа шифрования. Расшифровать данные без него в принципе можно, но для этого потребуется непрерывная работа суперкомпьютера в течение очень долгого времени.
Золотой ключик
Главным компонентом любой системы защиты информации является ее ключ. С одной стороны, под ключом к информации следует понимать технологию шифрования-дешифровки, содержащую алгоритм и шифр, с другой — так обычно называют внешний электронный идентификатор, подключаемый пользователем к стандартному компьютеру в тот момент, когда необходимо получить доступ к засекреченной информации.
Какой тип электронного идентификатора лучше? Вероятно, такой, который не требует модернизации стандартного ПК. Удачным примером подобного устройства служит ключ, поставляемый в комплекте SecretDisk для шины USB.
Некоторые системы не предполагают использование электронного идентификатора. В этом случае при формировании личного ключа задействуется лишь пароль. Эмуляция такого пароля при попытке взлома может быть несколько более простой задачей, чем подбор шифра. В любом случае предпочтительнее иметь комбинацию личного электронного идентификатора и пароля.
И в заключение надо отметить, что систем защиты информации для малых и домашних офисов не так уж много: большинству пользователей придется выбирать между программными решениями в чистом виде и аппаратно-программным комплексом SecretDisk. В других случаях они, увы, рискуют не справиться с установкой продукта.
Об авторе
Александр Чайкин — канд. техн. наук, главный аналитик компании «ЛИР консалтинг», e-mail: alexch@ler.ru.
Хранители секретов
Secret Disk
Принцип работы системы Secret Disk, как и многих других систем, основан на применении шифрующей-дешифрующей программы (крипто-кодека, эмулирующего шифрующий дисковод) и «файл-контейнеров» (они заменяют собой дискеты разных объемов). Файл-контейнеры, в которых хранятся зашифрованные данные, называют секретными дисками. При подключении с помощью крипто-кодека они становятся доступны пользователю как обычные логические диски. Отключение приводит к их исчезновению из конфигурации.
Для подключения и организации доступа к секретному диску крипто-кодек использует рабочий ключ, который генерируется при создании секретного диска и хранится в заголовке файл-контейнера секретного диска в зашифрованном виде. При шифровании самого рабочего ключа крипто-кодек использует:
- личный ключ пользователя, записанный в индивидуальном электронном идентификаторе;
- пароль доступа к диску, вводимый пользователем при подключении диска.
Рабочий ключ диска можно сохранить на любом стандартном носителе в виде файла и использовать в случае утери пароля или электронного идентификатора. Личный ключ пользователя, записанный в электронном идентификаторе, действительно является уникальным и совершенно индивидуальным. Для его генерации каждый пользователь сам должен произвести ряд действий — постучать по клавиатуре и подвигать мышку. Временны?е интервалы и считанные при этом коды образуют уникальную исходную последовательность цифр (объемом более 1 Мбайт), хэш-функция которой и используется крипто-кодеком для записи в электронный идентификатор личного ключа длиной 128 или 256 бит.
Крипто-кодек позволяет в любой момент генерировать новые личные ключи, сохранять и восстанавливать их копии. Попадание электронного идентификатора в чужие руки не позволит «вскрыть» секретный диск, так как для этого необходим также индивидуальный пароль доступа.
CyberDog
Продукт реализует идею «прозрачного» шифрования не секторов жесткого диска, а каталогов, называемых «криптозонами», на локальных и сетевых дисках. В закодированных каталогах может храниться конфиденциальная информация, доступ к которой открывается только при введении установленного ранее пароля. Во всех остальных каталогах находится открытая информация. Не нужно заранее резервировать дисковое пространство для хранения конфиденциальной информации, а ее объем ограничивается только объемом логического устройства. Система криптозащиты поддерживается ОС Windows 95, а использование электронного идентификатора в ней не предусмотрено.
Для каждой «криптозоны» применяется свой уникальный ключ шифрования. Чтобы открыть ее, необходимо активизировать систему CyberDog, введя системный пароль, а также еще один, дополнительный пароль, уникальный для криптозоны, если она настроена на этот режим.
Criptbook
Эта программная система защиты данных на ПК предназначена для того, чтобы исключить доступ посторонних лиц к информации на жестком диске и дискетах. В ней не предусмотрено использование электронного идентификатора. Она включает в себя несколько модулей для защиты индивидуального логического устройства емкостью от 0,5 до 500 Мбайт, а также может применяться для защиты отдельных файлов и дискет.
«Ортис»
Цифровой сейф «Ортис» — это программа, позволяющая защищать как отдельные файлы, так и целые каталоги, работать с закрытым почтовым каталогом, автоматически кодировать защищаемую область на жестком диске при выходе из сессии и автоматически же открывать ее при входе в сессию. Она предоставляет возможность нескольким пользователям хранить свои данные в цифровых сейфах на жестком диске одного ПК, работать с ними и менять ключи независимо друг от друга. Использование электронного идентификатора в системе не предусмотрено. «Ортис» полностью совместим с корпоративной программой защиты сообщений «Веста», и это позволяет работать с закрытым почтовым каталогом.
StrongDisk
Эта система защиты создает и обеспечивает доступ к виртуальным кодированным дискам с файловыми системами FAT (в Windows 9x) или NTFS (в Windows NT). Эти кодированные диски доступны так же, как и обычные логические устройства C:, D: и т. д. Доступ к ним защищен паролем, использование электронного идентификатора не предусмотрено. Виртуальный кодированный диск физически представляет собой обыкновенный файл, который является файлом-образом диска. Все данные хранятся в этом файле в закодированном виде. StrongDisk подключает такой файл, после чего он становится доступен как обычный раздел жесткого диска. Файл-образ виртуального кодированного диска может иметь любое имя и расширение, например image.gif, что обеспечивает высокую степень маскировки конфиденциальной информации.
BestCrypt
Система BestCrypt предназначена для защиты логических дисков, файлов, съемных дисков и дискет и работает под управлением Windows 9x, NT. Хотя она «родом» из Финляндии, но среди прочего поддерживает российский федеральный ГОСТ 28147—89. Поставляется по почте или через Internet, ключ программы можно получить по электронной почте, разумеется, после оплаты. Использование электронного идентификатора в системе не предусмотрено.