"Секретный диск" от "Аладдина"

Автор: Марат Давлетханов
Опубликовано: 16.12.2013
Источник: SoftKey.info

На сегодняшний день шифрование является единственным надежным способом защиты конфиденциальной информации от угроз, связанных с непосредственным доступом злоумышленников к компьютерному оборудованию и утерей (в том числе кражей) носителей информации. Помимо этого криптография позволяет решить и некоторые другие задачи. Например, скрыть сам факт наличия на диске секретных данных, предотвратить несанкционированный запуск ПК и т. п. Сегодня на рынке можно найти большое количество самых разных криптографических продуктов. Однако, откровенно говоря, далеко не все они могут похвастать действительно высокой степенью надежности. Поэтому к выбору криптографической защиты необходимо подходить очень серьезно. В частности, можно обратить внимание на семейство продуктов Secret Disk 4 от одного из лидеров российского рынка информационной безопасности – компании "Аладдин Р.Д.".

Итак, Secret Disk 4. Данный продукт предназначен для защиты конфиденциальной информации от несанкционированного доступа и разглашения путем ее шифрования. Для таких решений особую, можно даже сказать, первоочередную важность имеет надежность. И действительно, продукт может быть сколь угодно функциональным и удобным для конечного пользователя. Но до тех пор, пока он не будет обеспечивать действительно надежную защиту информации, он не будет привлекателен для потенциальных покупателей. Для оценки надежности Secret Disk 4, равно как и любого другого криптографического решения, необходимо рассмотреть две основные характеристики: реализованные алгоритмы шифрования и способ аутентификации пользователей.

Что касается алгоритмов шифрования, то их в рассматриваемом продукте просто-напросто нет. Разработчики Secret Disk 4 не стали изобретать велосипед и предусмотрели в своем детище возможность использования внешних криптопровайдеров. Что это такое? Криптопровайдер – это внешний модуль, в котором реализованы один или несколько алгоритмов шифрования. Эти модули специально рассчитаны для использования различными программами и представляют собой этакие "черные ящики", на вход которых подают исходные данные, а на выходе получают результат (зашифрованную или, наоборот, расшифрованную) информацию.

У такого подхода есть несколько серьезных преимуществ. Во-первых, в криптопровайдерах обычно представлены качественные реализации алгоритмов шифрования, проверенные многими экспертами. А в некоторых случаях и сертифицированные соответствующими организациями (например, в нашей стране сертификацией криптографических средств занимается ФСБ). Это очень важно, потому что очень часто в самостоятельных реализациях алгоритмов встречаются ошибки и недоработки, которые позволяют злоумышленникам "взламывать" вроде бы совершенно надежные на настоящем этапе развития технологий криптографические технологии.

Главное окно программы

Во-вторых, криптопровайдеры позволяют максимально просто придать криптографическому решению высокую гибкость. Ведь ни для кого не является секретом тот факт, что разным пользователям нужны разные алгоритмы шифрования. Многим организациям требования к используемым криптографическим алгоритмам выдвигают вышестоящие структуры или всевозможные отраслевые или ведомственные стандарты. В этой ситуации использование криптопровайдеров позволяет "угодить" сразу всем потенциальным потребителям. Каждый из них может подключить к программе нужный ему модуль шифрования и спокойно использовать требуемый алгоритм.

В своей работе Secret Disk 4 может использовать криптопровайдер, встроенный в операционные системы семейства Windows. Конкретный состав алгоритмов зависит от версии ОС. Так, например, в Windows XP реализованы морально устаревшие алгоритмы DES (ненадежный, с длиной ключа 56 бит) и Triple DES (надежный, с длиной ключа 156 бит, но медленный), которые вряд ли смогут кого-то удовлетворить. В более новых версиях доступны и другие алгоритмы. Однако лучше воспользоваться иным вариантом – модулем Secret Disk Crypto Pack, который можно бесплатно загрузить с сайта "Аладдин Р.Д.". В этом криптопровайдере реализованы современные алгоритмы шифрования Advanced Encryption Standard (AES) с длиной ключа 128 или 256 бит и Twofish с длиной ключа 256 бит.

Государственные же органы, а также структуры, которым необходимо использование сертифицированных средств защиты, могут использовать криптопровайдеры "КриптоПро CSP", Signal-COM CSP или Vipnet CSP. Все они реализуют российский стандарт шифрования ГОСТ 28147-89 с длиной ключа 256 бит и имеют необходимые сертификаты ФСБ. Кстати, у Secret Disk 4 тоже есть сертифицированная ФСТЭК России версия, имеющая класс защищенности ОУД1. Она, вместе с российскими криптопровайдерами, может использоваться для обеспечения безопасности данных в системах с классом защищенности до 1Г включительно.

Второй аспект надежности любого криптографического решения – аутентификация пользователей. Под ней понимается подтверждение пользователем своей подлинности. Самым распространенным способом аутентификации является пароль. Если человек может предъявить правильное ключевое слово, значит, он считается подлинным и имеет право доступа к информации. Безусловно, этот вариант является самым простым. Но в то же время и самым ненадежным. Какой смысл в использовании стойких криптографических технологий, если ключ шифрования "скрывается" простейшим паролем, который подбирается на ура или вообще записан на бумажке перед компьютером?

В Secret Disk 4 используется двухфакторная аутентификация с использованием токенов или смарт-карт. Несмотря на внешние различия, с технологической точки зрения это похожие устройства, имеющие защищенную память для хранения ключей шифрования, закрытых ключей сертификатов и пр. Токены имеют высокую степень защиты, закрытые ключи никогда не покидают пределов устройства, а доступ к памяти осуществляется только по PIN-коду. При этом в них реализованы инструменты защиты от несанкционированного доступа. Почему аутентификация с использованием токенов называется двухфакторной? Потому что для получения доступа пользователю нужно два фактора – наличие самого устройства с нужным ключом шифрования и знание PIN-кода. Это позволяет защититься от подавляющего большинства угроз, начиная с утери или кражи токена (воспользоваться им злоумышленник все равно не сможет) и заканчивая всевозможными программами-кейлоггерами (перехваченный PIN-код без токена бесполезен).

Управление шифрованием дисков

Таким образом, с надежностью у рассматриваемого решения все в порядке. Теперь можно рассмотреть функциональные возможности. Некоторые из них, в частности, связанные с обеспечением надежности, мы уже рассмотрели. Это подключение внешних криптопровайдеров, в том числе и сертифицированных ФСБ России, а также использование аутентификации пользователей на основе сертификатов, закрытые ключи которых могут храниться на токенах и смарт-картах (поддерживаются устройства серий eToken и JaCarta). Кстати, один электронный ключ входит в комплект поставки Secret Disk 4. На нем содержится лицензия на использование продукта, также он может применяться и для хранения сертификатов пользователей.

Зашифровывать с помощью рассматриваемого продукта можно целые разделы жесткого диска. Это позволит защитить всю хранящуюся на них информацию. Само шифрование выполняется в фоновом режиме, причем без остановки работы пользователя, что весьма удобно. Это же самое касается и процесса перешифрования, если в нем возникнет необходимости. Примечательно, что работа пользователя с защищенными разделами осуществляется в прозрачном режиме. Это значит, что после подключения токена с ключом и ввода PIN-кода человек может работать с зашифрованным диском точно так же, как и с обычным.

Secret Disk 4 умеет создавать виртуальные зашифрованные диски. Физически они представляют собой файлы специального формата, которые могут подключаться к операционной системе в качестве виртуальных разделов. Вся информация на них всегда находится в зашифрованном виде – она автоматически шифруется при записи на такой диск и расшифровывается при чтении. Это обеспечивает, с одной стороны, высокую степень надежности защиты, а с другой – удобство для пользователя. Ведь он работает с зашифрованным виртуальным диском, как с обычным разделом. И может даже устанавливать в него программы.

Еще одна интересная возможность рассматриваемого продукта – защита системного раздела. Фактически речь идет о предотвращении несанкционированного запуска любого компьютера. После установки такой защиты загрузка ПК может осуществляться только при подключенном токене с нужным сертификатом. Этот вариант особенно хорош для ноутбуков, которые в компании используются для выездной работы (в командировках, на презентациях и выставках, в офисах партнеров и пр.). Защита позволит предотвратить несанкционированное использование компьютера, которое может существенно облегчить злоумышленнику доступ к корпоративным информационным системам.

Еще одной немаловажной функцией Secret Disk 4, о которой необходимо обязательно упомянуть, является резервное копирование мастер-ключей. Она нужна, чтобы при утрате токена информация на зашифрованных дисках не оказалась безвозвратно утерянной. Мастер-ключи можно сохранить в защищенном паролем файле или распечатать на принтере. Однако необходимо понимать, что резервные копии являются потенциальной угрозой, поскольку могут попасть в руки злоумышленников. Поэтому их рекомендуется хранить в надежно защищенном месте, например в сейфе организации, в банковской ячейке и т. п.

Защита системного раздела

Последняя возможность рассматриваемой программы – безвозвратное удаление и надежный перенос файлов и папок. Речь идет о том, что объекты, удаленные или перенесенные с помощью нее, будет невозможно восстановить современными методами. Принцип работы этой функции основан опять же на криптографических технологиях. При получении команды на удаление файла Secret Disk 4 генерирует в оперативной памяти компьютера случайный ключ и с его помощью зашифровывает информацию, после чего записывает ее поверх существующей. И только после этого удаляются и сам файл, и ключ. В результате файл, оказывается, можно восстановить с помощью специального программного обеспечения. Однако он будет зашифрован, а ключ шифрования существовал только в оперативной памяти компьютера. Таким образом, раскодировать информацию оказывается невозможно.

У Secret Disk 4 есть две версии. Все, сказанное выше, относится к так называемой персональной редакции. Она предназначена для защиты данных на отдельных рабочих станциях или ноутбуках. Вторая версия – Secret Disk 4 Workgroup Edition. У нее есть одно очень важное отличие. Эта редакция позволяет предоставлять к зашифрованным дискам доступ по сети (до десяти подключений). Она оптимальна для небольших рабочих групп. Конфиденциальная информация может находиться в защищенном хранилище на одном из компьютеров, а другие пользователи могут обращаться к ней при необходимости по локальной сети. Кроме того, у рассматриваемого решения есть сертифицированная версия, которая может использоваться в тех случаях, когда сертификация средств защиты обязательна.

Ну и в заключение нашего сегодняшнего разговора можно подвести небольшой итог. Secret Disk 4 является примером действительно надежной криптографической защиты, которая может защитить конфиденциальную информацию от несанкционированного доступа. При этом в продукте реализован весь необходимый функционал, а сам он остается весьма простым и интуитивно понятным в обращении. Таким образом, данное решение является достаточно интересным вариантом для физических лиц и небольших компаний.