Анализ угроз. Последствия реализации угроз.

Анализ технологий криптографической защиты

Криптогра́фия (от др.-греч. κρυπτός — скрытый и γράφω — пишу) — наука о методах обеспечения конфиденциальности (невозможности прочтения информации посторонним), целостности данных (невозможности незаметного изменения информации), аутентификации (проверки подлинности авторства или иных свойств объекта), а также невозможности отказа от авторства.

Изначально криптография изучала методы шифрования информации — обратимого преобразования открытого (исходного) текста на основе секретного алгоритма или ключа в шифрованный текст (шифротекст). Традиционная криптография образует раздел симметричных криптосистем, в которых зашифрование и расшифрование проводится с использованием одного и того же секретного ключа. Помимо этого раздела современная криптография включает в себя асимметричные криптосистемы, системы электронной цифровой подписи (ЭЦП), хеш-функции, управление ключами, получение скрытой информации, квантовую криптографию.

Криптография не занимается защитой от обмана, подкупа или шантажа законных абонентов, кражи ключей и других угроз информации, возникающих в защищённых системах передачи данных.

Криптография - это совокупность технических, математических, алгоритмических и программных методов преобразования данных (шифрование данных), которая делает их бесполезными для любого пользователя, у которого нет ключа для расшифровки. Криптографические преобразования обеспечивают решение следующих базовых задач защиты - конфиденциальности (невозможности прочитать данные и извлечь полезную информацию) и целостности (невозможность модифицировать данные для изменения смысла или внесения ложной информации).

Технологии криптографии позволяют реализовать следующие процессы информационной защиты:

· идентификация (отождествление) объекта или субъекта сети или информационной системы;

· аутентификация (проверка подлинности) объекта или субъекта сети;

· контроль/разграничение доступа к ресурсам локальной сети или внесетевым сервисам;

· обеспечение и контроль целостности данных.

В соответствии с политиками безопасности используемые в компании технологии криптографии и специализированное программно-аппаратное обеспечение для защиты данных и документов, шифрования файлов и дисков реализуют следующие аспекты информационной защиты:

· шифруемые электронные письма и соединения VPN скрывают передаваемые данные от вирусов и сканеров содержимого;

· шифрование дисков не должно затруднять автоматическое резервное сохранение данных или управление файлами;

· сетевой администратор может не иметь права доступа к защищаемым файлам, содержащим конфиденциальную информацию, если это вызвано производственной необходимостью;

· когда сотрудник покидает предприятие, у его работодателя должна быть возможность доступа к зашифрованным данным, связанным с производственной деятельностью этого сотрудника;

· надежность шифрования и доступа должна быть обеспечена на длительное время;

· если при шифровании применяется метод открытого ключа, то помимо программного обеспечения необходимо построение инфраструктуры управления ключами или сертификатами;

· в случае попытки взлома системы или утечки секретной информации систему можно быстро перенастроить;

· широкое применение шифрования возможно лишь при условии простоты его обслуживания.

 

Достоинства

· скорость

· простота реализации (за счёт более простых операций)

· меньшая требуемая длина ключа для сопоставимой стойкости

· изученность (за счёт большего возраста)

Недостатки

· сложность управления ключами в большой сети

· сложность обмена ключами. Для применения необходимо решить проблему надёжной передачи ключей каждому абоненту, так как нужен секретный канал для передачи каждого ключа обеим сторонам

Для компенсации недостатков симметричного шифрования в настоящее время широко применяется комбинированная (гибридная) криптографическая схема, где с помощью асимметричного шифрования передаётся сеансовый ключ, используемый сторонами для обмена данными с помощью симметричного шифрования.

Важным недостатком симметричных шифров является невозможность их использования в механизмах формирования электронной цифровой подписи и сертификатов, так как ключ известен каждой стороне.

 

Криптографическая система с открытым ключом (или асимметричное шифрование, асимметричный шифр) — система шифрования и/или электронной подписи (ЭП), при которой открытый ключ передаётся по открытому (то есть незащищённому, доступному для наблюдения) каналу и используется для проверки ЭП и для шифрования сообщения. Для генерации ЭП и для расшифровки сообщения используется закрытый ключ. Криптографические системы с открытым ключом в настоящее время широко применяются в различных сетевых протоколах, в частности, в протоколах TLS и его предшественнике SSL (лежащих в основе HTTPS), в SSH. Также используется в PGP, S/MIME.

Применение

Алгоритмы криптосистемы с открытым ключом можно использовать

· как самостоятельное средство для защиты передаваемой и хранимой информации,

· как средство распределения ключей (обычно с помощью алгоритмов криптосистем с открытым ключом распределяют ключи, малые по объёму, а саму передачу больших информационных потоков осуществляют с помощью других алгоритмов),

· как средство аутентификации пользователей.

Преимущества

Преимущества асимметричных шифров перед симметричными:

· Не нужно предварительно передавать секретный ключ по надёжному каналу.

· Только одной стороне известен ключ дешифрования, который нужно держать в секрете (в симметричной криптографии такой ключ известен обеим сторонам и должен держаться в секрете обеими).

· В больших сетях число ключей в асимметричной криптосистеме значительно меньше, чем в симметричной.

Недостатки

Недостатки алгоритма несимметричного шифрования в сравнении с симметричным:

· В алгоритм сложнее внести изменения.

· Более длинные ключи. Ниже приведена таблица, сопоставляющая длину ключа симметричного алгоритма с длиной ключа RSA с аналогичной криптостойкостью:

· Шифрование-расшифрование с использованием пары ключей проходит на два-три порядка медленнее, чем шифрование-расшифрование того же текста симметричным алгоритмом.

· Требуются существенно бо́льшие вычислительные ресурсы, поэтому на практике асимметричные криптосистемы используются в сочетании с другими алгоритмами:

· Для ЭЦП сообщение предварительно подвергается хешированию, а с помощью асимметричного ключа подписывается лишь относительно небольшой результат хеш-функции.

· Для шифрования они используются в форме гибридных криптосистем, где большие объёмы данных шифруются симметричным шифром на сеансовом ключе, а с помощью асимметричного шифра передаётся только сам сеансовый ключ.

Инфраструктура открытых ключей (ИОК, англ. PKI - Public Key Infrastructure) — набор средств (технических, материальных, людских и т. д.), распределённых служб и компонентов, в совокупности используемых для поддержки криптозадач на основе закрытого и открытого ключей. В основе PKI лежит использование криптографической системы с открытым ключом и несколько основных принципов:

1. закрытый ключ (private key) известен только его владельцу;

2. удостоверяющий центр создает электронный документ — сертификат открытого ключа, таким образом удостоверяя факт того, что закрытый (секретный) ключ известен эксклюзивно владельцу этого сертификата, открытый ключ (public key) свободно передается в сертификате;

3. никто не доверяет друг другу, но все доверяют удостоверяющему центру;

4. удостоверяющий центр подтверждает или опровергает принадлежность открытого ключа заданному лицу, которое владеет соответствующим закрытым ключом.

PKI реализуется в модели клиент-сервер, то есть проверка какой-либо информации, предоставляемой инфраструктурой, может происходить только по инициативе клиента.

Основные компоненты PKI:

· Удостоверяющий центр (УЦ) является основной структурой, формирующей цифровые сертификаты подчиненных центров сертификации и конечных пользователей. УЦ является главным компонентом PKI:

1. он является доверенной третьей стороной (trusted third party)

2. это сервер, который осуществляет управление жизненным циклом сертификатов (не их непосредственным использованием).

· Сертификат открытого ключа (чаще всего просто сертификат) — это данные пользователя и его открытый ключ, скреплённые электронной подписью удостоверяющего центра. Выпуская сертификат открытого ключа, удостоверяющий центр тем самым подтверждает, что лицо, поименованное в сертификате, владеет секретным ключом, который соответствует этому открытому ключу.

· Регистрационный центр (РЦ) — необязательный компонент системы, предназначенный для регистрации пользователей. Для этих целей РЦ обычно предоставляет веб-интерфейс. Удостоверяющий центр доверяет регистрационному центру проверку информации о субъекте. Регистрационный центр, проверив правильность информации, подписывает её своим ключом и передаёт удостоверяющему центру, который, проверив ключ регистрационного центра, выписывает сертификат. Один регистрационный центр может работать с несколькими удостоверяющими центрами (то есть состоять в нескольких PKI), один удостоверяющий центр может работать с несколькими регистрационными центрами. Иногда, удостоверяющий центр выполняет функции регистрационного центра.

· Репозиторий — хранилище, содержащее сертификаты и списки отозванных сертификатов (СОС) и служащее для распространения этих объектов среди пользователей. В Федеральном Законе РФ № 63 «Об электронной подписи» он называется реестр сертификатов ключей подписей.

· Архив сертификатов — хранилище всех изданных когда-либо сертификатов (включая сертификаты с закончившимся сроком действия). Архив используется для проверки подлинности электронной подписи, которой заверялись документы.

· Центр запросов — необязательный компонент системы, где конечные пользователи могут запросить или отозвать сертификат.

· Конечные пользователи — пользователи, приложения или системы, являющиеся владельцами сертификата и использующие инфраструктуру управления открытыми ключами.

 

Примеры использования PKI

Электронная подпись (ЭП)

Сторона А для документа вычисляет хеш-функцию, затем полученное значение шифруется с помощью закрытого ключа (private key) получая ЭП. Сторона Б получает документ, ЭП и сертификат (ссылку на сертификат) стороны А, верифицирует сертификат открытого ключа стороны А в удостоверяющем центре, дешифрует полученную ЭП при помощи общего ключа (public key), вычисляет хеш-функцию документа и проверяет с расшифрованым значением. Если сертификат стороны А действителен и проверка прошла успешно, принимается, что документ был подписан стороной А.

Шифрование сообщений

Сторона Б зашифровывает документ открытым ключом стороны А. Чтобы убедиться, что открытый ключ действительно принадлежит стороне А, сторона Б запрашивает сертификат открытого ключа у удостоверяющего центра. Если это так, то только сторона А может расшифровать сообщение, так как владеет соответствующим закрытым ключом.

Авторизация

Сертификаты могут использоваться для подтверждения личности пользователя и задания полномочий, которыми он наделён. В числе полномочий субъекта сертификата может быть, например, право просматривать информацию или разрешение вносить изменения в материал, представленный на web-сервере.

 

VPN (англ. Virtual Private Network — виртуальная частная сеть^[1]) — обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например, Интернет). Несмотря на то, что коммуникации осуществляются по сетям с меньшим или неизвестным уровнем доверия (например, по публичным сетям), уровень доверия к построенной логической сети не зависит от уровня доверия к базовым сетям благодаря использованию средств криптографии (шифрования, аутентификации, инфраструктуры открытых ключей, средств для защиты от повторов и изменений передаваемых по логической сети сообщений).

В системе существуют следующие инструменты криптографической защиты:

· Электронная подпись (ЭП) ‑ последовательность символов, полученная в результате криптографического преобразования электронных данных. ЭП добавляется к блоку данных и позволяет получателю блока проверить источник и целостность данных и защититься от подделки. ЭП используется в качестве аналога собственноручной подписи.

· Электронная подпись и шифрование транспортных пакетов ‑ механизм системы, позволяющий защитить электронной подписью транспортные пакеты, используемые в ходе документооборота банка и подсистемы Банк-Клиент.

· Шифрование данных в подсистеме Интернет-Клиент ‑ механизм системы, позволяющий защитить электронной подписью пакеты данных, используемые в ходе документооборота банка и подсистемы Интернет-Клиент.

В зависимости от типа документа и от настроек подсистемы криптозащиты, для его подписи требуются наличие одной или двух (первой и второй) подписей. Выполнение процедуры подписи также зависит от наличия прав подписи документов у пользователя.

Право подписи документов наделяет пользователя (абонента) возможностью подписывать документы:

· первой подписью;

· второй подписью;

· единственной подписью.

Рассмотрим возможности подписи документов, требующих наличия двух подписей, для абонентов с различными правами:

· Абонент, наделенный правом первой подписи, может подписывать документ первой подписью, если первая подпись под документом еще не поставлена. При этом, данный абонент не может поставить вторую подпись под документом. Пример: главный бухгалтер организации клиента, осуществляет первую подпись, но не может подписать документ и за себя, и за руководителя организации.

· Абонент, наделенный правом второй подписи, может поставить вторую подпись под документом, если ее еще нет, и не может подписать документ первой подписью.

· Абонент, обладающий правом единственной подписи может подписать документы, требующие наличия двух подписей. Пример: руководитель организации может подписать документ, даже не имеющий подписи главного бухгалтера.

Порядок подписи документа (сначала первой подписью, затем второй или наоборот) системой "ДБО BS-Client x64" не регламентируется, он может быть произвольным.

В случае, когда документ требует наличия только одной подписи, все указанные абоненты обладают возможностью подписи документа в равной степени.

Если для хранения секретных ключей используются USB-токен, при выполнении операции подписи документов системой "ДБО BS-Client x64" может запрашиваться ввод PIN-кода для доступа к USB-токену, на котором хранится требуемая ключевая информация. При использовании криптографий Message-Pro и Крипто-Ком система "ДБО BS-Client x64" указывать PIN-кода с помощью виртуальной клавиатуры. Использование виртуальной клавиатуры позволяет предотвратить хищения PIN-кодов USB-токенов.

Криптоанализ (от др.-греч. κρυπτός — скрытый и анализ) — наука о методах расшифровки зашифрованной информации без предназначенного для такой расшифровки ключа.

Термин был введён американским криптографом Уильямом Ф. Фридманом в 1920 году в рамках его книги «Элементы криптоанализа»^[1]. Неформально криптоанализ называют также взломом шифра.

В большинстве случаев под криптоанализом понимается выяснение ключа; криптоанализ включает также методы выявления уязвимости криптографических алгоритмов или протоколов.

Первоначально методы криптоанализа основывались на лингвистических закономерностях естественного текста и реализовывались с использованием только карандаша и бумаги. Со временем в криптоанализе нарастает роль чисто математических методов, для реализации которых используются специализированные криптоаналитические компьютеры.

Попытку раскрытия конкретного шифра с применением методов криптоанализа называют криптографической атакой на этот шифр. Криптографическую атаку, в ходе которой раскрыть шифр удалось, называют взломом или вскрытием.

Методы криптоанализа

Брюс Шнайер выделяет 4 основных и 3 дополнительных метода криптоанализа, предполагая знание криптоаналитиком алгоритма шифра:

Основные методы криптоанализа:

1. Атака на основе шифротекста

2. Атака на основе открытых текстов и соответствующих шифротекстов

3. Атака на основе подобранного открытого текста (возможность выбрать текст для шифрования)

4. Атака на основе адаптивно подобранного открытого текста

Дополнительные методы криптоанализа:

1. Атака на основе подобранного шифротекста

2. Атака на основе подобранного ключа

3. Бандитский криптоанализ

 

 

Криптографические примитивы

В основе построения криптостойких систем лежит многократное использование относительно простых преобразований, так называемых криптографических примитивов. Клод Шеннон известный американский математик и электротехник предложил использовать подстановки (англ. substitution) и перестановки (англ. permutation). Схемы, которые реализуют эти преобразования, называются SP-сетями. Нередко используемыми криптографическими примитивами являются также преобразования типа циклический сдвиг или гаммирование. Ниже приведены основные криптографические примитивы и их использование.

· Симметричное шифрование. Заключается в том, что обе стороны-участники обмена данными имеют абсолютно одинаковые ключи для шифрования и расшифровки данных. Данный способ осуществляет преобразование, позволяющее предотвратить просмотр информации третьей стороной.

· Асимметричное шифрование. Предполагает использовать в паре два разных ключа — открытый и секретный. В асимметричном шифровании ключи работают в паре — если данные шифруются открытым ключом, то расшифровать их можно только соответствующим секретным ключом и наоборот — если данные шифруются секретным ключом, то расшифровать их можно только соответствующим открытым ключом. Использовать открытый ключ из одной пары и секретный с другой — невозможно. Каждая пара асимметричных ключей связана математическими зависимостями. Данный способ также нацелен на преобразование информации от просмотра третьей стороной.

· Цифровые подписи. Цифровые подписи используются для установления подлинности документа, его происхождения и авторства, исключает искажения информации в электронном документе.

· Хеширование. Преобразование входного массива данных произвольной длины в выходную битовую строку фиксированной длины. Такие преобразования также называются хеш-функциями или функциями свёртки, а их результаты называют, хеш-кодом, контрольной суммой или дайджестом сообщения (англ. message digest). Результаты хэширования статистически уникальны. Последовательность, отличающаяся хотя бы одним байтом, не будет преобразована в то же самое значение.

 

 

Криптографический протокол (англ. Cryptographic protocol) — это абстрактный или конкретный протокол, включающий набор криптографических алгоритмов. В основе протокола лежит набор правил, регламентирующих использование криптографических преобразований и алгоритмов в информационных процессах.

Классификация

Задачи

· Обеспечение различных режимов аутентификации

· Генерация, распределение и согласование криптографических ключей

· Защита взаимодействий участников

· Разделение ответственности между участниками

Требования к безопасности протокола

1. Аутентификация (нешироковещательная):

· аутентификация субъекта

· аутентификация сообщения

· защита от повтора

2. Аутентификация при рассылке по многим адресам или при подключении к службе подписки/уведомления:

· неявная (скрытая) аутентификация получателя

· аутентификация источника

3. Авторизация (доверенной третьей стороной)

4. Свойства совместной генерации ключа:

· аутентификация ключа

· подтверждение правильности ключа

· защищенность от чтения назад

· формирование новых ключей

· защищенная возможность договориться о параметрах безопасности

5. Конфиденциальность

6. Анонимность:

· защита идентификаторов от прослушивания (несвязываемость)

· защита идентификаторов от других участников

7. Ограниченная защищенность от атак типа «отказ в обслуживании»

8. Инвариантность отправителя

9. Невозможность отказа от ранее совершенных действий:

· подотчётность

· доказательство источника

· доказательство получателя

10. Безопасное временное свойство

 

Управление ключами состоит из процедур, обеспечивающих:

· включение пользователей в систему;

· выработку, распределение и введение в аппаратуру ключей;

· контроль использования ключей;

· смену и уничтожение ключей;

· архивирование, хранение и восстановление ключей.

Управление ключами играет важнейшую роль в криптографии как основа для обеспечения конфиденциальности обмена информацией, идентификации и целостности данных. Важным свойством хорошо спроектированной системы управления ключами является сведение сложных проблем обеспечения безопасности многочисленных ключей к проблеме обеспечения безопасности нескольких ключей, которая может быть относительно просто решена путём обеспечения их физической изоляции в выделенных помещениях и защищенном от проникновения оборудовании. В случае использования ключей для обеспечения безопасности хранимой информации субъектом может быть единственный пользователь, который осуществляет работу с данными в последовательные промежутки времени. Управление ключами в сетях связи включает, по крайней мере, двух субъектов — отправителя и получателя сообщения.

Целью управления ключами является нейтрализация таких угроз, как:

· компрометация конфиденциальности закрытых ключей;

· компрометация аутентичности закрытых или открытых ключей. При этом под аутентичностью понимается знание или возможность проверки идентичности корреспондента, для обеспечения конфиденциальной связи с которым используется данный ключ;

· несанкционированное использование закрытых или открытых ключей, например использование ключа, срок действия которого истек.

Управление ключами обычно осуществляется в контексте определенной политики безопасности. Политика безопасности прямо или косвенно определяет те угрозы, которым должна противостоять система. Кроме того, она определяет:

· правила и процедуры, которыми необходимо руководствоваться и которые необходимо выполнять в процессе автоматического или ручного управления ключами,

· ответственность и подотчетность всех субъектов, участвующих в управлении, а также все виды записей, которые должны сохраняться для подготовки необходимых сообщений и проведения проверки действий, связанных с безопасностью ключей.

Одним из инструментов, используемых для обеспечения конфиденциальности ключей, является разделение ключей по уровням следующим образом.

· Главный ключ — высший ключ в иерархии, который не защищается криптографически. Его защита осуществляется с помощью физических или электронных средств.

· Ключи для шифрования ключей — закрытые или открытые ключи, используемые для засекречивания перед передачей или при хранении других шифровальных ключей. Эти ключи сами могут быть зашифрованы с помощью других ключей.

· Ключи для шифрования данных — используются для защиты данных пользователей.

Ключи более высоких уровней используются для защиты ключей или данных на более низких уровнях, что уменьшает ущерб при раскрытии ключей и объём необходимой информации, нуждающейся в физической защите.

 

Secret Disk 4 Lite

Разработчиком продукта Secret Disk 4 Lite является компания Aladdin ‑ один из мировых лидеров, работающих в области информационной безопасности. Она обладает большим количеством сертификатов как от ФЭСТЭК, так и от ФСБ России. И хотя сам рассматриваемый продукт не является сертифицированным средством (у Secret Disk 4 есть отдельная сертифицированная версия), данный факт говорит о признании компании серьезным разработчиком криптографических средств.

Secret Disk 4 Lite может использоваться для шифрования отдельных разделов винчестера, любых съемных накопителей, а также для создания защищенных виртуальных дисков. Таким образом, с помощью этого инструмента можно решить большую часть задач, связанных с криптографией. Отдельно стоит отметить возможность шифрования системного раздела. При этом сама загрузка ОС неавторизированным пользователем становится невозможной. Причем эта защита несоизмеримо надежнее, нежели встроенные средства защиты Windows.

В продукте Secret Disk 4 Lite нет встроенных алгоритмов шифрования. Эта программа для своей работы использует внешние криптопровайдеры. По умолчанию применяется стандартный модуль, интегрированный в Windows. В нем реализованы алгоритмы DES и 3DES. Однако сегодня они считаются уже морально устаревшими. Поэтому для лучшей защиты можно загрузить с сайта Aladdin специальный Secret Disk Crypto Pack. Это криптопровайдер, в котором реализованы наиболее надежные на сегодняшний день криптографические технологии, включая AES и Twofish с длиной ключа до 256 бит. Кстати, в случае необходимости в сочетание с Secret Disk 4 Lite можно использовать сертифицированных поставщиков алгоритмов Signal-COM CSP и "КриптоПро CSP".

Отличительной особенностью Secret Disk 4 Lite является система аутентификации пользователей. Дело в том, что она построена на использовании цифровых сертификатов. Для этого в комплект поставки продукта включен аппаратный USB-токен eToken. Он представляет собой надежно защищенное хранилище для секретных ключей. Фактически, речь идет о полноценной двухфакторной аутентификации (наличие токена плюс знание его PIN-кода). В результате рассматриваемая система шифрования избавлена от такого "узкого" места, как использование обычной парольной защиты.

Из дополнительных функция Secret Disk 4 Lite можно отметить возможность многопользовательской работы (владелец зашифрованных дисков может предоставить доступ к ним другим людям) и фоновую работу процесса шифрования.

Интерфейс Secret Disk 4 Lite прост и понятен. Он выполнен на русском языке, точно так же, как и подробная справочная система, в которой расписаны все нюансы использования продукта.

InfoWatch CryptoStorage

InfoWatch CryptoStorage ‑ продукт достаточно известной компании InfoWatch, обладающей сертификатами ФСБ РФ на разработку, распространение и обслуживание шифровальных средств. Как мы уже говорили, они не обязательны, но могут играть роль своеобразного индикатора серьезности компании и качества выпускаемой ею продукции.

В InfoWatch CryptoStorage реализован только один алгоритм шифрования ‑ AES с длиной ключа 128 бит. Аутентификация пользователей реализована с помощью обычной парольной защиты. Ради справедливости стоит отметить, что в программе есть ограничение минимальной длины ключевых слов, равное шести символам. Тем не менее, парольная защита, безусловно, сильно уступает по своей надежности двухфакторной аутентификации с использованием токенов.

Приятной особенностью программы InfoWatch CryptoStorage является ее универсальность. Дело в том, что с ее помощью можно зашифровывать отдельные файлы и папки, целые разделы винчестера, любые съемные накопители, а также виртуальные диски. Кстати, данный продукт, как и предыдущий, позволяет защищать системные диски, то есть он может использоваться для предотвращения несанкционированной загрузки компьютера. Фактически, InfoWatch CryptoStorage позволяет решить весь спектр задач, связанных с использованием симметричного шифрования.

Дополнительной возможностью рассматриваемого продукта является организация многопользовательского доступа к зашифрованной информации. Кроме того, в InfoWatch CryptoStorage реализовано гарантированное уничтожение данных без возможности их восстановления.

InfoWatch CryptoStorage ‑ русскоязычная программа. Ее интерфейс, выполнен на русском языке, однако достаточно необычен: главное окно как таковое отсутствует (есть только небольшое окошко конфигуратора), а практически вся работа реализована с помощью контекстного меню. Такое решение непривычно, однако нельзя не признать его простоту и удобство. Естественно, русскоязычная документация в программе также имеется.

Rohos Disk

Rohos Disk ‑ продукт компании Tesline-Service.S.R.L. Он входит в линейку небольших утилит, реализующих различные инструменты по защите конфиденциальной информации. Разработка этой серии продолжается с 2003 года.

Программа Rohos Disk предназначена для криптографической защиты компьютерных данных. Она позволяет создавать зашифрованные виртуальные диски, на которые можно сохранять любые файлы и папки, а также устанавливать программное обеспечение. Для защиты данных в данном продукте используется криптографический алгоритм AES с длиной ключа 256 бит, который обеспечивает высокую степень безопасности.

В Rohos Disk реализовано два способа аутентификации пользователей. Первый из них ‑ обычная парольная защита со всеми ее недостатками. Второй вариант ‑ использование обычного USB-диска, на который записывается необходимый ключ. Откровенно говоря, данный вариант также не является очень надежным. При его использовании утеря "флешки" (вообще-то они теряются достаточно часто) может грозить серьезными проблемами.

Rohos Disk отличается широким набором дополнительных возможностей. В первую очередь стоит отметить защиту USB-дисков. Суть ее заключается в создании на "флешке" специального зашифрованного раздела, в котором можно без опасений переносить конфиденциальные данные. Причем в состав продукта входит отдельная утилита, с помощью которой можно открывать и просматривать эти USB-диски на компьютерах, на которых не инсталлирован Rohos Disk.

Следующая дополнительная возможность ‑ поддержка стеганографии. Суть этой технологии заключается в сокрытии зашифрованной информации внутри мультимедиа-файлов (поддерживаются форматы AVI, MP3, MPG, WMV, WMA, OGG). Ее использование позволяет скрыть сам факт наличия секретного диска путем его размещения, например, внутри фильма. Последней дополнительной функцией является уничтожение информации без возможности ее восстановления.

Программа Rohos Disk обладает традиционным русскоязычным интерфейсом. Кроме того, она сопровождена справочной системой, может быть, не столь подробной, как у двух предыдущих продуктов, однако достаточной для освоения принципов ее использования.

TrueCrypt

Говоря о криптографических утилитах, нельзя не упомянуть и про бесплатное программное обеспечение. Ведь сегодня практически во всех областях есть достойные продукты, распространяющиеся совершенно свободно. И защита информации не является исключением из этого правила.

Правда, к использованию свободного ПО для защиты информации существует двоякое отношение. Дело в том, что многие утилиты пишутся программистами-одиночками или небольшими группами. При этом никто не может поручиться за качество их реализации и отсутствии "дыр", случайных или намеренных. Но криптографические решения сами по себе весьма сложны для разработки. При их создании нужно учитывать огромное множество различных нюансов. Именно поэтому рекомендуется применять только широко известные продукты, причем обязательно с открытым кодом. Только так можно быть уверенным, что они избавлены от "закладок" и протестированы большим количеством специалистов, а значит, более-менее надежны. Примером такого продукта является программа TrueCrypt.

TrueCrypt является, пожалуй, одной из самых функционально богатых бесплатных криптографических утилит. Изначально она использовалась только для создания защищенных виртуальных дисков. Все-таки для большинства пользователей это наиболее удобный способ защиты различной информации. Однако со временем в ней появилась функция шифрования системного раздела. Как мы уже знаем, она предназначается для защиты компьютера от несанкционированного запуска. Правда, шифровать все остальные разделы, а также отдельные файлы и папки TrueCrypt пока не умеет.

В рассматриваемом продукте реализовано несколько алгоритмов шифрования: AES, Serpent и Twofish. Владелец информации может сам выбрать, какой из них он хочет использовать в данный момент. Аутентификации пользователей в TrueCrypt может производиться с помощью обычных паролей. Однако есть и другой вариант ‑ с использованием ключевых файлов, которые могут сохраняться на жестком диске или любом съемном накопителе. Отдельно стоит отметить поддержку данной программой токенов и смарт-карт, что позволяет организовать надежную двухфакторную аутентификацию.

Из дополнительных функций рассматриваемой программы можно отметить возможность создания скрытых томов внутри основных. Она используется для сокрытия конфиденциальных данных при открытии диска под принуждением. Также в TrueCrypt реализована система резервного копирования заголовков томов для их восстановлении при сбое или возврата к старым паролям.

Интерфейс TrueCrypt привычен для утилит подобного рода. Он многоязычен, причем есть возможность установить и русский язык. С документацией дела обстоят гораздо хуже. Она есть, причем весьма подробная, однако написана на английском языке. Естественно, ни о какой технической поддержки речи идти не может. Максимум, на что можно рассчитывать ‑ ответ на вопрос на форуме.

Выводы

Сегодня мы рассмотрели целый ряд программных продуктов, предназначенных для криптографической защиты информации. Для большей наглядности мы свели все их особенности и функциональные возможности в единую таблицу, с которой и предлагаем вам ознакомиться.

 

· Aladdin Secret Disk 4.

· Aladdin Secret Disk Server NG.

· Aladdin Secret Disk Enterprise.

· JaCarta

· Программно-аппаратный комплекс «Удостоверяющий центр «КриптоПро УЦ».

 

 

Secret Disk 4 - система защиты конфиденциальной информации и персональных данных, хранящихся и обрабатываемых на персональном компьютере под управлением операционной системы Microsoft Windows XP/Vista/7/8.1 с возможностью защиты системного раздела и двухфакторной аутентификацией пользователя до загрузки операционной системы.

Secret Disk 4 создаёт на персональном компьютере скрытые ресурсы ‑ зашифрованные диски, предназначенные для безопасного хранения конфиденциальной информации.

Защита дисков достигается за счёт “прозрачного” шифрования данных ‑ при записи на зашифрованный диск информация автоматически зашифровывается, при чтении ‑ расшифровывается.

Доступ к зашифрованной информации может получить только её владелец либо авторизованные им доверенные лица, имеющие электронный ключ eToken или JaCarta и знающие ПИН-код.

Для других пользователей этот зашифрованный ресурс будет не виден и недоступен. Более того, они могут даже не догадываться о его наличии. В отключенном состоянии зашифрованный диск выглядит как