Secret Disk 5.0: криптографическая защита + двухфакторная аутентификация

Семейство продуктов Secret Disk обеспечивает надёжную защиту пользовательских данных. На рабочих станциях возможен режим управления загрузкой операционной системы и пофайловое шифрование. Также есть возможность установки защиты на съёмные носители. Для получения доступа к информации на защищаемом ресурсе, пользователю необходимо пройти двухфакторную аутентификацию с помощью подключаемого электронного ключа (токена). Без успешной аутентификации доступ к расшифрованным данным будет невозможен.

Персональная версия Secret Disk 5 обеспечивает качественную защиту информации на персональных компьютерах и ноутбуках с локальным управлением защитой.

Корпоративная система Secret Disk Enterprise 2.6 предназначена для защиты данных на доменных рабочих станциях пользователей, при которой управление безопасностью вынесено на уровень управляющего сервера.

А для защиты файловых серверов, баз данных и ресурсов серверов приложений, необходимо использовать Secret Disk Server 3.9.

Все три решения могут быть применены параллельно для обеспечения информационной безопасности как на малых, так и средних и больших предприятиях.

О чем этот обзор

Не так давно появилась новая версия продукта – Secret Disk 5.0. О четвертой выходил обзор в 2013 году.

Чтобы рассказать о новом функционале подробно, давайте разберём реальные аспекты работы приложения.

Об информационной безопасности и роли Secret Disk

Резкое увеличение количества информационных технологий, задействованных в повседневной жизни обычного человека, делает необходимым надёжное обеспечение защиты пользовательских данных.

Линейка продуктов Secret Disk соответствует подавляющему количеству требований, предъявляемых в наше время к средствам защиты информации.

• Защита информации на персональном компьютере при его краже, техническом и сервисном обслуживании, несанкционированных действиях системного администратора.
• Защита корпоративных файловых хранилищ при их ремонте, утилизации компонентов или незаконном изъятии.
• Безопасность корпоративной информации на рабочих станциях пользователей при минимальном участии самих пользователей в организации этой защиты.

На решение задач информационной безопасности с помощью продуктов Secret Disk чаще всего обращают внимание руководители компаний, юристы, финансисты, менеджеры информационной безопасности. Словом, все те, для кого конфиденциальность данных – не просто слова.

Стоимость Secret Disk не просто оправдана – она не идет ни в какое сравнение с возможными убытками от утечек информации или нарушения защиты.

Двухфакторная аутентификация

На сегодняшний день двухфакторная аутентификация является одним из самых надежных методов обеспечения безопасности данных, потому что включает в себя "ответы" на следующие вопросы:

• Что я имею?
• Что я знаю?

Первое – это электронный ключ или токен. Это специальное устройство, визуально напоминающее флэш-накопитель, но содержащее в себе крипто-процессор, на физическом уровне защищающий хранимую информацию. Приватный ключ позволяет легитимному пользователю выполнять вычисления с этим ключом, но не позволяет извлечь сам ключ.

Второе – ПИН-код или пароль доступа к токену. Лишь введя правильный ПИН-код, можно получить доступ к операциям с приватным ключом, чтобы извлечь из зашифрованной последовательности истинный ключ шифрования данных.

Количество попыток доступа строго ограничено и по умолчанию равно 10-ти. После достижения этого числа содержимое токена блокируется и не может быть использовано.

Для восстановления потерянного доступа к информации в продуктах Secret Disk используются ключевые контейнеры с парольной защитой и/или распечатанные промежуточные ключи, которые всегда хранятся у пользователя и не могут быть получены администратором или работником сервисной службы.

От и до

Secret Disk нацелен на обеспечение конфиденциальности информации, на её защиту от несанкционированного копирования или воровства. Однако каждый продукт линейки Secret Disk решает это по-своему.

• Зашифрование системного раздела (SD5, SDE) – это полнодисковое шифрование с заменой загрузчика BIOS или UEFI, предполагающее прохождение двухфакторной аутентификации пользователя до загрузки операционной системы Windows.
• Зашифрование логических томов (SD5, SDE, SDSNG) – также полнодисковое шифрование, но уже для томов, которые обычно называют буквами "D", "E" и так далее.
• Создание виртуальных дисков (SD5, SDE, SDSNG) – особый вид шифрования, при котором специальный файл в системе представляется как физический диск.
• Создание защищенных контейнеров (SD5, SDE) – специальный файл, который как зашифрованный виртуальный диск монтируется на компьютере владельца данных, но может быть передан другому пользователю, чтобы тот открыл его в специальной программе.
• Защита файловых папок – поистине революционная функция, позволяющая видеть настоящие имена и подлинное содержимое файлов только владельцу информации. Даже системному администратору не под силу "подсмотреть", что находится в таких файлах.

Шифрование

Шифрование дисков, файлов и контейнеров производится разными симметричными алгоритмами, среди которых AES256, TwoFish, TripleDES и другие. Каждый пользователь может выбрать алгоритм "себе по душе".

При необходимости использования отечественных алгоритмов, соответствующих требованиям ГОСТ, продукты линейки Secret Disk могут обращаться к дополнительным криптопровайдерам (CSP – Crypto Service Provider), таким как VIPNet CSP или CryptoPRO CSP.

Для защиты симметричных ключей шифрования используется ключевая схема с ассиметричным шифрованием, использующая сертификаты с открытым (публичным) ключом для зашифрования и закрытый (приватный) ключ, хранимый в токене, для расшифрования.

Зашифрованный диск без подключения Secret Disk не содержит какой-либо "понятной информации". Можно сказать, что выглядит он размеченным, но неформатированным. Применяемые алгоритмы работают так, что даже два совершенно одинаковых сектора (к примеру, наполненные нулями), после зашифрования будут иметь в себе совершенно разную информацию.

Такой подход стирает границы между заполненной частью диска и пустой, между пространством файлов и чистой разметкой. В криптографии это называется диверсификацией ключа: каждый сектор диска в 512 байт зашифрован своим ключом шифрования.

Защищённый контейнер

В крайней версии продукта появился новый тип защищаемых ресурсов – контейнер. Теперь возможно создать такой контейнер, который для самого пользователя будет выглядеть как виртуальный диск. Он наполняется документами, подготавливается к отправке (автоматическая генерация пароля доступа на другом компьютере) и передается своему контрагенту.

Принявшему файл понадобится лишь бесплатная программа Secret Disk Reader и пароль доступа к контейнеру.

В отличие от архивов, Secret Disk не сжимает файлы контейнеров, а, стало быть, не оставляет после себя временных файлов с информацией.

Контрагент не просто получает файлы документов, но может их редактировать, удалять и добавлять, чтобы потом вернуть контейнер владельцу Secret Disk.

Надёжное удаление

Практически во всех стандартах по безопасности прописан алгоритм надёжного удаления информации, чтобы бороться с остаточной намагниченностью. Сектора последовательно заполняются нулями и единицами. И так трижды. Такая же функция реализована и в Secret Disk.

Однако развитие технологий идёт вперед, и почти все современные компьютеры оснащены SSD-дисками, которые для сохранения скорости записи постоянно меняют реальные адреса секторов. То есть нули и единицы каждый раз будут записываться в другие сектора, не затрагивая информацию в файле.

В этом случае на помощь приходит новейшая функция Secret Disk – шифрование файловых папок. Любой файл в такой папке с момента его создания уже зашифрован. Надёжное удаление просто не требуется, поскольку информация не была на диске в расшифрованном виде. Особенно хочется отметить, что пофайловое шифрование возможно и на уже зашифрованных дисках, что возводит качество криптографической защиты "в квадрат".