03.08.2009

Secret Disk 4.3: сейф для информации

Софтерра

На многих компьютерах, а в бизнес-среде таких компьютеров и вовсе большинство, хранится конфиденциальная информация, не предназначенная для чужих глаз. Вместе с тем, потерять компьютер весьма несложно, особенно если речь идет о ноутбуке. Не меньшего внимания требуют и внешние жесткие диски, на которых также зачастую находится информация, стоимость которой в несколько раз превосходит стоимость носителя.

Понятно, что информацию, как основной бизнес-актив, необходимо защищать. Но при этом защита должна "работать", в том числе, если утеря/кража уже произошла. Злоумышленник не должен иметь возможность доступа к ней, даже если компьютер или накопитель оказался в его распоряжении. А значит, диск нужно зашифровать и предоставить доступ к нему лишь тем, кто владеет ключом. Программных продуктов, позволяющих сделать это довольно много. Большинство из них предлагают только программное шифрование и парольную защиту при доступе пользователя к информационным ресурсам. Более серьёзный уровень защиты обеспечивается с помощью USB-ключей, используемых в составе продуктов для защиты информации. Причем аппаратные токены выполняют сразу две важные функции – аутентификации при доступе к защищенным данным и носителя ключевой информации. Хранение пользовательских данных на внешнем отчуждаемом устройстве, безусловно, является более надежным способом оградить себя от различных угроз информационной безопасности.

Одним из продуктов, обеспечивающих повышенный уровень защиты приватной информации и корпоративных данных, является Secret Disk 4.3, разработанный одним из старожилов рынка информационной безопасности российской компанией Aladdin. Secret Disk 4.3 позволяет полностью зашифровать системный раздел, что представляется весьма удобным, поскольку не требует от пользователя запоминания где, на каком разделе, в какой папке содержатся его "секретные материалы". Также Secret Disk защищает несистемные разделы жёстких дисков, тома на динамических дисках, съёмные носители (Flash-диски, ZIP, CD, DVD, дискеты и т.п.) и позволяет создавать виртуальные зашифрованные диски в виде файлов-контейнеров. Также можно создать зашифрованный диск, непосредственно на основе имеющегося свободного пространства. От пользователя требуется указать размер диска и файловую систему.

В дальнейшем с этим диском можно работать точно так же, как и с любым другим, но при условии подключения USB-токена, поставляемого в комплекте с программой. По желанию пользователя Secret Disk 4.3. может также поставляться со смарт-картой. Используемые средства аутентификации обеспечивают безопасный доступ и ко всем остальным дискам, обработанным программой Aladdin Secret Disk. Естественно, в Secret Disk используется eToken – флагманский ключ Aladdin,ставший брендом и визитной карточкой компании. Моновендорный подход, который демонстрирует Aladdin, гарантирует корректность интеграции "железа" и программного обеспечения, отсутствием чего нередко страдают другие продукты для шифрования, поддерживающие работу с токенами "в ассортименте".

К сожалению, программа распознает и умеет зашифровывать только те разделы, где используются файловые системы, совместимые с Windows. Если на компьютере имеются разделы с операционной системой Linux или какой-либо другой альтернативной ОС, Secret Disk их попросту "не увидит". Впрочем, если на компьютере установлено несколько операционных систем, к примеру – Linux и Windows, можно зашифровать системный раздел, тогда компьютер все равно нельзя будет включить без USB-токена, и пользовательские данные останутся под надежной защитой.

Насколько можно судить, Secret Disk 4.3 является единственным на сегодня российским решением, в котором реализована аутентификация до загрузки операционной системы с зашифрованного раздела. Это позволяет защитить конфиденциальную информацию и другие данные, а также подтвердить подлинность пользователя ещё до запуска ОС. К слову, постоянное расширение спектра поддерживаемых операционных систем всегда являлось отличительной чертой всех продуктов линейки Secret Disk. Из нововведений версии 4.3 стоит отметить поддержку новой Windows 7 RC1.

Что касается алгоритмов шифрования, то разработчики предлагают несколько вариантов – AES (длина ключа 128/ 256 бит), Twofish (256 бит), Triple DES (168 бит), RC2 (128 бит) и другие алгоритмы (включая сертифицированные российские на базе криптопровайдеров КриптоПро CSP и Signal-COM CSP). При этом порядок работы с Secret Disk предельно прост. Пользователь создает сертификат, выбирает алгоритм шифрования и подписывает сертификат собственным именем. Генерируется мастер-ключ, который дополнительно лучше сохранить на независимом носителе или же распечатать. Важно отметить, что мастер-ключ сохраняется в защищенном хранилище на жестком диске, а закрытый ключ сертификата пользователя для расшифрования мастер-ключа – в защищенной области токена, откуда он не может быть извлечен.

Затем можно приступить непосредственно к шифрованию выбранных дисков, разделов или папок. Криптографическое преобразование данных идёт в фоновом режиме. После завершения процесса первоначального шифрования, который может занять довольно продолжительное время на слабом компьютере, перезагрузить машину можно без опасений. При перезагрузке вновь возникнет специальное окно, предлагающее подключить токен к USB-порту, а затем ввести PIN-код.

После этого загрузка продолжится уже в обычном режиме. Для пользователей лэптопов предусмотрен режим экономии заряда батарей во время проведения ресурсоёмких операций, таких как первоначальное шифрование, полное расшифрование или, скажем, перешифрование дисков.

В рамках тестирования мы зашифровали системный диск на компьютере, на котором было установлено две операционные системы – Windows и Linux, а в качестве менеджера загрузки использовался GRUB. Меню GRUB возникало уже после запроса Secret Disk. Кстати, стоит упомянуть, что для использования продукта в рамках проектов или, допустим, рабочих групп предусмотрен многопользовательский режим работы на компьютере с зашифрованным системным разделом. "Хозяин" системы может ограничивать права других пользователей, предоставляя им доступ только к определенным разделам жесткого диска, необходимым для служебных обязанностей тем или иным группам пользователей. Зашифрованная информация не может быть просмотрена, скопирована, уничтожена или повреждена другими пользователями, любопытными коллегами, администраторами или внешними злоумышленниками, подключившимися к компьютеру по сети. Она также не может быть использована посторонними при ремонте или краже компьютера, при утере съёмного защищённого диска.

В заключение скажем несколько слов и о резервном копировании мастер-ключей. При утере ключа eToken доступ к данным можно восстановить только используя заранее сохраненную резервную копию мастер-ключа шифрования.

В любом ином случае восстановить доступ к данным невозможно. Поэтому ключ можно заранее скопировать и сохранить копию непосредственно в памяти токена или в файле, в виде защищенного архива. Второй способ считается менее безопасным, так как теоретически пароль к архиву с ключом может быть подобран. Разработчики предусмотрели возможность ручного ввода ключа даже в том случае, если защищен целый системный раздел. Ведь если в этом случае вы потеряете или сломаете ключ, вам не остается ничего другого, как заново разметить и отформатировать диск. Так что не пожалейте нескольких минут, – распечатайте или перепишите ключ, который будет сгенерирован при шифровании системного раздела. Предусмотрительность никогда не бывает излишней.