Dane pod kluczem

Zabezpieczenie dostępu do danych magazynowanych i przetwarzanych w przenośnych komputerach to już nie tylko ostrożność i dobra wola użytkowników, ale wymaganie prawne, którego nieprzestrzeganie może mieć poważne konsekwencje w przypadku utraty i upublicznienia informacji.

Zabezpieczenie dostępu do danych magazynowanych i przetwarzanych w przenośnych komputerach to już nie tylko ostrożność i dobra wola użytkowników, ale wymaganie prawne, którego nieprzestrzeganie może mieć poważne konsekwencje w przypadku utraty i upublicznienia informacji.

Ze względu na ryzyko utraty i upublicznienia poufnych danych firmy warto pomyśleć o wdrożeniu jednej z dostępnych technologii zabezpieczeń przeznaczonych m.in. do ochrony danych w notebookach, a także informacji przesyłanych w Internecie. Problem jest jednak z wyborem, bo postęp technik kryptograficznych i wzrost możliwości obliczeniowych komputerów sprawia, że algorytmy - jeszcze niedawno uznawane za stuprocentowo bezpieczne - często już takie nie są.

Dane pod kluczem

AXCRYPT integruje się z powłoką systemu Windows, dzięki czemu obsŁuga programu jest intuicyjna.

Aby utrudnić nieautoryzowany dostęp, stosowane były różne rozwiązania - od najprostszych i mało skutecznych, jak kluczyki wyłączające zasilanie, po stosowane np. przez wojsko systemy niszczenia dysków za pomocą małego ładunku pirotechnicznego. Wieloletnie doświadczenia udowodniły jednak, że szczególnie wiele zalet mają techniki kryptograficzne. Ich siła zależy od dobranego algorytmu kryptograficznego, jego implementacji, sposobu doboru, przechowywania i zabezpieczenia kluczy, a także wyboru miejsca, w którym to zabezpieczenie jest wymuszane. Można szyfrować w zasadzie wszystko - pojedyncze pliki, foldery, archiwa, montowane dyski, aż po całą zawartość dysku.

Szyfrowanie bardziej lub mniej skuteczne

Szyfrowanie pojedynczych plików było znane od początku stosowania komputerowych technik kryptograficznych i jest z powodzeniem stosowane do dzisiaj. Najczęstszym powodem szyfrowania pojedynczych plików jest chęć przesłania ich za pomocą potencjalnie niebezpiecznego środka komunikacji elektronicznej (np. poczty e-mail). Bardzo często używanym do tego celu oprogramowaniem jest PGP, które sprawuje się dość dobrze przy dużej liczbie odbiorców, gdy nie ma możliwości bezpiecznego przekazania tajnego klucza. Ostatnią wersją, do której producent dołączył kod źródłowy, była 5.53. Alternatywą dla komercyjnego PGP jest pakiet GnuPG, stanowiący otwartą implementację standardu OpenPGP (RFC 2440). Istnieje także łatwa w użyciu wersja tego narzędzia dla Windows - GPG4Win (http://www.gpg4win.org/ ).

Dane pod kluczem

STEGANOS LOCKNOTE w ogóle nie wymaga instalacji, wystarczy przekopiować plik, zaś notatki są przechowywane w nim samym.

Nieco inaczej działa AxCrypt, pakiet kryptograficzny przeznaczony dla środowiska Windows (GnuPG jest wieloplatformowe), zakładający użycie tajnego klucza. Ten program szyfruje pliki za pomocą 128-bitowego AES (algorytm Rijndael) dopuszczonego przez rząd USA do szyfrowania tajnych dokumentów. Do zaszyfrowania można wykorzystać hasło albo wygenerować klucz do pliku. Plik taki można zapisać na przenośnym medium, np. na odłączalnym dysku USB czy karcie pamięci i przechowywać klucz osobno. Program AxCrypt jest dostarczany wraz z pełnym kodem źródłowym na licencji GNU GPL, co umożliwia audyt kodu. Istnieją także wersje komercyjne. AxCrypt integruje się z powłoką systemu Windows, dzięki czemu obsługa programu jest intuicyjna. W menu podręcznym są opcje szyfrowania pliku, jego kopii, kopii zapisanej jako program wykonywalny samodeszyfrujący się po podaniu hasła lub klucza. Ponadto można skorzystać z opcji niszczenia dokumentu (Shred and delete). Na stroniehttp://axcrypt.axantum.com/ opublikowano zalecenia dotyczące zabezpieczania danych, z którymi warto się zapoznać.

Bardzo ciekawym programem jest Steganos LockNote. Ten malutki program (ok. 300 kB) jest przeznaczony do przechowywania notatek tekstowych. Jego szczególną cechą jest prostota obsługi - wystarczy go uruchomić, podać hasło i wpisać weń tekst. Po zamknięciu programu z zapisem zmian notatki są zaszyfrowane za pomocą naprawdę mocnego algorytmu - Rijndael 256-bit. i zapisane w samym pliku programu. Przy następnym otwarciu program spyta o hasło, odszyfruje i wyświetli zawartość uprzednio zapisanej notatki. Jest to szczególnie przydatne w przypadku krótkich, ale bardzo ważnych notatek tekstowych. Steganos LockNote nie wymaga w ogóle instalacji, aby wziąć ze sobą notatkę, kopiując ją na nośnik wymienny - wystarczy przekopiować plik locknote.exe. Prostota obsługi oraz bardzo ciekawa konstrukcja tego programu wyróżniają go spośród wielu innych produktów przeznaczonych do zachowania poufności. LockNote dostępny wraz z pełnym kodem źródłowym na licencji GNU GPL jest oparty na certyfikowanej bibliotece CryptoPP.

Użytkownicy systemów operacyjnych typu Unix z powodzeniem mogą użyć programu mcrypt (http://mcrypt.sourceforge.net/ ), będącego następcą popularnej w tych systemach funkcji crypt, ale znacznie od niej mocniejszej. Obsługiwane są wszystkie najważniejsze algorytmy szyfrujące, ponadto istnieje skompilowana wersja programu dla 32-bitowych Windows (program pracuje z wiersza poleceń i doskonale nadaje się do skryptów).

Oczywiście na rynku jest wiele komercyjnych narzędzi przeznaczonych do utajniania plików. Są lepsze i gorsze, niektóre z nich obsługują tylko starsze, słabsze algorytmy szyfrujące. Dość dobrym produktem jest komercyjny Kryptel, który posiada zaimplementowane mocne algorytmy szyfrujące i działa bez zarzutu. Dla porównania tak mocno reklamowany Kremlin nie wykorzystuje żadnego z nowoczesnych algorytmów uznawanych za szczególnie mocne. Ciekawostką jest to, że produkt stylizowany na pseudorosyjski (od samej nazwy począwszy, poprzez logo, a na rozszerzeniach zaszyfrowanych plików *.kgb skończywszy) nie zawiera zaimplementowanego postradzieckiego algorytmu GOST. Nie obsługuje także najmocniejszych algorytmów kandydujących do standardu AES: Rijndael, Serpent (uznawany za szczególnie bezpieczny) czy TwoFish. Warto na to zwrócić uwagę, bo może się okazać, że produkt komercyjny wcale nie będzie kryptograficznie lepszy od darmowego.

Ukrywanie informacji

Niektóre programy oprócz samego zaszyfrowania zawartości potrafią ukryć dane w innym pliku - np. muzycznym MP3 lub obrazie JPG. Przykładem pakietów obsługujących steganografię jest Invisible Secrets 4, Max File Encryption (bardzo dobry program), S-Tools, 4-Hit Mail Private Lite oraz Camouflage. Dwa ostatnie posiadają bardzo słabą kryptografię, ale dostateczny moduł steganograficzny, więc można ich używać jedynie łącznie z dobrym programem szyfrującym pliki. Ciekawym produktem jest Crypt-Arkan (autorem jest Aleksey Kuskov). Ten program posiada dość rzadko spotykaną opcję steganograficzną - pozwala ukryć dane wewnątrz muzyki, którą można zapisać w formie płyty AudioCD. Przy odtwarzaniu danych program sam odczyta je bezpośrednio z płyty. Takie rozwiązanie świetnie nadaje się do okazjonalnych kopii o podwyższonym poziomie bezpieczeństwa. Płyta audio rzeczywiście zawierająca muzykę w formacie AudioCD (np. wożona w samochodowym odtwarzaczu CD) raczej nie budzi podejrzeń.

Steganos Security Suite jest jednym z niewielu pakietów dostępnych na rynku, który daje możliwość przechowywania kluczy nie tylko na urządzeniach USB takich jak pamięci flash, ale także w telefonach z systemem PocketPC, które się komunikują za pomocą narzędzia Activesync. Niestety, nie działa z telefonami klasy smartphone firmy Nokia (N90, Nokia suite 6.6.18). Nowością jest także opcja AntiTheft, która daje możliwość wyśledzenia, gdzie i kiedy ukradziony komputer był używany. Jest to dość kontrowersyjna opcja i w przedsiębiorstwie raczej nie powinno się jej stosować. Program ma typowe dla pozostałych produktów opcje szyfrowania i niszczenia plików, steganografii (tutaj jest liderem, nazwa zobowiązuje), a także szyfrowania partycji (z wyjątkiem systemu). Użyto mocnych algorytmów szyfrujących, obsługa programu jest intuicyjna, ale mnogość opcji całego pakietu może utrudnić pracę.

Komercyjny czy darmowy

Moim zdaniem zakup komercyjnej aplikacji przeznaczonej tylko do "prostego" szyfrowania pojedynczych plików jest nietrafionym wyborem, bowiem za podobne pieniądze (a w pewnych przypadkach za darmo) można osiągnąć znacznie więcej. Gdy użytkownik potrzebuje zaszyfrować pliki przesyłane pocztą w obrębie firmy, czasami lepszym wyborem będzie komercyjna usługa Ciphire Mail - tam nie można zrobić błędu w doborze klucza, wyborze algorytmu szyfrującego itd. Komercyjna, w tym przypadku, wcale nie oznacza droga.

Zapisanie zaszyfrowanego pliku bez zniszczenia oryginału nie za wiele pomoże, gdy laptop wpadnie w ręce niepowołanych osób. Należy wziąć pod uwagę także to, że wiele aplikacji przechowuje tymczasowe pliki w różnych katalogach. Nawet jeśli te pliki są usuwane, rzadko kiedy są niszczone przez nadpisywanie, a jak wiadomo skasowane w zwyczajny sposób pliki można odtworzyć. Między innymi dlatego warto połączyć program szyfrujący pliki z innym szyfrowaniem danych. Oczywiście należy zadbać o to, by komputer, na którym odbywa się szyfrowanie plików, był wolny od spyware. Rejestrator naciskanych klawiszy (keylogger) przechwyci przecież także tajne hasło.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200