Prawidłowo skonfigurowane oprogramowanie szyfrujące dysk jest jednym z najtrudniejszych do złamania zabezpieczeń Windows.

Programy szyfrujące tylko pojedyncze partycje mają ograniczenia, m.in. nie umożliwiają zaszyfrowania partycji, gdzie znajduje się system Windows, a zapisuje on informacje w wielu różnych miejscach (pliki tymczasowe, rejestr, folder CSC odpowiedzialny za usługę Pliki Offline itd.). Dlatego aby skutecznie chronić dane, najlepiej szyfrować wszystkie partycje, włącznie z wykorzystywaną przez system.

Microsoft nie dostarczał dotąd takich narzędzi do szyfrowania (z wyjątkiem Windows NT 4.0, dla którego był kiedyś dostępny odpowiedni sterownik dla dysków), ale ostatnio firma zauważyła wreszcie taką potrzebę i w wersjach Windows Vista Enterprise i Ultimate znajduje się program BitLocker, który współpracując z układem scalonym zgodnym ze standardem TPM umożliwia szyfrowanie całej zawartości dysku. Jeśli komputer nie ma układu TPM, BitLocker może wykorzystać pamięć Flash USB do zapisu i odczytu kluczy szyfrujących. W tym drugim wypadku jedynym dodatkowym wymaganiem jest dostępność wersji BIOS, która umożliwia użycie pamięci USB przed startem systemu operacyjnego.

Trudno jednak oczekiwać, że użytkownicy zaczną szybko i masowo migrować do Windows Vista i m.in. dlatego niezależnym, zaawansowanym programom do szyfrowania danych można wróżyć długą karierę. Oprócz tego nieunikniona konkurencja z BitLocker spowoduje zapewne szybszy niż dotąd rozwój niezależnych technologii związanych z szyfrowaniem danych, a na tym użytkownicy na pewno skorzystają.

Obecnie na rynku jest dostępnych sporo narzędzi do programowego szyfrowania całego dysku. Można podzielić je na dwie grupy - pakiety przeznaczone dla pojedynczych komputerów i aplikacje zintegrowane dla dużych instalacji. Oprogramowanie to wprowadza poważne modyfikacje w Windows oraz wymaga dostępu do wewnętrznych mechanizmów systemu, które nie zawsze są publicznie udokumentowane i dlatego nie ma jeszcze tego typu programów open source.

Narzędzia dla komputera…

Najczęściej używanym narzędziem do ochrony pojedynczych komputerów jest DriveCrypt Plus Pack (DCPP). Program ten, oprócz ukrywania dysków, może zostać tak skonfigurowany, że szyfruje całą jego zawartość. Obsługuje on uwierzytelnienie za pomocą tokenów USB, takich jak Aladdin R2. Jest to jedyne rozwiązanie na rynku, które pozwala na ukrywanie całego systemu Windows 2000/XP, chroniąc dysk za pomocą mocnej kryptografii, a jednocześnie umożliwia instalację drugiego ukrytego systemu z innym hasłem. Jest to taka sama idea jak wykorzystywana przy ukrywaniu kontenerów lub dysków logicznych (Computerworld nr 44).

Gdy nie ma potrzeby ukrywania drugiego systemu operacyjnego, warto zwrócić uwagę na darmowy (również do zastosowań komercyjnych) program CompuSec Free. Potrafi on zapewnić uwierzytelnienie przed załadowaniem systemu operacyjnego, szyfruje dysk z wykorzystaniem algorytmu AES i obsługuje funkcję hibernacji. Na tym zalety programu się nie kończą - potrafi on też szyfrować dane zapisywane na płytę CD/DVD zarówno dzięki wtyczkom dla aplikacji Windows do nagrywania CD/DVD, jak i Ahead Nero. Ponadto dostępne jest narzędzie do szyfrowania plików odkładanych na zewnętrzny serwer. Możliwe jest także szyfrowanie danych wysyłanych mailem lub na serwer FTP za pomocą narzędzia DataCrypt. Program obsługuje zarządzanie uwierzytelnieniem, choć w wersji bezpłatnej nie umożliwia skorzystania z tokenów przed uruchomieniem systemu operacyjnego. Dodatkiem jest program do zabezpieczania rozmów VoIP ClosedTalk, a niebawem mają się pojawić narzędzia do obsługi kanałów VPN.

CompuSec jest też dostępny w wersji dla Linux, ale jej instalacja nie jest prosta, a program nie działa dobrze w każdej dystrybucji. Producent nie dołącza kodu źródłowego, a jedynie binarny moduł do jądra systemu operacyjnego oraz narzędzia do instalacji i administracji.

Przeprowadzone testy wykazały, że spowolnienie odczytu z dysku jest najmniejsze spośród wszystkich testowanych programów i wynosi zaledwie 40% w stosunku do pracy bez szyfrowania. Szybkość ta wynika m.in. z tego, że program wykorzystuje AES 128-bit, a inne testowane aplikacje - DCPP i PGP WDE - domyślnie stosują klucz 256-bitowy.

Dla użytkowników korporacyjnych przewidziano kontrakty wsparcia technicznego oraz wersję płatną, która obsługuje dwustopniowe uwierzytelnienie przed startem systemu i zawiera rozszerzony zestaw funkcji do centralnego zarządzania. Poważną wadą obu wymienionych wyżej programów jest to, że w komputerze nie można użyć innego bootloadera niż standardowy, więc trudno jest używać narzędzi innych firm.

… i dla dużej firmy

DriveCrypt Plus Pack oraz CompuSec Free mogą znaleźć zastosowania w małych firmach lub nawet dużych, ale tylko wtedy gdy liczba chronionych komputerów nie jest zbyt duża. Dla użytkowników korporacyjnych, którzy wymagają centralnej obsługi, ważna jest możliwość integracji oprogramowania z istniejącymi systemami do zarządzania infrastrukturą, a do tego celu lepiej nadają się PGP Whole Disk Encryption, Safeboot lub Safenet. W użyciu są także pakiety korporacyjne Safeguard Enterprise Package firmy Ultimaco, które wśród wielu opcji oferują szyfrowanie całej zawartości dysków.

Safeboot jako jedyny zintegrowany pakiet korporacyjny obsługuje także przenośne komputery klasy PocketPC, Palm i Symbian. Ponadto jest produktem najlepiej przystosowanym do środowiska wieloplatformowego. Gdy firma korzysta z serwerów Novella, Safeboot będzie najlepszym wyborem, gdyż jako jedyny może współpracować z tym środowiskiem. Integracja z wieloma narzędziami uwierzytelnienia jest mocną stroną tego pakietu.

Safeboot dobrze współpracuje z Active Directory i LDAP. Można ustawić dostęp, a w razie potrzeb szybko zabronić go konkretnym użytkownikom za pomocą usług katalogowych. Gdy wymusi się synchronizację, ustawienia te zostają zapisane do wszystkich urządzeń przenośnych, skutecznie blokując dostęp zgodnie z żądaniem administratora. Oczywiście, synchronizacja ustawień może odbyć się tylko wtedy, gdy laptop jest podłączony do sieci - nie jest to wada pakietu, ale ograniczenie wynikające z dostępnych technologii. Safeboot posiada najlepiej dopracowany audyt ze wszystkich testowanych pakietów, umożliwiając analizę zdarzeń z wielu źródeł. W ten sposób można wykryć nieudane próby ataków na wiele maszyn. Jedynym niedostatkiem audytu jest brak eksportu danych do standardowego narzędzia, takiego jak syslog w systemach typu UNIX.

Safenet ProtectDrive jest dość skomplikowany i w celu zarządzania z użyciem Active Directory trzeba zmodyfikować schemat usług katalogowych, ale program umożliwia ścisłą integrację z Active Directory. Skutkiem ubocznym mogą być jednak problemy z zarządzaniem przy użyciu narzędzi innych producentów. Program jest szybki, a spowolnienie czasu odczytu dużego (2 GB) pliku w stosunku do stanu sprzed szyfrowania wynosi tylko 62%, a więc jest niemal dwa razy mniejsze niż przy stosowaniu DCPP przy użyciu AES (przy 3DES wyniki są podobne). Dodatkowo dostępne są narzędzia do naprawy uszkodzonego systemu. Mimo wszystko potrzeba poważnych modyfikacji wrażliwego schematu Active Directory jest poważnym minusem, który w niektórych firmach może dyskwalifikować ten pakiet. Innym ważnym niedostatkiem programu jest to, że w pewnych warunkach stosuje on ten sam klucz szyfrujący do wszystkich wykorzystywanych dysków. Najpoważniejszym zarzutem jest jednak to, że w testowanej wersji komponent serwerowy nie daje możliwości zablokowania dostępu konkretnemu użytkownikowi. Przy logowaniu wyświetla informacje o nieudanych zalogowaniach, ale nie ma możliwości zebrania tych ważnych danych w jednym miejscu dla późniejszej analizy.

Jeśli w przedsiębiorstwie jest już wykorzystywane oprogramowanie firmy PGP, to naturalnym wyborem będzie wykorzystanie narzędzi tego producenta. Jeśli w firmie zainstalowany jest serwer Linux, również warto wybrać PGP, gdyż jego konsola bazuje właśnie na tym systemie. Program spowalnia dostęp do dysku o ok. 120%, co stawia go mniej więcej w połowie skali wydajności pomiędzy Safenet i DCPP. Wtyczka do Active Directory działa dość dobrze, niemniej w pewnych przypadkach sprawia więcej kłopotów niż Safeboot. PGP nie obsługuje jednak ACL, a ponadto konsola nie jest tak dobrze dopracowana jak u konkurencji. Natomiast zaletą PGP jest to, że hasłami mogą być całe wyrażenia - typowy użytkownik przy zmianie zwykłego hasła co miesiąc zmieni jedną literkę lub cyfrę, zaś frazę może zmieniać znacznie rzadziej i będzie ją lepiej pamiętał.

Zapomniane hasła

Każdy z programów daje możliwość odzyskania utraconego hasła. Używane są popularne techniki pytanie-odpowiedź (Ultimaco Safeguard, Safeboot, Safenet), dysk odzyskiwania hasła (DriveCrypt Plus Pack) bądź specjalne hasło zmieniane po każdym użyciu (PGP). Safeboot jest najlepiej przystosowany do takich przypadków, bowiem użytkownicy mogą przygotować zestaw pytań i odpowiedzi samodzielnie. W razie problemów wymagających odzyskania hasła mogą dzięki temu uzyskać jednorazowe hasło umożliwiające odzyskanie dostępu. Darmowy Compusec nie daje możliwości odzyskania hasła za pomocą takich narzędzi, ale możliwe jest deszyfrowanie off-line przy wykorzystaniu zapisanego klucza.

W przypadku przedsiębiorstw, które mają bardzo podwyższone wymagania odnośnie do zabezpieczeń, szczególnie ważną opcją jest dwustopniowe uwierzytelnienie. Tutaj wszystkie produkty dają takie możliwości - najczęściej używane są tokeny. Produkty firm Ultimaco, PGP oraz Compusec mogą także wykorzystać karty inteligentne, a Ultimaco Safeguard dodatkowo współpracuje z układami TPM.

Problemy z szyfrowaniem

Poważnymi wadami omawianych zabezpieczeń przy zastosowaniach w dużych firmach jest brak możliwości wykorzystania typowych programów do klonowania systemów operacyjnych, a także aplikacji do szybkiego wykonywania kopii bezpieczeństwa działających bezpośrednio na partycjach (takich jak partimage lub Ghost). Można skorzystać jedynie z kopiowania sektor po sektorze, np. za pomocą narzędzia dd w systemie Linux. Ponadto naprawa systemu jest szczególnie trudna. Jest to cena, jaką się płaci za podwyższone do maksimum bezpieczeństwo instalacji. Prawidłowo skonfigurowany pakiet chroniący cały dysk jest jednym z najtrudniejszych do złamania zabezpieczeń programowych dla Windows. Lepsze bezpieczeństwo zapewniają tylko sprzętowe szyfratory z kluczem na kartach inteligentnych.

Moim zdaniem, darmowy CompuSec Free jest narzędziem, które bardzo dobrze nadaje się do zabezpieczenia pojedynczych laptopów. Do ochrony wielu komputerów w firmie lepiej jest jednak użyć narzędzi dedykowanych dla korporacji. Wyjątkiem mogą być szczególnie ważne komputery, gdzie może zachodzić ewentualność użycia przemocy do uzyskania danych - wtedy mimo wszystko lepiej użyć DriveCrypt Plus Pack, konfigurując drugi ukryty system operacyjny.

<hr>Oprogramowanie dedykowane dla komputerów i grup roboczych

• SecurStar DriveCrypt Plus Pack ­—http://www.securstar.com/products_drivecryptpp.php ­—­ chroni pojedyncze komputery, ukrywa drugi system chroniony osobnym hasłem.
• CE Infosys CompuSec Free ­—http://www.ce-infosys.com/english/downloads/free_compusec/index.html) ­— chroni pojedyncze komputery. Jest to pełnowartościowa wersja darmowa także dla zastosowań komercyjnych. Istnieją płatne wersje zawierające więcej opcji i szczegółowe wsparcie techniczne.
• CE Infosys CompuSec GlobalAdmin ­—http://www.ce-infosys.com/english/products/globaladmin.html ­— konsola do zarządzania wszystkimi zainstalowanymi narzędziami dostępnymi w płatnym pakiecie CompuSec. Grupa docelowa użytkowników znajduje się pomiędzy małą firmą z kilkoma laptopami a dużą korporacją, gdzie jest ich kilkaset i wymagana jest integracja z usługami katalogowymi.

Oprogramowanie dedykowane dla dużych firm:

• PGP Whole Disk Encryption ­—http://www.pgp.com/products/wholediskencryption/index.html
• SafeNet ProtectDrive ­—http://www.safenet-inc.com/products/data_at_rest_protection/Protectdrive.asp
• Safeboot Device Encryption for PC ­—http://www.safeboot.com/products/device-encryption/pc/
• Microsoft BitLocker ­—http://technet.microsoft.com/en-us/windowsvista/aa906017.aspx ­— narzędzie wbudowane w wersje Windows Vista przeznaczone dla firm. Podręcznik opisujący jego funkcje można znaleźć na stronachhttp://www.microsoft.com/technet/windowsvista/library/c61f2a12-8ae6-4957-b031-97b4d762cf31.mspx lubhttp://windowsconnected.com/blogs/joshs_blog/archive/2005/12/28/122.aspx
• Ultimaco SafeGuard Enterprise Package –http://www.utimaco.com/C12570CF0030C00A/CurrentBaseLink/W26K9K32755OBELEN ­— to pakiet oferujący znacznie więcej funkcji niż tylko szyfrowanie dysków.