Megabajty ściśle tajne

Szyfrowanie jest najprostszym sposobem ochrony danych przechowywanych na dyskach przed wykorzystaniem ich przez nieuprawnione osoby.

Szyfrowanie jest najprostszym sposobem ochrony danych przechowywanych na dyskach przed wykorzystaniem ich przez nieuprawnione osoby.

O tym, jak cenne dane mogą być zapisane na dyskach komputerów przekonujemy się dotkliwie np. gdy wskutek uszkodzenia dysku lub notebooka przepada archiwum poczty elektronicznej czy historia kontaktów z klientami. Wymiar strat nie ogranicza się jednak wyłącznie do braku dostępu do danych, ale często jest zwielokrotniony faktem, że dostęp do nich mogą uzyskały niepowołane osoby. Temu można starać się zaradzić, stosując dostępne już nawet w systemie operacyjnym Windows mechanizmy szyfrowania danych, których funkcjonalność można dodatkowo wzbogacić poprzez za- stosowanie zewnętrznych aplikacji. W przypadkach wymagających szczególnej poufności (przesyłanie wiadomości bądź inna forma komunikacji w ramach sieci) wskazane jest zastosowanie rozwiązań do szyfrowania treści przesyłanej korespondencji oraz transmisji poprzez łącza WAN. W każdym z tych przypadków przydatne są najnowsze technologie, pozwalające dodatkowo zabezpieczać dostęp dzięki zastosowaniu kart procesorowych, tokenów i technologii biometrycznych.

EFS w nowych Windows

Podstawowa metodą zabezpieczania danych przechowywanych na komputerach z Windows 2000 i XP jest zastosowanie wbudowanej w te systemy technologii Encrypting File System (EFS). Jej stosowanie jest możliwe tylko wtedy gdy pliki są przechowywane na partycjach typu NTFS.

W podstawowej wersji, dostępnej w Windows 2000, EFS umożliwia szyfrowanie plików i folderów na dysku z wykorzystaniem klucza publicznego, generowanego na potrzeby każdego użytkownika. Korzystanie z tego mechanizmu jest bardzo łatwe. Wystarczy w Eksploratorze wybrać funkcję szyfrowania określonego foldera bądź pliku (są one oznaczane innym kolorem). Dostęp do plików użytkownik uzyskuje poprzez odszyfrowanie danych z wykorzystaniem klucza prywatnego. Jednocześnie operacja dostępu do plików - dzięki ścisłej integracji EFS z systemem plików NTFS - jest dla użytkownika całkowicie "przezroczysta". Możliwość korzystania z klucza prywatnego jest odblokowywana już w chwili logowania. Awaria komputera podczas pracy z zaszyfrowanymi dokumentami nie powoduje naruszenia ich bezpieczeństwa. Kopie tymczasowe dokumentów tworzone, np. przez aplikacje Microsoft Office, również są przechowywane na dysku w formie zaszyfrowanej.

W Windows XP Microsoft zaimplementował rozszerzoną wersję EFS, pozwalającą na szyfrowanie plików synchronizowanych z wykorzystaniem mechanizmu Offline files and folders (służy on do kopiowania danych z firmowych serwerów). XP umożliwia też udostępnianie w sieci folderów szyfrowanych za pomocą EFS.

Więcej możliwości

EFS jest dostępny bezpłatnie w ramach systemu operacyjnego. Znacznie większe możliwości szyfrowania danych zapewniają specjalizowane aplikacje (ich lista w ramce).

Jedną z najważniejszych funkcji programów, oprócz szyfrowania, jest możliwość trwałego usuwania poufnych plików poprzez wielokrotne nadpisanie miejsca, w którym były one zapisane w postaci jawnej (przed zaszyfrowaniem), lub wielokrotne nadpisywanie specjalnymi wzorcami miejsc po usuwanych plikach. Funkcje takie oferują np. aplikacje PEM-Crypt, DriveCrypt i Steganos Security Suite.

Inną ważną cechą jest możliwość automatycznego (po upływie określonego czasu) lub ręcznego blokowania dostępu do komputera podczas chwilowych przerw w pracy. Funkcję tę powinien realizować specjalnie instalowany w systemie wygaszasz ekranu uniemożliwiający aktualnie zalogowanemu użytkownikowi dostęp do zaszyfrowanych plików do czasu, gdy ponownie zostanie wpisane hasło.

Warto, by aplikacja szyfrująca umożliwiała użytkownikowi wybór sposobu zapisywania zaszyfrowanych danych. Zazwyczaj jest tak że aplikacje szyfrujące zapisują wszystkie pliki i katalogi w ramach wirtualnego systemu plików, który w rzeczywistości jest jednym dużym plikiem-repozytorium, zapisanym na jednej z partycji dysku. Niektóre z aplikacji udostępniają opcję szyfrowania zawartości całego dysku, co pozwala zabezpieczyć przed nie autoryzowanym dostępem nie tylko najważniejsze dokumenty, ale też pliki systemu operacyjnego, zainstalowane aplikacje, strukturę katalogów i wszystkie tworzone przez system i aplikacje pliki tymczasowe. Tak zaszyfrowany dysk staje się bezużyteczny dla amatora cudzych danych. Ciekawą alternatywą zabezpieczania krytycznych danych jest zastosowanie steganografii, która pozwala "zamaskować" najważniejsze dokumenty w ramach np. plików graficznych lub dźwiękowych.

Istotne jest, by aplikacja szyfrująca obsługiwała duże wolumeny dyskowe (zdarza się, że niektóre z nich mają ograniczenie do kilku gigabajtów) i szyfrowała zarówno dyski twarde, jak i zawartość innych nośników: dyskietek, ZIP-ów, płyt CD i DVD itd.