Office 365 - podręcznik użytkownika

Ta książka pokaże Ci, jak wykorzystać chmurowe przetwarzanie danych - a konkretnie Office 365 - aby robić więcej, współpracować łatwiej i działać...
pobierz »

Jak zwiększyć wydajność infrastruktury serwerowej oszczędzając czas i pieniądze? Nowoczesne rozwiązania serwerowe

Niniejszy dokument ma na celu zaprezentowanie sposobów na poprawę funkcjonowania i efektywności działania infrastruktury serwerowej w firmie lub...
pobierz »

Dlaczego warto korzystać z Office 365?

Jakie funkcje i możliwości Microsoft Office 365 decydują o tym, że warto wybrać to rozwiązanie zamiast tradycyjnego pakietu Office i rozwiązań...
pobierz »

Szyfrowanie dysków - praktyczny przewodnik cz. II

26 stycznia 2007

Computerworld — "Wszystko płynie", jak mawiał Heraklit, a w informatyce płynie kilka razy szybciej. Program, dziś dodawany za darmo do prasy komputerowej może mieć ładny interfejs i być superbezpieczny, ale co w przypadku jeśli będziemy potrzebowali odczytać zaszyfrowane nim pliki za pięć lat? Czy jego producent będzie w ogóle obecny na rynku? Czy uda nam się zainstalować ten program w systemie, z jakiego będziemy wtedy korzystać? Czy za pięć lat znajdziemy w ogóle program instalacyjny tej aplikacji?

Problem ten jest wbrew pozorom niebagatelny, bo od początku lat 90-tych napisano niezliczoną liczbę aplikacji szyfrujących pliki, o których dziś już nikt nie pamięta. Typowy scenariusz wygląda tak: "Znalazłem stare dokumenty zaszyfrowane programem Norton Diskreet na początku lat 90-tych. Nie używałem tego programu od lat. Chciałbym rozszyfrować te pliki. Pamiętam hasło. Czy ktoś ma jakiś pomysł jak to zrobić bez poszukiwania antycznej instalki Norton Utilities i MS-DOS żeby go uruchomić?"

Jest to autentyczny przypadek z 2004 roku znaleziony w grupie sci.crypt. Nie wiadomo jak poradził sobie w tym przypadku pytający, ale znalezienie instalek 'antycznego programu' (który szyfrował pliki algorytmem XOR lub DES) na pewno wymagałoby czasu. Dlatego też, jeśli dokonujemy wyboru aplikacji do szyfrowania plików, które mogą być nam potrzebne za kilka lub kilkanaście lat to nad wodotryski warto przedłożyć standardowy format plików.

W przypadku narzędzi do szyfrowania całych dysków, opisywanych w poprzedniej części, ten problem nie jest aż tak istotny bo można oczekiwać, że zaszyfrowana "otoczka" będzie przywiązana do fizycznego nośnika - a tylko zapisane w środku dane będą migrować na coraz to nowsze dyski.

Jeśli chodzi o szyfrowanie pojedynczych plików to niekwestionowanym standardem jest format OpenPGP. Został on oparty o format wymyślony przez Philipa Zimmermana jeszcze w 1991 roku na potrzeby kultowego programu szyfrującego PGP (Pretty Good Privacy). Format został jednak rozszerzony i ustandaryzowany przez IETF (Internet Engineering Task Force) czyli organizację zajmującą się ustalaniem standardów technicznych dla Internetu. Ostatecznie został on opisany w standardzie RFC 2440 w 1997 roku. Jest to standard otwarty i istnieje wiele implementacji formatu OpenPGP, dzięki czemu wydaje się on być dobrą propozycją w przypadku plików, które mają przetrwać w backupie całe dekady. Na dzień dzisiejszy najwygodniejszymi w stosowaniu są dwie aplikacje implementujące standard OpenPGP: PGP 6 oraz GPG (GNU Privacy Guard).

Program PGP w ostatniej "otwartej" wersji, która nosiła numer 7.0.3i można pobrać ze strony PGP International (ftp.pl.pgpi.org/pub/pgpi/7.0/7.0.3/). Warto o tym pamiętać, ponieważ późniejsze kolejne losów programu są bardziej skomplikowane niż by się wydawało - po wydaniu tej wersji firmę Zimmermana przejęła korporacja Network Associates, która zmieniła PGP w produkt komercyjny, przeznaczony do środowisk korporacyjnych. Warto też dodać, że PGP zaawansowaną aplikacją dostępną dla prawdopodobnie największej liczby systemów operacyjnych w historii - w sumie dla piętnastu, w tym dla takich "dinozaurów" jak AmigaOS czy OS/2. Od 2001 roku PGP jest znowu w rękach firmy PGP Corporation związanej z Zimmermanem, ale nadal jest produktem komercyjnym.

Instalacja i korzystanie z PGP

Jak już powiedzieliśmy, PGP jest prawdopodobnie najbardziej uniwersalnym programem do szyfrowania i podpisywania plików stosowanym nieprzerwanie od lat 90-tych po dziś dzień - w najróżniejszych środowiskach (włącznie z administracją publiczną i bankami). Jego największe zalety to bezpieczeństwo, przebadane przez setki kryptologów, dostępny kod źródłowy, standardowy format oraz dostępność zarówno wersji "okienkowej" jak i pracującej w linii komend. Dzięki temu PGP można stosować zarówno do codziennej pracy jak i do automatycznego przetwarzania plików z poziomu skryptów w systemach Windows oraz uniksowych. Instalacja programu jest prosta. W jej trakcie instalowane jest kilka dodatkowych komponentów - m.in. klient IPSec VPN oraz program do szyfrowania dysków PGPdisk, którymi nie będziemy się tutaj zajmować. Pada także pytanie o import już istniejącego zbioru kluczy kryptograficznych ("keyring"), co pozwala na łatwe przenoszenie tych kluczy z systemu na system.

Po restarcie systemu przechodzimy do etapu generowania pary kluczy - prywatnego i publicznego. Klucze te są opatrzone nazwiskiem lub pseudonimem posiadacza - dzisiaj nazwalibyśmy je certyfikatem. Klucze te pozwalają nam na bezpieczne przesyłanie zaszyfrowanych dokumentów przez sieć do innych użytkowników PGP, którzy udostępnili nam swój klucz publiczny. Klucz prywatny jest zabezpieczony hasłem, o które będziemy proszeni przy każdym jego wykorzystaniu - czyli albo przy rozszyfrowywaniu pliku zaszyfrowanego naszym kluczem publicznym albo przy podpisywaniu plików (kryptografia asymetryczna).

Warto wiedzieć, że para kluczy nie jest wcale niezbędna by korzystać z PGP do szyfrowania plików za pomocą hasła (kryptografia symetryczna, w PGP zwana "conventional encryption") co jest zwykle najlepszym rozwiązaniem, jeśli szyfrujemy pliki na własne potrzeby. Problem polega na tym, że jeśli dane będą zaszyfrowane asymetrycznie i stracimy klucz prywatny to nigdy nie odczytamy plików. W przypadku szyfrowania symetrycznego hasło jest jedyną rzeczą jaką musimy przechowywać, do czego z powodzeniem można wykorzystywać własną pamięć lub kartkę w sejfie.

Po zainstalowaniu program dodaje do menu kontekstowego nową pozycję "PGP", która pojawia się po naciśnięciu prawego klawisza myszy na nazwie pliku.



Po wybraniu 'Encrypt" pojawia się okienko, w którym możemy wybrać klucze publiczne innych osób (można je importować przez główny program PGP) albo zaznaczyć "Conventional encryption" i wpisać hasło, którym ma być zaszyfrowany plik.



Dodatkowo, jeśli chcemy by program usunął oryginalny plik pozostawiając tylko wersję zaszyfrowaną to zaznaczamy "Wipe original". Program może też wygenerować wersję "samorozpakowującą się" czyli plik EXE - jeśli na niego klikniemy to poprosi o hasło i rozszyfruje swoją zawartość. Zaleta jest taka, że nie wymaga on posiadania zainstalowanego pakietu PGP. Wada - nie mamy gwarancji, że plik wykonywalny będzie poprawnie działać w przyszłych wersjach systemów operacyjnych. Tak więc lepiej pozostać przy standardowym formacie PGP. Dodatkowo po wybraniu opcji "Text output" program może zapisać zaszyfrowany plik nie w postaci binarnej ale zakodowany jako znaki ASCII dzięki czemu można go na przykład wydrukować - ta operacja powiększa jednak rozmiar pliku wynikowego o ok. 25%. Niezależnie od tego PGP zawsze stara się poddać kompresji szyfrowany plik, dzięki czemu plik wynikowy w standardowym, binarnym formacie będzie zwykle mniejszy od oryginału.

GPG

Pomimo że program PGP nadal świetnie spełnia swoje funkcje to należy pamiętać, że od roku 2000 nie jest rozwijany. Aplikacją, która zajęła jego miejsce jest GPG (GNU Privacy Guard) stworzona przez organizację Free Software Foundation. Aplikacja jest rozwijana na licencji GNU, co oznacza że zawsze będzie dostępna z kodem źródłowym. Pomimo że program wystartował od wersji działającej wyłącznie w linii komend to od kilku lat dysponuje wygodnym i dobrze działającym interfejsem graficznym. Obecnie jest to standardowa implementacja OpenPGP w dystrybucjach Linuxa, od czasu stworzenia GUI jest też powszechnie wykorzystywana przez użytkowników Windows. Główna strona projektu mieści się pod adresem www.gnupg.org, można tam jednak pobrać tylko wersję działającą w linii komend. Wersja z GUI jest rozwijana w ramach odrębnego projektu i można ją pobrać ze strony www.gpg4win.org .

Pakiet GPG4WIN zawiera tekstowe GPG więc nie trzeba go dodatkowo instalować. Poza tym z pakietem instalują się programy GPA (narzędzie do zarządzania kluczami), WinPT (zbiór narzędzi rezydujących w pasku stanu), GPOl (plugin GPG do Outlooka) i GPGee (rozszerzenia do Windows Explorera). Program GPA pozwala na generowanie i zarządzanie kluczami asymetrycznymi, podobnie jak w programie PGP. Co istotne, klucze innych osób można również importować lub eksportować na serwery klucz PGP, których działa w Internecie kilkanaście. Alternatywną aplikacją do zarzadząnia kluczami jest jest WinPT. Funkcje szyfrowania plików znajdują się w aplikacji GPGee, która - analogicznie jak PGP - uruchamia się po kliknięciu prawym przyciskiem myszy na wybranym do zaszyfrowania pliku.





Po podaniu hasła plik zostanie zapisany z rozszerzeniem GPG. Jego rozszyfrowanie jest możliwe po kliknięciu prawym przyciskiem i wybraniu "Verify/Decrypt". Co istotne, można go rozszyfrować także przy pomocy innych implementacji standardu OpenPGP - na przykład bez problemu rozszyfruje go (pomijając kwestię rozszerzenia) opisane wyżej PGP 7.0.3, a także GPG w wersji konsolowej.



Podsumowowanie

Pomimo ponad piętnastu lat jakie upłynęły od stworzenia pierwszej wersji PGP - a może właśnie dlatego - różne implementacje standardu OpenPGP są nadal chętnie wykorzystywane do szyfrowania i podpisywania plików.
Nie tak popularne jak kiedyś są już funkcje PGP związane z podpisem elektronicznym i kryptografią asymetryczną, w latach 90-tych będące głównym mechanizmem szyfrowania i podpisywania poczty elektronicznej. Dziś te zadania można o wiele łatwiej realizować przy pomocy standardu S/MIME wbudowanego w popularne programy pocztowe (Outlook, Mozilla) oraz certyfikatów X.509, lepiej osadzonych w prawie niż system zaufania PGP. Niemniej jednak narzędzia związane z "oficjalnym PKI" czyli X.509 skupiły się raczej na podpisie elektronicznym, pomijając w dużym stopniu prosty problem - jak zaszyfrować dane, które nie są e-mailem tylko zwykłym plikiem i jak zrobić to bez angażowania całej rozbudowanej machiny PKI, czyli po prostu zaszyfrować go hasłem? Do takich zastosowań PGP lub GPG jest bezkonkurencyjne i wydaje się być najlepszym rozwiązaniem zarówno z punktu widzenia bezpieczeństwa jak i późniejszej dostępności tak zabezpieczonych danych.