reklama
"..."Zarządzanie infrastruktura IT w obecnej chwili pochłania znaczną część budżetu IT. W odpowiedzi na tą sytuację IBM dołącza do serwerów IBM System x® system do zarządzania IBM Systems Director®, który oferuje obszerny zbiór narzędzi ułatwiających administrację. popularne
Najczęściej czytane
- Ukryta wiadomość w logo jednostki do walki z cyberterroryzmem (czytane 5185 razy)
- Nowe narzędzia do łamania GSM (czytane 3608 razy)
- CRASH - system odpornościowy dla sieci (czytane 3560 razy)
- Jeden z deweloperów włamał się do App Store i iTunes (czytane 3508 razy)
- Przynęty na hakerów (czytane 3308 razy)
Biblioteka Wiedzy poleca
Dynamiczna kostka: moc wirtualizacji w olsztyńskim RCI
Niższe rachunki za energię, wysoka wydajność i zwiększona dostępność systemu - to korzyści w obszarze IT jakie Uniwersytet Warmińsko Mazurski uzyskał...
pobierz »
Raport o internetowych zagrożeniach bezpieczeństwa
"Internet Security Threat Report" - kolejna edycja znanego raportu firmy Symantec zawierającego globalny przegląd stanu bezpieczeństwa w Internecie....
pobierz »
Implementing IBM Systems Director 6.1
Poznaj możliwości noweczesnego systemu zarządzającego całą infrastrukturą IT. IBM Systems Director 6.1. jest jedynym na rynku bezpłatnym systemem o...
pobierz »
Szyfrowanie dysków - rozwiązania profesjonalne
7 lutego 2007
Paweł Krawczyk W bieżącym odcinku omówimy dwa rozwiązania do szyfrowania dysków przeznaczone do najbardziej wymagających środowisk - a mianowicie instytucji i dużych firm.- musi dać się zainstalować w pełni automatycznie (np. przez Active Directory), włącznie z wstępną konfiguracją - w przypadku aplikacji szyfrujących dyski jest to spore wyzwanie
- musi dać się zarządzać zdalnie, czy to przez AD czy to przy pomocy mechanizmu natywnego - obsługiwane muszą być przede wszystkim przypadki zapomnienia hasła przez użytkownika przy konieczności natychmiastowego dostępu (np. prezes na 3 minuty przed prezentacją dla kluczowego inwestora 5 tys. kilometrów stąd)
- musi umożliwiać dostęp do danych w przypadku nieodwracalnej utraty klucza do danych, na przykład śmierci pracownika.
Spełnienie tych trzech wymagań przy zachowaniu stabilności i wygody obsługi jest zadaniem nietrywialnym. Zrobienie tego w sposób bezpieczny - wydaje się niemożliwe. Poniżej zaprezentujemy rozwiązania, które te cele starają się realizować - programy Free CompuSec oraz Utimaco SafeGuard Easy.
Uruchamianie systemu z zaszyfrowanego dysku
Szyfrowanie dysków na poziomie sektorowym jest zadaniem z punktu widzenia programisty nietrywialnym. Sekwencja uruchamiania systemu operacyjnego w architekturze PC jest dość skomplikowan - komputer najpierw uruchamia się w tzw. "trybie rzeczywistym" (w którym działał MS-DOS), a następnie przełącza się do "trybu chronionego', w którym działają wszystkie współczesne systemy operacyjne. Jeśli chcemy mieć zaszyfrowany cały dysk twardy i równocześnie uruchamiać z niego system operacyjny, to powstaje problem "jajka i kury" - jak załadować system z zaszyfrowanego dysku, skoro oprogramowanie szyfrujące jest w środku tego systemu?
Obydwa omawiane programy rozwiązują to w dość skomplikowany sposób - instalują w systemie dwa sterowniki. Jeden z nich uruchamia się tuż po starcie systemu z MBR (Master Boot Record) i znajduje się faktycznie poza systemem operacyjnym, w jednym z początkowych sektorów dysku. Sterownik ten działa w trybie rzeczywistym i rozszyfrowuje dysk na tyle, by załadować i uruchomić kernel systemu operacyjnego. Drugi sterownik jest sterownikiem typowym dla Windows i jest ładowany przez uruchamiający się kernel systemu. W ten sposób zachowana jest ciągłość dostępu do dysku. W rzeczywistości szyfrowanie całego dysku na poziomie sektorowym jest jeszcze bardziej skomplikowane, jeśli aplikacja chce obsługiwać takie operacje jak hibernacja (zrzut pamięci na dysk) czy uśpienie systemu operacyjnego.
Hasła
Szyfrowanie dysku byłoby niewiele warte bez silnego uwierzytelnienia użytkownika przy uruchamianiu systemu czyli "pre-boot authentication" (PBA). Obydwa omawiane programy wychodzą tutaj daleko poza zwykłe hasło wpisywane z klawiatury i oferują możliwość uwierzytelnienia użytkownika przy pomocy tokenu kryptograficznego zabezpieczonego kodem PIN. Zarówno hasło jak i informacja zawarta w tokenie są wykorzystywane w procesie generowania klucza deszyfrującego dysk - są więc niezbędne do uruchomienia systemu. Podstawowe założenie jest takie, że bez znajomości hasła nie jest fizycznie możliwe uruchomienie systemu, nawet przy pełnym dostępie do komputera. Rozwiązanie to musi być odporne na wszelkie próby lokalizowania klucza deszyfrującego na dysku, grzebania po sektorach itd. Obydwa prezentowane programy ten warunek spełniają. O czym jeszcze warto pamiętać decydując się na instalację oprogramowania do szyfrowania dysku na poziomie sektorowym?
Przede wszystkim, żaden z nich nie toleruje dodatkowych "bootloaderów", takich jak linuxowe LILO czy GRUB. Instalacja takiej aplikacji w systemie, w którym na drugiej partycji działa Linux skończy się nadpisaniem sektorów LILO i w rezultacie niemożnością uruchomienia Linuxa. Partycjonowanie zaszyfrowanego dysku lub doinstalowanie w nim drugiego bootloadera skończy się prawdopodobnie nadpisaniem aplikacji deszyfrującej dysk w początkowej fazie uruchamiania i utradą dostępu do zaszyfrowanego dysku.
Kolejną szczególną cechą jest sposób instalacji - programy szyfrujące instalujemy w już zainstalowanym systemie. Przy pierwszym uruchomieniu (które zwykle wymaga 1-2 rebootów) aplikacja zaczyna szyfrować dysk twardy, co może potrwać do kilku godzin w zależności od szybkości procesora i dysku. Zaleta jest taka, że po zakończeniu tego procesu cały dysk jest zabezpieczony i nie trzeba się przejmować, że jakieś fragmenty zostaną niezaszyfrowane. W trakcie tej operacji można zamknąć system i ponownie uruchomić - aplikacje obsługują to i kontynuują szyfrowanie z miejsca w którym skończyły.
Często podnoszonym zarzutem wobec aplikacji szyfrujących dyski jest obniżenie wydajności. I faktycznie, jeśli zaszyfrowany jest cały dysk to procesor zajmuje się deszyfrowaniem także przy ładowaniu aplikacji i bibliotek oraz innych operacjach systemowych. Jedna przy zastosowaniu współczesnych algorytmów szyfrujących takich jak AES spadek wydajności jest w praktyce niezauważalny. Według deklaracji producentów wynosi on nie więcej niż 5%.
Ze względu na to, że obydwa programy modyfikują MBR konieczne jest wyłączenie programów antywirusowych oraz funkcji ochrony antywirusowej w BIOS.
|
Wystaw ocenę:
|
Średnia ocena (liczba głosów: 0) |
AudioBot - odsłuchaj materiał
wydrukuj
wyślij do znajomego
Komentarze
Redakcja securitystandard.pl - bezpieczeństwo IT , aktualnosci, porady, produkty nie ponosi odpowiedzialności za wypowiedzi Internautów opublikowane na stronach serwisu oraz zastrzega sobie prawo do redagowania, skracania bądź usuwania komentarzy zawierających treści zabronione przez prawo, uznawane za obraźliwie lub naruszające zasady współżycia społecznego. Osoby zamieszczające wypowiedzi naruszające prawo lub prawem chronione dobra osób trzecich mogą ponieść z tego tytułu odpowiedzialność karną lub cywilną.
- Liczba zatwierdzonych komentarzy (16) |
- dodaj komentarz |
- zobacz wszystkie
blah
- ocena: brak oceny
- IP: 83.19.72.74
- 17-02-2007, 15:48
Nie
Klucz
grosiu
- ocena: brak oceny
- IP: 209.8.41.106
- 27-02-2007, 14:01
blah,
tel.: (+48 22) 321 78 00 fax: (+48 22) 321 78 88
© copyright 2010 IDG Poland SA
