popularne
Najczęściej czytane
- Jak skutecznie chronić się przed DDoS? (czytane 1240 razy)
- Na co zwrócić uwagę przy wdrożeniu IPS i DLP? (czytane 279 razy)
- Krajowe Ramy Interoperacyjności opublikowane (czytane 40 razy)
Biblioteka Wiedzy poleca
Office 365 - podręcznik użytkownika
Ta książka pokaże Ci, jak wykorzystać chmurowe przetwarzanie danych - a konkretnie Office 365 - aby robić więcej, współpracować łatwiej i działać...
pobierz »
Jak zwiększyć wydajność infrastruktury serwerowej oszczędzając czas i pieniądze? Nowoczesne rozwiązania serwerowe
Niniejszy dokument ma na celu zaprezentowanie sposobów na poprawę funkcjonowania i efektywności działania infrastruktury serwerowej w firmie lub...
pobierz »
Dlaczego warto korzystać z Office 365?
Jakie funkcje i możliwości Microsoft Office 365 decydują o tym, że warto wybrać to rozwiązanie zamiast tradycyjnego pakietu Office i rozwiązań...
pobierz »
powiększ tekst 
AKTUALNOŚCI
Szyfrowanie dysków - rozwiązania profesjonalne
7 lutego 2007
Paweł Krawczyk W bieżącym odcinku omówimy dwa rozwiązania do szyfrowania dysków przeznaczone do najbardziej wymagających środowisk - a mianowicie instytucji i dużych firm.- musi dać się zainstalować w pełni automatycznie (np. przez Active Directory), włącznie z wstępną konfiguracją - w przypadku aplikacji szyfrujących dyski jest to spore wyzwanie
- musi dać się zarządzać zdalnie, czy to przez AD czy to przy pomocy mechanizmu natywnego - obsługiwane muszą być przede wszystkim przypadki zapomnienia hasła przez użytkownika przy konieczności natychmiastowego dostępu (np. prezes na 3 minuty przed prezentacją dla kluczowego inwestora 5 tys. kilometrów stąd)
- musi umożliwiać dostęp do danych w przypadku nieodwracalnej utraty klucza do danych, na przykład śmierci pracownika.
Spełnienie tych trzech wymagań przy zachowaniu stabilności i wygody obsługi jest zadaniem nietrywialnym. Zrobienie tego w sposób bezpieczny - wydaje się niemożliwe. Poniżej zaprezentujemy rozwiązania, które te cele starają się realizować - programy Free CompuSec oraz Utimaco SafeGuard Easy.
Uruchamianie systemu z zaszyfrowanego dysku
Szyfrowanie dysków na poziomie sektorowym jest zadaniem z punktu widzenia programisty nietrywialnym. Sekwencja uruchamiania systemu operacyjnego w architekturze PC jest dość skomplikowan - komputer najpierw uruchamia się w tzw. "trybie rzeczywistym" (w którym działał MS-DOS), a następnie przełącza się do "trybu chronionego', w którym działają wszystkie współczesne systemy operacyjne. Jeśli chcemy mieć zaszyfrowany cały dysk twardy i równocześnie uruchamiać z niego system operacyjny, to powstaje problem "jajka i kury" - jak załadować system z zaszyfrowanego dysku, skoro oprogramowanie szyfrujące jest w środku tego systemu?
Obydwa omawiane programy rozwiązują to w dość skomplikowany sposób - instalują w systemie dwa sterowniki. Jeden z nich uruchamia się tuż po starcie systemu z MBR (Master Boot Record) i znajduje się faktycznie poza systemem operacyjnym, w jednym z początkowych sektorów dysku. Sterownik ten działa w trybie rzeczywistym i rozszyfrowuje dysk na tyle, by załadować i uruchomić kernel systemu operacyjnego. Drugi sterownik jest sterownikiem typowym dla Windows i jest ładowany przez uruchamiający się kernel systemu. W ten sposób zachowana jest ciągłość dostępu do dysku. W rzeczywistości szyfrowanie całego dysku na poziomie sektorowym jest jeszcze bardziej skomplikowane, jeśli aplikacja chce obsługiwać takie operacje jak hibernacja (zrzut pamięci na dysk) czy uśpienie systemu operacyjnego.
Hasła
Szyfrowanie dysku byłoby niewiele warte bez silnego uwierzytelnienia użytkownika przy uruchamianiu systemu czyli "pre-boot authentication" (PBA). Obydwa omawiane programy wychodzą tutaj daleko poza zwykłe hasło wpisywane z klawiatury i oferują możliwość uwierzytelnienia użytkownika przy pomocy tokenu kryptograficznego zabezpieczonego kodem PIN. Zarówno hasło jak i informacja zawarta w tokenie są wykorzystywane w procesie generowania klucza deszyfrującego dysk - są więc niezbędne do uruchomienia systemu. Podstawowe założenie jest takie, że bez znajomości hasła nie jest fizycznie możliwe uruchomienie systemu, nawet przy pełnym dostępie do komputera. Rozwiązanie to musi być odporne na wszelkie próby lokalizowania klucza deszyfrującego na dysku, grzebania po sektorach itd. Obydwa prezentowane programy ten warunek spełniają. O czym jeszcze warto pamiętać decydując się na instalację oprogramowania do szyfrowania dysku na poziomie sektorowym?
Przede wszystkim, żaden z nich nie toleruje dodatkowych "bootloaderów", takich jak linuxowe LILO czy GRUB. Instalacja takiej aplikacji w systemie, w którym na drugiej partycji działa Linux skończy się nadpisaniem sektorów LILO i w rezultacie niemożnością uruchomienia Linuxa. Partycjonowanie zaszyfrowanego dysku lub doinstalowanie w nim drugiego bootloadera skończy się prawdopodobnie nadpisaniem aplikacji deszyfrującej dysk w początkowej fazie uruchamiania i utradą dostępu do zaszyfrowanego dysku.
Kolejną szczególną cechą jest sposób instalacji - programy szyfrujące instalujemy w już zainstalowanym systemie. Przy pierwszym uruchomieniu (które zwykle wymaga 1-2 rebootów) aplikacja zaczyna szyfrować dysk twardy, co może potrwać do kilku godzin w zależności od szybkości procesora i dysku. Zaleta jest taka, że po zakończeniu tego procesu cały dysk jest zabezpieczony i nie trzeba się przejmować, że jakieś fragmenty zostaną niezaszyfrowane. W trakcie tej operacji można zamknąć system i ponownie uruchomić - aplikacje obsługują to i kontynuują szyfrowanie z miejsca w którym skończyły.
Często podnoszonym zarzutem wobec aplikacji szyfrujących dyski jest obniżenie wydajności. I faktycznie, jeśli zaszyfrowany jest cały dysk to procesor zajmuje się deszyfrowaniem także przy ładowaniu aplikacji i bibliotek oraz innych operacjach systemowych. Jedna przy zastosowaniu współczesnych algorytmów szyfrujących takich jak AES spadek wydajności jest w praktyce niezauważalny. Według deklaracji producentów wynosi on nie więcej niż 5%.
Ze względu na to, że obydwa programy modyfikują MBR konieczne jest wyłączenie programów antywirusowych oraz funkcji ochrony antywirusowej w BIOS.
wydrukuj
Komentarze
- Liczba zatwierdzonych komentarzy (18) |
- dodaj komentarz |
- zobacz wszystkie
blah
- ocena: brak oceny
- IP: 83.19.72.74
- 17-02-2007, 15:48
Nie
Klucz
grosiu
- ocena: brak oceny
- IP: 209.8.41.106
- 27-02-2007, 14:01
blah,
04-204 Warszawa ul. Jordanowska 12
tel.: (+48 22) 321 78 00 fax: (+48 22) 321 78 88
© copyright 2012 IDG Poland SA
tel.: (+48 22) 321 78 00 fax: (+48 22) 321 78 88
© copyright 2012 IDG Poland SA
