Podziel się opinią o serwisie
popularne komentowane nowości

popularne

Najczęściej czytane

więcej...

Biblioteka Wiedzy poleca

Jak zwiększyć wydajność infrastruktury serwerowej oszczędzając czas i pieniądze? Nowoczesne rozwiązania serwerowe

Niniejszy dokument ma na celu zaprezentowanie sposobów na poprawę funkcjonowania i efektywności działania infrastruktury serwerowej w firmie lub...
pobierz »

Dlaczego warto korzystać z Office 365?

Jakie funkcje i możliwości Microsoft Office 365 decydują o tym, że warto wybrać to rozwiązanie zamiast tradycyjnego pakietu Office i rozwiązań...
pobierz »

System Epicor ERP z certyfikatem TEC

Przeczytaj (po polsku) pełny raport Technology Evaluation Centers z certyfikacji systemu Epicor ERP i poznaj niezależną opinię jednej z najbardziej...
pobierz »

Więcej bezpłatnych raportów w serwisie
powiększ tekst >
AKTUALNOŚCI

Częściowe szyfrowanie nie gwarantuje bezpieczeństwa danych?

17 lipca 2008

Daniel Cieślak
Grupa specjalistów z University of Washington oraz firmy British Telecommunications dowiodła, że częściowe szyfrowanie danych nie gwarantuje bezpieczeństwa przechowywanych w komputerze informacji. Okazało się, że nawet jeśli poufne dane zapisujemy jedynie w zaszyfrowanej lokalizacji, to specyfika pracy kilku popularnych aplikacji sprawia, że dokumenty mogą wyciec do niezabezpieczonych katalogów.

Warto na początku podkreślić, że problem nie dotyczy osób, które zdecydowały się na zaszyfrowanie wszystkich lokalnych dysków - w tym przypadku ich pliki są w pełni bezpieczne. Kłopot pojawia się, jeśli użytkownik zdecyduje się na zabezpieczenie w ten sposób jedynie wybranych zasobów - np. jednego dysku, partycji czy katalogu (to dość popularna metoda). Jeśli w takim przypadku zdecydujemy się na stworzenie np. dokumentu w programach MS Word lub Google Desktop, to nawet jeśli zapiszemy go w zaszyfrowanej lokalizacji, to jego kopia może znaleźć się w katalogu instalacyjnym programu.

Badacze z University of Washington oraz British Telecommunications przeprowadzili szereg prób - w czasie testów wielokrotnie udawało im się znaleźć w niezabezpieczonych zasobach pliki, które teoretycznie powinny znajdować się jedynie w zaszyfrowanej lokalizacji i dostęp do nich nie powinien być możliwy bez podania hasła. W przypadku Worda bez większych problemów udawało się odzyskać całe dokumenty, ponieważ były one zapisywane w specjalnym folderze służącym do odzyskiwania plików, których treść utracono np. na skutek awarii systemu. W Google Desktop pliki odnajdowane były dzięki funkcji zaawansowanego wyszukiwania (która, jak się okazało, przechowuje fragmenty plików - dzięki temu może je szybciej znajdować).

Tadayoshi Kohno, przedstawiciel University of Washington, zaznacza, że opisany powyżej problem dotyczy z pewnością wielu innych aplikacji, nie tylko Google Desktop czy Worda - jego zdaniem, nie można go traktować jak luki w zabezpieczeniach. Kohno tłumaczy, że to raczej swoisty błąd projektowy, polegający na wzajemnym niedostosowania oprogramowania szyfrującego do specyfiki pracy popularnych aplikacji.

Kohno i jego zespół - w składzie którego znalazł się m.in. słynny specjalista ds. kryptografii, Bruce Schneier - dokonali powyższego odkrycia w zasadzie przypadkiem, podczas prac nad technologią o nazwie deniable encryption. Upraszczając: jest to system, w którym do poznania pełnej zawartości zaszyfrowanych zasobów nie wystarczy samo podanie hasła - musi to być odpowiednie, poprawne hasło; w deniable encryption możliwe jest bowiem ustanowienie dodatkowego hasła, którego podanie tylko pozornie odszyfruje np. tekst, podczas gdy prawdziwe dane będą wciąż ukryte. Dzięki temu możliwe jest wprowadzenie w błąd osoby próbującej uzyskać dostęp do zaszyfrowanych informacji.

Problem wykryto podczas analizowania zasad pracy aplikacji szyfrującej TrueCrypt 5.1a - w czasie testów okazało sie, że niektóre pliki, które teoretycznie zostały zaszyfrowane, da się znaleźć w niezabezpieczonych katalogach. Dalsze analizy wykazały, że niedoskonałość ta została częściowo usunięta w najnowsze wersji TrueCrypt (6.0), jednak do ostatecznego rozwiązania problemu jest jeszcze daleko.
Wystaw ocenę:
    Średnia ocena (liczba głosów: 8)
wydrukuj wydrukuj wyslij do znajomegowyślij do znajomego

Komentarze

A

  • ocena: brak oceny
  • IP: 193.109.212.36
  • 17-07-2008, 15:20

Przecież to jest oczywiste, wie o tym chyba każdy, do takich odkryć nie potrzeba specjalistów.

nieie

  • ocena: brak oceny
  • IP: 217.8.175.99
  • 17-07-2008, 15:21

No ba! Jesli taki program, dajmy na to przytaczany Word, ma wlaczony autozapis co kilka minut to oczywistym jest ze moze zapisywac sobie kopie nie na partycji zaszyfrowanej tylko gdzies "w sekretnym miejscu wymyslonym przez inzynierow Worda".