Программа для создания зашифрованной области на жестком диске DriveCrypt Plus Pack 3

Рассмотрим программный комплекс DriveCrypt Plus Pack 3 ком­пании SecurStar GmbH, который используют многие российские предприятия для защиты конфиденциальной информации.

Надежное хранение конфиденциальных данных обеспечивает­ся при выполнении следующих условий:

• компьютер, на котором хранится конфиденциальная инфор­мация, не должен быть подключен ни к каким сетям (локальным, глобальным);

• зашифровывать следует не только данные (создание контей­нера), но и все содержимое жесткого диска;

• используемая система криптозащиты должна уметь создавать ложную операционную систему, доступ к которой возможен только при вводе пользователем определенного пароля;

• экран для ввода пароля не должен раскрывать факт использо­вания системы криптозащиты (в идеале он должен маскироваться под системное сообщение);

• попытки подбора паролей по словарю должны пресекаться системой криптозащиты;

• переустановка операционной системы, подключение винче­стера к другой машине, работа в ложной операционной системе не должны выдавать факта использования системы криптозащиты;

• продолжительная работа в ложной системе должна вызывать частичное уничтожение или разрушение структуры зашифрован­ных данных;

• работа с криптосистемой должна быть максимально прозрач­на для пользователя, но не должна требовать от него каких-либо специальных знаний или выполнения каких-либо действий с оп­ределенной периодичностью.

Комплекс DriveCrypt Plus Pack 3 отвечает всем указанным ус­ловиям.

Возможности этого программного комплекса в процессе шиф­рования жесткого диска и создание ложной операционной систе­мы рассмотрим с помощью схемы, приведенной на рис. 12.2.

Работа программы по шифрованию включает в себя выполне­ние следующих этапов:

• создание и регистрация ключей электронной цифровой под­писи (ЭЦП);

• защита и ограничение доступа к операционной системе Windows;

• шифрование загрузочного диска или раздела;

• шифрование разделов, дисков или сменных носителей;

• создание ложной операционной системы (ОС).

Установка DriveCrypt Plus Pack 3 выполняется мастером и не требует каких-либо специальных знаний. После запуска инстал­лятора на экран поочередно выводятся стандартные окна масте­ра установки, в которых надо принять условия лицензионного соглашения, выбрать папку для установки программы, указать имя исполняемого файла, а также указать, где должны быть со­зданы ярлыки для запуска комплекса. На этом же экране мастера установки можно выбрать включение автоматического пароля при загрузке ОС. На следующем экране можно отменить установку справочной системы и ассоциацию файлов некоторого типа. На заключительном этапе установки необходимо перезагрузить ком­пьютер. После первого запуска DriveCrypt Plus Pack 3 предлагается либо зарегистрировать программу, либо использовать ее в ознакоми­тельных целях.

Затем на экран будет выведено Окно входа, в котором следует нажать кнопку [Create] для создания хранилища ключей, после чего откроется окно мастера Создание хранилища. При последу­ющих сеансах работы с программой в данном окне необходимо выбрать хранилище и ввести пароли, после чего будет предостав­лен доступ к настройкам программы. В этом же окне выбирают тип файла, в котором будет размещено хранилище (текстовый, гра­фический, аудио- или видеофайл).

На следующем экране выбирают папку, где будет размещено хранилище, и указывают имя файла. Если на предыдущем экране было выбрано создание хранилища в графическом или аудиофай­ле, то на этом экране следует указать существующий файл.

После указания имени и пути к хранилищу вводят пароли с помощью мастера паролей.

Существует два типа паролей: Мастер и Пользователь. Отлича­ются они доступом к настройкам программы. Пароль Пользова­тель не дает возможности что-то изменить, он позволяет лишь просматривать заданные мастером настройки. Каждый тип паро­ля, в свою очередь, также может состоять из двух паролей. Эту особенность можно использовать для создания пары паролей, каж­дый из которых будет известен только одному человеку. При со­здании паролей нельзя использовать шрифт, содержащий знаки кириллицы.

После создания хранилища на экран выводится Главное окно, в котором показаны ключи, находящиеся в текущем хранилище. Если хранилище только что создано, то ключей еще нет и их необходимо создать при помощи кнопки [New Key]. Ключи шиф­руются по определенному программой алгоритму (AES 256).

После создания ключей можно приступать к защите загрузки, для чего в главном окне программы следует нажать кнопку [Drives]. В результате откроется список дисков и разделов, пример которо­го показан на рис. 12.2 в окне Список дисков и разделов.

Выделив в этом списке загрузочный диск или раздел и нажав кнопку [Bootauth], запускают мастер установки защиты загрузки.

На следующем этапе установки защиты в окне Список дисков и разделов предлагается ограничить загрузку в зависимости от вве­денного пароля. Доступ к данным здесь предоставляется как по паролю Мастер, так и по паролю Пользователь. Если пароль Пользо­ватель не был указан на этапе создания хранилища, то часть оп­ций в этом окне будет недоступна. В этом случае загрузка компью­тера разрешается только по паролю Мастер.

На заключительном этапе установки защиты выводится инфор­мационное сообщение о том, что перед шифровкой любых дис­ков следует проверить корректность установки защиты загрузки. Тогда если что-то пойдет не так (например, будет забыт пароль Мастер), на этом этапе можно очень просто восстановить загруз­ку операционной системы. Если же зашифровать диск без провер­ки корректности работы защиты загрузки, восстановить его со­держимое будет невозможно.

После перезагрузки компьютера до момента загрузки ОС на экран выводится приглашение к вводу одного из трех видов паро­лей: Режим VESA, Режим DOS, Режим HDD fail.

Затем вводят в поля соответствующие пароли. Для перехода от первого поля ко второму используют клавишу [Tab]. При выборе режима HDD fail вводимые пароли не отображаются символами. После введения в этом режиме первого пароля следует снова на­жать клавишу [Tab], затем ввести второй пароль (если он был задан при создании хранилища) и нажать клавишу [Enter]. Для ввода пароля дается три попытки. Если все три попытки неудач­ны, система останавливается и для повторного ввода пароля сле­дует перезагрузить компьютер.

После тестирования защиты загрузки можно переходить к шиф­рованию диска или раздела.

Шифрование загрузочного диска или раздела. Шифрование за­грузочного диска или раздела невозможно без установки защиты загрузки.

Чтобы зашифровать диск или раздел, следует сделать соответ­ствующий выбор в окне Список дисков (Disk Drives) и нажать кнопку [Encrypt]. При этом мастер шифрования диска откроет окно Шиф­рование, в котором будет предложено выбрать ключ из хранилища. Диск будет зашифрован этим ключом и этот же ключ потребуется для дальнейшей работы с диском.

Выбор ключа запускает процесс шифрования диска. Этот про­цесс достаточно длительный, он может занимать до нескольких часов в зависимости от объема шифруемого диска или раздела.

После завершения шифрования загрузочного диска загрузка операционной системы возможна только после проведения авто­ризации.

После того как загрузочный диск будет полностью зашифро­ван, мастер предложит создать аварийный диск. Отказываться от этого предложения крайне неразумно — аварийный диск лучше сразу создать и убрать в надежное место. Он поможет спасти дан­ные в случае проблем с загрузкой операционной системы. Если аварийный диск не создать, то даже случайная перезапись глав­ной загрузочной записи приведет к полной и безвозвратной поте­ре всех данных, которые хранились на зашифрованном диске.

Шифрование разделов, дисков, сменных носителей. При помо­щи комплекса DriveCrypt Plus Pack 3 можно зашифровать любой жесткий диск или сменный накопитель (за исключением CD и DVD) и использовать его для обмена данными между пользовате­лями. При этом следует позаботиться о передаче через надежный канал ключа, которым будут шифроваться данные.

Если планируется обмен информацией на зашифрованных смен­ных носителях, лучше создать отдельный ключ, которым будет зашифрован носитель. Для этого надо открыть главное окно, ав­торизоваться и на вкладке Encryption Keys нажать кнопку [New Key], после чего откроется окно Создание нового ключа, в кото­ром следует ввести понятное описание вновь создаваемого ключа и нажать кнопку [Generate].

После создания нового ключа надо подключить сменный но­ситель и переключиться на вкладку Drives. Если в списке отсут­ствует только что подключенный накопитель, следует обновить его при помощи кнопки [Refresh], выделить сменный накопитель и нажать кнопку [Encrypt], после чего откроется окно Выбор клю­ча для шифрования.

После выбора созданного ключа, предназначенного только для шифрования сменного носителя при обмене информацией, сле­дует нажать кнопку [Encrypt], и сменный носитель будет зашиф­рован.

Теперь нужно экспортировать в файл ключ, которым был за­шифрован сменный носитель. Для этого вновь надо переключить­ся на вкладку Encryption Keys, выделить только что созданный ключ и нажать кнопку [Export]. В открывшемся при этом окне выбирают папку, где следует сохранить ключ, имя файла с ключом и пароль для защиты самого ключа. Полученный файл надо передать пользо­вателю, с которым планируется обмениваться информацией на зашифрованных носителях, а также сообщить ему пароль, кото­рым был защищен ключ во время экспорта. Когда этот пользова­тель получит файл, он должен будет импортировать ключ в хра­нилище, после чего получит доступ к переданной информации на зашифрованном диске.

Импорт ключа выполняется по аналогии с экспортом с помо­щью соответствующей кнопки на вкладке Encryption Keys. После того как получатель зашифрованного диска импортировал ключ в хранилище, он может установить в привод или подключить к ком­пьютеру сменный носитель и открыть его. Для этого пользователь должен переключиться на вкладку Drives, выделить в списке смен­ный накопитель и нажать кнопку [Explore]. При последующей ра­боте с зашифрованным сменным накопителем пользователь дол­жен авторизовываться после каждой перезагрузки программы, так как до тех пор пока он этого не сделает, сменный накопитель будет закрыт и система будет предлагать отформатировать его при каждом обращении.

Создание ложной операционной системы. Создать ложную опе­рационную систему достаточно просто. Для этого следует создать раздел и отформатировать его в FAT32, установить и настроить Windows и установить DriveCrypt Plus Pack 3. Установленную опе­рационную систему надо полностью настроить, скопировать ка­кие-то файлы, например на рабочий стол, установить какое-то программное обеспечение и т.д. Создаваемая ложная операцион­ная система должна выглядеть как рабочая, т.е. постоянно ис­пользуемая. После создания скрытой операционной системы за­гружаться и работать с ложной ОС крайне опасно, поскольку су­ществует вероятность разрушения данных скрытой операционной системы.

После установки и настройки ложной операционной системы следует создать новое хранилище, авторизоваться в DCPP, пере­ключиться на вкладку Drives, выделить раздел, где установлена ложная операционная система (файловая система должна быть обязательно FAT32, иначе создать ложную ОС будет невозмож­но), и нажать кнопку [HiddenOS]. В результате откроется окно Настройка создания скрытой ОС.

Затем надо указать путь к только что созданному хранилищу, пароли, метку скрытого диска, его файловую систему и размер свободного места, которое должно отделять ложную операцион­ную систему от скрытой. Нажатием кнопки [Create Hidden OS] запускается процесс создания скрытого раздела и все содержимое системного раздела копируется в скрытый раздел.

DriveCrypt Plus Pack 3 создает скрытый раздел, начало которо­го находится через определенный промежуток свободного места от окончания ложного раздела, указанный при создании скрыто­го раздела. Если при этом загрузиться и начать работу в ложной ОС, то после того как указанное при создании скрытого раздела свободное место будет использовано, ложная операционная сис­тема начнет перезаписывать зашифрованные данные скрытой ОС, что приведет к ее неработоспособности.

После завершения процесса создания скрытого раздела следу­ет перезагрузить компьютер и авторизоваться, введя пароли, ко­торые были указаны при создании скрытого раздела. Содержимое ложной операционной системы не будет видно при работе в скры­той ОС, и наоборот: при работе в ложной операционной системе не будет видно содержимое скрытой ОС. Таким образом, только введенный пароль при включении компьютера определяет, какая операционная система будет загружена.После окончания создания скрытой операционной системы в нее следует войти и зашифровать системный раздел.

Тестирование производительности дисковой подсистемы. Для определения того, насколько комплекс DriveCrypt Plus Pack 3 сни­жает производительность операций считывания-записи, тестиру­ют скорость работы дисковой подсистемы. Результаты такого тес­тирования приведены в табл. 12.3.

Результаты тестирования показывают, что падение скорости операций считывания-записи весьма существенное. Если на ком­пьютере планируется работа с программным обеспечением, ак­тивно использующим жесткий диск, установка комплекса DCPP значительно снизит скорость работы.

На схеме, представленной на рис. 12.3, показан процесс рабо­ты программы по созданию дисков с зашифрованной областью данных, которые размещаются в дисковом хранилище, связан­ном с устройством уничтожения данных.

Диск аварийного восстановления. Когда установлена защита заг­рузки и зашифрован системный раздел, комплекс DriveCrypt Plus Pack 3 автоматически предлагает создать аварийный диск, при помощи которого можно восстановить работу компьютера в слу­чае возникновения внештатных ситуаций. Аварийный диск созда­ется с помощью мастера, и его создание не вызывает каких-либо затруднений.

Аварийный диск поможет авторизоваться в DCPP при пробле­мах с загрузкой с жесткого диска, а также расшифровать зашиф­рованный диск в обычной или скрытой ОС.

Таким образом, применение программы DriveCrypt Plus Pack 3 обеспечивает пользователю уверенность в том, что его данные не будут прочитаны даже в случае хищения компьютера или кражи сменного носителя. Возможность создания ложной сис­темы, при работе в которой будут уничтожаться данные основ­ной системы, поможет ввести дополнительный уровень защи­ты. Способность программы DriveCrypt Plus Pack 3 шифровать целый диск или раздел позволяет скрыть не только важные дан­ные, но и все содержимое диска или раздела, включая опера­ционную систему.

К сожалению, за такой уровень безопасности приходится рас­плачиваться значительным падением производительности файло­вой системы, что в некоторых случаях может стать серьезным пре­пятствием в использовании DriveCrypt Plus Pack 3.

Дата добавления: 2014-01-07; Просмотров: 1475; Нарушение авторских прав?; Мы поможем в написании вашей работы!