Організація шифрування даних у середовищі Windows засобами bitlocker

Шифрування - оборотне перетворення інформації з метою приховування від неавторизованих осіб, з наданням, в цей же час, авторизованим користувачам доступу до неї. Головним чином, шифрування служить завданням дотримання конфіденційності переданої інформації. Важливою особливістю будь-якого алгоритму шифрування є використання ключа, який підтверджує вибір конкретного перетворення із сукупності можливих для даного алгоритму.

Користувачі є авторизованими, якщо вони володіють певним автентичним ключем. Вся складність і, власне, завдання шифрування полягає в тому, як саме реалізован цей процес.

В цілому, шифрування складається з двох складових - зашифрування і розшифрування.

За допомогою шифрування забезпечуються три стану безпеки інформації:

· Конфіденційність - шифрування використовується для приховування інформації від неавторизованих користувачів при передачі або при зберіганні.

· Цілісність - шифрування використовується для запобігання зміни інформації при передачі або зберіганні.

· Ідентифікованість - шифрування використовується для аутентифікації джерела інформації та запобігання відмови відправника інформації від того факту, що дані були відправлені саме їм.

Для того, щоб прочитати зашифровану інформацію, приймаючій стороні необхідні ключ і дешифратор (пристрій, що реалізує алгоритм розшифрування). Ідея шифрування полягає в тому, що зловмисник, перехопивши зашифровані дані і не маючи до них ключа, не може ні прочитати, ні змінити передану інформацію. Крім того, в сучасних криптосистемах (з відкритим ключем) для шифрування, розшифрування даних можуть використовуватися різні ключі. Однак, з розвитком криптоанализу, з'явилися методики, що дозволяють дешифрувати закритий текст без ключа. Вони засновані на математичному аналізі переданих даних.

Мета шифрування:

Шифрування застосовується для зберігання важливої інформації в ненадійних джерелах і передачі її по незахищеним каналам зв'язку. Така передача даних представляє з себе два взаємно зворотних процеса:

Перед відправленням даних по лінії зв'язку вони піддаються зашифруванню.

Для відновлення вихідних даних із зашифрованих, до них застосовується процедура дешифрування.

Шифрування спочатку використовувалося тільки для передачі конфіденційної інформації. Однак, згодом шифрувати інформацію почали з метою її зберігання в ненадійних джерелах. Шифрування інформації з метою її зберігання, застосовується і зараз, це дозволяє уникнути необхідності в фізично захищеному сховище.

Шифром називається пара алгоритмів, що реалізує кожне з зазначених перетворень. Ці алгоритми застосовуються до даних з використанням ключа. Ключі для шифрування і для дешифрування можуть відрізнятися, а можуть бути однаковими. Секретність другого (дешифрування) з них, робить дані недоступними для несанкціонованого ознайомлення, а таємність першого (шифрувального) унеможливлює внесення неправдивих даних. У перших методах шифрування використовувалися однакові ключі, однак в 1976 році були відкриті алгоритми із застосуванням різних ключів. Збереження цих ключів в секретності і правильний їх поділ між адресатами є дуже важливим завданням з точки зору збереження конфіденційності переданої інформації. Це завдання досліджується в теорії управління ключами (у деяких джерелах вона згадується як поділ секрету).

На даний момент існує величезна кількість методів шифрування. Головним чином ці методи діляться, в залежності від структури використовуваних ключів, на симетричні методи і асиметричні методи. Крім того, методи шифрування можуть володіти різною криптостійкості і порізному обробляти вхідні дані - блокові шифри і потокові шифри. Всіма цими методами, їх створенням та аналізом займається наука криптографія.

DES (Data Encryption Standard) — це симетричний алгоритм шифрування даних, стандарт шифрування прийнятий урядом США із 1976 до кінця 1990-х, з часом набув міжнародного застосування. Ще з часу свого розроблення алгоритм викликав неоднозначні відгуки. Оскільки DES містив засекречені елементи своєї структури, породжувались побоювання щодо можливості контролю з боку Національного Агенства Безпеки США. Алгоритм піддавався критиці за малу довжину ключа, що, врешті, після бурних обговорень та контролю академічної громадськості, не завадило йому стати загальноприйнятим стандартом. DES дав поштовх сучасним уявленням про блочні алгоритми шифрування та криптоаналіз.

Зараз DES вважається ненадійним в оcновному через малу довжину ключа (56 біт) та розмір блоку (64 біти). У 1999 ключ DES було публічно дешифровано за 22 години 15 хвилин. Вважається, що алгоритм достатньо надійний для застосування у модифікації 3-DES, хоча існують розроблені теоретичні атаки. DES поступово витісняється алгоритмом AES, що з 2002 року є стандартом США.

ГОСТ Р 34.10-2012 — ГОСТ Р 34.10-2012 засновані на еліптичних кривих. Стійкість цього алгоритму ґрунтується на складності обчислення дискретного логарифма в групі точок еліптичної кривої, а також на стійкості хеш-функції. Для ГОСТ Р 34.10-2012 використовується хеш-функція по ГОСТ Р 34.11-2012.

Стандарт ГОСТ Р 34.10-2012 використовує ту ж схему формування електронного цифрового підпису, що і ГОСТ Р 34.10-2001. Новий стандарт відрізняється наявністю додаткового варіанту параметрів схем (відповідного довжині секретного ключа порядку 512 біт) і вимогою використання функцій хешування ГОСТ Р 34.11-2012: перший варіант вимог до параметрів (такий же, як в ГОСТ Р 34.10-2001, відповідний довжині секретного ключа порядку 256 біт) передбачає використання хеш-функції з довжиною хеш-коду 256 біт, додатковий варіант вимог до параметрів передбачає використання хеш-функції з довжиною хеш-коду 512 біт.

Після підписування повідомлення М до нього дописується цифровий підпис розміром 512 або 1024 біт і текстове поле. У текстовому полі можуть міститися, наприклад, дата та час відправлення або різні дані про відправника.

Даний алгоритм не описує механізм генерації параметрів, необхідних для формування підпису, а тільки визначає, яким чином на підставі таких параметрів отримати цифровий підпис. Механізм генерації параметрів визначається на місці в залежності від розроблюваної системи.

RSA — криптографічна система з відкритим ключем.

RSA став першим алгоритмом такого типу, придатним і для шифрування і для цифрового підпису. Алгоритм використовується у великій кількості криптографічних застосунків.

Безпека алгоритму RSA побудована на принципі складності факторизації цілих чисел. Алгоритм використовує два ключі — відкритий (public) і секретний (private), разом відкритий і відповідний йому секретний ключі утворюють пари ключів (keypair). Відкритий ключ не потрібно зберігати в таємниці, він використовується для шифрування даних. Якщо повідомлення було зашифровано відкритим ключем, то розшифрувати його можна тільки відповідним секретним ключем.

Асиметричні криптосистеми — ефективні системи криптографічного захисту даних, які також називають криптосистемами з відкритим ключем. В таких системах для зашифровування даних використовується один ключ, а для дешифровування — інший ключ (звідси і назва — асиметричні). Перший ключ є відкритим і може бути опублікованим для використання усіма користувачами системи, які шифрують дані. Розшифровування даних за допомогою відкритого ключа неможливе. Для дешифровування даних отримувач зашифрованої інформації використовує другий ключ, який є секретним. Зрозуміло, що ключ дешифровування не може бути визначеним з ключа зашифровування.

Головне досягнення асиметричного шифрування в тому, що воно дозволяє людям, що не мають наперед наявної домовленості про безпеку, обмінюватися секретними повідомленнями. Необхідність відправникові й одержувачеві погоджувати таємний ключ по спеціальному захищеному каналі цілком відпала. Прикладами криптосистем з відкритим ключем є Elgamal (названа на честь автора, Тахіра Ельгамаля), RSA (названа на честь винахідників: Рона Рівеста, Аді Шаміра і Леонарда Адлмана), Diffie-Hellman і DSA, Digital Signature Algorithm (винайдений Девідом Кравіцом).

Шифрування з симетричними ключами — схема шифрування, у якій ключ шифрування, та ключ дешифрування збігаються, або один легко обчислюється з іншого та навпаки, на відміну від асиметричного, де ключ дешифрування важко обчислити.

Симетричні алгоритми шифрування можна розділити на потокові та блочні алгоритми шифрування. Потокові алгоритми шифрування послідовно обробляють текст повідомлення. Блочні алгоритми працюють з блоками фіксованого розміру. Як правило, довжина блоку дорівнює 64 бітам, але, в алгоритмі AES використовуються блоки довжиною 128 біт.

Симетричні алгоритми шифрування не завжди використовуються самостійно. В сучасних криптоситемах, використовуються комбінації симетричних та асиметричних алгоритмів, для того, аби отримати переваги обох схем. До таких систем належить SSL, PGP та GPG. Асиметричні алгоритми використовуються для розповсюдження ключів швидких симетричних алгоритмів.

Утіліта bitlocker

Шифрування диска BitLocker - це функція захисту даних в операційній системі, яка вперше з'явилася в Windows Vista. У наступних випусках операційної системи продовжувалося підвищення безпеки за рахунок захисту BitLocker, завдяки чому операційна система стала надавати захист BitLocker більшому числу дисків і пристроїв. Інтегрована в операційну систему функція BitLocker забезпечує захист від розкрадання та розкриття даних, які перебували на втрачених, вкрадених або неналежним чином списаних комп'ютерах. Шифрування диска BitLocker доступно за замовчуванням в певних випусках Windows 8 і в якості додаткового компонента в усіх випусках Windows Server 2012. Manage-bde - це програма командного рядка, яку також можна використовувати для виконання завдань на комп'ютері, пов'язаному з BitLocker. При встановленні додаткового компонента BitLocker на комп'ютер, на якому виконується Windows Server 2012, також необхідно встановити функцію пристрою Enhanced Storage. Ця функція використовується для підтримки зашифрованих дисків обладнання. У Windows Server 2012 також можна встановити додаткову функцію BitLocker: мережева розблокування BitLocker.

Шифрування BitLocker забезпечує максимальний захист при використанні з модуля TPM (TPM) версії 1.2 або вище. Модуль TPM - це апаратний компонент, встановлюваний в багато сучасні комп'ютери їх виробниками. Він працює разом з шифруванням BitLocker, допомагаючи захистити дані користувача і гарантуючи, що комп'ютер не був підмінений, поки система була вимкнена.

На комп'ютерах без встановленого модуля TPM версії 1.2 або вище шифрування BitLocker можна, тим не менш, використовувати для шифрування диска операційної системи Windows. Однак при цьому користувач повинен вставити USB-ключ запуску для запуску комп'ютера або вийти з цього режиму. В операційній системі Windows 8 використання пароля операційної системи - це ще одна можливість захисту томи операційної системи на комп'ютерах без модуля TPM. В обох випадках не проводиться перевірка цілісності системи перед запуском, пропонована функцією BitLocker з модуля TPM. На додаток до модуля TPM шифрування BitLocker надає можливість блокування звичайного процесу запуску, поки користувач не введе персональний ідентифікаційний номер (PIN-код) або не встаючи знімний пристрій, наприклад USB флеш-пам'яті, що містить ключ запуску. Ці додаткові заходи безпеки забезпечують многофакторну перевірку автентичності і гарантію того, що комп'ютер не буде запущений або виведений з режиму глибокого сну, поки не буде надано правильний PIN-код або ключ запуску.

Практичне застосування:

Дані на втраченому або вкраденому комп'ютері, уразливі для несанкціонованого доступу, виконуваного або за допомогою програмного засобу злому, або шляхом підключення жорсткого диска комп'ютера до іншого комп'ютера. Шифрування BitLocker допомагає запобігти несанкціонований доступ до даних, підвищуючи рівень захисту файлів і системи. Шифрування BitLocker також допомагає зберегти недоступність даних при списанні або повторному використанні комп'ютерів, захищених за допомогою шифрування BitLocker.

У складі засобів віддаленого адміністрування сервера є два додаткових засоби управління BitLocker.

Засіб перегляду пароля відновлення BitLocker дозволяє знайти і переглянути паролі відновлення для шифрування диска BitLocker, резервні копії яких були збережені в доменних службах Active Directory (AD DS). Цей засіб використовується для відновлення даних, що зберігаються на диску, зашифрованому за допомогою BitLocker. Засіб перегляду пароля відновлення BitLocker являє собою розширення оснастки Microsoft Management Console (MMC) Active Directory.

З його допомогою можна вивчити діалогове вікно Властивості об'єкта комп'ютера, щоб переглянути відповідні паролі відновлення в режимі BitLocker. Крім того, можна натиснути правою кнопкою миші контейнер домену та виконати пошук пароля відновлення в режимі BitLocker по всіх доменах лісу служби каталогів Active Directory. Щоб переглядати паролі відновлення, користувач повинен бути адміністратором домену або володіти дозволами, делегованими адміністратором домену.

Засоби шифрування диска BitLocker включають в себе програми командного рядка manage-bde і repair-bde, а також командлети BitLocker для Windows PowerShell. Команду manage-bde і командлети BitLocker можна використовувати для виконання будь-якої задачі, яка вирішується за допомогою панелі управління BitLocker, а також для автоматичного розгортання та інших сценаріїв. Команда repair-bde призначена для сценаріїв аварійного відновлення, в яких диск із захистом BitLocker не можна розблокувати звичайним способом або за допомогою консолі відновлення.

Поиск по сайту: