Oprogramowanie
Artykuł
Agnieszka Serafinowicz, Piątek, 3 lutego 2012, 08:22
Poziomy uprawnień przypisane grupom użytkowników, hasła broniące dostępu do konta, niemożność zdalnego wykorzystania konta pozbawionego hasła, zabezpieczenie przed nieuprawnionym zwiększeniem przywilejów – to wszystko w pewnym stopniu chroni dane przed dostępem z zewnątrz. Ale jeżeli mają zostać rzeczywiście utajnione, najlepiej skorzystać z rozwiązań kryptograficznych. Jest to tym łatwiejsze, że nie wymaga praktycznie żadnych dodatkowych nakładów.

Termin bezpieczeństwo danych kojarzony jest najczęściej z ochroną antywirusową oraz blokowaniem włamań sieciowych. W artykule zajęliśmy się nieco innym aspektem bezpieczeństwa: szyfrowaniem danych. Zestawiliśmy różnego rodzaju usługi i aplikacje umożliwiające utajnienie treści przetwarzanych na komputerze działającym pod kontrolą najpopularniejszego obecnie systemu operacyjnego, Windows 7. Na pewno każdy znajdzie coś dla siebie.

Polecamy Waszej uwadze również materiały z serwisu Trochę Techniki: Jak bezpiecznie szyfrować i przechowywać hasła w KeePass

Wszelkie opisywane narzędzia zostały przedstawione z perspektywy użytkownika korzystającego z komputera w domu. Pomijamy rozwiązania korporacyjne, które ze względu na wymogi związane z bezpiecznym przepływem informacji w wielu organizacjach (np. bankach, instytucjach medycznych, edukacyjnych, ubezpieczeniowych) mają zupełnie inną specyfikę niż przeznaczone do ochrony poufności danych na komputerze domowym.

Szyfrowanie wielu osobom może wydać się niepotrzebne. Przecież dostęp do plików użytkownika jest chroniony przez wbudowany w system operacyjny (tu: Windows 7) mechanizm kontroli uprawnień. Odpowiednio ustawiając uprawnienia i chroniąc dostęp do konta administratora, można dość skutecznie blokować innym dostęp do plików, które uzna się za prywatne. Zresztą sam system tworzy dla każdego konta prywatną przestrzeń (profil użytkownika), do której nie mają dostępu pozostałe. Oczywiście, nie dotyczy to administratorów.

Szyfrowanie tworzy dodatkową barierę chroniącą poufne pliki nie tylko przed niepowołanym dostępem, ale także przed modyfikacją. Zadaniem szyfrowania jest nie tylko utajnienie danych, ale także kontrola ich integralności. Uprawnienia użytkownika są ograniczone przestrzenią, w której są dostępne (pojedynczy komputer, sieć lokalna itp.), a szyfrowanie – zazwyczaj nie, choć w tym przypadku wiele zależy też od tego, z jakiego rozwiązania się korzysta. Szyfrować można zarówno pojedyncze pliki i foldery, jak też całe dyski twarde i przenośne nośniki (flashdyski itp.). Prezentację narzędzi dostępnych dla platformy Windows 7 zaczniemy od wbudowanych.

Ważna informacja: artykuł nie jest testem! Naszym celem było nie porównanie opisywanych aplikacji i usług umożliwiających ochronę plików, lecz pokazanie ich możliwości, a przez to ułatwienie wyboru.

Ocena artykułu:
Ocen: 11
Zaloguj się, by móc oceniać
PiotrexP (2012.02.03, 08:46)
Ocena: 5

0%
Brakuje mi w artykule poruszenia zagadnienia sprzętowego szyfrowania we współczesnych dyskach ssd. Jest to dość kontrowersyjne zagadnienie. Producenci przekonują, że dzięki temu dane są bezpieczne.
A tymczasem w przypadku kontrolera SandForce mamy brak kryptograficznego sprzężenia pomiędzy kluczami szyfrującymi AES, a kluczem autoryzacji podawanym przez kanał ATA password. Sprowadza to użyteczność praktyczną jedynie do błyskawicznego Secure Erase i w ogóle nie zwiększa bezpieczeństwa danych. Za to ładnie wygląda w prospekcie.

W przypadku kontrolerów intela ( i rodziny 320 i późniejszych) sprawa jest również podejrzana bo firma w ogóle nie publikuje jakichkolwiek informacji na temat zastosowanych rozwiązań. Nie przedstawia żadnych certyfikatów bezpieczeństwa. A adresuje ten ficzer do środowiska korporacyjnego czułego na bezpieczeństwo danych. Sprawa śmierdzi na kilometr.

Problem z dyskami autoryzowanymi poprzez ATA password polega na tym, że praktycznie i niejako z definicji nie ma możliwości programowego sprawdzenia czy w ogóle szyfrowanie ma miejsce.
Niemniej jest to pewna alternatywa dla szyfrowanych dysków systemowych z pre-boot authentications. Czasami warta rozważenia szczególnie jak używamy laptopa z krytycznymi danymi i zależy nam i na bezpieczeństwie i długości życia na baterii. Te metody są wolne od niebezpieczeństwa pewnych typów ataków, na które są narażone np.: systemowe wolumeny truecrypta.
Thorns (2012.02.03, 08:47)
Ocena: 2

0%
Ciekawy Artykuł, a w obecnych i nadchodzących czasach bardzo przydatny, przez dłuższy czas używałem bitlockera wbudowanego w '7' lecz jakiś czas temu zmieniłem na truecrypta , ma więcej możliwości i jest wieloplatformowy.
PiotrexP (2012.02.03, 09:03)
Ocena: 0

0%
Problem w tym, że Truecrypt podobnie jak inne dalekie od sprzętu rozwiązania nie nadaje się do dysków ssd.
Już nawet pomijając fakt, że ścina brutalnie wydajność kompresujących kontrolerów (takich jak SandForce) to kłóci się z mechanizmami wear-leveling. Sami twórcy Truecrypt odradzają zastosowanie tego programu w takich środowiskach.
dluugi (2012.02.03, 09:22)
Ocena: 0

0%
Dla jakiego procesora jest screenshot z TrueCrypt-a - testowanie szybkości ?
crott (2012.02.03, 09:34)
Ocena: 4

0%
Ostatnie zdanie artykułu oddaje sedno sprawy. Koniec kropka.
Nie znasz się na komputerach to nie trzymaj tam ważnych informacji - trzymaj je w głowie.

Poza tym Truecrypt rządzi ponieważ:
1) jest za darmo,
2) jest dostępny na wszystkie platformy i nie ważne czy któregoś dnia stwierdzisz, że masz dość Windowsa albo dość Linuxa, bierzesz swój kontener i odpalasz na nowym systemie bez zająknięcia,
3) nie ma naleciałości korporacyjnych [w sumie to część punktu 1]
skoti48 (2012.02.03, 10:09)
Ocena: 1

0%
dluugi @ 2012.02.03 09:22  Post: 541829
Dla jakiego procesora jest screenshot z TrueCrypt-a - testowanie szybkości ?

Też mnie to ciekawi - tzn wiadomo, że to jakiś procesor czterordzeniowy i z pewnością z rodzin Core iX lub Bulldozer bo ma sprzętowe AES, ale ma wyjątkowo niską wydajność - mój 2500 przy standardowych zegarach jest 2.3x szybszy w AES i ~1.7x w innych testach.
Telvas (2012.02.03, 10:27)
Ocena: 15

0%
TrueCrypt rządzi i tu nie ma co dyskutować. Jest najbezpieczniejszy jeśli chodzi o założenia projektowe (wystarczy poczytać na jego stronie, jak wręcz paranoicznie do kwestii bezpieczeństwa podchodzą jego twórcy), do tego udostępnia nie tylko popularny i szybki AES (Rijndael), ale też algorytmy które przegrały z Rijndaelem w wyścigu po zwycięstwo w konkursie AES, bo były... 'zbyt' bezpieczne, a przez to trochę bardziej złożone obliczeniowo - a mianowicie algorytmy Serpent i Twofish. Jak do tego doliczyć jeszcze możliwość szyfrowania kaskadowego, to w zasadzie jeśli mamy te 20-znakowe hasło i nikomu go nie podamy, to obecny stan wiedzy matematycznej nie pozwala na dobranie się do danych w żaden sposób, a rozwiązania siłowe zajęłyby wiele lat nawet superkomputerom (co potwierdza przyznanie się FBI do porażki po roku prób odszyfrowania dysków jakiegoś wielkiego mafijnego księgowego czy tam bankiera z Brazylii: http://niebezpiecznik.pl/post/fbi-nie-dalo...y-truecryptowi/ oraz http://niebezpiecznik.pl/post/bzdurki-o-tr...-bitlockerze/).
Do tego TC jest wieloplatformowy (dla mnie jest to niezbędne - korzystam z firmowych poufnych danych zarówno na Windowsie jak i na Debianie), a do tego jeszcze otwartoźródłowy - jak ktoś nie ufa jego bezpieczeństwu, to może sobie sam ściągnąć kod źródłowy i go obejrzeć/poprawić.

IMO TrueCrypt po prostu na chwilę obecną nie ma konkurencji. A że szybkość przy SSD spada? No to przecież normalne - strumień zaszyfrowanych danych wygląda jak ciąg losowych śmieci, więc nic dziwnego, że kompresja kontrolerów SSD tutaj nie ma jak się wykazać i żyłować transferów.

P.S. Widać, że artykuł pisała osoba średnio rozeznana w temacie współczesnej kryptografii i szyfrowania danych... ;) Np. fragment o przewadze AES nad innymi algorytmami ;) Przewagę to mają - ale właśnie 'te inne algorytmy'. Serpent i Twofish sa mocniejsze, ale bardziej wymagające, dlatego do powszechnego użytku pod nazwą AES zatwierdzono algorytm Rijndael. A skoro on juz został standardem, to wszyscy chcą go wspierać. AES od pozostałych lepszy jest tylko w szybkości działania (a i to bez rewelacji - 300-400 MB/s to i tak kres możliwości dysków, nawet SSD; na HDD z w miarę dobrym CPU wszystkie algorytmy będą równie szybkie).
Albo: autorka stwierdziła, że nie da się chronić wolumenu ukrytego przed nadpisaniem, co jest nieprawdą. Wolumen ukryty można chronić przed nadpisaniem - wystarczy przy montowaniu zewnętrznego zaznaczyć taką opcję i podać oba hasła (do zewnętrznego i ukrytego). Opcja dobra, jak chce się dograć coś do wolumenu zewnętrznego bez ryzyka uszkodzenia wewnętrznego.
...i jeszcze parę innych nieścisłości których już mi się nie chce wypisywać, a które i tak nie mają znaczenia, bo w końcu to artykuł dla przeciętnego Kowalskiego, a nie jakiś specjalistyczny ;)
Kowalski będzie szczęśliwy jak sobie w TC wyklika ten szyfrowany wolumen (i znów autorka nie wspomniała o przewadze dla szarego Kowalskiego szyfrowanych wolumentów-plików nad szyfrowaniem całych dysków; poza tym wolna przestrzeń w wolumenach TC nie zawiera - jak pisze autorka - losowych danych; wolna przestrzeń jest po prostu SZYFROWANA, a każdy dobry algorytm sprawia, że zaszyfrowane dane wyglądają jak losowe) i będzie miał bezpieczne dane.
gambiting (2012.02.03, 11:49)
Ocena: 0

0%
Ja cały dysk szyfruje Truecryptem w lapku z i7-2630QM, więc wszystko działa bez żadnych opóźnień, wbudowana obsługa AES-NI to jest to ;-)
Andree (2012.02.03, 12:01)
Ocena: 1

0%
Truecrypt to świetny system, ale jego wadą jest że nie da się zaszyfrować kilku systemów operacyjnych MS (np. XP + Windows 7) zainstalowanych na jednym dysku, tak aby one nadal działały.
Można to zrobić jeżeli XP jest zainstalowany na jednym dysku a Windows 7 na drugim.
Dlatego używam DriveCrypt Plus Pack do szyfrowania partycji systemowych i Truecrypta do szyfrowania partycji z danymi.

Inny problem który miałem z Truecryptem to problemy z montowaniem zaszyfrowanych partycji na dysku twardym USB (WD Elements 1,5 TB) - udawało mi się to pod Windows 7 x64, a pod XP odmawiał zamontowania tego dysku. Czasem pomagało odłączenie dysku od zasilania i ponowne podłączenie go - prawdopodobnie problem wynikał z mechanizmów oszczędzania energii przez dysk.
Poradziłem sobie formatując dysk i tworząc wolumin w zaszyfrowanym pliku.

Aha, co do używania Bitlockera bez TPM, to da się wykorzystując pendrive z którego będzie startował komputer, ale będzie on wtedy jedynym zabezpieczeniem, bo Bitlocker przechowuje hasło w module TPM. Czyli będzie szyfrowanie bez hasła.
gambiting (2012.02.03, 12:06)
Ocena: 1

0%
Andree @ 2012.02.03 12:01  Post: 541897
Truecrypt to świetny system, ale jego wadą jest że nie da się zaszyfrować kilku systemów operacyjnych MS (np. XP + Windows 7) zainstalowanych na jednym dysku, tak aby one nadal działały.

Jak to nie? Oczywiście że się da, sam Truecrypt przy szyfrowaniu dysku systemowego pyta się czy masz inne systemy operacyjne zainstalowane,jeśli tak to daje inny bootloader.
Zaloguj się, by móc komentować
Artykuły spokrewnione
Facebook
Ostatnio komentowane