NEXT 4/2009 - Partycje pod kluczem

Każdy użytkownik peceta czy laptopa gromadzi wiele prywatnych danych, do których dostępu nie powinien mieć nikt obcy. Zapisanie ich w folderze dokumentów nie jest dobrym pomysłem, chyba że leży on na wydzielonym, zaszyfrowanym woluminie, do którego dostęp ma tylko jedna osoba. Przyjrzeliśmy się kilku narzędziom służącym do szyfrowania zawartości nośników, aby każdemu wskazać produkt optymalny wedle potrzeb.

Pełne bezpieczeństwo czy iluzja?

Szyfrowanie danych, nawet w ujęciu całodyskowym, ma swój własny podzbiór kruczków i wad. Praktycznie każde zabezpieczenie da się w jakiś sposób obejść, tak też jest w tym przypadku. Ale to nie trywialna sprawa. Atak siłowy (tzw. brute-force) w celu złamania hasła jest niemożliwy.

Dowolne 256-bitowe kodowanie z tzw. solą (wartością inicjującą) zapewni bezpieczeństwo, chyba że samo hasło jest słownikowe lub trywialne, np. „123456” czy „asdfgh”. Ustawienie silnego hasła rozwiązuje problem w pełni, stąd większość programów wyświetla ostrzeżenie w przypadku próby użycia zbyt krótkiego czy za mało skomplikowanego ciągu.

Skuteczniejszym sposobem może być stosowane z powodzeniem przez krakerów łamiących zabezpieczenia DRM wyszukiwanie i odczytywanie już zaszyfrowanych kluczy dostępu. Każda aplikacja musi trzymać je w pamięci peceta, skąd można je przechwycić.

Wymaga to jednak fizycznego dostępu do działającego peceta z zamontowanymi woluminami (co oczywiście wykluczy potrzebę czynienia takich poszukiwań – wszak cenne pliki podane byłyby na talerzu) albo… wymontowania samych modułów pamięci tuż po nagłym resecie peceta z zamontowanymi partycjami. Nawet pozbawione napięcia moduły przez jakiś czas, maksymalnie kilkanaście minut, podtrzymują ostatnio umieszczone w nich dane, co pozwala na dokonanie ich binarnego zrzutu.

Bądźmy jednak realistami – w przypadku zagubienia laptopa praktycznie żaden złodziej nie będzie potrafił tego dokonać, a problem nie dotyczy przenośnych pamięci trwałych. Można więc być spokojnym; zaszyfrowane pliki pozostaną zabezpieczone.

Bezpieczniej, ale wolniej

Ale zapewnienie gwarancji, że nikt niepowołany nie uzyska przypadkowo dostępu do poufnych danych, ma swój koszt. Niezależnie od tego, czy szyfrowaniu poddany będzie każdy plik z osobna, czy też za jednym zamachem – cała partycja, kodowanie i dekodowanie danych musi odbywać się w locie, przy odczycie i zapisie danych. To z kolei oznacza, że nie tylko nieco dodatkową pracą obciążony będzie procesor, ale spadnie też wynikowy transfer danych z/do dysku.

Jak bardzo? To zależy głównie od wybranego algorytmu kodowania oraz jego siły, czyli długości bitowej kluczy szyfrujących. Najpopularniejszy, standardowo stosowany, jest 256-bitowy AES. Wyniki testów pokazały, że jego użycie wiąże się zwykle z maksymalnie 10-procentowym spowolnieniem zarówno odczytu, jak i zapisu danych na dysku.

Ale trzeba mieć na uwadze, że w przypadku np. kopiowania plików między zaszyfrowanymi woluminami powyższe wartości nałożą się na siebie. Dodatkowe obciążenie, nieuwzględnione w testach, może powstać, gdy plik wymiany leży na zaszyfrowanej partycji – spowolni to bowiem nie tylko czas ładowania danych, ale i pracę systemu oraz aplikacji.

Dlatego jeśli nie istnieją przesłanki ku szyfrowaniu całego dysku, lepiej wydzielić osobną partycję na poufne dokumenty i chronić tylko ją. Raz – taki podział pomoże uporządkować pliki, dwa – ochroni przed spadkiem wydajności.

Przyszłość szyfrowania dysków

Użycie software'owego narzędzia do enkrypcji to obecnie praktycznie jedyny sposób ochrony danych – i jeszcze jakiś czas tak pozostanie. Ale są już sygnały nadchodzących zmian. W styczniu 2009 r. niemal wszyscy producenci dysków twardych we współpracy z Trusted Computing Group zdecydowali się na zaakceptowanie 128--bitowego AES-a jako standardu sprzętowego kodowania dysków HDD i SSD. Pierwsze takie napędy jak nowa seria Travelstar (Hitachi) są już na rynku. Ale zanim będą powszechne, lepiej użyć TrueCrypta.

Pełne bezpieczeństwo za zero złotych

TrueCrypt 6.1a
Ten opensource'owy program, dostępny do Windows, MacOS X i Linuksa, ma mnóstwo zaawansowanych opcji. Wewnątrz szyfrowanych partycji można tworzyć dodatkowe, ukryte obszary, w których da się osadzić ukryte systemy operacyjne. Daje to podwójną ochronę: nawet zdradzenie hasła dostępu do zewnętrznego woluminu nie oznacza otwarcia kłódki do faktycznie cennych danych – to funkcjonalny odpowiednik garnków miodu w sieciach LAN. Ale są i wady, z których najważniejsza – szyfrowanie w miejscu (bez utraty danych) – nie działa w Windows 2000/XP na woluminach innych niż systemowy.

www.truecrypt.org, darmowy

ZALETY:

• świetna wydajność
• współpraca z wieloma bootmenedżerami
• wieloplatformowość

WADY:

• ograniczone możliwości kodowania w miejscu

ROKOWANIA:

• od tego produktu należy rozpocząć przygodę z szyfrowaniem dysków

Perfekcyjne połączenie możliwości z ergonomią

Jetico BestCrypt Volume Encryption v2
W tym programie zaszyfrowanie dowolnej partycji – także systemowej – to kwestia dosłownie kilku kliknięć. Bez zbędnych pytań i ustawień poszczególne opcje programu robią dokładnie to, co podpowiada nam intuicja. To bodaj najprostsza w obsłudze aplikacja, z której korzysta się prawie jak z systemowego narzędzia zarządzania dyskami. W narzędziu nie ma co szukać specjalistycznych funkcji; dostępne jest tylko to, co niezbędne, a więc m.in. uwierzytelnianie pre-boot czy tworzenie płyty ratunkowej. Program ma też jedną poważną wadę: nie potrafi szyfrować całych dysków, a jedynie same partycje.

www.jetico.com, około 475 zł

ZALETY:

• dziecinnie łatwa obsługa
• podgląd binarny dysku
• dobra wydajność
• anti-keylogger

WADY:

• nie potrafi szyfrować całych dysków
• nie można tworzyć ukrytych woluminów

ROKOWANIA:

• jak na relatywnie mało znany produkt – nada się świetnie do większości zastosowań

Ocena: (aktualna: 4,0; liczba głosów: 1)    (aby ocenić, musisz się zalogować w serwisie)

 del.icio.us |  Wykop mnie |  Digg this story |  dodajdo.com

Do pobrania:

• Partycje wedle potrzeb »
  pełne wersje
• Dane w sejfie »
  G-DATA TOPSECRET NEXT GENERATION 4
• E-maile pod kluczem »
  raport: narzędzia do szyfrowania e-maili – część II
• Bezpieczeństwo na odległość »
  narzędzie do szyfrowania dysków SecureDoc ENTERPRISE SERVER
• Poczta zawsze bezpieczna »
  raport: narzędzia do szyfrowania e-maili