Шифрование данных на ноутбуках

Уменьшение размеров мобильных устройств и увеличение объемов хранимой информации привели к тому, что ноутбуки, коммуникаторы и USB носители стали неотъемлемой частью нашей жизни. На них хранится важная переписка, корпоративная и личная информация, персональные данные и пароли для входа в различные системы и приложения. Мобильность устройств дает прекрасные возможности для обработки и перемещения данных, но в тоже время значительно повышает риски разглашения хранящейся на них информации. По статистике наиболее громкие случаи утечки конфиденциальных данных связанны именно с потерей или хищением служебных переносимых носителей. В этом случае все обрабатываемые на таком носителе данные оказываются в руках злоумышленников или случайных лиц, что в свою очередь может привести к серьезным экономическим, юридическим или репутационным последствиям как для отдельных пользователей, так и для организации в целом.

Распространенной практикой снижения риска утечки важной информации и защиты мобильных устройств от несанкционированного доступа является шифрование. В общем смысле шифрование представляет собой преобразование открытой информации в закрытую форму при помощи различных криптографических алгоритмов. В настоящий момент широко применяются два вида шифрования – традиционное, или симметричное шифрование и шифрование с открытым ключом, иначе называемое ассиметричным. Каждый вид шифрования имеет свои особенности и используется в определенных случаях, например, ассиметричное шифрование применяется для электронной цифровой подписи и распределения ключей, а симметричное – для засекречивания больших массивов данных и генерации псевдослучайных последовательностей. Надежность обоих систем шифрования зависит от секретности ключа, а не от секретности алгоритма, что дает производителям возможность реализовывать алгоритмы шифрования в виде общедоступных программ и дешевых микросхем.

Принципы работы решений по шифрованию данных

В настоящий момент существует ряд специальных программных продуктов, выполняющих шифрование данных на мобильных устройствах и съемных носителях. Эти продукты имеют различные варианты исполнения и могут использоваться как отдельными пользователями, так и организациями в целом. Корпоративные решения позволяют централизованно управлять учетными записями, политиками доступа, ключами шифрования и обеспечивают резервирование и восстановление поврежденных данных. Реализация самого механизма шифрования, как правило, имеет схожий принцип во всех продуктах – на мобильное устройство устанавливается специальный программный криптографический модуль, который в соответствии с заданными политиками производит шифрование части либо всего жесткого диска, в том числе зашифровываются служебные области и главная загрузочная запись (MBR). Такой вид шифрования не изменяет способ использования мобильных устройств и не оказывает влияния на работу пользователей.

Непосредственно для криптографических преобразований применяются стойкие алгоритмы симметричного шифрования с различными длинами ключей, например AES, 3DES, IDEA, Blowfish или российский ГОСТ 28147. При помощи секретного ключа зашифровываются все сектора жесткого диска, включая данные пользователей, операционную систему и служебные поля. Секретный ключ шифруется на результате хеширования пароля или сертификате пользователя и сохраняется в защищенной загрузочной области криптографического модуля. При включении устройства пользователь должен пройти процедуру аутентификации в криптомодуле. В случае успешной аутентификации модуль загружает специальный драйвер в память устройства и запускает оригинальную операционную систему. С этого момента устройство начитает работать обычным образом, как будто криптографический модуль на нем не установлен. Расшифрование секторов происходит «на лету», прозрачно для пользователя – необходимые данные последовательно обрабатываются драйвером, позволяя операционной системе загружаться и работать в штатном режиме.

Криптографический модуль является полностью независимым от остального программного обеспечения и выступает как отдельная мини-операционная система на жестком диске устройства. Он контролирует доступ к данным при помощи специализированного драйвера, который является «посредником» между операционной системой и жестким диском. Драйвер зашифровывает каждый участок данных, записанный на диск и расшифровывает данные, считываемые с диска. Если какое-либо приложение пытается обратиться к диску и считать информацию напрямую, минуя драйвер-посредник, то оно обнаружит только зашифрованные данные, в том числе в области расположения временных файлов и в файле подкачки. Если злоумышленник при помощи специальных загрузочных утилит попытается получить доступ к диску похищенного ноутбука в обход криптомодуля, то он обнаружит только набор бит, который не содержит никакой полезной информации.

Защита коммуникаторов происходит несколько иначе – на устройство устанавливается специальное приложение, а также драйверы для аутентификации и шифрования сервисов мобильной операционной системы. Криптографический модуль позволяет предотвратить несанкционированный доступ к содержимому карт памяти, внутренней почтовой базе данных, спискам контактов и обеспечивает безопасное хранение важной информации.

Таким образом, данные на ноутбуке с установленным криптографическим программным обеспечением, становятся надежно защищенными от разглашения даже при хищении самого устройства.

Слабым звеном большинства систем защиты являются пароли, при компрометации которых все сервисы безопасности становятся практически бесполезными. Продукты по шифрованию мобильных устройств предлагают механизмы многофакторной аутентификации на основе биометрических систем, USB токенов или смарткарт, которые позволяют отказаться от статических паролей и снижают риски несанкционированного доступа к информации.

В настоящий момент основными корпоративными решениями по защите данных на переносных компьютерах на российском рынке являются McAfee Endpoint EncryptionSecret Disk и Zserver. Также похожий функционал имеют продукты PGP Whole Disk Encryption и Check Point Full Disk Encryption.

Ноутбуки, коммуникаторы и съемные носители будут все сильнее интегрироваться в нашу жизнь; очевидно, что возможности и удобства, которые они предоставляют, значительно перекрывают недостатки и риски, связанные с их использованием. В тоже время нельзя забывать о необходимости защиты данных, которые предоставляют определенную ценность для компании или своих владельцев. Информация сегодня стала одним из наиболее привлекательных активов для злоумышленников и конкурентов. Если стоимость данных, хранящихся на мобильном устройстве, значительно превышает стоимость самого устройства, то это хороший повод для применения системы защиты, в том числе криптографическими методами. Следует отметить, что использование криптографии на территории России имеет свои особенности и законодательно регулируется. Кроме того, организации, осуществляющие деятельность, связанную с распространением и техническим обслуживанием шифровальных или криптографических средств должны иметь соответствующие лицензии, выданные Федеральной Службой Безопасности РФ.


Более подробную информацию о наших решениях по информационной безопасности Вы сможете получить, обратившись по адресу info@sovit.net, заполнив форму обратной связи или позвонив по телефону +7 (495) 120-2530.