Введение
Информация всегда представляла немалую ценность, но сегодня, в эпоху расцвета информационных технологий, она бывает дороже золота. Поэтому очень важно, чтобы ценная информация не попала в руки злоумышленника. В наши дни ИТ-индустрия предлагает немало средств защиты информации, начиная от паролей на файлы Microsoft Word и заканчивая сложными аппаратно-программными комплексами. Все они обеспечивают разный уровень надёжности защиты и отличаются разной стоимостью реализации. Наша статья будет посвящена мощному и современному программному средству защиты информации – приложению StrongDisk Pro. Приятно здесь и то, что эта программа выпущена отечественными разработчиками – компанией PhysTechSoft.
Программа StrongDisk работает под операционными системами Windows NT/2000/XP. Основной функцией StrongDisk является создание защищённых логических дисков. Физически диски представляют собой специальные файлы-образы или разделы на жёстком диске, хранящиеся в шифрованном виде. При записи на такой диск информация кодируется “на лету”, а при чтении – мгновенно расшифровывается.
Покажем на примере. Предположим, мы создали шифрованный файл-образ на диске C: под названием example.grd. Запускаем StrongDisk, щёлкая по значку в трее, выбираем клавишу “Подключить…”, указываем файл-образ, вводим пароль – и всё готово!
Теперь у нас есть логический диск W:, с которым можно работать совершенно прозрачно, как с обычным диском. Если вы не знаете пароля, то подключить файл-образ не получится, и данные будут недоступны.
Конечно, защита с помощью пароля – не самая надёжная, ведь его можно подобрать. Кроме пароля, программа позволяет использовать файл-ключ и электронный ключ. Наконец, надёжность защиты гарантируется проверенными алгоритмами шифрования. Но об этом мы поговорим чуть позже.
Создание шифрованных логических дисков – основная функция программы. Но в комплект поставки входят две утилиты, Burner и Strong Logon, первая из которых надёжно затирает информацию на жёстком диске, а вторая обеспечивает защищённый вход в систему Windows.
Если вы хотите подробнее узнать о StrongDisk или приобрести программу, рекомендуем обратиться на сайт www.strongdisk.ru.
Работа с дисками
StrongDisk использует для хранения информации защищённые логические диски. Защищенный диск представляет собой либо файл, хранящийся на жёстком диске, либо раздел жёсткого диска. Специальный драйвер позволяет работать с такими файлами или разделами как с обычными логическими дисками, при этом кодирование и раскодирование информации происходит “на лету”. С защищённым логическим диском можно работать средствами Windows: копировать файлы и каталоги, проверять или форматировать и т. п.
Файл-образ диска состоит из двух частей: блока данных в закодированном виде и заголовка, в котором хранится служебная информация и ключ кодирования данных. Заголовок, в свою очередь, закодирован. Для декодирования заголовка используется хэш-функция от полного пароля к файлу-образу. Алгоритм кодирования данных, алгоритм кодирования заголовка и хеш-функция задаются при создании файла-образа. Впоследствии можно изменить полный пароль для доступа к файлу-образу. Ёмкость защищенного диска задаётся при его создании. При кодировании/декодировании данные не растягиваются и не сжимаются, заголовок диска занимает 1 кбайт, поэтому размер файла-образа примерно равен размеру хранящихся на нем файлов.
Создание защищённого диска через файл-образ
Самый распространённый способ создания защищённого диска – через файл-образ. Чтобы создать новый диск, в главном меню StrongDisk следует нажать клавишу “Создать…”.
Затем следует ввести место расположения защищённого диска и его имя.
По умолчанию файл-образ имеет расширение .grd, но в целях безопасности можно поменять расширение этого файла на любое другое, например, .doc. В нашем примере мы не стали менять расширение и назвали файл-образ THG_example.grd.
На втором этапе следует выбрать файловую систему нового логического диска. Мы рекомендуем выбирать NTFS, поскольку данная система является современной, отказоустойчивой и надёжной. У FAT можно включить “резиновые” диски, для чего достаточно поставить галочку “Не создавать сразу большой файл. Увеличивать по мере заполнения данными”. То есть вы можете сначала создать диск, скажем, на 100 Мбайт, а потом, по мере записи данных, размер будет увеличиваться. Для дисков NTFS объём придётся указать сразу: скажем, 1 Гбайт. “Резиновые” диски на NTFS тоже возможны, как раз с помощью опции “Разрешить возможность сжатия файла путём удаления неиспользуемых участков” (файл должен находиться на NTFS) . На диске создаётся файл, изначально много места не занимающий (хотя файловая система и показывает его полный размер). Минус данного подхода заключается в том, что диск, в качестве контейнера которого используется sparse-файл, несколько медленнее работает.
Галочка “Заполнить диск случайными данными для повышения безопасности” служит, как вы догадываетесь, для заполнения диска случайными данными. При этом невозможно определить, сколько фактически места занимают данные на диске
Наконец, последняя галочка “Разрешить возможность сжатия файла путём удаления неиспользуемых участков” (файл должен находиться на NTFS) позволяет в будущем удалять из файла-образа неиспользуемые участки. Дело в том, что размер файла-образа по мере работы с диском увеличивается. Со временем в файле-образе накапливаются неиспользуемые данными области. Это происходит потому, что после удаления файла с защищённого диска место, которое он занимал, не освобождается, а помечается как свободное, при этом размер файла-образа не уменьшается. Операция сжатия исключает незанятые данными области из файла-образа. После сжатия размер файла-образа уменьшается до размера, фактически занимаемого данными.
Мы решили создать файл-образ (логический диск) размером 1 Гбайт с файловой системой NTFS, при этом включили возможность сжатия файла-образа.
Следующий этап очень ответственен: вам придётся выбрать алгоритмы шифрования для кодирования ключа, кодирования данных и хэш-алгоритм.
Хэш-алгоритм с помощью введённого пользователем пароля позволяет получить доступ к заголовку файла-образа. В заголовке же находится ключ для кодирования блока данных. Использование хэш-алгоритма повышает надёжность кодирования. В данной версии StrongDisk Pro 3.6 доступен только алгоритм SHA-160. Алгоритм довольно медлительный. Принят в качестве государственного стандарта США. Разработчиком является АНБ США. Факты успешных криптоатак неизвестны.
Алгоритмы кодирования ключа и данных используются для получения доступа к информации, хранящейся в файле-образе (логическом диске). В StrongDisk Pro 3.6 доступны алгоритмы 3DES и AES 256 для кодирования ключа и 3DES, AES 128 и AES 256 для кодирования данных. Приведём информацию об этих алгоритмах.
Triple DES-168. Алгоритм основан на сети Файстеля. Имеет пространство слабых и полуслабых ключей. При длине ключа 112 бит имеет сравнительно низкую стойкость ключа к лобовой атаке. Скорость кодирования высокая. Алгоритм устойчив к криптоанализу. В разработке участвовало АНБ США. Надёжность проверена 20-ю годами использования.
AES 256. Алгоритм имеет уникальный, но простой дизайн, основанный на операциях с таблицами массивов данных, что облегчает анализ на наличие брешей. Алгоритм принят в качестве государственного стандарта США после открытого конкурса. Обладает высоким быстродействием, устойчив к криптоанализу и относительно нов.
Разработчики StrongDisk рекомендуют по умолчанию использовать AES 256 для кодирования ключа и AES 128 – для кодирования данных. Мы последовали их совету.
Кстати, как указывают разработчики, набор поддерживаемых в системе алгоритмов шифрования может варьироваться. То есть набор алгоритмов AES-256, 3DES и AES-128, которые можно использовать по умолчанию, связан с криптопровайдером Microsoft Windows CSP. Вообще, их набор зависит от версии Windows. Скажем, под Windows 2000 AES отсутствует, есть только DES и 3DES. Если установить на компьютер какой-нибудь другой криптопровайдер, например, отечественный CryptoPro CSP или SignalCom CSP, то в списке алгоритмов StrongDisk Pro появится GOST-256.
На следующем этапе следует задать параметры защиты: пароль, электронный ключ или файл-ключ. Самый простой способ – использовать пароль. Но при этом помните, что пароль можно угадать, подобрать, подсмотреть и т.д. В приложение к статье мы вынесли рекомендации разработчиков StrongDisk, которые помогут создать надёжный пароль. Если, конечно, к защите паролем уместно прилагательное “надёжный”.
Если вы хотите защитить данные действительно серьёзно, то не обойтись без электронного или файлового ключа. Система StrongDisk Pro позволяет хранить часть полного пароля для доступа к защищённому диску на внешнем носителе, называемом внешним ключом. Внешние ключи бывают двух видов – электронный ключ и файл-ключ. Электронный ключ – это специальное устройство, обычно выполненное в виде брелока, которое подключается через USB или COM-порт. Файл-ключ – это обычный файл, который, как правило, помещается на сменный носитель (компакт-диск, дискету и т. п.). При подключении защищённого диска, если используется только внешний ключ (диск обычным паролем не защищён), то вместо того, чтобы просить пользователя вводить пароль, система считывает код с внешнего ключа.
Электронный ключ и файл-ключ можно использовать совместно. То есть, полный пароль доступа к защищённому диску может быть разбит на три части: обычный пароль пользователя, электронный ключ и файл-ключ.
В качестве файл-ключа может использоваться любой файл длиной не менее 64 байт. Файл может содержать любую информацию, но в качестве пароля StrongDisk Pro использует только первые 64 байта файл-ключа независимо от того, какой длины файл.
Код с внешнего ключа может быть записан в файл или восстановлен из него. Таким образом, можно электронный ключ заменить файл-ключом с соответствующим кодом или сделать резервную копию кода на случай повреждения электронного ключа.
К сожалению, электронного ключа у нас на момент тестирования не было, поэтому мы использовали двойную защиту: файловый ключ и обычный пароль. Файловый ключ мы решили создать через “Менеджер ключей”. Для вызова Менеджера следует нажать соответствующую клавишу.
В окне Менеджера нажимаем клавишу “Создать”.
Затем выбираем имя ключа, носитель и нажимаем клавишу “ОК”.
На дискете был создан файл “key”, который является файл-ключом для нашего файла-образа. Если вы потеряете файл-ключ, то, увы, считать информацию из файла-образа будет невозможно. Поэтому сделайте резервную копию файла-ключа и положите её в надёжное место.
Сам же файл-ключ – это 64 байта, которые отвечают за надёжное шифрование и расшифровку данных. Если злоумышленник пожелает подобрать файловый ключ, чтобы считать ваши данные, нам остаётся лишь пожелать ему удачи. Поэтому такой способ защиты (пароль плюс файловый ключ) намного надёжнее обычного пароля. И мы рекомендуем использовать именно двойную защиту ваших данных.
На последнем этапе следует проверить указанные параметры и нажать клавишу “Создать”.
Через несколько секунд система создаст и отформатирует новый логический диск. Кроме того, пользователю будет предложено на всякий случай сделать копию заголовка, в котором хранится ключ шифрования данных. Дело в том, что образ защищённого диска представляет собой обычный файл на жёстком диске. При различных сбоях системы (например, при внезапном отключении питания) возможно повреждение файловой системы, при этом небольшая часть файла-образа может быть повреждена. Если в небольшую часть испорченных данных попадёт заголовок файла-образа, то вся информация, хранящаяся на нем, окажется недоступной. Это происходит потому, что в заголовке файла-образа, в частности, хранится ключ для доступа ко всей остальной информации. Поэтому мы рекомендуем на всякий случай согласиться с программой и продублировать заголовок диска. Много места он не займёт.
Кроме того, не забывайте резервировать сам файл-образ.
После создания нового диска программа StrongDisk автоматически его подключит. Нажав на клавишу “Отключить”, вы осуществите указанное действие, а клавиша “Информация” позволит узнать параметры файла-образа.
Галочка “Постоянный диск” заставит систему подключать диск при каждом старте Windows.
Сам же защищённый диск (в нашем случае Y:) виден в системе как обычный логический диск. Так что работа с ним никаких трудностей не составит.
Отметим, что на логическом диске по умолчанию создаётся папка “Startup”, в которую следует поместить файлы для автозапуска. Они будут автоматически запускаться при подключении диска.
Подключение защищённого диска через файл-образ
Для подключения защищённого диска следует выйти в главное меню StrongDisk и нажать клавишу “Подключить…”.
Следует указать файл-образ, ввести пароль и указать название файла-ключа, если он используется. Кроме того, следует выбрать букву логического диска в нижнем списке. По умолчанию StrongDisk будет использовать незанятые буквы, начиная с конца: Z:, Y:, X: и т.д. Наконец, можно включить галочку “Только для чтения” или отменить автозапуск программ из папки “Startup” диска.
Если пароль и файл-ключ указаны правильно, то программа подключит диск.
Создание защищённого диска через раздел
В новой версии StrongDisk появилась возможность создавать защищённые диски не через файлы, а через разделы. Естественно, для этого должен существовать свободный раздел. Информация на зашифрованном разделе хранится в закодированном виде. Ключом для доступа к данным является последовательность байт, полученная из полного пароля, заданного при кодировании раздела. При работе с таким разделом всё кодирование и раскодирование информации происходит “на лету”. Программы для работы с разделами на жёстком диске будут показывать неподключённый защищённый раздел как неразмеченный.
В принципе, защищённые разделы не являются универсальными заменителями файлов-образов. У каждого из этих типов хранения конфиденциальной информации есть свои достоинства и недостатки. В каждом конкретном случае нужно будет делать выбор между файлом-образом и защищённым разделом, учитывая те или иные особенности.
Ниже перечислены преимущества защищённых разделов перед файлами-образами.
- Защищённый раздел удобно использовать, когда нужно закодировать большой объём данных, находящихся на одном разделе. При этом не понадобится дополнительного свободного места.
- Файлы-образы более уязвимы к повреждениям. Достаточно повредить заголовок файла-образа, и вся информация, хранившаяся на нём, будет недоступна. Защищённые разделы лишены этого недостатка.
- По файлу-образу злоумышленники могут определить, что для защиты информации используется комплекс StrongDisk Pro. По защищённому разделу нельзя сказать ничего определённого.
- Скорость чтения/записи с раздела немного выше, чем с файла-образа (при больших дисках, при маленьких может получиться наоборот – это связано с кэшированием файла-образа).
Недостатки защищённых разделов.
- Невозможно сменить пароль на защищённый раздел без полного перекодирования информации, а это может занять весьма длительное время.
- Под раздел приходится сразу выделять требуемое место, а файлы-образы могут создаваться “резиновыми”, то есть увеличивать свой объём по мере добавления информации.
- Невозможно сделать резервную копию конфиденциальной информации без подключения раздела. Копию же информации, хранящейся в файле-образе, можно сделать, скопировав сам файл на другой носитель.
Например, в случае, когда вам нужно зашифровать 20 гигабайт данных, хранящихся на одном разделе жёсткого диска, и вы не планируете часто менять пароль доступа к этой информации, то лучше выбрать в качестве хранилища конфиденциальной информации защищённый раздел.
Сначала нужно создать ключ для кодирования раздела. Для этого следует перейти в меню “Сервис -> Менеджер ключей” и нажать клавишу “Создать”.
Если нужно, то ключ можно защитить паролем, а также изменить параметры шифрования.
Длина ключа для шифрования раздела составляет 184 байта.
Затем можно переходить к шифрованию разделов. Создать защищённый раздел можно через меню “Разделы -> Менеджер разделов”.
Затем нужно выбрать раздел (системный раздел закодировать нельзя) и нажать клавишу “Закодировать”.
Сначала мы пытались закодировать раздел, полностью занимающий 10-Гбайт 2,5″ жёсткий диск, подключённый через USB. На всю операцию ушло бы около 40 минут.
Но, к сожалению, на диске присутствовали повреждённые секторы, поэтому программа не смогла завершить кодирование, прервавшись где-то на семи процентах. Пришлось раскодировать “здоровые” секторы обратно.
Вторая попытка: флэш-брелок. Чтобы программа увидела раздел на флэш-брелоке, следует перейти в меню “Управление компьютером”->”Запоминающие устройства”->”Управление дисками”. После этого программа увидит раздел на флэш-брелоке.
Третья попытка: 80-Гбайт жёсткий диск с разделом NTFS, занимающим всё свободное пространство. Программа пообещала, что кодирование займёт 2 часа 26 минут.
После кодирования с разделом можно работать точно так же, как с файлом-образом: подключать, отключать, перекодировать.
Дополнительные функции StrongDisk Pro
Разработчики предусмотрели в StrongDisk Pro достаточно много интересных функций. Настроить их можно в меню “Параметры”.
На закладке “Общие” можно включить скрытый режим, когда значка StrongDisk в трее не будет, а программа будет запускаться сочетанием клавиш. Также можно указать, какие диски будут автоматически подключаться при запуске оболочки StrongDisk.
На закладке “Безопасность” можно выбрать защищённые папки. Вкратце поясним, что это за функция. Дело в том, что многие приложения используют для работы временные файлы. В них может попасть конфиденциальная информация (например, часть редактируемого документа). По умолчанию эти файлы хранятся на системном диске, даже если приложение запущено с защищённого диска. Поэтому имеет смысл хранить временные файлы также на защищённом диске. Причём можно использовать как существующий диск, так и создать новый. В списке можно выбрать те папки, которые вы хотите хранить в защищённом виде. Кроме того, для активации защищённых папок следует активировать режим Strong Disk Logon. Наконец, галочка “Очищать файл подкачки при завершении работы” будет стирать файл подкачки Windows в конце сеанса.
На закладке “Экстренное отключение” можно задать автоматическое отключение дисков при бездействии пользователя (в течение заданного времени), либо указать “горячие” клавиши для отключения.
Очень любопытна закладка “Форс-мажор”. Здесь можно включить экстренное уничтожение защищённых дисков, а также функцию подмены настоящих дисков фальшивыми.
Надёжное удаление файлов
Когда файл удаляется стандартными средствами Windows, он помечается как удалённый и считается системой несуществующим, однако, его содержимое по-прежнему остается на диске до тех пор, пока на его место не запишутся новые файлы. Таким образом, злоумышленники, захватив жёсткий диск, смогут получить доступ к секретным файлам, даже если они были удалены и “Корзина” была очищена. Поэтому при работе с конфиденциальной информацией удаление файлов с обычных дисков, используя стандартные средства, является недопустимым.
Утилита Burner, входящая в комплект поставки StrongDisk, предназначена для уничтожения файлов без возможности их восстановления. Эта утилита забивает место на диске, которое занимал файл, случайными данными, то есть при восстановлении файла в нём будет “информационный мусор”.
Также Burner содержит функцию затирания “хвостов” файлов и затирания свободного места на диске. Дело в том, что минимальной единицей размещения информации на жёстком диске является кластер. Размер кластера зависит от объёма жёсткого диска и файловой системы. Файл всегда занимает некоторое целое количество кластеров. Иными словами, если размер кластера равен 512 байт, а размер файла – 520 байт, то файлу выделятся два кластера. Оставшееся место кластера, которое выделено файлу, но не используются им, называется “хвостом” файла. В “хвосте” файла может содержаться конфиденциальная информация, даже если сам файл удален. Чтобы предотвратить утечку конфиденциальной информации, остающейся в “хвостах” файлов, в утилите Burner существует опция “Затирать хвосты файлов”. Если эта опция включена, то Burner надёжно удаляет не только сам файл, но и его “хвост”, после чего никакую информацию из файла восстановить будет невозможно.
Опция затирания свободного места на диске утилиты Burner может быть полезна в том случае, когда вы удалили несколько конфиденциальных файлов или папок на жёстком диске стандартными средствами Windows, после чего стало необходимым обеспечить невозможность их восстановления. При работе в режиме затирания свободного места на диске утилита Burner проходит по всему жёсткому диску, заполняя случайными данными те области, которые обозначены системой как свободные. Таким образом, восстановление недавно удалённых с этого диска файлов становится невозможным.
Чтобы надёжно удалить файл, достаточно нажать на нём правой клавишей мыши и выбрать пункт “Уничтожить”.
В появившемся окне достаточно выбрать параметры уничтожения – и нажать клавишу “OK”.
Заключение
Программа StrongDisk Pro обеспечит надёжную защиту конфиденциальной информации. Она позволяет работать с зашифрованными дисками совершенно прозрачно, так что даже неподготовленный пользователь легко разберётся. Возможности StrongDisk Pro очень мощные. Конечно, главная функция программы – создание защищённых дисков через файл-образ либо через раздел. Здесь доступно несколько уровней защиты: обычный пароль, файл-ключ и электронный ключ. Также можно выбрать один из нескольких алгоритмов шифрования.
Кроме того, Strong Disk Pro позволяет легко и просто уничтожать файлы на компьютере, чтобы злоумышленник не смог их восстановить.
В нашу лабораторию поступила базовая версия StrongDisk Pro Basic, обеспечивающая все указанные возможности. Именно её можно рекомендовать для большинства пользователей. Купить программу можно на сайте StrongDisk.
За прекрасный набор функций, великолепные возможности защиты информации, простой и удобный интерфейс, безупречную работу программа StrongDisk Pro достойна награды “THG.ru рекомендует”.
В нашем обзоре мы не затронули некоторые интересные функции StrongDisk Pro, связанные с электронными ключами. Например, защищённый вход в систему. В ближайшем будущем мы планируем выпустить отдельный обзор, рассматривающий эти возможности.
Редакция THG.ru благодарит компанию PhysTechSoft за предоставленную программу StrongDisk Pro.
Приложение: рекомендации по созданию пароля
Ниже мы приводим рекомендации разработчиков StrongDisk по созданию паролей.
Ни один алгоритм кодирования данных не помешает злоумышленнику добраться до ваших данных, если он узнает или, располагая некоторой информацией о вас, подберёт пароль к защищённому диску. Неудачный выбор пароля или неосторожное поведение могут свести на нет все сильные стороны StrongDisk Pro и используемых в этой системе алгоритмов.
При составлении пароля следует придерживаться следующих правил:
- чем длиннее пароль, тем лучше;
- хорошо, если пароль содержит строчные буквы, заглавные буквы, цифры и специальные символы;
- не используйте в качестве пароля легко угадываемые слова, фразы, сочетания символов: ваше имя, имена ваших близких, коллег, друзей, домашних животных, а также год рождения, адрес электронной почты, номер паспорта и т.п.;
- не используйте бессмысленные, но легко угадываемые последовательности букв, цифр, символов.
Проиллюстрируем эти правила примером. Хороший пароль можно составить из легко запоминающейся фразы, выбрав из неё определённые буквы и приписав к ним несколько произвольных цифр и символов. Возьмём фразу “конфиденциальность информации – жизненная необходимость” и выберем из каждого слова первую и две последние буквы – получим строку “ктьииижаянть”. Допишем к ней произвольно несколько символов и получим хороший пароль – “$ктьи*иижа{-янть!”.
Не используйте в качестве паролей приведённые ниже примеры.
11111111 ggggggggggg |
В качестве пароля выбраны легко подбираемые комбинации символов |
ИванНиколаевич | Если Вас зовут Иван Николаевич, не используйте этот пароль. С большой вероятностью первый пароль, который попробует взломщик, будет вашим именем |
I love Maria | Если это обстоятельство вашей личной жизни уже стало достоянием общественности, не стоит выбирать такой пароль |
Ихтиологический | Длина этого пароля составляет более 14 символов. Но даже если допустить, что данное слово не стоит у вас в графе “Фамилия” в паспорте, и ихтиология не входит в область ваших интересов, такой пароль нельзя назвать удачным. Решительно настроенный взломщик может написать программу, последовательно выбирающую слова из словаря и подставляющую их в качестве пароля. Отметим, что разработчиками StrongDisk Pro сделано всё, чтобы подобный способ взлома был максимально затруднён. |
Даже обзаведясь очень длинным и абсолютно бессмысленным паролем, следует соблюдать ряд мер предосторожности. В противном случае этот пароль может стать известен посторонним.
- Не записывайте пароль. Бумажка (особенно налепленная на монитор) или файл могут попасться на глаза посторонним.
- Время от времени меняйте пароль. При этом старайтесь не возвращаться к паролям, которые когда-либо использовались ранее.
- Не используйте один и тот же пароль для различных целей, например, для доступа и к почтовому ящику, и к защищённому диску.
- Если по той или иной причине вы сообщили пароль кому-нибудь из своих коллег или домашних (например, позвонили домой и попросили найти на защищённом диске номер телефона, который, уезжая, забыли переписать), поменяйте его при первой же возможности.
- Избегайте набирать пароль, если кто-то из стоящих рядом людей может прочитать его.