АВТОРСКИЕ  ПУБЛИКАЦИИ

Читать статью на английском языке

Просмотров

Web Site Hit Counters

ПРОГРАММНО-ТЕХНИЧЕСКИЕ АСПЕКТЫ КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ НОСИТЕЛЕЙ ИНФОРМАЦИИ

Постановка проблемы. Обеспечение защиты информации пользователей персональных компьютеров (ПК) на практике представляет собой совокупность проблем, тесно связанных c использованием программно-технических средств различного назначения [1].

 

Наиболее распространенной особенностью эксплуатации пользователями ПК в различных организациях, является практически никем не ограничиваемый к ним доступ. Это неизбежно приводит к тому, что к «единичному» ПК имеют доступ неконтролируемое число пользователей. Такой "многопользовательский" режим эксплуатации рано или поздно порождает необходимость защиты данных, как хранящихся на ПК, так данных самих пользователей.

Решение этой проблемы аргументируется объективными причинами, определяющими важность обеспечения защиты информации пользователей:

· быстрые темпы роста количества ПК;

· повсеместное применение ПК в самых различных сферах человеческой деятельности;

· накопление большого количества информации на ПК;

· расширение круга пользователей, имеющих доступ к ПК;

· наличие подключения ПК к локальной или корпоративной сети с доступом в Интернет.

 

Частичное решение этой проблемы может быть реализовано за счет использования пользователями своих индивидуальных носителей для хранения информации – флэш-карт, переносных жестких дисков и т.д.

Однако, это по сути не решает проблемы защиты информации пользователей от несанкционированного доступа «третьими лицами», злоумышленниками или вредоносным программным обеспечением (ПО) при подключении индивидуальных носителей к ПК.

Кроме этого, следует также отметить, что доверять этим устройствам важную информацию небезопасно.

В первую очередь потому, что существует риск потери (физической или механической) тем более, если на носителе информации записаны какие-либо конфиденциальные сведения высокой важности, то последствия такой потери могут оказаться самыми печальными.

 

В связи с этим, задача обеспечения надежной защиты данных пользователей является актуальной, как никогда.

Анализ последних исследований и публикаций, в которых начато решение данной проблемы

К наиболее распространенным способам защиты информации на подключаемом носителе в пользовательской среде относятся:

1. Создание скрытого раздела [2];

2. Создание архива, заблокированного паролем [3];

3. Ограничение доступа к файлам/папкам [4].

Перечисленные способы защиты информации обладают рядом недостатков. Наличие скрытых разделов легко установить, сравнивая фактическую и реальную вместимость носителя информации.

Создание архивов заблокированных паролем, неизбежно увеличивает:

· Вероятность отсутствия программного обеспечения на ПК;

· Временные затраты на создание-распаковку архива;

· Вероятность ввода неправильного (случайного) пароля при создании архива;

· Вероятность частичной потери информации в процессе создания архива, особенно возрастающей при использовании флэш-карт (из-за превышения числа циклов записи-чтения гарантированных производителем) [5].

Ограничение доступа к файлам/папкам осуществляется, как правило, с помощью дополнительного программного обеспечения: Folder Crypto Password 3.1; Secure Folder 2.4; Hide Folder; Lock Folder XP и.т.д. или встроенными средствами операционной системы (ОС). В этом случае, доступ к защищаемой информации ограничивается административными средствами самой ОС, что само по себе является ненадежным.

Выводы и дальнейшие перспективы исследований в этом направлении

В связи с вышеизложенным, можно сделать вывод о том, что для надежной защиты данных пользователей единственным вариантом является использование какой-либо криптозащиты в режиме реального времени. Это позволит реализовать непрерывную работу алгоритма шифрования/дешифрования трафика от ПК к носителю информации в процессе записи/чтения [6].

Цель статьи. Рассмотреть практические возможности применения криптографической защиты носителей информации пользователей.

Изложение основного материала. Для решения этой задачи практически идеально подходит бесплатное, кроссплатформенное криптографическое ПО TrueCrypt с открытым исходным кодом для шифрования данных «на лету» (On-the-fly encryption). Скачать TrueCrypt можно здесь. Под шифрованием «на лету» следует понимать то, что все данные шифруются и дешифруются перед непосредственным обращением к ним (чтение, выполнение или сохранение). При этом данные шифруются в полном объеме, включая заголовки файлов, их содержимое, метаданные и т.п. [7].

Рассматриваемое ПО позволяет создавать файловые криптоконтейнеры, шифровать разделы и сами HDD, в том числе и системные, а также съемные устройства хранения данных: USB-накопители и внешние HDD.

Преимущества криптографического ПО TrueCrypt [8]:

· возможность портативного использования (portable version);

· ПО работает с ОС Windows, начиная с 2000/XP/7 (x32/x64), GNU/Linux (32- и 64-разрядные версии, ядро 2.6 или совместимое) и Mac OS X (10.4 Tiger и выше);

· Использование стойких алгоритмов шифрования - AES-256, Serpent и Twofish с возможностью их взаимного сочетания);

· шифрование в реальном времени, и совершенно не заметно для пользователя;

· дозагрузочная аутентификация при шифровании системных разделов HDD;

· возможность создания отдельных файловых криптоконтейнеров, в том числе динамически расширяющихся на HDD c NTFS;

· создание криптоконтейнеров в "облачных хранилищах";

· криптоконтейнер может выглядеть как обычный файл с любым расширением, например, txt, doc(x), mp3, img, iso, mpg, avi и т.д., или без расширения;

· полное шифрование содержимого устройств - жестких дисков, съемных носителей;

· создание скрытых томов, в т.ч. и скрытой ОС;

· в ОС невозможно однозначно определить наличие томов ПО TrueCrypt – они представляют собой всего лишь набор случайных данных и идентифицировать их с ПО TrueCrypt не представляется возможным (не считая метода termorectum cryptoanalysis);

· Обеспечение двух уровней правдоподобного отрицания наличия зашифрованных данных является одной из самых важных особенностей ПО TrueCrypt. Принцип их действия заключается в возможности создания зашифрованного носителя с двумя паролями — по настоящему паролю доступны настоящие данные, а по второму — другие данные [9]. Так, в ситуации, когда зашифрованный носитель пользователя официально изымается, пользователь может открыть второй пароль, при котором все важные данные, доступные по настоящему паролю, окажутся по-прежнему скрыты.

· Изменение паролей и ключевых файлов для тома ПО TrueCrypt без потери зашифрованных данных;

· Создание зашифрованного виртуального диска;

· Возможность использовать ПО TrueCrypt на ПК с правами обычного пользователя.

Практическое использование ПО TrueCrypt для защиты носителей информации (см. Рис.1)

1. Носитель информации (внешний HDD или флэш-карту) необходимо разбить на два раздела [2]. Размер первого раздела определяется размером ПО TrueCrypt и составляет 2-5 Мб;

2. Скопировать портативный вариант ПО TrueCrypt в первый раздел;

3. Запустить ПО TrueCrypt и выполнить шифрование второго раздела;

4. Смонтировать зашифрованный раздел в Диск;

5. Выполнить перенос конфиденциальной информации на Диск;

6. Размонтировать Диск в зашифрованный раздел.

Структура зашифрованного носителя информации

Рис.1. Структура зашифрованного носителя информации.

Сравнительный анализ производительности ПК с использованием ПО TrueCrypt

На рисунках 2-4 представлены результаты экспериментального исследования влияния на производительность ПК при шифровании ОС с помощью ПО TrueCrypt для ПК стационарного и переносного исполнения (Laptop) [10].

Сравнительная производительность, видеоадаптеров персонального компьютера при использовании ПО Truecrypt

Рис.2. Сравнительная производительность, видеоадаптеров ПК.

Анализ времени загрузки ОС с/без использованиия шифрования данных (красный – с шифрованием, синий - без шифрования) персонального компьютера (при использовании ПО Truecrypt)

Рис.3. Анализ времени загрузки ОС с/без использованием шифрования данных (красный – с шифрованием, синий - без шифрования).

Как видно из диаграмм, представленных на рисунке 1 и рисунке 2, производительность видеоадаптера ПК не снижается, а время загрузки ОС увеличивается на Laptop версии с использованием SDD накопителя.

Сравнительный анализ производительности персонального компьютера при использовании ПО Truecrypt и с использованием PCMark

Рис.4. Сравнительный анализ производительности ПК с использованием PCMark.

Как видно из диаграмм, представленных на рисунке 4, наблюдается падение производительности Laptop версии ПК с SSD (-15%). При этом, начальная скорость твердотельных накопителей столь высока, что они все равно выигрывают у ПК с HDD, теряющих в PCMark всего 4%.

Сравнительное тестирование проводилось на ПК следующих конфигураций: ПК переносного исполнения (Laptop) - AMD Phenom II X4 905 (2.5 GHz), 6GB DDR3 1600 MHz, Radeon HD6870 OC 1GB DDR5, 120GB RunCore Pro V 2.5" SATA III SSD; Стационарный ПК - Intel Core2 Quad CPU Q9000 @ 2.00 GHz, 6 GB of RAM DDR2, ATI Mobility Radeon HD 4650, Seagate Momentus XT 500GB HDD.

Выводы и дальнейшие перспективы исследований в этом направлении

В настоящее время развитие криптографического ПО TrueCrypt получило дальнейшее развитие в виде отдельных криптографических ПО: CipherShed [11] и VeraCrypt [12]. За основу этих ПО взята оригинальная кодовая база ПО TrueCrypt. Эти криптографические ПО успешно развиваются и поддерживаются. Более того, в них исправлены некоторые ошибки криптографического ПО TrueCrypt [13].

Также следует отметить, что форматы криптоконтейнеров ПО VeraCrypt стали несовместимы с ПО TrueCrypt. Для сравнения, криптоконтейнеры ПО CipherShed совместимы с ПО TrueCrypt.

Независимый аудит рассмотренного криптографического ПО TrueCrypt, проведенный компанией iSEC Partners показал, что в его коде было обнаружено в общей сложности 11 угроз безопасности пользователей. 4 из них имеют средний уровень опасности, еще 4 — низкий, остальные в принципе тяжело классифицировать из-за их незначительности. Более подробные результаты аудита были опубликованы в документе, размещенном на интернет-ресурсе opencryptoaudit.org [14, 15].

Личный 10-ти летний опыт авторов в эксплуатации криптографического ПО TrueCrypt для защиты носителей информации позволяет утверждать безупречность, надежность и устойчивость работы рассмотренного ПО. Таким образом, применение рассмотренного криптографического ПО TrueCrypt и его модификаций, является наиболее эффективной мерой, которая позволяет предотвратить утечки конфиденциальной информации пользователей, размещенной на ПК и внешних носителях.

Список использованных источников

1. Методы и средства защиты информации в компьютерных системах: Учеб. пособие для студ. высш. учеб. заведений / Павел Борисович Хорев. — М.: Издательский центр «Академия», 2005.

2. Скрытые разделы жесткого диска. [Электронный ресурс]. – Режим доступа: http://cyberhound.ru/windows/zaschita/skrytye-razdely-zhestkogo-diska.html. – Название с экрана.

3. Создание зашифрованных архивов. [Электронный ресурс]. – Режим доступа: https://the-bosha.ru/2010/06/19/zashifrovannie-archivi-v-linux/. – Название с экрана.

4. Как запретить доступ к папке или файлу. [Электронный ресурс]. – Режим доступа: http://www.vashmirpc.ru/publ/sistema/kak_zapretit_dostup_k_papke_ili_fajlu/2-1-0-75. – Название с экрана.

5. Факты: сколько циклов записи у флешки? [Электронный ресурс]. – Режим доступа: http://hi-news.ru/periferiya/fakty-skolko-ciklov-zapisi-u-fleshki.html. – Название с экрана.

6. Защищаем информацию на съёмных дисках. [Электронный ресурс]. – Режим доступа: http://wd-x.ru/protect-info-on-removable-drives/. – Название с экрана.

7. Особенности национальной конспирации: шифруем диски с помощью Luks/dm-crypt, Truecrypt и Encfs. [Электронный ресурс]. – Режим доступа: https://xakep.ru/2011/03/14/54794/. – Название с экрана.

8. «TrueCrypt» — программа для шифрования. [Электронный ресурс]. – Режим доступа: https://te-st.ru/tools/truecrypt/. – Название с экрана.

9. Отрицаемое_шифрование. [Электронный ресурс]. – Режим доступа: https://ru.wikipedia.org/wiki/Отрицаемое_шифрование. – Название с экрана.

10. What is the Performance Impact of System Encryption With TrueCrypt. [Электронный ресурс]. – Режим доступа: http://www.digitalcitizen.life/what-performance-impact-system-encryption-truecrypt. – Название с экрана.

11. CipherShed. [Электронный ресурс]. – Режим доступа: https://ciphershed.org. – Название с экрана.

12. Veracrypt: улучшенная версия Truecrypt. [Электронный ресурс]. – Режим доступа: https://xakep.ru/2014/10/14/veracrypt/. – Название с экрана.

13. VeraCrypt. [Электронный ресурс]. – Режим доступа: - https://veracrypt.codeplex.com. – Название с экрана.

14. Аудит исходного кода TrueCrypt: серьезных угроз не выявлено. [Электронный ресурс]. – Режим доступа: http://www.3dnews.ru/818668/print. – Название с экрана.

15. Вторая фаза аудита TrueCrypt завершена: выявлено четыре уязвимости. [Электронный ресурс]. – Режим доступа: http://webware.biz/?p=3370. – Название с экрана.

Авторская публикация: Informatics and Mathematical Methods in Simulation.Vol. 5 (2015), No. 4, pp. 347-352.

Опубликовано: 7.04.2016