Jak a čím dnes chránit svá data na PC a discích?

V současné době je téměř nemožné zaručit bezpečnost firemních nebo uživatelských informací na různých poštovních službách, osobních počítačích a cloudových úložištích. Pošta může být hacknuta, informace z vlastního počítače nebo z počítače kolegů mohou zaměstnanci společnosti kopírovat a používat pro své účely. Existuje způsob, jak chránit informace? Žádná společnost dnes neposkytuje 100% záruku ochrany dat, samozřejmě můžete udělat dobrý krok k ochraně svých dat. K ochraně dat se běžně používá šifrování.

Šifrování může být symetrické a asymetrické, rozdíl je pouze v počtu klíčů použitých pro šifrování a dešifrování. Symetrické šifrování používá jeden klíč ke kódování a dekódování informací. Zákony Ruské federace bez licencování jejich činnosti umožňují použití symetrického klíče s dlouhým
ne více než 56 bitů. Pro asymetrické šifrování se používají dva klíče: jeden pro šifrování (veřejné) a jeden pro dekódování
(Zavřeno). Pro asymetrické šifrování povolují zákony Ruské federace v závislosti na algoritmech maximální délku klíče 256 bitů.
Zvažte některá zařízení pro ochranu informací na vyměnitelných
pohony:

  1. DatAshur od britské společnosti iStorage je USB flash disk s tlačítky na těle. Zařízení provádí hardwarové šifrování pomocí symetrického algoritmu AES256. Pro zadání PIN kódu je dáno 10 pokusů, v případě nesprávného zadání budou údaje na zařízení
    zničeno. Součástí zařízení je baterie pro zadání PIN kódu před připojením k PC.
    výhody: robustní pouzdro, ochrana proti hrubou silou PIN-kódu, zničení dat.
    Nevýhody: není jasné, co se stane, když se baterie vybije; Můžete zkusit vyzvednout PIN kód ošuntělými tlačítky nebo jednoduše smazat všechna data konkurenta a zůstat bez povšimnutí, a to je podle mého názoru potenciálně větší škoda než kopírování dat konkurentem (ačkoli existuje možnost ochrany) .
  2. Samurai je moskevská firma, předpokládám, že spolupracuje s iStorage nebo jejich distributory, ale vyrábí i vlastní produkty, například Samurai Nano Drive. Používají 256bitové šifrování, vyrábějí různá zařízení zaměřená spíše na ničení informací.
    Výhody a nevýhody jsou podobné jako u DatAshur.
  3. Kryptografická čtečka USB flash disků od Milandr s funkcí šifrování vám umožňuje šifrovat informace na microSD kartách. Zařízení je vyrobeno na vlastním procesoru společnosti. Vyrobeno jako běžný USB flash disk.
    Důstojnost: šifrovací algoritmus GOST-89 s délkou klíče 56 bitů (z dokumentace není jasné, jak byl převeden GOST-89 vypočítaný pro 256 bitů), pracuje s neomezeným počtem karet microSD.
    Nevýhody: zařízení funguje pouze s microSD kartami, není známo, zda existuje možnost přechodu na silnější šifrovací algoritmy.
  4. Key_P1 Multiclet - zařízení pro ochranu informací od OJSC "Multiclet", vývojáře procesorů. Podívejme se na zařízení podrobněji (dále budeme zařízení označovat jako Key_P1).
Key_P1 je vyroben se třemi konektory: USB - zásuvka a zástrčka a také slot pro SD karty.

Počáteční funkce zařízení (v budoucnu bude software rozšířen, další funkce viz níže):

  • ochrana před upravenými (spyware) flash disky.
  • šifrování informací pomocí algoritmu DES s 56bitovým klíčem
    (po získání licence AES a GOST-89 s délkou klíče 256 bitů).
  • schopnost obnovit informace v případě ztráty zařízení Key_P1 a disku.
  • schopnost synchronizovat klíče pro výměnu souborů mezi uživateli.
  • zobrazení času vypnutí zařízení Key_P1.

Podrobnější popis funkcí zařízení bude dále v tomto článku. Šifrovací klíče jsou uloženy ve flash paměti procesoru příslušného zařízení.
Key_P1 může pracovat s neomezeným počtem disků a neomezeným počtem osobních počítačů, neexistuje vazba na konkrétní PC.

Blokové schéma celého systému:

Popis prvků konstrukce:

  • server vygeneruje firmware, aktualizuje Key_P1 Manager, firmware a aplikace Key_P1_for_Windows (nebo Key_P1_for_Linux) pro uživatelskou jednotku (flash disk).
  • (OS software) Key_P1 Manager - provádí aktualizace komponent, inicializuje Key_P1, generuje sadu klíčů pro Key_P1 atd.
  • firmware Key_P1 - je program spouštěný na zařízení Key_P1.
  • aplikace pro jednotku - Key_P1_for_Windows (Key_P1_for_Linux) (obě aplikace se načtou na flash disk uživatele a ověří uživatele a zobrazí, kdy bylo zařízení naposledy vypnuto pro Windows a Linux).

Pojďme se blíže podívat na hlavní funkce zařízení.

  1. Informace nejsou šifrovány jedním klíčem, ale několika (maximálně 1024). Šifrování probíhá sektor po sektoru pro každý disk. Jeden soubor tak může být zašifrován několika desítkami klíčů.
  2. K ochraně proti upraveným jednotkám dochází díky řízení servisních informací přenášených pomocí příkazů SCSI
  3. Obnova informací:
    • Klíče generuje uživatel na PC pomocí programu Key_P1. Správce (v tomto případě uživatel) může vytvořit záložní kopii svých klíčů pro případ obnovení.
    • Klíče jsou generovány zařízením Key_P1. V tomto případě si uživatel nemůže vytvořit záložní kopii svých klíčů.
    • Uživatel může zálohovat své zašifrované informace
  4. Synchronizace klíčů je generování identických klíčů pro různé uživatele podle dané počáteční hodnoty a zvoleného algoritmu. Zařízení Key_P1 poskytuje možnost uložit 50 klíčů pro synchronizaci. Tito. uživatelé mohou uložit 8bajtový štítek a samotný klíč. Pro synchronizaci klíčů a zahájení výměny zašifrovaných souborů musí uživatelé:
    • vzájemný převod na základě ústní dohody, telefonního hovoru, SMS, e-mailu nebo nápisu na písku, počáteční hodnotu pro inicializaci klíče, jakož i algoritmus generování klíče;
    • vygenerovat klíč a přiřadit štítek - ne více než 8 znaků (bajtů);
    • zkopírujte klíč do zařízení Key_P1;
    • šifrované soubory lze vyměňovat z libovolného PC, tzn. při stažení softwaru a jeho instalaci na jakýkoli „cizí“ počítač s připojeným zařízením Key_P1 uživatel po zadání kódu PIN uvidí klíče a jejich odpovídající štítky a bude moci šifrovat soubory nezbytným klíčem pro výměnu s jiný uživatel.
  5. Po spuštění programu key_p1_for_windows.exe (pro Windows) nebo key_p1_for_linux (pro Linux) zobrazí zařízení Key_P1 informaci o čase posledního vypnutí zařízení s přesností na dvě minuty. Tato funkce umožňuje uživateli a/nebo bezpečnostní službě společnosti zjistit skutečnost a určit čas neoprávněného vypnutí Key_P1, což znesnadňuje narušiteli a usnadňuje jeho nalezení.

Chcete-li začít pracovat se zařízením, potřebujete:

  1. Nainstalujte software, stáhněte firmware ze serveru
  2. Inicializovat Key_P1 (instalovat firmware, nastavit PIN, PUK kódy)
  3. Inicializace disku (rozdělení disku na dva oddíly: otevřený a zavřený, který je přístupný pouze po zadání PIN kódu)
Okno pro zadání PIN kódu vypadá takto (verze náčrtu):

Kromě individuální verze bude k dispozici také firemní verze:

Zaměstnanci společnosti si stáhnou program Key_P1 Manager z podnikového serveru nebo vyměnitelného média a nainstalují jej do svého OS. Poté si stáhnou klíče vygenerované bezpečnostní službou nebo IT službou společnosti. Dále se analogicky s individuální verzí inicializuje klíč P1 a pohon. Na rozdíl od vlastní verze si v korporátní manažer více oddělení může vybrat, pro které oddělení bude soubory šifrovat. Seznam oddělení tvoří pověření zaměstnanci společnosti.

Uvnitř oddělení si zaměstnanci mohou vyměňovat zašifrované informace šifrováním souborů pomocí Key_P1 Manager a Key_P1. Podniková bezpečnostní služba má možnost vytvářet různá rozlišení práv podle oddělení (například: oddělení "Programátoři" bude moci šifrovat soubory pro oddělení "Účetnictví"). Kromě toho může podnik vložit do zařízení algoritmus pro generování jednorázových hesel pro autentizaci na serverech, počítačích atd., aby se zvýšila bezpečnost a zajistila ochrana komerčních a jiných typů tajemství.
Jako další funkce zařízení:

  • podpora Mac OS;
  • Key_P1 může obsahovat funkci generování jednorázových hesel pro organizaci dvoufaktorové autentizace na serverech
    různé služby. Dvoufaktorové ověřování poskytuje dodatečnou ochranu vašeho účtu. K tomu je při přihlašování do systému vyžadováno nejen uživatelské jméno a heslo, ale také unikátní „potvrzující kódy“. I když útočník zjistí vaše heslo, nebude moci získat přístup k vašemu účtu.
  • ukládání osobních údajů s automatickou náhradou při autentizaci v sociálních sítích, platebních systémech atd.
  • pomocí zařízení pro autorizaci na PC.

Z tohoto seznamu je nejzajímavější ukládání uživatelských jmen a hesel uživatelů z různých zdrojů. Jedinou otázkou je, jak to udělat pohodlněji. Proveďte automatickou náhradu dvojice uživatelského jména a hesla nebo povolte uživateli po zadání PIN kódu zobrazit uživatelské jméno a heslo jako prostý text, jak to umožňuje prohlížeč Google Chrome.

Nyní přejděme k úvahám o hardwarové úrovni zařízení.

Hlavní funkce zařízení jsou šifrování a ochrana před neoprávněným provozem disků.

Zvažte, jak zařízení šifruje data:

  • zašifrovat soubor na disku – v tomto případě bude soubor zašifrován více než jedním náhodným klíčem, ale v závislosti na velikosti souboru a velikosti sektoru disku (jedná se o nejmenší adresovatelnou paměťovou buňku na disku) , soubor bude zašifrován několika klíči na sektor disku;
  • zašifrovat soubor na PC - v tomto případě bude soubor zašifrován klíčem náhodně vybraným na zařízení a obsah souboru bude zařízením vrácen do PC v zašifrované podobě, navíc bude tento obsah „zabalené“ ve speciálním kontejneru obsahujícím číslo klíče, kterým byl soubor zašifrován;
  • zašifrovat soubor pro jiného uživatele – v tomto případě bude soubor zašifrován zařízením bez jakéhokoli kontejneru pomocí předem vytvořeného klíče s odpovídajícím štítkem (například „kolegové1“) a obsah souboru bude vrácen do PC.
Funkce upozornění uživatele na změnu velikosti souboru bude k dispozici také v případě, že je stávající soubor na disku nahrazen novým se stejným názvem. Funkce zařízení poskytuje režim „pouze pro čtení“, který chrání před neoprávněným kopírováním informací na jednotku při práci na počítači infikovaném viry.

K odříznutí špionážních zařízení filtruje „Key_P1“ servisní příkazy zasílané na disky, což poskytuje ochranu před infikováním disku hardwarovým virem, a zařízení „Key_P1“ analyzuje tabulku deskriptorů odeslanou diskem a na základě těchto informací disky jsou blokovány, které se pokoušejí prezentovat se systému PC jako kombinované zařízení (jako je klávesnice a paměťové zařízení) nebo jakékoli jiné zařízení jiné než paměťové zařízení.

Uvažujme implementaci zařízení na úrovni obvodu.

Zařízení je založeno na ruském vícebuněčném procesoru P1. Pro interakci s hostitelským rozhraním USB je do obvodu zaveden procesor stm32f205. Vícebuněčný procesor je taktován procesorem stm32f205, firmware se nahrává přes rozhraní spi. Procesor P1 přebírá všechny základní funkce šifrování a hashování informací. Jednou ze zajímavých vlastností většiny šifrovacích algoritmů je jejich dobrý paralelismus. Vzhledem k této skutečnosti je racionální použít procesor s hardwarovou paralelizací operací.


V důsledku modernizace zařízení se předpokládá následující schéma:

Interakci s USB hostitelem může zajistit čip FTDI.
Zařízení má konektory, které umožňují práci s USB disky a microSD, SD kartami.

výhody:

  • šifrování s velkou sadou klíčů na úrovni hardwaru podle sektorů disku
  • ovládání servisních příkazů mezi PC a pohonem
  • uložení páru "login-password"
  • operace pouze pro čtení
  • podpora pro USB disky, SD, microSD karty
  • pracovat s neomezeným počtem pohonů
  • firemní verze
  • schopnost obnovit informace

Nevýhody: není specializované pouzdro, chybí ochrana proti otevření (I když ochrana proti otevření není pro uživatele habrů jako BarsMonster rozhodující :)

P.S. Jako další funkcionalita byla myšlenka vytvoření aplikace pro zabezpečenou výměnu zvažována analogicky se skype, qip, ale pouze přímo, konkrétním uživatelům bez připojovacího serveru, ale z nějakého důvodu bylo rozhodnuto se toho nedotýkat plocha.
Navíc 25. března odstartoval na Kickstarter.com projekt věnovaný tomuto zařízení.