امروزه چگونه و با چه چیزی از داده های خود در رایانه ها و درایوها محافظت می کنید؟

در حال حاضر ، تقریباً غیرممکن است که امنیت اطلاعات شرکت ها یا کاربران را در سرویس های مختلف پست ، رایانه های شخصی و ذخیره سازی ابر تضمین کنید. می توان نامه ها را هک کرد ، اطلاعات رایانه خود یا رایانه همکاران را می توان توسط کارکنان شرکت کپی کرد و برای اهداف خود استفاده کرد. آیا راهی برای محافظت از اطلاعات وجود دارد؟ امروزه هیچ شرکتی 100٪ ضمانت حفاظت از داده ها را نمی دهد ؛ البته شما می توانید گامی خوب در جهت حفظ اطلاعات خود بردارید. رمزگذاری معمولاً برای محافظت از داده ها استفاده می شود.

رمزگذاری می تواند متقارن و نامتقارن باشد ، تنها تفاوت در تعداد کلیدهای مورد استفاده برای رمزگذاری و رمزگشایی است. رمزگذاری متقارن از یک کلید برای رمزگذاری و رمزگشایی اطلاعات استفاده می کند. قوانین فدراسیون روسیه بدون مجوز فعالیت های آنها اجازه استفاده از یک کلید متقارن با طول را می دهد
56 بیت بیشتر برای رمزگذاری نامتقارن ، از دو کلید استفاده می شود: یکی برای رمزگذاری (عمومی) و دیگری برای رمزگشایی
(بسته) برای رمزنگاری نامتقارن ، قوانین فدراسیون روسیه ، بسته به الگوریتم ها ، حداکثر طول کلید 256 بیت را مجاز می داند.
برخی از دستگاه ها را برای محافظت از اطلاعات قابل جابجایی در نظر بگیرید
درایوها:

  1. DatAshur از شرکت انگلیسی iStorage یک درایو فلش USB با دکمه های روی بدنه است. این دستگاه با استفاده از الگوریتم متقارن AES256 رمزگذاری سخت افزار را انجام می دهد. 10 بار تلاش می شود کد PIN را وارد کنید ، در صورت ورودی نادرست ، داده های دستگاه خواهد بود
    نابود. این دستگاه شامل یک باتری برای وارد کردن یک کد PIN قبل از اتصال به کامپیوتر است.
    مزایای:مورد محکم ، محافظت در برابر کد پین نیروی وحشیانه ، تخریب داده ها.
    معایب:مشخص نیست در صورت تخلیه باتری چه اتفاقی می افتد. می توانید سعی کنید کد PIN را با دکمه های ضعیف بردارید یا به سادگی تمام داده های رقیب را حذف کنید و مورد توجه قرار نگیرید ، و این ، به نظر من ، به طور بالقوه بیشتر از کپی کردن داده ها توسط یک رقیب آسیب می رساند (اگرچه فرصتی برای محافظت وجود دارد) به
  2. Samurai یک شرکت مسکو است ، من تصور می کنم که آنها با همکاری iStorage یا توزیع کنندگان خود کار می کنند ، اما محصولات خود را نیز تولید می کنند ، به عنوان مثال Samurai Nano Drive. آنها از رمزگذاری 256 بیتی استفاده می کنند ، دستگاه های مختلفی را تولید می کنند که بیشتر در جهت از بین بردن اطلاعات هستند.
    مزایا و معایب مشابه DatAshur است.
  3. یک درایو فلش USB رمزنگاری از Milandr با عملکرد رمزگذاری ، به شما امکان می دهد اطلاعات را روی کارت های microSD رمزگذاری کنید. این دستگاه بر اساس پردازنده خود شرکت ساخته شده است. مانند یک درایو فلش USB معمولی ساخته شده است.
    کرامت: الگوریتم رمزگذاری GOST-89 با طول کلید 56 بیت (از اسناد مشخص نیست که چگونه GOST-89 محاسبه شده برای 256 بیت تبدیل شده است) ، با تعداد نامحدود کارت microSD کار می کند.
    معایب:دستگاه فقط با کارت های microSD کار می کند ، مشخص نیست که آیا امکان تغییر به الگوریتم های رمزگذاری قوی تر وجود دارد یا خیر.
  4. Key_P1 Multiclet - دستگاهی برای محافظت از اطلاعات JSC "Multiclet" ، توسعه دهنده پردازنده. بیایید دستگاه را با جزئیات بیشتری در نظر بگیریم (از این پس دستگاه را به عنوان Key_P1 تعیین می کنیم).
Key_P1 با سه کانکتور ساخته شده است: USB - سوکت و دوشاخه ، و همچنین شکافی برای کارت های SD.

عملکردهای اولیه دستگاه (در آینده ، نرم افزار گسترش می یابد ، برای عملکردهای بیشتر به زیر مراجعه کنید):

  • محافظت در برابر درایوهای فلش اصلاح شده (جاسوس افزار).
  • رمزگذاری اطلاعات با استفاده از الگوریتم DES با طول کلید 56 بیت
    (پس از اخذ مجوز AES و GOST-89 با طول کلید 256 بیتی).
  • قابلیت بازیابی اطلاعات در صورت از بین رفتن دستگاه Key_P1 و درایو.
  • قابلیت همگام سازی کلیدها برای تبادل فایل بین کاربران.
  • نمایش زمان خاموش شدن دستگاه Key_P1.

شرح مفصل تری از عملکردهای دستگاه بعداً در این مقاله ارائه می شود. کلیدهای رمزگذاری در فلش مموری پردازنده دستگاه مورد نظر ذخیره می شوند.
Key_P1 می تواند با تعداد نامحدود درایو کار کند و در تعداد نامحدودی از رایانه های شخصی ، هیچ اتصال به رایانه خاصی وجود ندارد.

نمودار بلوک کل سیستم:

شرح عناصر سازه:

  • سرور سیستم عامل را ایجاد می کند ، Key_P1 Manager ، سیستم عامل و برنامه های Key_P1_for_Windows (یا Key_P1_for_Linux) را برای درایو کاربر (درایو فلش) به روز می کند.
  • (نرم افزار سیستم عامل) Key_P1 Manager - به روزرسانی اجزا را انجام می دهد ، Key_P1 را اولیه می کند ، مجموعه ای از کلیدها را برای Key_P1 و غیره تولید می کند.
  • سیستم عامل Key_P1 - برنامه ای است که بر روی دستگاه Key_P1 اجرا می شود.
  • برنامه ای برای درایو - Key_P1_for_Windows (Key_P1_for_Linux) (هر دو برنامه بر روی درایو فلش کاربر بارگذاری می شوند و کاربر را احراز هویت می کنند و آخرین باری که دستگاه برای ویندوز و لینوکس خاموش است نمایش داده می شود).

اجازه دهید نگاهی دقیق تر به عملکردهای اصلی دستگاه بیندازیم.

  1. اطلاعات نه با یک کلید بلکه با چند کلید (حداکثر 1024) رمزگذاری می شوند. رمزگذاری بخش به بخش برای هر درایو رخ می دهد. بنابراین ، می توان یک فایل را با چندین ده کلید رمزگذاری کرد.
  2. محافظت در برابر درایوهای اصلاح شده به دلیل کنترل اطلاعات سرویس منتقل شده با استفاده از دستورات SCSI رخ می دهد
  3. بازیابی اطلاعات:
    • کلیدها توسط کاربر روی رایانه با استفاده از برنامه Key_P1 تولید می شوند. مدیر (در این مورد ، کاربر) می تواند در صورت بازیابی یک نسخه پشتیبان از کلیدهای خود تهیه کند.
    • کلیدها توسط دستگاه Key_P1 تولید می شوند. در این حالت ، کاربر نمی تواند از کلیدهای خود نسخه پشتیبان تهیه کند.
    • کاربر می تواند از اطلاعات رمزگذاری شده خود نسخه پشتیبان تهیه کند
  4. همگام سازی کلیدها تشکیل کلیدهای یکسان برای کاربران مختلف با توجه به مقدار اولیه داده شده و الگوریتم انتخاب شده است. دستگاه Key_P1 قابلیت ذخیره 50 کلید برای همگام سازی را فراهم می کند. آن ها کاربران می توانند برچسب 8 بایت و خود کلید را ذخیره کنند. برای همگام سازی کلیدها و شروع تبادل فایل های رمزگذاری شده ، کاربران باید:
    • انتقال به یکدیگر با توافق شفاهی ، تماس تلفنی ، پیامک ، ایمیل یا کتیبه ای روی ماسه ، مقدار اولیه برای راه اندازی کلید و همچنین الگوریتم تولید کلید ؛
    • ایجاد یک کلید و اختصاص یک برچسب - حداکثر 8 کاراکتر (بایت) ؛
    • کلید را در دستگاه Key_P1 کپی کنید.
    • فایل های رمزگذاری شده را می توان از هر رایانه ای تبادل کرد ، به عنوان مثال هنگام بارگیری نرم افزار و نصب آن بر روی هر رایانه "خارجی" با دستگاه Key_P1 متصل ، پس از وارد کردن پین کد ، کاربر کلیدها و برچسب های مربوط به آنها را مشاهده می کند و می تواند فایل ها را با کلید لازم برای تبادل با آنها رمزگذاری کند. کاربر دیگر
  5. پس از راه اندازی برنامه key_p1_for_windows.exe (برای Windows) یا key_p1_for_linux (برای Linux) ، دستگاه Key_P1 اطلاعات مربوط به زمان آخرین خاموش شدن دستگاه را با دقت دو دقیقه نمایش می دهد. این عملکرد به کاربر و / یا سرویس امنیتی شرکت اجازه می دهد تا واقعیت را تعیین کرده و زمان قطع ارتباط غیر مجاز Key_P1 را مشخص کند ، که این امر برای یک فرد مزاحم را دشوار می کند و پیدا کردن او را آسان می کند.

برای شروع کار با دستگاه شما نیاز دارید:

  1. نرم افزار را نصب کنید ، سیستم عامل را از سرور بارگیری کنید
  2. مقداردهی اولیه Key_P1 (نصب سیستم عامل ، تنظیم PIN ، کد PUK)
  3. درایو را اولیه کنید (درایو را به دو قسمت تقسیم کنید: باز و بسته ، که فقط پس از وارد کردن پین قابل دسترسی است)
پنجره ورود کد PIN به این شکل است (نسخه طرح):

علاوه بر نسخه جداگانه ، نسخه شرکتی نیز در دسترس خواهد بود:

کارکنان شرکت برنامه Key_P1 Manager را از سرور شرکت یا رسانه قابل جابجایی بارگیری کرده و روی سیستم عامل خود نصب می کنند. سپس آنها کلیدهای ایجاد شده توسط سرویس امنیتی یا خدمات فناوری اطلاعات شرکت را بارگیری می کنند. علاوه بر این ، به قیاس با نسخه جداگانه ، کلید P1 و درایو راه اندازی می شوند. برخلاف نسخه سفارشی ، در شرکت های بزرگ ، مدیر چند بخش می تواند پرونده را برای کدام بخش رمزگذاری کند. لیست بخشها توسط کارکنان مجاز شرکت تشکیل می شود.

در داخل بخش ، کارکنان می توانند با رمزگذاری فایل ها از طریق Key_P1 Manager و Key_P1 اطلاعات رمزگذاری شده را مبادله کنند. سرویس امنیتی سازمانی توانایی ایجاد تمایزهای مختلف حقوق بر اساس بخش را دارد (به عنوان مثال: بخش "برنامه نویسان" قادر خواهد بود فایلهای بخش "حسابداری" را رمزگذاری کند). علاوه بر این ، شرکت می تواند الگوریتمی برای ایجاد گذرواژه های یک بار برای احراز هویت در سرورها ، رایانه ها و غیره به منظور افزایش امنیت و اطمینان از حفاظت از اسرار تجاری و سایر انواع اسرار ، در دستگاه قرار دهد.
به عنوان یک عملکرد اضافی دستگاه:

  • پشتیبانی از سیستم عامل مک ؛
  • Key_P1 می تواند شامل عملکرد ایجاد گذرواژه های یکبار برای سازماندهی احراز هویت دو مرحله ای در سرورها باشد
    خدمات مختلف احراز هویت دو مرحله ای حفاظت بیشتری برای حساب شما ایجاد می کند. برای انجام این کار ، هنگام ورود به سیستم ، نه تنها نام کاربری و رمز عبور ، بلکه "کدهای تأیید" منحصر به فرد نیز درخواست می شود. حتی اگر مهاجم رمز عبور شما را پیدا کند ، نمی تواند به حساب شما دسترسی پیدا کند.
  • ذخیره اطلاعات شخصی با جایگزینی خودکار هنگام احراز هویت در شبکه های اجتماعی ، سیستم های پرداخت و غیره.
  • استفاده از دستگاه برای مجوز در رایانه شخصی.

از این لیست ، جالب ترین آنها ذخیره نام کاربری و رمزهای عبور کاربران از منابع مختلف است. تنها س isال این است که چگونه این کار را راحت تر انجام دهیم. تعویض خودکار یک جفت نام کاربری و گذرواژه را انجام دهید یا پس از وارد کردن کد PIN ، کاربر را قادر کنید تا نام کاربری و رمز عبور را در متن واضح مشاهده کند ، همانطور که مرورگر Google Chrome اجازه می دهد.

اکنون اجازه دهید به بررسی سطح سخت افزار دستگاه بپردازیم.

عملکردهای اصلی دستگاه رمزگذاری و محافظت در برابر عملکرد غیر مجاز درایوها است.

راه های رمزگذاری داده ها توسط دستگاه را در نظر بگیرید:

  • رمزگذاری فایل روی درایو - در این حالت ، فایل با بیش از یک کلید تصادفی رمزگذاری می شود ، اما بسته به اندازه فایل و اندازه بخش درایو (این کوچکترین سلول حافظه آدرس پذیر در درایو است) ، فایل با چندین کلید در هر بخش درایو رمزگذاری شود.
  • فایل را در رایانه رمزگذاری کنید - در این حالت فایل با کلیدی که به طور تصادفی در دستگاه انتخاب شده رمزگذاری می شود و محتویات فایل توسط دستگاه به صورت رمز شده به رایانه بازگردانده می شود ، علاوه بر این ، این محتوا " پیچیده شده "در یک ظرف خاص حاوی تعداد کلیدی که فایل با آن رمزگذاری شده است.
  • رمزگذاری یک فایل برای کاربر دیگر - در این مورد ، فایل توسط دستگاه بدون هیچ محفظه ای با استفاده از یک کلید از پیش تشکیل شده با برچسب مربوطه (به عنوان مثال ، "partners1") رمزگذاری می شود و محتویات پرونده بازگردانده می شود به رایانه شخصی
اگر یک فایل موجود در درایو با یک فایل جدید با همان نام جایگزین شود ، عملکرد اطلاع رسانی به کاربر در مورد تغییر اندازه فایل نیز در دسترس خواهد بود. عملکرد دستگاه یک حالت "فقط خواندنی" برای محافظت در برابر کپی غیر مجاز اطلاعات درایو هنگام کار بر روی رایانه آلوده به ویروس ها فراهم می کند.

برای قطع دستگاههای جاسوسی ، "Key_P1" دستورات سرویس ارسال شده به درایوها را فیلتر می کند ، که در برابر آلودگی درایو با ویروس سخت افزاری محافظت می کند و دستگاه "Key_P1" جدول توصیفی ارسال شده توسط درایو را تجزیه و تحلیل می کند و بر اساس این اطلاعات ، درایوها مسدود شده اند ، که سعی می کنند خود را به عنوان یک دستگاه ترکیبی (مانند صفحه کلید و دستگاه ذخیره سازی) یا هر دستگاه دیگری به غیر از دستگاه ذخیره سازی به سیستم رایانه شخصی نشان دهند.

اجرای دستگاه را در سطح مدار در نظر بگیرید.

این دستگاه بر اساس پردازنده چند سلولی روسی P1 ساخته شده است. برای تعامل با رابط میزبان USB ، پردازنده stm32f205 به مدار وارد می شود. پردازنده چند سلولی توسط پردازنده stm32f205 زمان بندی می شود ، سیستم عامل از طریق رابط spi بارگیری می شود. پردازنده Р1 تمام عملکردهای اساسی رمزگذاری و هش اطلاعات را بر عهده می گیرد. یکی از ویژگی های جالب اکثر الگوریتم های رمزنگاری ، موازی بودن خوب آنها است. با توجه به این واقعیت ، استفاده از پردازنده با موازی سازی سخت افزاری عملیات منطقی است.


در نتیجه مدرن سازی دستگاه ، طرح زیر فرض می شود:

تعامل با میزبان USB را می توان با تراشه FTDI ارائه داد.
این دستگاه دارای کانکتورهایی است که به شما امکان می دهد با درایوهای USB و کارت های microSD ، SD کار کنید.

مزایای:

  • رمزگذاری با مجموعه بزرگی از کلیدها در سطح سخت افزار بر اساس بخش های درایو
  • کنترل دستورات سرویس بین رایانه و درایو
  • ذخیره یک جفت "رمز ورود"
  • عملیات فقط خواندنی
  • پشتیبانی از درایوهای USB ، کارت های SD ، microSD
  • با تعداد نامحدود درایو کار کنید
  • نسخه شرکتی
  • توانایی بازیابی اطلاعات

معایب: مورد تخصصی نیست ، عدم حفاظت در برابر باز شدن (اگرچه محافظت در برابر باز شدن برای چنین کاربرانی مانند BarsMonster تعیین کننده نیست :)

P.S. به عنوان یک عملکرد اضافی ، ایده ایجاد برنامه برای تبادل امن نیز ، به قیاس اسکایپ ، qip ، اما فقط به طور مستقیم ، برای کاربران خاص بدون سرور متصل در نظر گرفته شد ، اما بنا به دلایلی ، تصمیم گرفته شد که دست نزنید. این منطقه.
علاوه بر این ، پروژه ای در Kickstarter.com اختصاص داده شده به این دستگاه در 25 مارس راه اندازی شد.