Поделиться
Криптозащита Windows Vista несовершенна
Тот, кто владеет информацией, владеет миром. В здании компании информацию сохранить гораздо легче, но как быть, если ее уносит сотрудник с целью поработать дома на благо фирмы? Сегодня актуальна тенденция "встраивать" алгоритмы криптографии в различные программы, особенно в те, которые могут работать с сетями, интернетом, конфиденциальными данными. Хорошо это или плохо? Однозначного ответа нет. Криптозащита до сих пор несовершенна, причем опасность грозит с другой стороны.Специалистам по безопасности необходимо не забывать о том, что решение, стоит ли включать PKI в ваш вариант развертывания EFS или нет, надо принимать сразу, поскольку это влияет на многие будущие решения, касающиеся развертывания.
Перед началом шифрования желательно удалить лишние администраторские аккаунты из системы, поскольку любой пользователь с помощью учетной записи такого типа может восстановить (расшифровать) данные.
Плюсы и минусы EFS
При использовании антивируса недостаток зашифрованных системой EFS файлов заключается в том, что их невозможно проверить на вирус. Однако в случае их загрузки в RAM, осуществить проверку все же возможно. Для этого необходимо настроить соответствующую опцию антивируса.
Основные недостатки и достоинства системы EFS
| Плюсы (+) | Минусы (-) |
| Возможность выбора между двумя типами алгоритмов | Надежность шифрования зависит от длины пароля учетной записи |
| Тесная интеграция с Проводником Windows | Довольно слабая криптоустойчивость |
| Простота в использовании при одновременном наличии большого числа настроек | Невозможность шифрования сжатых файлов, файлов с атрибутом "системный" |
| Большие возможности интеграции | Создается очень много локальных копий сертификатов ключей |
| Взломщику труднее взломать систему без загрузки файла с БД паролей | Если взломщик из своей организации, то такая защита ничего не даст |
| Работа с Active Directory | — |
| Постоянное совершенствование | — |
| Возможность (в Vista) переписать сертификаты на смарт-карту | — |
| Шифрование как отдельных файлов, так и целых каталогов | — |
Источник: Данные автора, 2007
Система достаточно надежна в отдельных случаях, например, для краткосрочного шифрования быстро устаревающих данных. В случае повреждения ключей данные сравнительно легко восстановить. Не рекомендуется для шифрования данных, содержащих важную конфиденциальную информацию, т.к. система не очень устойчива к атакам "в лоб", особенно если пользовательский аккаунт обладает простым паролем.
На данные, которые вы хотите зашифровать с помощью системы EFS, накладываются следующие ограничения:
— Невозможно зашифровать сжатые файлы (имеются в виду файлы, к которым применялась утилита для сжатия диска в Windows);
— Не могут быть зашифрованы символические ссылки на другие файловые системы, каталоги, файлы (т.н. точки монтирования);
— Если у файла стоит атрибут "системный", то EFS также откажется шифровать файл
Для повышения надежности EFS и надежности хранения паролей для входа в систему и других паролей можно задать дополнительное шифрование файла с паролями (доступно на системах Windows XP и выше). Можно поставить пароль на загрузку и расшифровку этого файла. Для этого необходимо в командной строке ввести syskey, после чего в появившемся окне управления шифрованием базы данных паролей нажать "обновить", и выбрать режим требования пароля при запуске системы. Затем необходимо указать пароль. Теперь при перезагрузке система будет предлагать ввести сначала пароль для загрузки базы данных паролей, а затем предложит ввести пароль к аккаунту пользователя.
Сравним…
По скорости быстродействия EFS уступает BitLocker, однако на современных ПК это не играет особой роли. Стоит помнить, что нежелание сотрудников выполнять требования по безопасности может привести к тому, что они не будут шифровать новые важные документы, если, конечно, они не помещаются в зашифрованный каталог. Однако в некоторых случаях система дает сбой и не шифрует новые файлы в каталоге, поэтому к ним получить доступ достаточно легко. Закономерности здесь нет, поэтому необходимо проверять, зашифровался файл или нет.
Слабое место обеих систем – в аутентификации пользователя, имеющего доступ к данным. В случае с BitLocker`ом возможен взлом ключей, хранящихся в области метаданных, в частности, путем помещения в загрузочный сектор трояна, который сможет перехватить ключи, которыми обменивается система с USB-ключом, и/или перехватить информацию из TPM чипа, требуемую при аутентификации пользователя.
При наличии внутри ОС трояна вся защита может оказаться бесполезной – вредоносная программа может просто передать расшифрованный документ по сети, поэтому рекомендуется важные файлы дополнительно шифровать с помощью программ сторонних разработчиков, использующих отличные от AES алгоритмы, например, BLOWFISH, или наши отечественные разработки, основанные на алгоритме ГОСТ 28147-89.
В случае с EFS уже существуют программы, которые могут дешифровать файлы, используя информацию из полей восстановления, а также методом "грубого" взлома алгоритма криптования, особенно в случае использования алгоритма DESX, или подбора ключа. Однако, при использовании этих программ зачастую необходим физический доступ к диску с файлами и большие временные затраты.
Также возможно фальсифицирование сертификатов (ключей) или подмена данных в полях восстановления, поэтому для лучшей защиты стоит использовать 256-битный ключ.
С точки зрения удобства пользования выигрывает BitLocker – он требует меньше внимания со стороны пользователя. В то же время, EFS лучше BitLocker в том, что можно зашифровать не весь диск, а только отдельный файл.
Итак, основным недостатком служб безопасности OC Windows является то, что эти средства защиты информации имеют закрытый код и представляют собой т.н. "черный ящик". С другой стороны, алгоритмы, положенные в основу этих утилит, сами по себе достаточно надежны, но не следует забывать о возможности потери доступа к данным по причине их повреждения собственными сотрудниками.
Дмитрий Махаев / CNews
Поделиться
Короткая ссылка
