Введение в шифрование

Предлагаемые решения шифрования требуют от администраторов и пользователей пристального внимания.

Если в виртуальных частных сетях (Virtual Private Network, VPN) шифрование давно стало само собой разумеющимся, то большинство пользователей отправляют частные или деловые электронные письма открытым текстом. Шифрование файлов и дисков также используется весьма ограниченно. Однако вследствие ужесточения законодательных требований и повышенного внимания страховых компаний и инвесторов к принимаемым мерам обеспечения безопасности ситуация начинает изменяться. «Журнал сетевых решений/LAN» планирует вместе с LANline в ближайших выпусках представить серию публикаций по данной теме. Сегодня мы предлагаем введение и пример двух сравнительно простых решений для обеспечения конфиденциальной работы в группе. В дальнейшем речь пойдет о более сложных групповых решениях, шифровании на ноутбуках и шлюзах электронной почты.

ДИСКИ, ФАЙЛЫ И ЭЛЕКТРОННЫЕ СООБЩЕНИЯ

Реализация программного и аппаратного обеспечения для шифрования дисков и документов, а также конфиденциальной передачи электронной почты не всегда осуществляется просто, поскольку требования к таким системам должны соотноситься на различных уровнях с требованиями других продуктов обеспечения безопасности, а в некоторых случаях даже вступают в конфликт с принятыми правилами безопасности:

• шифруемые электронные письма и соединения VPN скрывают передаваемые данные от сканеров вирусов и содержимого;
• шифрование дисков может затруднить автоматическое резервное сохранение данных или управление файлами;
• сетевой администратор может не иметь права доступа к защищаемым файлам, поскольку если на предприятии возникает необходимость в использовании шифрования, то требования к безопасности оказываются чрезвычайно высокими;
• когда сотрудник покидает предприятие, у его работодателя должна быть возможность доступа к зашифрованным данным;
• в здравоохранении или страховании шифрование и доступ должны быть обеспечены на длительное время;
• если при шифровании применяется метод открытого ключа, то помимо программного обеспечения необходимо построение инфраструктуры управления ключами или сертификатами;
• широкое применение шифрования возможно лишь при условии простоты его обслуживания, однако многие системы очень далеки именно от этой цели.

Что касается первого пункта из списка потенциальных конфликтов, то различные компании разрабатывают шлюзы, принцип работы которых схож с proxy-сервером: содержимое трафика между партнерами расшифровывается, проверяется, зашифровывается заново и отправляется дальше. Проблема заключается в следующем: оба участника диалога должны согласиться с тем, что они не могут напрямую использовать персональный ключ своего визави. Другие продукты — к примеру системы от Mirapoint — хотя и расшифровывают таким же образом передаваемый трафик при помощи ключа получателя, однако затем результат проверки уничтожается, и дальше передаются оригиналы.

Рисунок 1. Инструментарий PKI от Eldos не позволяет бездумно предпринимать рискованные действия: в данном случае система заявляет о не заслуживающем доверии сертификате.

При необходимости резервного копирования зашифрованных дисков рациональным решением является работа с «сейфами данных», которые только пользователем продукта шифрования воспринимаются как легко обслуживаемые закрытые диски или хранилища. С точки зрения администратора и других клиентов, у кого программное обеспечение для шифрования не активировано, информация представляется в виде отдельных файлов, содержимое которых хотя и недоступно, но чьи отметки о времени, изменениях и архивации, однако, аналогичны соответствующим значениям незашифрованных файлов. Поэтому они могут быть сохранены в соответствии с теми же правилами создания резервной копии на различных дорогих носителях, что и обычные файлы.

ВЕРНОЕ РЕШЕНИЕ — SSL

Особая проблема — передача конфиденциальной информации по электронной почте, когда нет уверенности в том, что получатель вообще обладает какими-либо сертификатами или парой ключей. Часто в подобных случаях предлагается сохранять документы в надежных хранилищах и отправлять получателю только ссылки на них. Само соединение будет зашифровано. Такая возможность предоставляется любым браузером. Еще одно преимущество метода заключается в том, что при применении дополнительных средств просмотра Java или для загрузки предлагаемых исполняемых файлов можно заранее определить правила использования передаваемых отправителем документов — компания CYA, к примеру, интегрирует в свою Security Collaboration Platform управление правами для контроля количества обращений или действий наподобие «сохранить» или «распечатать».

Однако нарушение конфиденциальности может иметь место уже тогда, когда из открыто отправляемого электронного письма со ссылкой на документ можно извлечь больше информации, чем только имя отправителя, получателя и дату отправки. Поэтому сообщение при известных обстоятельствах должно скрывать любые указания на содержимое. Впрочем, отправлениям с таким внешним видом легко затеряться среди другой электронной корреспонденции.

СЛОЖНЫЕ ОБХОДНЫЕ ПРИЕМЫ

Специалистам по-прежнему приходится отрабатывать и другие методы доставки конфиденциальных сообщений без использования ключа. Сервер безопасной электронной почты Sepp от Onaras, к примеру, при отправке электронного письма в первую очередь предлагает пользователю включить в почтовом клиенте опцию «конфиденциально». Если сервер устанавливает, что у получателя нет открытого ключа, он зашифровывает сообщение симметричным ключом, отправляет его, информирует о пароле отправителя и призывает последнего уведомить о нем получателя другим путем — по телефону или при личной встрече.

ШИФРОВАНИЕ ДЛЯ РАБОЧИХ ГРУПП

Сложность решений приводит к тому, что некоторые предприятия предпочитают реализовывать шифрование только в отдельных подразделениях, например в исследовательских лабораториях или в отделах кадров. Соответствующие продукты должны быть понятны для неопытных пользователей и — об этом уже упоминалось — как можно меньше мешать глобальному администрированию ИТ.

Рисунок 2. Дружественность пользователю не исключает точность информации: Eldos протокалирует все важнейшие процессы

Проблема отсутствия у получателей ключей или сертификатов в пределах закрытых пользовательских групп не играет серьезной роли. Важным критерием выбора является то, что системы должны быть рассчитаны для работы со стандартными сертификатами — т. е. с парами ключей, принадлежность которых определенному лицу проверяется официальной инстанцией сертификации и может быть подтверждена электронным способом.

Рассмотрим подробнее две системы. Примером простого инструмента является PKI от украинской компании Eldos. Продукт регистрируется в Windows Explorer как PGP или GPG и при щелчке правой кнопкой мыши на конкретном файле предлагает функции шифрования и дешифрования на носителе или немедленную отправку по почте, при этом указанный в системе Windows почтовый клиент запускается автоматически. Для дополнительного сжатия используется стандартный формат zip, но запакованный файл содержится в «конверте» формата инструмента Eldos PKI, поэтому у получателя должна быть установлена копия продукта.

Система управления сертификатами использует, импортирует и экспортирует сертификаты Х.509. В пакет поставки входит инструмент для оформления самостоятельно подписанных сертификатов. Сертификаты можно сохранять в специальном хранилище Windows, на дисках, токенах или смарт-картах.

Насколько умеренным представляется функциональный охват продукта, настолько же продуманной оказывается работа с ним, вплоть до деталей. К примеру, можно предписать, чтобы незашифрованные файлы немедленно удалялись. Такие функции, расширяющие возможности адаптации системы к различным пользователям, повышают вероятность ее принятия ими. Положительное впечатление оставляет и то, что продукт указывает на возможные проблемы с безопасностью вследствие действий пользователя — так, система постоянно выдает предупреждение, когда он использует самостоятельно подписанный сертификат для критичных операций (см. Рисунок 1 и 2). Опытные пользователи могут выбирать между различными алгоритмами — RSA, DES и AES — и устанавливать длину ключа от 512 до 4096 бит. Полезной дополнительной функцией продукта является инструмент для надежного удаления файлов путем троекратного переписывания. Одна лицензия стоит 29,95 долларов, при покупке пяти лицензий и более цена падает до 19,95 долларов.

Рисунок 3. Прастота совместной работы: зашифрованные накопители для группового доступа у Crypto Pro от Claviscom

Чего не достает инструментам от Eldos, так это архива, к которому несколько пользователей могли бы обращаться одновременно. Такую возможность предлагает также базирующийся на Х.509 продукт Claviscom Crypto Pro с «дисками данных» и «дисками разделов» (виртуальные разделы для Windows XP). Менеджер сертификатов системы работает со службами каталогов LDAP и списками запрещенных объектов, а при необходимости создает на какой-либо машине в сети собственную миниPKI. С его помощью пользователь может указать созданному им шифруемому хранилищу сертификаты тех его коллег, кто имеет право с ним работать, и определить для них права доступа (см. Рисунок 3). Сам накопитель, с точки зрения внешнего наблюдателя, выглядит как единый связный файл.

Еще одной актуальной функцией для рабочих групп является «мультишифрование» электронных писем, когда пользователь связывает сообщение с открытыми ключами сразу нескольких получателей и тем самым разрешает расшифровку. Для предприятия важно иметь резервные сертификаты, чтобы уполномоченные пользователи могли обращаться к файлам отсутствующих сотрудников либо иметь доступ к файлам при утере токена или смарт-карты с основным сертификатом. Адресаты, получившие зашифрованное при помощи Crypto Pro сообщение, должны обладать по крайней мере средством просмотра. Однако этот бесплатный продукт под названием Claviscom Reader на момент публикации еще не был доступен.

Crypto Pro предусматривает, помимо всего прочего, функции шифрования файлов и электронных писем и интегрируется в Windows Explorer и Outlook практически так же, как и инструменты от Eldos. Он производит впечатление более зрелого, однако расширенный набор функций требует немалого времени на знакомство с продуктом и привыкание к нему. Кроме того, пользователи должны знать основные принципы работы серверов и сетей, когда используется собственная системная PKI — во время тестирования, к примеру, из-за неправильной конфигурации протокола ТСР/IP поначалу не было доступа к серверу PKI, в то время как для остальных задач компьютер применял протокол NetBEUI. Это не ошибка Crypto Pro, но данный пример показывает, что большой функциональный охват требует специальных знаний. Кроме того, продукту необходимо не менее 256 Мбайт оперативной памяти для используемых клиентов — он работал и на не столь хорошо оснащенных машинах, однако завершения отдельных операций приходилось ждать довольно долго.

В качестве дополнительного инструмента имеется программа для удаления, где используются различные распространенные методы, а также уничтожитель следов работы в Internet. Одна лицензия Crypto Pro стоит 84 евро.

Йоханнес Виле — эксперт в области безопасности. С ним можно связаться по адресу: redaktion@lanline.awi.de.

? AWi Verlag