Computerworld Россия
На конференции «Информационная безопасность», которая по традиции проходит в рамках выставки SofTool, Александр Иванов, аналитик компании InfoWatch, отметил четыре стадии развития средств шифрования.
Вначале шифрование выполнялось на уровне файлов и буферов, если речь шла о защите электронной почты. Однако пользователь сам должен был создавать зашифрованные архивы, что было неудобно. К тому же оставалась проблема хранения файлов в открытом виде. Дело в том, что операционная система не удаляет данные, она просто делает их недоступными. Тем не менее при желании эти якобы удаленные данные можно было обнаружить. Поэтому со временем появились утилиты «зачистки» открытых данных и незашифрованных буферов.
Второе покорение шифраторов уже было предназначено для прозрачного шифрования данных. В операционной системе создавался виртуальный диск, который был связан с зашифрованным архивным файлом. Пользователь просто работал с таким диском, а его драйвер обеспечивал шифрование данных. Однако в таком решении сложно было организовать доступ нескольких пользователей к данным, приходилось для каждого заводить свой виртуальный диск и с ним работать. Для учета этих виртуальных дисков требовались системы их регистрации и управления. К тому же зачастую в таких решениях временные файлы и файлы подкачки были незащищенными, а у злоумышленника оставалась возможность эти файлы удалить.
Третье поколение было представлено системами шифрования логических дисков, данные записывались только в зашифрованном виде. Причем с помощью этих продуктов можно было не только защитить новые диски, но и зашифровать уже существующую информацию. Эту работу возможно выполнять в фоновом режиме, не дожидаясь перешифрования всего диска. Появились также решения для полного шифрования дисков, которые могут защитить в том числе и системный раздел. Такие решения требуют написания собственного загрузчика операционной системы, поскольку перед запуском операционной системы нужно аутентифицировать пользователя, получить от него ключи шифрования и только потом расшифровывать системные файлы.
Однако тотальное шифрование данных замедляет доступ к ним. К тому же при этом нет возможности организовать многопользовательский доступ к данным, что часто необходимо в современных корпоративных средах, поэтому каждому пользователю приходится заводить собственный логический раздел.
Сейчас разрабатываются шифраторы данных четвертого поколения, которые работают опять на уровне файлов и папок. Существенным отличием от первого поколения является трехуровневая система управления ключами — она позволяет разбить ключ шифрования на несколько составляющих. Одна часть хранится на сервере, и доступ к ней строго регламентирован. Это гарантирует, что посторонний без доступа к центральному серверу не сможет расшифровать данные, даже если украдет вместе с ними и пользовательский ключ.
Таким образом, шифраторы становятся уже не локальными системами, защищающими отдельные файлы, папки или диски, а сервисом корпоративной защиты, работающим в распределенной корпоративной среде с централизованным управлением ключами и доступом к ним. Поскольку такие продукты позволяют организовать многопользовательский доступ к зашифрованным данным, то только их и можно назвать корпоративными системами шифрования.