Однако многие пользователи работают с другими операционными системами, и им тоже требуется шифрование. Как быть в этом случае?

Здесь на помощь приходят разнообразные программные средства независимых разработчиков. В данной статье мы рассмотрим одно из них — Kaspersky KryptoStorage. Этот продукт позволяет шифровать каталоги, виртуальные диски (файлы-контейнеры) и логические разделы жестких дисков. Следует учесть, что шифрование и расшифровка производятся в фоновом режиме, незаметно для пользователя (такое шифрование называется «прозрачным»). Таким образом, данные попадают на диск только в зашифрованном виде.

Криптозащита основана на алгоритме симметричного шифрования AES-128. Ключ шифрования создается путем криптопреобразования пароля, вводимого пользователем. Криптостойкость решения дополнительно усилена специальным алгоритмом, который препятствует взлому методом перебора даже на самых быстрых компьютерах.

Хотелось бы отметить, что Kaspersky KryptoStorage позволяет гарантированно удалять данные с любых носителей, что предотвращает утечку информации, в том числе с утерянных или выброшенных устройств памяти. Это делается с помощью многократной перезаписи случайными последовательностями символов поверх удаляемого файла, что предотвращает восстановление данных с использованием программного обеспечения.

Рассмотрим подробнее, как работает KKS.

Системные требования

Аппаратные требования

  • Процессор Intel Celeron 1 ГГц и выше;
  • 256 Мбайт свободной оперативной памяти;
  • 15 Мбайт свободного дискового пространства для установки приложения.

Программные требования

Kaspersky KryptoStorage совместим с 32‑ и 64‑битными версиями следующих операционных систем:

  • Microsoft Windows 7;
  • Microsoft Windows Vista Service Pack 1;
  • Microsoft Windows XP Service Pack 2;
  • Microsoft Windows 2000 Professional Service Pack 4;
  • Windows 2003 Server;
  • Microsoft Windows 2000 Server Service Pack 4.

Установка данного программного обеспечения не требует никаких дополнительных усилий со стороны пользователя, потому не нуждается в особом описании. По окончании установки вы сможете создать нужные вам файлы-контейнеры или перейти к шифрованию логических дисков (см. экран 1).

Главное окно Kaspersky KryptoStorage

Следует отметить, что в ознакомительной версии создание защищенных папок по умолчанию отключено. Рассмотрим создание шифрованного диска. Для этого нажмите кнопку «Зашифровать диск» — откроется окно выбора логического диска (экран 2).

Шифрование диска

В данном окне вы сможете выбрать тот логический диск, который хотите зашифровать.

После выбора раздела необходимо ввести пароль для шифрования (экран 3).

Задать пароль шифрования

Следует учесть, что существует ограничение на длину пароля в 8 символов. Это обусловлено тем, что в России, согласно требованиям законодательства, длина симметричного ключа (неизвестной его части) не может быть более 56 разрядов. Таким образом, для обеспечения законности использования приложения Kaspersky KryptoStorage длина пароля к защищенным объектам должна быть не более 8 символов английского алфавита, что приблизительно соответствует 52‑разрядному бинарному ключу.

Вместе с тем стоит учесть, что пароль длиной в 8 символов в нашем случае несколько более устойчив к методу перебора, чем 52‑разрядный бинарный ключ (возможны 252 комбинаций) и несколько менее устойчив, чем 53‑разрядный бинарный ключ (возможны 253 комбинаций). Если быть совсем точным, то число всех 8‑символьных паролей (вариантов перебора всех 8‑символьных паролей) составляет 958, так как на каждой из 8 позиций может быть любой из 95 символов, набираемых на латинской клавиатуре. Это более 6 634 204 млрд комби­наций.

Время преобразования пароля в ключ зависит от вычислительной мощности используемой взломщиком техники. Например, с использованием технологии вычислений nVidia CUDA на машине, оборудованной одной из самых мощных на сегодня видеокарт — двухъядерной GeForce GTX295, можно опробовать около 1 550 паролей в секунду.

Это, в свою очередь, означает, что в данном случае для полного перебора всех возможных 8‑символьных паролей потребуется более 135 тыс. лет (7‑символьных — 1400 лет, 6‑символьных –15 лет, 5‑символьных — 2 месяца).

Как мы видим, устойчивость пароля более чем достаточна. Однако стоит учесть стандартные требования к паролю. Он не должен быть словарным словом, не должен содержать повторяющиеся символы и вместе с тем должен легко запоминаться.

Не забудьте записать ваш пароль в надежное место, так как, утратив его, вы не сможете получить доступ к своему защищенному хранилищу (логическому диску).

При шифровании логических разделов жесткого диска и создании защищенных сменных носителей следует учесть, что в случае защиты системного (загрузочного) диска авторизация выполняется до загрузки операционной системы.

Данные системы обо всех защищенных логических разделах физического носителя (жесткого диска, флэш-накопителя и т. д.) находятся в корневом каталоге первого раздела физического носителя в файле iwcs.bin. В случае повреждения (удаления) данного файла все разделы будут недоступны.

Ограничения

на установку защиты

  • Установка защиты на логические разделы жесткого диска и съемных носителей возможна, если размер сектора на соответствующем устройстве 512 байт.
  • Установка на динамические разделы невозможна.
  • На одном физическом диске не может быть одновременно запущена установкаудалениепереустановка защиты для нескольких логических разделов. С логическими разделами разных дисков можно работать одновременно.
  • В Windows 7 при физическом подключении защищенных съемных носителей операционная система сообщает, что носитель не форматирован, и доступа к нему не предоставляет до тех пор, пока носитель не будет подключен средствами Kaspersky KryptoStorage.

Защищенная папка

Создать защищенную папку достаточно просто. Нужно лишь нажать в главном окне программы кнопку «Создать защищенную папку». Следует учесть, что, в отличие от EFS, удалить данную защищенную папку средствами операционной системы невозможно.

При работе с защищенными папками необходимо учитывать следующее:

  • все файлы и папки, находящиеся внутри защищенной папки, зашифрованы и являются защищенными;
  • выполнение любых действий (чтение, запись, переименование, архивирование, удаление и т. п.) с защищенной папкой возможно только после подключения этой папки;
  • доступ к защищенным папкам по сети запрещен;
  • система не позволяет выполнять непосредственно с защищенными папками и их содержимым такие действия, как удаление в корзину и перемещение в рамках одного тома файлов и папок, содержащих файлы.

Защищенный криптоконтейнер

Необходимо учесть, что с точки зрения операционной системы защищенный криптоконтейнер (экран 4) ничем не отличается от обычного файла, а следовательно, может быть удален. Если вы хотите этого избежать, надо разместить криптоконтейнер внутри зашифрованной папки.

Создание защищенного криптоконтейнера

Заключение

Данный продукт предоставляет весьма широкие возможности шифрования. Однако с точки зрения применения в организациях, на мой взгляд, он имеет один недостаток — в нем отсутствует возможность централизованного хранения ключей шифрования. Впрочем, полагаю, в следующих версиях этот недочет исправят.

Также хотелось бы, чтобы в процессе шифрования логических дисков система предлагала предварительно сохранить пароль в файле либо распечатать его — ведь большинство пользователей не задумываются о необходимости сохранения резервной копии пароля.

Владимир Безмалый (vladb@windowslive.com) — специалист по обеспечению безопасности, MVP Consumer Security, Microsoft Security Trusted Advisоr

Поделитесь материалом с коллегами и друзьями

Купить номер с этой статьей в PDF