Cenę dysku twardego można określić bez trudu, ale kto wie, jaką wartość mają zgromadzone na nim informacje? Jeżeli chcemy mieć gwarancję, że najskrytsze tajemnice nie trafią w niepowołane ręce, powinniśmy rozejrzeć się za oprogramowaniem szyfrującym.
Ochrona gigabajtów danych zgromadzonych na dyskach to głównie zmartwienie firm oraz biznesmenów podróżujących z notebookiem. Jeżeli wiele osób ma bezpośredni dostęp do komputera lub jest on narażony na kradzież, samo hasło wpisywane w chwili logowania do systemu może okazać się niewystarczającą gwarancją bezpieczeństwa. Każdy haker potrafi bowiem bez trudu ominąć zabezpieczenia przy pomocy odpowiedniego oprogramowania i skopiować cenne pliki. Dobrym wyjściem z tej sytuacji jest przechowywanie danych w postaci zaszyfrowanej. Dzięki temu są one bezwartościowe dla osoby, która nie zna klucza umożliwiającego ich odczytanie. Oczywiście trzeba brać pod uwagę prawdopodobieństwo złamania kodu, ale złożoność obliczeniowa najbardziej zaawansowanych algorytmów szyfrujących jest tak duża, że czas kryptoanalizy mierzy się w latach.
Czego się spodziewać
Testowaliśmy już oprogramowanie szyfrujące pliki, przeznaczone głównie dla użytkowników indywidualnych (CHIP 10/99, s. 166). Jednak czasami lepiej zaszyfrować do razu cały twardy dysk lub jego wybrane partycje. Sprawdzenie hasła umożliwiającego dostęp do danych odbywa się tuż po włączeniu komputera, a obejście zabezpieczeń przez start z dyskietki systemowej jest niemożliwe. Wszystkie pliki są automatycznie szyfrowane w chwili zapisywania na dysku twardym i odszyfrowywane w momencie ładowania do pamięci operacyjnej. Ponieważ wykonanie takiej operacji zajmuje część mocy obliczeniowej procesora, trzeba liczyć się z niewielkim obniżeniem wydajności komputera. Można tego uniknąć, decydując się na zaszyfrowanie tylko obszarów systemowych dysku, tzn. boot sektora i tablicy partycji. Ten prosty wybieg skutecznie zapobiega uruchomieniu systemu bez znajomości hasła i wyświetleniu zawartości wolumenów za pomocą standardowych narzędzi systemowych. Jednak programy, które zapewniają dostęp do dysku na poziomie fizycznym, czyli poprzez odwołanie do konkretnych sektorów, mogą bez większego trudu odczytać niezaszyfrowane dane.
Oczywiście ważną cechą, którą należy wziąć pod uwagę przy wyborze oprogramowania zabezpieczającego dyski, jest zastosowana metoda szyfrowania (więcej informacji na ten temat znajduje się w CHIP-ie 10/99, s. 167). Ale nawet odporność na atak algorytmu RSA, uważanego za jeden z najbardziej bezpiecznych, jest zależna od tego, jak trudne do odgadnięcia są hasła użytkowników. Wobec tego dobre narzędzie szyfrujące powinno mieć możliwość odgórnego nakładania pewnych ograniczeń, np. co do minimalnej długości haseł. Godne polecenia są także wszelkie rozwiązania sprzętowe, które dokonują autoryzacji użytkownika na podstawie hasła i specjalnej karty mikrochipowej. Nie bez znaczenia jest także kontrola wykorzystania stacji dyskietek. Na ogół dane kopiowane z zaszyfrowanego dysku lokalnego na dyskietkę lub wolumen sieciowy są automatycznie odszyfrowywane i mogą zostać skradzione w “czytelnej” formie. Aby tego uniknąć, niektóre aplikacje częściowo lub całkowicie blokują dostęp do stacji dysków albo szyfrują także pliki przechowywane na nośnikach wymiennych.
Przezorny zawsze ubezpieczony
Instalacja aplikacji do szyfrowania dysków wymaga pewnej wiedzy na temat konfiguracji komputera i może wiązać się z przeprowadzeniem kilku zabiegów wstępnych. Koniecznie należy wykonać kopię zapasową wszystkich plików. Zlekceważenie tego kroku może doprowadzić do utraty danych (choćby wskutek zaniku zasilania w czasie szyfrowania dysku, niewłaściwego ustawienia opcji programu lub jego niekompatybilności ze sprzętem). Niektóre aplikacje nie radzą sobie z dużymi partycjami lub dyskami podzielonymi na kilka wolumenów. Przed instalacją warto sprawdzić komputer np. za pomocą systemowego ScanDiska, aby usunąć ewentualne błędy, które mogłyby doprowadzić do nieprawidłowego zaszyfrowania danych.
Nie jest obojętne, czy używamy skanera antywirusowego potrafiącego usuwać wirusy rezydentne i atakujące obszary systemowe dysku twardego. Aby uniknąć konfliktów oprogramowania, na czas instalacji programu szyfrującego zaleca się wyłączenie monitora antywirusowego oraz boot managera; należy również zablokować w BIOS-ie funkcję ochrony sektora startowego dysku. Ponadto lepiej nie dokonywać kompresji wolumenów.
Dodatkowe środki ostrożności powinni przedsięwziąć posiadacze komputerów stacjonarnych i przenośnych o nietypowej konfiguracji. W ich przypadku potencjalnym źródłem kłopotów są dyski SCSI i zewnętrzne pamięci masowe PCMCIA. Także przechodzenie laptopa w stan hibernacji i budzenie się z niego mogą wywoływać nieoczekiwane efekty. Ponadto w czasie operacji szyfrowania, która często trwa nawet kilka godzin, notebook powinniśmy podłączyć do sieci energetycznej, aby nie narażać się na zanik zasilania po ewentualnym wyczerpaniu baterii.
Przed instalacją oprogramowania szyfrującego trzeba więc upewnić się, że jest ono kompatybilne z posiadanym sprzętem i oprogramowaniem. Stwierdzenie, że aplikacja działa na komputerze klasy PC pracującym pod kontrolą Windows 9x, jest zdecydowanie niewystarczające. W żadnym wypadku nie rezygnujmy z dyskietek awaryjnych, których utworzenie jest na ogół proponowane przed zaszyfrowaniem danych. Już po zabezpieczeniu komputera powinniśmy zrezygnować z używania wszelkich narzędzi operujących bezpośrednio na dysku, takich jak np. Partition Magic.
Safe Guard Easy
Aplikacja dobrze sprawdza się w sytuacji, w której z jednego komputera korzysta wielu użytkowników. Oprócz standardowego konta administratora można zdefiniować piętnaście dodatkowych i indywidualnie przydzielić im uprawnienia do zmiany klucza i algorytmu szyfrującego oraz dodawania użytkowników. W gestii administratora leży ustalenie minimalnej długości hasła dostępu do danych oraz okresu, po którym należy je zmienić.
| Nałożenie ograniczeń na hasła użytkowników może znacznie utrudnić hakerom włamanie do systemu. |  |
Szyfrować można całe dyski, wybrane partycje FAT16 i FAT32 o rozmiarze do 3 GB oraz obszary systemowe dysku. Do wyboru jest aż sześć algorytmów. Opisywany program potrafi także kodować zawartość dyskietek. Jest to jego istotna zaleta w sytuacji, gdy do przenoszenia lub przechowywania kopii zapasowych “tajnych” zbiorów wykorzystuje się nośniki wymienne. Dzięki plikom konfiguracyjnym Safe Guard Easy można łatwo zainstalować na stacjach roboczych z zachowaniem wszystkich opcji wcześniej ustalonych przez administratora.
—
| INFO Grupy dyskusyjne Uwagi i komentarze do artykułu: # Pytania techniczne do zagadnień poruszanych w tekście: # Literatura Bezpieczne bity, Piotr Mielecki, Albert Duchnicz CHIP 10/99, s. 166 W dziale Software | Szyfrowanie zawartości dysków znajdują się wersje pełne programów Safe Guard Easy i PC/DACS oraz wersje demonstracyjne aplikacji Safe Boot i EPHD |
