Ludzie przechowywali lub przekazywali zakodowane informacje od tysięcy lat. Pismo klinowe, symbole, szyfr Cezara, ukrywanie wiadomości w rysunkach, ciągach cyfr – przeróżne metody kodowania można wymieniać bardzo długo. Aby zrozumieć ukryte przekazy bez względu na sposób ich kodowania, musimy mieć jednak klucz. Alfabet Morse’a to też kod, ale klucz do niego jest powszechnie znany i drukowany w każdym “poradniku młodego skauta”. W odróżnieniu od kodowania szyfrowanie służy ukryciu informacji przed niepowołanymi osobami. Chcąc poznać zakamuflowane treści, potrzebujemy dodatkowych wskazówek, czyli wspomnianego klucza szyfru. Im jest on dłuższy i bardziej skomplikowany, tym trudniejszy do złamania.
Głową w mur
Decydując się na zabezpieczanie naszych danych za pomocą aplikacji do szyfrowania, powinniśmy zwrócić uwagę na dwie kwestie: jakość stosowanego algorytmu oraz wykorzystywaną przez niego długość klucza. Ta ostatnia we wszystkich testowanych aplikacjach miała długość przynajmniej 128 bitów. Od długości klucza znacznie ważniejszy jest jednak algorytm. Musi on być efektywny, odporny na ataki, wydajny i dawać gwarantowany poziom bezpieczeństwa. By wskazać najlepszego z “ochroniarzy”, Amerykański Instytut Standardów i Technologii (NIST) przeprowadził konkurs i pod koniec listopada 2001 r. wyłonił zwycięzcę. Nowym, rekomendowanym do zastosowania w instytucjach publicznych algorytmem, nazwanym Advanced Encryption Standard (w skrócie AES), ogłoszono Rijndaela (sugerowana angielska wymowa to “Reign Dahl”, “Rain Doll” lub “Rhine Dahl”). Został on tym samym następcą znanego algorytmu DES, złamanego dopiero w 1997 roku, po dwudziestu latach istnienia. Żeby lepiej uzmysłowić sobie moc, jaka tkwi w AES, warto przytoczyć przykład. “Atak siłowy” na jego 128-bitową wersję z wykorzystaniem maszyny, która pokonuje DES w jedną sekundę, zająłby 149 000 miliardów lat (dla porównania wiek wszechświata jest szacowany na “zaledwie” około 14 miliardów lat).
I choć użytkownicy znajdą wspomniany algorytm w kilku testowanych programach (BestCrypt 7.09, PGP 8.0.2 Personal, SafeGuard PrivateDisk 1.00, SafeHouse 2.10 i TopSecret Next Generation), nie znaczy to, że tylko dzięki tym aplikacjom dobrze zabezpieczymy dane. Nowoczesne algorytmy kryptograficzne, takie jak RSA, Twofish, Serpent, CAST czy GOST, również uważane są za skuteczne.
Jak oka w głowie
Kolejnym mechanizmem bezpieczeństwa, stosowanym w programach szyfrujących, jest klucz użytkownika potrzebny do autoryzacji. Może nim być wpisywana w odpowiednim oknie fraza, wygenerowany klucz-plik, dodatkowe urządzenie umieszczane np. w porcie USB czy też karta identyfikacyjna.
Użytkownicy indywidualni korzystają najczęściej z dwóch pierwszych rozwiązań. Ale uwaga: wykorzystywane przez nas hasła lub klucze nie mogą być zapomniane lub zgubione. Nigdy nie zapisujmy ich też na karteczkach schowanych pod klawiaturą, podkładką pod mysz i nie przyklejajmy obok stanowiska pracy.
Nie powinno być większego problemu, jeśli korzystamy np. z mechanizmów szyfrowania, w które wyposażone są systemy Windows 2000 i XP. Zastosowano w nich rozwiązanie dające administratorowi dostęp do ukrytych przez użytkowników danych. Dlatego w takim przypadku zapomnienie hasła lub odejście pracownika z firmy nie jest jednoznaczne z utratą dostępu do plików. Niektóre programy, takie jak np. testowany Encryption Plus Folders 5.0, umożliwiają też odzyskanie dostępu do zabezpieczonych zasobów poprzez wygenerowanie hasła jednorazowego lub stworzenie zestawów pytań i odpowiedzi. Wpisane w odpowiedniej kolejności pytania i udzielone na nie właściwe odpowiedzi jednoznaczne są z poprawną autoryzacją użytkownika. Jednak takie “tylne furtki” zostawia niewielu producentów. Starają się oni raczej tworzyć “twierdze” nie do zdobycia i w większości przypadków zgubienie klucza i niedysponowanie jego kopią ma niemiłe skutki. Decydując się na jeden z testowanych programów, warto więc sprawdzić, czy oferuje on funkcję wykonywania kopii bezpieczeństwa potrzebnych kluczy. Bardzo wygodne i ciekawe rozwiązanie znajdziemy w znanym pakiecie firmy PGP. Każdy użytkownik poza standardową parą kluczy może wygenerować sobie “podklucz” (subkey) ważny przez zadany czas. Rozwiązanie to przydatne jest np. w trakcie podróży lub nadawania osobie trzeciej uprawnień na określony czas. Możemy być wtedy pewni, że właściwy klucz nam nie zginie a nieuprawniona osoba nie wejdzie w jego posiadanie.
Mam nowy dysk…
Przechowywanie i praca z danymi umieszczonymi w wirtualnym napędzie łączy w sobie duże bezpieczeństwo z wygodą obsługi. Użytkownik nie musi za każdym razem pamiętać o konieczności zabezpieczenia danych. Chroni on konkretne zbiory i odszyfrowuje je tylko wtedy, gdy potrzebuje z nich skorzystać, a zasoby komputera nie są wykorzystywane na szyfrowanie i deszyfrowanie działającego systemu, programów czy gier.
Pracę z każdą testowaną aplikacją rozpoczynamy w podobny sposób, wybierając z menu opcję tworzenia nowego dysku. We wszystkich pakietach w tej czynności pomogą nam kreatory. W kolejnych oknach określamy położenie pliku wirtualnego wolumenu, wybieramy literę, pod jaką będzie on widoczny w systemie, dostępny na nim system plików oraz rozmiar przyszłego napędu. Ta ostatnia cecha mocno różnicuje testowane programy. Najmniej oferuje nam Cryptainer PE, bo tylko 100 MB, najwięcej – całą wolną przestrzeń dysku – SafeGuard PrivateDisk oraz PGPdisk. Pozostałe aplikacje umożliwiają zakładanie dysków o maksymalnych rozmiarach 2 lub 4 GB. Nieco inne podejście zastosowano w Encryption Plus. Tu zamiast zakładania wolumenu wskazujemy, które katalogi mają być automatycznie szyfrowane lub deszyfrowane. Wadą aplikacji jest jednak możliwość zaglądania do chronionych katalogów. Co prawda danych nie zobaczymy, ale nazwy i typy plików pozwalają zgadnąć, jakie dane są w nich ukryte. Wirtualne dyski nie różnią się też niczym od “normalnych” napędów dla aplikacji narzędziowych typu defragmentatory czy programy antywirusowe.
W przypadku wszystkich aplikacji poza Cryptainer PE użytkownik może zakładać dowolną liczbę “sejfów”. Dodatkowo tylko trzy programy pozwalają na współdzielenie szyfrowanych zasobów pomiędzy użytkownikami. Możliwość dostępu (z pełnymi prawami lub tylko do odczytu) do jednego kontenera dla kilku osób oferują tylko CryptoMagic, Encryption Plus i PGP.
| Produkt | PGP 8.0.2 Personal | TopSecret Next Generation | BestCrypt 7.09.1 | SafeGuard PrivateDisk 1.00.2 | Encryption Plus Folders 5.0 |
| Producent | PGP | G Data | Jetico | SafeGuard | PC Guardian |
| http:// | www.pgp.net.pl/ | www.gdata.pl/ | www.jetico.com/ | www.utimaco.pl/ | www.diament.pl/ |
| Cena | ok. 235 zł | ok. 146 zł | ok. 420 zł | ok. 360 zł | ok. 470 zł |
| Ocena ogólna (POWER) | 81 | 71 | 54 | 39 | 39 |
| Funkcjonalność (55%) | 78 | 70 | 53 | 45 | 48 |
| Zabezpieczenia, moduły dodatkowe (30%) | 86 | 70 | 48 | 18 | 16 |
| Ergonomia i pomoc (15%) | 85 | 80 | 69 | 63 | 54 |
| Opłacalność (ECONO) | 71 | 100 | 26 | 22 | 17 |
| Podsumowanie | Rozbudowany, funkcjonalny i łatwy do opanowania pakiet, składający siś z uzupełniających siś modułów PGPdisk, PGPmail i PGPkey. | Umożliwia wygodne i bezpieczne szyfrowanie danych i poczty elektronicznej. Oferuje najlepszą ochronś plików aplikacji. | Bogaty w opcje i moduły dodatkowe. Niestety, dość drogi. Nie pozwala na dodatkowe szyfrowanie pojedynczych plików czy folderów. | Prosty w obsłudze. Nie nakłada ograniczeń na rozmiar tworzonego dysku. | Szyfruje i deszyfruje “w locie” katalogi. Pozwala na bezpieczne współdzielenie danych pomiśdzy wielu użytkowników. |
| Funkcjonalność | |||||
| Dostśpne algorytmy, długości kluczy (w bitach) | AES (Rijndael) 256, CAST 128, Twofish 256 szyfrowanie dysków, TripleDES, IDEA | AES (Rijndael) 256, Twofish 256, Serpent 256 | AES (Rijndael) 256, Twofish 256, Blowfish 448, GOST 256 | AES (Rijndael) 128 | Blowfish 192 |
| Min. i maks. rozmiar wirtualnego dysku | 100 KB – rozmiar dysku | 1 MB – 4 GB | 32 KB – 4 GB | 1 MB – rozmiar dysku | rozmiar dysku 1) |
| Praca z kilkoma dyskami jednocześnie | + | + | + | + | + 1) |
| Przypisanie dostśpu do zaszyfrowanych zasobów kilku użytkownikom | + | – | – | – | + |
| Dodatkowe szyfrowanie i deszyfrowanie dowolnych plików lub katalogów | + | – | – | – | + |
| Znakowanie dowolnych zbiorów | + | – | – | – | – |
| Tworzenie zaszyfrowanych plików EXE | + | – | – | – | – |
| Ukrywanie programu w systemie | +/- | + | – | – | – |
| Blokowanie deinstalacji/skasowania plików programu/plików dysku | -/-/- | +/+/+ | +/-/+ | -/-/- | +/-/+ |
| Odłączanie szyfrowanych dysków po zadanym czasie bezczynności | + | +/- | + | + | + |
| Zabezpieczenia, moduły dodatkowe | |||||
| Moduł i opcje szyfrowania poczty | + | + | – | – | – |
| Szyfrowanie Schowka systemowego | + | – | – | – | – |
| Współpraca z innymi urządzeniami autoryzacyjnymi | + | – | +/- | + | + |
| Nieodwracalne usuwanie plików | + | + | + | – | – |
| Inne | ochrona ICQ, czyszczenie pamiści cache, wersja mobile, zestaw SDK | unikatowy klucz aplikacji | CryptoSwap File, otwarta architektura, Keybord Filter, Task Manager | PKI (Public Key Infrastructure), czyszczenie Swap File, certyfikaty | generator jednorazowego hasła |
| Ergonomia i Pomoc | |||||
| Integracja z menu kontekstowym systemu | duża | mała | średnia | brak | brak |
| Skróty klawiaturowe dla opcji programu | + | +/- | + | – | – |
| Liczba opcji dostśpnych z poziomu ikony w Polu systemowym | duża | średnia | średnia | brak | duża |
| Polska wersja językowa | – | + | – | – | – |
| Ogólna ergonomia aplikacji | bardzo dobra | dobra | bardzo dobra | bardzo dobra | dobra |
| System Pomocy/dokumentacja | bardzo dobra | bardzo dobra | bardzo dobra | dobra | dobra |
| + – tak, – – nie, +/- – częściowo, 1) aplikacja chroni wskazane foldery | |||||
