Лекция 14. Криптографические механизмы Windows Технологии и продукты Microsoft в обеспечении ИБ
Высшая школа экономики Цели Рассмотреть круг задач, на решение которых ориентирован BitLocker Рассмотреть различные режимы работы BitLocker Изучить функции и механизм работы EFS Ознакомиться с рекомендациями Microsoft по применению систем шифрования Проанализировать возможность совместного использования технологий BitLocker и EFS
Высшая школа экономики Криптографические средства « - средства вычислительной техники, осуществляющие криптографическое преобразование информации для обеспечения ее конфиденциальности и контроля целостности» ГОСТ Р Защита информации. Основные термины и определения.
Высшая школа экономики Безопасность данных зависит от физической безопасности ключей Высокая безопасность ключей Стойкоешифрование Защищенныеданные Низкая безопасность ключей Стойкоешифрование Уязвимые данные Высокая безопасность ключей Слабаякриптозащита Уязвимые данные
Высшая школа экономики Обеспечение физической безопасности Как защитить ключи? 1.Спрятать в неожиданном месте ;-) Хакеры скоро их обнаружат, поэтому механизм нужно часто менять. 2.Зашифровать? Фактически, это означает перенос проблемы в другое место (особенно если ключ удаляется с одной машины и переносится на другую) 3.Защитить с использованием специализированной аппаратуры (TPM, смарткарты) Превосходный выбор, если устройству можно доверять, и никто кроме вас не получит к нему доступ 4.Напечатать на бумаге Подойдет для редко используемых ключей – но придется обеспечить бумаге безопасность
Высшая школа экономики Защита данных Все существующие механизмы основаны на криптографии Различия: Защита ключей Стратегии восстановления Внедрение Пользовательский интерфейс Цель
Высшая школа экономики BitLocker Цель: Защита от нарушения конфиденциальности данных в случае кражи ноутбука Только в случае использования «вторичных» методов защиты: PIN, электронный замок Проверка целостности кода ОС Защита от атаки на жесткий диск Защита других ключей Упрощение утилизации Производительность В среднем 5-6% ЦПУ usage on average, максимум 15%
Высшая школа экономики Область применения Сервер: физическая безопасность данных на сервере защита данных при физическом изъятии жесткого диска и копировании данных. Клиент: физическая безопасность данных, особенно актуально применение этой технологии шифрования для ноутбуков, которые могут быть потеряны или украдены
Высшая школа экономики Криптоалгоритмы BitLocker Suite-B AES-128-CBC с диффузором данных Быстрый Диффузор (Elephant) предотвращает атаки на основе манипуляций с открытым текстом AES-256-CBC с диффузором и без Гораздо медленнее, чем AES-128-CBC AES для управления ключами Recovery key бит (48 цифр) Сохранить ключ в файл Сохранить ключ на USB-носителе Распечатать ключ Сохранить ключ Active Directory
Высшая школа экономики Особенности Полное шифрование тома включая код ОС! Когда BitLocker работает, любой сохраняемый на жестком диске файл будет автоматически зашифрован НЕ шифруются: загрузочный сектор, поврежденные сектора, уже отмеченные как нечитаемые, метаданные тома.
Высшая школа экономики Разметка диска для установки BitLocker Создать новый первичный раздел объемом 1,5 Гбайт. Сделать этот раздел активным. Создать другой первичный раздел на оставшемся месте на жестком диске. Отформатировать оба раздела, используя NTFS. Установить Windows Vista на больший из разделов.
Высшая школа экономики BitLocker: рекомендации Нужно включить Для ноутбуков нужна дополнительная защита Восстановление: Надежная защита ключа восстановления При включении BitLocker без дополнительных параметров активируется шифрование жесткого диска без применения ТРМ – не лучший вариант с точки зрения безопасности, но единственно возможный в России, где использование TPM запрещено
Высшая школа экономики Как включить BitLocker
Высшая школа экономики BitLocker: рекомендации Нужно включить Для ноутбуков нужна дополнительная защита: Пароль, PIN, USB-ключи и т.д. Отпечатки пальцев? Слабая защита Восстановление: Надежная защита ключа восстановления
Высшая школа экономики Вторичные методы защиты
Высшая школа экономики BitLocker: рекомендации Нужно включить Для ноутбуков нужна дополнительная защита: Пароль, PIN, USB-ключи и т.д. Отпечатки пальцев? Слабая защита Восстановление: Надежная защита ключа восстановления
Высшая школа экономики Как сохранить пароль восстановления
Высшая школа экономики Рекомендации по созданию пароля восстановления Рекомендуется создать пароль восстановления и хранить его в безопасном месте, так как вся безопасность вашего компьютера будет зависеть от места хранения пароля восстановления Microsoft рекомендует иметь несколько копий пароля восстановления Однако при этом необходимо понимать, что в таком случае вам придется гарантировать сохранность всех резервных копий пароля восстановления
Высшая школа экономики Процесс шифрования BitLocker До начала шифрования необходимо убедиться, что BitLocker сможет корректно прочесть ключи восстановления и шифрования Для этого необходимо вставить USB-устройство с паролем восстановления и выполнить перезагрузку компьютера Для ввода PIN-кода необходимо пользоваться клавишами F1-F10, где цифрам от 1 до 9 будут соответствовать клавиши F1-F9, а цифре 0 – F10 Если проверка прошла нормально, появится строка состояния Encryption in Progress После окончания этой процедуры диск будет зашифрован
Высшая школа экономики Усовершенствование технологии BitLocker To Go новая функция в Windows 7, позволяющая блокировать переносные запоминающие устройства, способные легко потеряться, например флэш-накопители USB и внешние жесткие диски
Высшая школа экономики Encrypting File System (EFS) Цель: обеспечение конфиденциальности на уровне папок, не ограничивается машиной Workgroups Для нескольких пользователей Простота использования, управление через политики безопасности Стратегии восстановления: Агенты восстановления Escrow Бэкап ключей В Windows Vista/7/Server 2008/ EFS поддерживает смарткарты
Высшая школа экономики Криптоалгоритмы EFS EFS поддерживает: AES-256 (по умолчанию Server 2003/2008), 192, 128 3DES – медленный DESX – принят только в Microsoft, разработан на базе DES, не следует использовать, т.к. не является стойким Предупреждение: по умолчанию Windows XP! Обмен ключами: RSA и SHA-1 до Vista; алгоритмы из Suite-B для Windows Vista/ 7 / Server 2008
Высшая школа экономики EFS : рекомендации Устанавливается на файловых серверах уровня департамента Необходимо, чтобы все цифровые сертификаты пользователей были доступны через AD Для защиты секретных ключей (on laptop/workstation) используются: Смарткарты BitLocker На Windows XP - Protected Storage Надежность определяется надежностью пароля пользователя
Высшая школа экономики Золотое правило криптографии «Если вы шифруете что-то дважды – вы, не понимаете, что делаете » BitLocker + EFS = ?
Высшая школа экономики Использованные источники Авдошин С.М., Савельева А.А. Криптотехнологии Microsoft // М.: Новые технологии, Lukawiecki R. A-to-Z of Data Protection on the Windows Platform // Microsoft TechEd IT Forum, Безмалый В. BitLocker в Windows 7 // Windows IT Pro/RE #6/09, 2009 Безмалый В. Шифрование дисков с поддержкой ТРМ в Windows Server 2008 // Windows IT Pro/RE #8/07, 2007
Спасибо за внимание!