Технологии и продукты Microsoft в обеспечении ИБ Лекция 14. Криптографические механизмы Windows Цели Рассмотреть круг задач, на решение которых ориентирован BitLocker Рассмотреть различные режимы работы BitLocker Изучить функции и механизм работы EFS Ознакомиться с рекомендациями Microsoft по применению систем шифрования Проанализировать возможность совместного использования технологий BitLocker и EFS 2 Высшая школа экономики - 2009 Криптографические средства « - средства вычислительной техники, осуществляющие криптографическое преобразование информации для обеспечения ее конфиденциальности и контроля целостности» ГОСТ Р 50922-96. Защита информации. Основные термины и определения. 3 Высшая школа экономики - 2009 Безопасность данных зависит от физической безопасности ключей Высокая безопасность ключей Низкая безопасность ключей Высокая безопасность ключей Стойкое шифрование Стойкое шифрование Слабая криптозащита Защищенные данные Уязвимые данные Уязвимые данные 4 Высшая школа экономики - 2009 Обеспечение физической безопасности Как защитить ключи? 1. Спрятать в неожиданном месте ;-) • Хакеры скоро их обнаружат, поэтому механизм нужно часто менять. 2. Зашифровать? • Фактически, это означает перенос проблемы в другое место (особенно если ключ удаляется с одной машины и переносится на другую) 3. Защитить с использованием специализированной аппаратуры (TPM, смарткарты) • Превосходный выбор, если устройству можно доверять, и никто кроме вас не получит к нему доступ 4. Напечатать на бумаге • Подойдет для редко используемых ключей – но придется обеспечить бумаге безопасность 5 Высшая школа экономики - 2009 Защита данных Все существующие механизмы основаны на криптографии Различия: Защита ключей Стратегии восстановления Внедрение Пользовательский интерфейс Цель 6 Высшая школа экономики - 2009 BitLocker Цель: Защита от нарушения конфиденциальности данных в случае кражи ноутбука • Только в случае использования «вторичных» методов защиты: PIN, электронный замок Проверка целостности кода ОС Защита от атаки на жесткий диск Защита других ключей Упрощение утилизации Производительность В среднем 5-6% ЦПУ usage on average, максимум 15% 7 Высшая школа экономики - 2009 Область применения Сервер: физическая безопасность данных на сервере — защита данных при физическом изъятии жесткого диска и копировании данных. Клиент: физическая безопасность данных, особенно актуально применение этой технологии шифрования для ноутбуков, которые могут быть потеряны или украдены 8 Высшая школа экономики - 2009 Криптоалгоритмы BitLocker Suite-B AES-128-CBC с диффузором данных • Быстрый • Диффузор (Elephant) предотвращает атаки на основе манипуляций с открытым текстом AES-256-CBC с диффузором и без • Гораздо медленнее, чем AES-128-CBC AES-256 - для управления ключами Recovery key - 128 бит (48 цифр) Сохранить ключ в файл Сохранить ключ на USB-носителе Распечатать ключ Сохранить ключ Active Directory 9 Высшая школа экономики - 2009 Особенности Полное шифрование тома включая код ОС! Когда BitLocker работает, любой сохраняемый на жестком диске файл будет автоматически зашифрован НЕ шифруются: загрузочный сектор, поврежденные сектора, уже отмеченные как нечитаемые, метаданные тома. 10 Высшая школа экономики - 2009 Разметка диска для установки BitLocker Создать новый первичный раздел объемом 1,5 Гбайт. Сделать этот раздел активным. Создать другой первичный раздел на оставшемся месте на жестком диске. Отформатировать оба раздела, используя NTFS. Установить Windows Vista на больший из разделов. 11 Высшая школа экономики - 2009 BitLocker: рекомендации Нужно включить Для ноутбуков нужна дополнительная защита Восстановление: Надежная защита ключа восстановления При включении BitLocker без дополнительных параметров активируется шифрование жесткого диска без применения ТРМ – не лучший вариант с точки зрения безопасности, но единственно возможный в России, где использование TPM запрещено 12 Высшая школа экономики - 2009 Как включить BitLocker 13 Высшая школа экономики - 2009 BitLocker: рекомендации Нужно включить Для ноутбуков нужна дополнительная защита: Пароль, PIN, USB-ключи и т.д. Отпечатки пальцев? Слабая защита Восстановление: Надежная защита ключа восстановления 14 Высшая школа экономики - 2009 Вторичные методы защиты 15 Высшая школа экономики - 2009 BitLocker: рекомендации Нужно включить Для ноутбуков нужна дополнительная защита: Пароль, PIN, USB-ключи и т.д. Отпечатки пальцев? Слабая защита Восстановление: Надежная защита ключа восстановления 16 Высшая школа экономики - 2009 Как сохранить пароль восстановления 17 Высшая школа экономики - 2009 Рекомендации по созданию пароля восстановления Рекомендуется создать пароль восстановления и хранить его в безопасном месте, так как вся безопасность вашего компьютера будет зависеть от места хранения пароля восстановления Microsoft рекомендует иметь несколько копий пароля восстановления Однако при этом необходимо понимать, что в таком случае вам придется гарантировать сохранность всех резервных копий пароля восстановления 18 Высшая школа экономики - 2009 Процесс шифрования BitLocker До начала шифрования необходимо убедиться, что BitLocker сможет корректно прочесть ключи восстановления и шифрования Для этого необходимо вставить USB-устройство с паролем восстановления и выполнить перезагрузку компьютера Для ввода PIN-кода необходимо пользоваться клавишами F1-F10, где цифрам от 1 до 9 будут соответствовать клавиши F1-F9, а цифре 0 – F10 Если проверка прошла нормально, появится строка состояния Encryption in Progress После окончания этой процедуры диск будет зашифрован 19 Высшая школа экономики - 2009 Усовершенствование технологии BitLocker To Go —новая функция в Windows 7, позволяющая блокировать переносные запоминающие устройства, способные легко потеряться, например флэш-накопители USB и внешние жесткие диски 20 Высшая школа экономики - 2009 Encrypting File System (EFS) Цель: обеспечение конфиденциальности на уровне папок, не ограничивается машиной Workgroups Для нескольких пользователей Простота использования, управление через политики безопасности Стратегии восстановления: Агенты восстановления Escrow Бэкап ключей В Windows Vista/7/Server 2008/ EFS поддерживает смарткарты 21 Высшая школа экономики - 2009 Криптоалгоритмы EFS EFS поддерживает: AES-256 (по умолчанию Server 2003/2008), 192, 128 3DES – медленный DESX – принят только в Microsoft, разработан на базе DES, не следует использовать, т.к. не является стойким • Предупреждение: по умолчанию Windows XP! Обмен ключами: RSA и SHA-1 до Vista; алгоритмы из Suite-B для Windows Vista/ 7 / Server 2008 22 Высшая школа экономики - 2009 EFS : рекомендации Устанавливается на файловых серверах уровня департамента Необходимо, чтобы все цифровые сертификаты пользователей были доступны через AD Для защиты секретных ключей (on laptop/workstation) используются: Смарткарты BitLocker На Windows XP - “Protected Storage” • Надежность определяется надежностью пароля пользователя 23 Высшая школа экономики - 2009 Золотое правило криптографии «Если вы шифруете что-то дважды – вы, не понимаете, что делаете » BitLocker + EFS = ? 24 Высшая школа экономики - 2009 Использованные источники Авдошин С.М., Савельева А.А. Криптотехнологии Microsoft // М.: Новые технологии, 2008. Lukawiecki R. A-to-Z of Data Protection on the Windows Platform // Microsoft TechEd IT Forum, 2006. Безмалый В. BitLocker в Windows 7 // Windows IT Pro/RE #6/09, 2009 Безмалый В. Шифрование дисков с поддержкой ТРМ в Windows Server 2008 // Windows IT Pro/RE #8/07, 2007 25 Высшая школа экономики - 2009 Спасибо за внимание!