М ЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ
INTERNATIONAL BANKING INSTITUTE
ТЕМА 11. ИСПОЛЬЗОВАНИЕ ЗАЩИЩЕННЫХ КОМПЬЮТЕРНЫХ СИСТЕМ
Цели и задачи изучения темы:
познакомить с основными технологиями построения защищенных ЭИС;
сформировать представление о моделях безопасности и их применении;
ознакомить со средствами защиты информации от несанкционированного использования;
ознакомить с основными методами защиты информации от несанкционированного использования;
приобрести навыки практической работы с программными средствами защиты информации от несанкционированного использования;
Оглавление:
ТЕМА 11. ИСПОЛЬЗОВАНИЕ ЗАЩИЩЕННЫХ КОМПЬЮТЕРНЫХ СИСТЕМ 1
11.1. Аппаратно/программные средства защиты информации от несанкционированного использования 1
11.2. Стандарт сетевой аутентификации IEEE 802.1x 18
11.3. Протоколы аутентификации 31
11.4. Комплект протоколов IP-Security (IP-Sec) 39
11.1. Аппаратно/программные средства защиты информации от несанкционированного использования
В условиях современного динамического развития общества и усложнения технической и социальной инфраструктуры информация становится таким же стратегическим ресурсом, как традиционные материальные и энергетические ресурсы. Современные информационные технологии, позволяющие создавать, хранить, перерабатывать и обеспечивать эффективные способы представления информационных ресурсов потребителю, стали важным фактором жизни общества и средством повышения эффективности управления всеми сферами общественной деятельности. Уровень использования информации становится одним из существенных факторов успешного экономического развития и конкурентоспособности региона как на внутреннем, так и на внешнем рынке.
Осознание мировым сообществом роли информации как стратегического ресурса стимулировало разработки новых информационных технологий для получения и переработки больших объемов информации и ее хранения и предоставления пользователям. Первое место среди новых технологий занимают сетевые информационные технологии.
Информация является важнейшим стратегическим ресурсом, и наибольший экономический и социальный успех сегодня сопутствует тем странам, которые активно используют современные средства компьютерных коммуникаций и сетей, информационных технологий и систем управления информационными ресурсами. Перенесенные на электронные носители информационные ресурсы приобретают качественно новое состояние и становятся активными. Доступная для оперативного воспроизводства средствами компьютерной обработки информация является важнейшим фактором социального развития общества.
В настоящее время наиболее развитые страны мира находятся на завершающей стадии индустриального этапа развития общества и перехода к следующему, информационному, этапу развития и построения "Информационного общества" (ИО). Широкое использование информационных технологий и современных средств доступа к информации открыло принципиально иные возможности построения более сбалансированного общества, с существенно большей реализацией индивидуальных возможностей его членов. "Информационное общество" несет в себе огромный потенциал для улучшения жизни граждан и повышения эффективности социального и экономического устройства государства.
По ряду причин использование Internet/Intranet технологий при создании информационных ресурсов и построении защищенных экономических информационных систем (ЭИС) становится доминирующим в мировом информационном пространстве.
Достоинства этих технологий:
позволяют организовать с достаточной простотой для пользователя системы поиска нужной информации.
предъявляют минимальные требования как с технической стороны так и со стороны программного обеспечения к рабочему месту клиента (клиент работает со стандартным программным обеспечением и единственным требованием является поддержка работы WWW просмотрщика-браузера).
поддерживают распределенные системы хранения информации и множественные методы ее хранения.
поддерживают работу с практически неограниченным объемом разноплановых данных (текст, графика, изображение, звук, видео, векторные карты и др.).
предоставляют технологически простой способ администрирования информационных систем с одного рабочего места.
поддерживают удаленные методы редактирования и пополнения информации.
Основой построения информационных систем с использованием Intranet технологии является организация системы доступа к информации через WWW сервис Internet. Internet технология позволяет оперативно управлять и актуализировать информацию, хранящуюся в базах данных через просмотрщик (браузер) WWW страниц.
Основной принцип, заложенный в Intranet технологию создания информационных ресурсов и построения информационных систем, заключается в разделении вычислительных ресурсов как между многочисленными серверами, расположенными в различных концах сети, так и между серверами и клиентами (компьютер на котором работает конечный пользователь). Реализация этого принципа основана на использовании либо HTTP-SQL (формирование SQL запросов к БД с WWW сервера), либо API (организация динамических приложений на стороне сервера), либо Java (JDBC - организация динамических приложений на стороне клиента) интерфейсов для формирования запросов пользователя к базам данных или к другим информационным источникам на получение и обработку информации.
Internet технология позволяет удачно сочетать возможности гипертекстового оформления информации c использованием возможностей современных СУБД. Причем со стороны клиента полностью унифицируются запросы на поиск и представление информации, а также получение аналитических справок и данных из информационных систем.
Вместе с тем эти технологии позволяют использовать в сетевом режиме уже имеющиеся базы данных, не затрачивая при этом средства на их унификацию и приведение к единому стандарту. Основные затраты здесь направлены только на соответствующие описания баз данных и запросов для HTTP-SQL интерфейса или для сервера обработки транзакций, при этом базы данных могут находиться на различных компьютерах, расположенных на произвольном расстоянии друг от друга. Использование данной технологии позволяет решать весь спектр задач, присущий информационной системе, включая удаленный ввод и редактирование данных.
Значительно снизить финансовые затраты при создании ЭИС, соответствующих современному уровню, возможно в результате выполнения организационных мероприятий, призванных осуществлять:
экспертизу проектов ЭИС;
научно-методическое руководство и консультирование при проведении анализа предметной области, проектирования и реализации ЭИС;
комплексный анализ состояния предприятий, выработку рекомендаций по их реструктуризации с последующим внедрением ЭИС, обеспечивающих реализацию эффективных моделей управления;
надзор за реализацией ЭИС ( соответствие выбранным стандартам, установленным планам, рекомендованным технологиям);
взаимодействие с ведущими компаниями в области информационных технологий, научными и учебными центрами.
При разработке информационных систем особое внимание должно уделяться этапам анализа и проектирования.
Любая ЭИС, построенная на основе клиент-серверных Интернет-технологий, должна содержать следующие серверные компоненты:
шлюз-сервер, управляющий правами доступа к информационной системе;
WWW-сервер;
сервер баз данных;
сервер приложений и(или) сервер обработки транзакций.
Одним из самых надежных способов борьбы с нелегальным копированием информации является использование электронных ключей. Эти компактные устройства обычно устанавливаются на порты компьютера (параллельный или последовательный), но существуют также решения для шины USB или для установки в слот ISA. При использовании ключа защищенное программное обеспечение "привязывается" не к конкретному компьютеру, а именно к ключу. Поэтому на практике пользователь может взять ключ с собой и продолжить работу с защищенными данными, скажем, на домашнем компьютере. В основе электронных ключей лежат ASIC-процессоры (Application Specific Integrated Circuit).
Так, например, современный ASIC-чип, разработанный инженерами компании Aladdin, производится по 1,5-микронной Е2-технологии и содержит более 2500 вентилей на кристалле. По информации производителей электронных ключей (Aladdin, Rainbow), эти устройства, устанавливаемые на порты компьютера, "прозрачны" для периферийного оборудования и не мешают его работе.
Многие электронные ключи позволяют осуществлять их касдирование (то есть подсоединять несколько таких устройств друг к другу, образуя цепь ключей длиной 10 и более штук).
Электронные ключи, входящие в состав аппаратно-программной инструментальной системы серии Aladdin HASP, не содержат элементов питания, имеют до 496 байт EPROM-памяти, доступной для чтения и записи, и возможность генерации уникальной серии кодов с использованием функции y=f(x), где х - отправляемое в ключ целое число в диапазоне от 0 до 65 535, а у - возвращаемые ключом четыре целых числа из того же диапазона.
Система HASP предоставляет широкий выбор различных методов защиты:
с использованием защитного "конверта" (Envelope) для уже готовых DOS и 16/32-разрядных Windows-приложений без вмешательства в исходный код программы. Защищаются программные файлы (в том числе и содержащие внутренние оверлеи). Тело программы кодируется, и в нее добавляется специальный модуль, который при запуске защищенной программы перехватывает управление.
с использованием функций API. Программа может осуществлять вызовы функции обращения к ключу из многих мест; результаты могут быть разбросаны по всему телу программы или библиотек DLL и хорошо замаскированы. Встраивание в программу вызовов API требует от разработчика некоторых усилий при программировании и модернизации программы.
с использованием структурного кода PCS (Pattern Code Security), который предполагает наличие в теле программы множества структур специального вида. При вызове обращения к ключу HASP в различных частях программы происходит изменение значений переменных во всех структурах, причем отследить причинно-следственную связь и логику происходящих изменений крайне сложно. Пожалуй, одним из основных достоинств электронных ключей с точки зрения разработчиков программного обеспечения является возможность применять известные методы маркетинга программ. Например, использование ключей со встроенным таймером позволяет предоставлять программы в лизинг (долгосрочную аренду с правом последующего выкупа), аренду и для ограниченного по времени использования (например, ключи серии TimeHASP).
Не менее перспективной идеей для заинтересованных разработчиков является возможность контроля оплаты лицензии за установку новых клиентских частей сетевых программных продуктов.
Электронные ключи, имеющие некоторый объем внутренней памяти, могут хранить идентификационную информацию о продукте, иметь счетчик запусков, определять тип версии (демонстрационная или рабочая), разрешать выполнение отдельных модулей программы, "помнить" таблицы адресов переходов, пароли и настройки программ. Такие ключи могут контролировать сотни выполняемых программ. В частности, электронный ключ Rainbow Sentinel SuperPro содержит 128 байт собственной памяти, доступной для чтения и записи. Она организована в виде 64-х 16-битных слов, куда может быть записана служебная и пользовательская информация (тот же счетчик запусков программ и другие функции).
Один сетевой электронный ключ позволяет организовать процедуру лицензирования в сети, то есть контролировать и ограничивать количество одновременно запущенных копий программы. Ключ может устанавливаться на выделенном или невыделенном сервере или на рабочей станции. Например, при подключении ключа NetHASP к серверу запускается специальная программа HASP-server (VAP, NLM, VxD или TSR-драйвер). Реальное количество лицензий задается при заводском программировании ключа (от 5 до Unlimited пользовательских лицензий). Но имеется возможность изменять количество сетевых лицензий в сторону уменьшения самим разработчиком защищаемых программ.
Пользователь защищенных программ также может получить возможность дистанционного перепрограммирования ключа (при урегулировании с производителем программ всех финансовых вопросов): переустановить счетчик запусков программы, продлить срок аренды, увеличить число лицензий, перейти из демонстрационного режима в рабочий, обеспечить доступ к заблокированным модулям программы и многое другое. Выгода для производителей ясна: применение электронных ключей позволяет гибко выбирать схему защиты программного обеспечения и контроля за его оборотом. Процедура тиражирования защищенного программного продукта упрощается, так как защита на программу ставится только один раз, а потом тиражируется эталонный мастер-диск.
Остается добавить, что существует огромное множество вариаций электронных ключей, совместимых со всеми сетевыми средами, операционными системами (в том числе UNIX) и предназначенными для различных интерфейсов (в том числе для Macintosh ADB-порта, USB, японского стандарта Centronics36 и других).
Одним из самых защищенных в мире считается электронный ключ Hardlock. ASIC-чип этих устройств программируется только с использованием специальной платы Crypto Programmer Card, что обеспечивает почти полностью безопасное хранение ключевой информации. Каждый экземпляр этой платы является уникальным и позволяет задать 43680 векторов инициализации алгоритма кодирования, которые могут быть использованы при программировании ключа ASIC-чипа. По словам представителей компании Aladdin, логику работы чипа практически невозможно воспроизвести, а содержащийся в его памяти микрокод невозможно эмулировать или декодировать. Чип кодирует данные блоками по 64 бита. Количество комбинаций кода - 2**48. Ток, потребляемый этим устройством, составляет всего 100 мкА. Hardlock осуществляет защиту DOS/Windows-приложений и связанных с ними файлов данных в "прозрачном" режиме. При чтении данные автоматически декодируются, а при записи кодируются с использованием заданного алгоритма, реализованного аппаратно. Эту возможность данного устройства можно использовать для хранения и безопасной передачи информации в сети Internet.
Большинство описанных выше систем защиты данных возводит препятствия для осуществления "кражи" данных (то есть их изъятия в момент отсутствия хозяина). Но существует и другой вариант: например, когда вас принуждают к снятию всех паролей и других степеней защиты, то есть происходит то, что на языке юристов квалифицируется как разбой. Представим себе достаточно маловероятную ситуацию, когда злоумышленники стоят за спиной и вежливо, но "настойчиво" просят открыть доступ к защищенным данным. Существуют соответствующие системы защиты персональных данных. Одной из таких перспективных систем является SecretDisk, предназначенная для пользователей настольных и мобильных компьютеров, работающих под управлением ОС Windows. Защищаемые данные хранятся на секретном логическом диске жесткого диска в закодированном виде. Для доступа к данным необходимо предъявление пароля и электронного идентификатора. В качестве электронного идентификатора могут использоваться различные конфигурации электронных ключей (в том числе и для PCMCIA) и устройства для чтения смарт-карт. В памяти электронного идентификатора хранится главный ключ, без которого получение доступа к данным на секретном диске невозможно. Пользователи могут создать злоумышленникам (как, впрочем, и самим себе) дополнительные сложности, установив парольную защиту на секретный логический диск. В случае корректного входа в системе "появляется" новый диск, при записи на который данные кодируются, а при чтении - декодируются. Утилита администрирования позволяет менять размер секретных логических дисков (они могут быть и сетевыми), изменять пароли и настраивать систему защиты.
Электронные водяные знаки. Возникает вопрос: можно ли, используя криптографические технологии, обеспечить подлинность важного бумажного документа (завещания, доверенности, или иного юридического документа)? Традиционный подход – это составление юридического документа на бумаге с водяными знаками или иными защитными элементами. Такой подход требует наличия специального бланка на момент составления документа или наличия типографии со специальным оборудованием. А что делать, когда уже имеется бумажный документ и требуется немедленно защитить его от подделки? При сегодняшнем уровне технологий полноцветной печати подделка нотариально заверенных документов или изготовление копий документов не представляет никакой сложности.
Известно, что каждый лист бумаги уникален по структуре образующих его волокон. С появлением недорогих сканеров, имеющих высокое разрешение и надежных технологий распознавания образов, стало возможно анализировать микроструктуру бумаги и использовать полученную информацию для обеспечения уникальности документа.
На сегодняшний день уже имеется проработанная технология (доведенная до программно/аппаратного решения), обеспечивающая уникальность бумажных документов, использующая вышеизложенную идею. Выбранный документ сканируется с высоким разрешением, и в просканированном образе выделяются несколько особенностей (микровкрапления, характерные изгибы образующих волокон, и т.д.). Здесь имеется определенная аналогия с технологией анализа отпечатков пальцев. Полученные данные преобразуются в двоичный массив, для которого вычисляется хэш-функция.
Полученное значение хэш-функции и является аналогом "водяного знака" и обеспечивает уникальность документа. Легко заметить, что предложенную технологию легко расширить и значение хэш-функции печатать прямо на бланке документа вместе с печатью нотариуса при нотариальном заверении документа. Но такой подход требует соответствующего законодательства.
Можно даже использовать хэш-функцию с ключом или электронно-цифровую подпись. Попытки использовать "электронные водяные знаки" для небумажных носителей пока, к сожалению, не имели успеха. Самым известным примером может служить попытка защиты DVD-дисков от нелегального распространения. Идея разработчиков состояла в том, чтобы помимо шифрования информации на диске, помещать на него некоторую информацию, которая терялась или переставала быть актуальной на копии. Практика показала, что попытки внедрить подобную технологию оказались неудачными. Тема шифрования DVD сама по себе заслуживает отдельного внимания, как пример неудачного применения криптографии и демонстрации порочности принципа "безопасность через неизвестность".
Приведенный пример, кстати, отражает глубокое, и, к сожалению, часто не замечаемое различие традиционных документов и электронных. Суть этой разницы хорошо видна на примере применения электронной подписи. Программа проверки подписи, вообще говоря, может установить лишь то, что проверяемый документ был подписан с использованием ключа, имеющего указанный идентификатор и подпись верна (либо - не верна). Но по электронной подписи нельзя определить очень важное: кто именно воспользовался данным ключом.
Пусть, например, для вычисления "контрольной суммы" легального DVD-диска использовались такие его характеристики, как материал покрытия, данные, нанесенные штрих-кодом, код завода-изготовителя и серийный номер диска. Имея алгоритм вычисления такой "контрольной суммы", потенциальные "пираты" в состоянии изготовить неограниченное число копий просто перевычисляя "контрольную сумму" в процессе изготовления для тех "болванок" дисков, которые имеются в их распоряжении. В результате, любой DVD-проигрыватель воспримет так изготовленный диск как легальный.
Семейство приборов Touch Memory. В настоящее время все более широкое распространение получает семейство приборов Touch memory (ТМ), производимое фирмой Dallas Semiconductors. Эти приборы представляют собой энергонезависимую статическую память с многократной записью/чтением, которая размещается внутри металлического корпуса. Существует несколько причин популярности этих приборов. Первая - это высокая надежность, поскольку вывести touch-memory из строя достаточно трудно.
Одним из основных отличий приборов Touch Memory от других компактных носителей информации является конструкция корпуса. Помимо защиты стальной корпус выполняет также роль электрических контактов. Приемлемы и массо-габаритные характеристики - таблетка диаметром с двухкопеечную монету и толщиной 5 мм очень подходит для таких применений. Каждый прибор семейства является уникальным, так как имеет свой собственный серийный номер, который записывается в прибор с помощью лазерной установки во время его изготовления и не может быть изменен в течение всего срока службы прибора. В процессе записи и тестирования на заводе гарантируется, что не будет изготовлено двух приборов с одинаковыми серийными номерами.
Так исключается возможность подделки приборов. В отличие от обычной памяти с параллельным портом адреса/данных, память приборов Touch Memory имеет последовательный интерфейс. Данные записываются/читаются в память по одной двунаправленной сигнальной линии. По этой линии в прибор передаются команды и данные, считываются данные. При этом используется широтно-импульсный метод кодирования. Логические сигналы "1" и "0" с уровнем от +5В до 0В передаются импульсами различной длительности. Такой цифровой интерфейс позволяет подключать приборы Touch Memory непосредственно к персональным ЭВМ или через микропроцессорный контроллер. Важной особенностью приборов является низкая потребляемая мощность, что позволяет использовать встроенную в корпусе прибора миниатюрную литиевую батарейку для сохранения информации в памяти в течении 10 лет. Существуют конкретные разработки аппаратно - программных комплексов защиты информации на базе touch memory. В качестве примера можно рассмотреть систему QPDOS, разработанную специалистами из АО " РНТ ". QPDOS является функциональным расширением MS-DOS и предназначена для использования в составе ПК на базе IBM РС/АТ. QPDOS полностью контролирует и управляет доступом всех пользователей к ресурсам и данным ПК.
В качестве функциональных частей QPDOS могут быть включены следующие подсистемы:
регистрации и учета, предназначенную для протоколирования событий, происходящих в системе, контроля за возможными попытками НСД, учета сеансов пользователей и генерации отчетов;
оперативного контроля, позволяющую оперативно наблюдать с ПК администратора системы за событиями и действиями пользователей, которые происходят на любом ПК в составе сети;
контроля целостности и защиты от копирования программного обеспечения;
запрещения начальной загрузки с ГМД, предотвращающую возможность обхода системы защиты нарушителем с помощью загрузки ПК со своей системной дискеты;
криптографическую, которая представляет собой драйвер MS-DOS, осуществляющий зашифрование и расшифрование информации на отдельных логических дисках ПК в прозрачном для прикладных программ режиме. Кроме этого подсистема включает средства для генерации ключей шифрования и перешифрования информации на новом ключе, и ввода ключей шифрования в систему с электронных ключей Touch Memory.
EFS (Encrypting File System - шифрующая файловая система) - нововведение, появившееся в ОС Windows 2000. С ее помощью любой пользователь может зашифровывать или расшифровывать собственные файлы и папки при условии, что они находятся в разделе диска, отформатированном в файловой системе NTFS Windows 2000. Для того, чтобы зашифровать файл, требуется либо включить режим шифрования файла в окне настройки его свойств, либо поместить файл в папку, для которой этот режим уже был включен. Сам процесс шифрования и расшифровывания документов «прозрачен» (незаметен) для пользователя. После того, как включен режим шифрования, пользователь продолжает работать с файлом так же, как и раньше. Нет никакой необходимости при каждой операции доступа к файлу сначала его расшифровывать, а затем снова зашифровывать.
Файлы или папки, зашифрованные с помощью EFS, могут быть расшифрованы только пользователем, который их зашифровал, или же с помощью агента восстановления (EFS Recovery Agent). По умолчанию агентом восстановления назначена учетная запись локального администратора. Система EFS не предусматривает возможности обмена зашифрованными файлами. Это означает, что, если пользователи Алиса и Макс являются участниками группы Users (Пользователи) и не являются агентами восстановления, то Алиса сможет зашифровать свой файл и отправить его по электронной почте Максу, но Макс не сможет его расшифровать. Таким образом, шифрующую файловую систему EFS можно рассматривать только как индивидуальное средство шифрования.
В EFS используется алгоритм шифрования с 56-битовым ключом Expanded Data Encryption Standard (DESX). Пользователи, проживающие в Северной Америке, мот получить модуль поддержки 128-битовых ключей, заказав у компании Microsoft продукт Enhanced CryptoPAK. Файлы, зашифрованные с помощью 128-битового ключа, не могут быть расшифрованы, открыты или восстановлены на системе, которая поддерживает только 56-битовый ключ.
Режим шифрования включается в окне Advanced Attributes (Допопнительные атрибуты), которое открывается после щелчка на кнопке Others (Другие) диалогового окна свойств файла или папки. Если вы зашифровали папку, то все находящиеся в ней файлы к вложенные папки автоматически будут также зашифрованы. Шифрование поддерживается только для файлов и папок, которые находятся в разделе жесткого диска, отформатированного в файловой системе NTFS. Несмотря на то, что в разделах NTFS Windows 2000 можно зашифровать большинство файлов и папок, системные файлы являются исключением.
Зашифрованные файлы остаются таковыми и после их перемещения или копирования в другую папку NTFS или в другой раздел, даже если новая папка не помечена как шифруемая. С другой стороны, обычные файлы, будучи помещенными из обычной папки в шифруемую, также шифруются. Если же зашифрованные файлы перемещаются или копируются на том, который работает под управлением файловой системы, отличной от файловой системы NTFS, то перед записью на диск они расшифровываются. То же самое происходит, естественно, и при копировании зашифрованных файлов на дискету. Для того, чтобы поместить зашифрованные файлы на дискету или на другой носитель, отформатированный в файловой системе FAT, можно воспользоваться программой Windows 2000 Backup (Архивация) - она сначала создаст резервную копию зашифрованного файла, а затем поместит файл резервной копии зашифрованного файла на носитель FAT. Если, впоследствии такой файл восстановить из резервной копии в раздел диска NTFS, то он останется зашифрованным. Иными словами, если пользователь Алиса создаст резервную копию одного из своих зашифрованных файлов, то пользователь Макс не сможет восстановить этот файл в раздел FAT и прочесть его.
Примечание. Шифрование файлов не защищает их от удаления. Если, Алиса и Макс совместно используют один и тот же компьютер и оба имеют разрешение Modify (Изменить) на доступ к папке, то Макс не сможет расшифровать и прочесть файл, зашифрованный Алисой (и находящийся в этой папке), но, несмотря на это, он сможет его удалить.
Исходя из этого, можно порекомендовать установить режим шифрования для папки Temp и других подобных папок, содержащих временные файлы рабочих документов: это обеспечит шифрование всех файлов, находящихся в данных папках.
Удаленное хранение зашифрованных файлов. Если, папка на удаленном компьютере с ОС Windows 2000 была помечена как шифруемая, и у вас имеется разрешение на ее использование, то вы можете шифровать и расшифровывать находящиеся в ней файлы. Однако необходимо отдавать себе отчет в том, что в момент открытия или сохранения таких файлов их содержимое пересылается по сети в незашифрованном виде (шифрование и расшифровывание выполняются по месту хранения файла). Более того, если вы копируете зашифрованный файл, находящийся на вашем компьютере, в удаленную папку, то он сначала расшифровывается, затем пересылается по сети в открытом виде, и только после этого зашифровывается удаленной системой. Поэтому, для того, чтобы защитить файлы при передаче по сети, необходимо использовать протокол SSL/PCT или IPSec.
Для того, чтобы использовать удаленное шифрование, сервер, работающий под управлением ОС Windows 2000, должен быть назначен в качестве доверенного для делегирования сервера. Это свойство сервера устанавливается с помощью средства Active Directory Users and Computers (Active Directory - пользователи и компьютеры).
Работа Encrypting File System. Для каждого файла назначается уникальный ключ шифрования FEK (File Encryption Key), который по своему назначению напоминает сеансовый ключ или личный ключ, применяемый в симметричных алгоритмах шифрования. Файл шифруется с помощью ключа FEK, а сам ключ FEK шифруется открытым ключом пользователя. Таким образом, для того чтобы расшифровать файл, необходимо знать личный ключ законного пользователя, предназначенный для расшифровывания FEK, с помощью которого затем расшифровывается файл. Ключ FEK шифруется также и с помощью открытого ключа агента восстановления. По этой причине агент восстановления также может расшифровать файл.
Система EFS использует как алгоритм с многоразовыми открытым и личным ключами, так и алгоритм, построенный на применении одноразового сеансового ключа. Пара, состоящая из открытого и личного ключей, предназначена для того, чтобы только законный пользователь и агент восстановления могли расшифровать сеансовый ключ, который, в свою очередь, необходим для собственно расшифровывания файла. Личные ключи размещаются не в каталоге SAM (или в каком-то отдельном каталоге), а в хранилище ключей пользователя. Их можно также экспортировать на съемный носитель и хранить отдельно (для обеспечения возможности восстановления). Именно так и рекомендуется поступать с ключом агента восстановления - экспортировать его и хранить вне системы, работающей под управлением ОС Windows 2000 Professional.
Установленные по умолчанию ключи уже подписаны, иными словами, для управления ими не нужен уполномоченный центр сертификации (СА - Certificate Authority). Такой подход потенциально опасен, так как пользователи не всегда понимают необходимость резервного копирования ключей или их защиты, в результате чего задача управления множеством ключей полностью ложится на администратора и является при этом чрезвычайно сложной или вообще невыполнимой. Для того, чтобы обеспечить должный уровень управления ключами, следует создать уполномоченный центр сертификации предприятия (Enterprise Certificate Authority), интегрированный с Active Directory. С помощью средства Group Policy (Групповая политика) EFS можно отключить.
Ключ FEK хранится в поле DDF (Data Decryption Field), присоединенном к файлу EFS. Так как для расшифровывания FEK необходимо знать личный ключ пользователя - владельца этого файла, а к нему не имеет доступа никто, кроме самого пользователя, никто соответственно не сможет расшифровать файл. При каждом сохранении файла создается новое поле DDF. Ключ FEK также шифруется с помощью открытого ключа агента восстановления и размещается в специальном поле DRF (Data Recovery Field). В последнем может содержаться дополнительная информация, предназначенная для обеспечения работы нескольких агентов восстановления.
На рис. 11.1 изображены процессы шифрования и расшифровывания. В частности, прямоугольник, показанный в правой части рис. 11.1, представляет зашифрованный файл с полями DDF и DRF. Ниже приведено краткое описание процессов шифрования и расшифровывания.
Итак, процесс шифрования выполняется в следующем порядке.
1. Исходный файл зашифровывается с помощью FEK.
2. Копия FEK шифруется с помощью открытого ключа пользователя и сохраняется в DDF.
3. Еще одна копия FEK шифруется с использованием открытого ключа агента восстановления и сохраняется в DRF.
Рис. 11.1. Шифрование и расшифрование файла в системе EFS
Процесс расшифровывания выполняется в следующем порядке.
1. С помощью личного ключа пользователя расшифровывается DDF или же с помощью личного ключа агента восстановления расшифровывается DRF. В любом случае по окончании расшифровывания становится известным FЕК.
2. С помощью FЕК файл расшифровывается.
Хотя это и не является обязательным требованием, в больших сетях все же рекомендуется создавать специальные центры сертификации (ЦС), призванные генерировать сертификаты для агентов восстановления и пользователей, а также управлять этими сертификатами. При наличии в сети ЦС EFS не генерирует сертификаты самостоятельно, а запрашивает их у такого уполномоченного узла.
Наличие в сети ЦС обеспечивает следующие преимущества:
централизованное управление ключами. При отсутствии ЦС на каждом компьютере, работающем под управлением Windows 2000, хранятся ключи всех пользователей, имеющих доступ к компьютеру. В качестве агента восстановления назначается учетная запись локального администратора. В такой конфигурации создание резервных копий ключей всех пользователей или управление ими становится очень трудной задачей;
централизованное управление агентами восстановления. Помимо проблемы, связанной с большим количеством агентов восстановления, существует еще одна, не меньшая, проблема - любой пользователь, который является локальным администратором какого-либо компьютера, может расшифровывать и зашифровывать файлы других пользователей, хранящиеся на его компьютере.
возможность генерации централизованного списка отозванных сертификатов (CRL - Certificate Revocation List). Если безопасность личного ключа агента восстановления по каким-то причинам стала вызывать сомнения, лучший метод устранения опасности того, что этим ключом воспользуется злоумышленник, состоит в генерации соответствующего CRL.
возможность выдачи новых пользовательских сертификатов. Если нарушена безопасность личного ключа пользователя, новый сертификат взамен старого, а также соответствующую ему новую пару ключей может сгенерировать только ЦС.
Ранее зашифрованные файлы могут по-прежнему содержать поле DRF с ключом, зашифрованным с помощью открытых ключей агентов восстановления. Поэтому, перейдя к использованию ЦС, рекомендуется какое-то время хранить архив с ключами агентов восстановления, чтобы обеспечить возможность восстановления файлов, зашифрованных до внедрения узлов сертификации.
В ОС Windows 2000 имеется встроенная политика восстановления. Для того чтобы пользователи смогли шифровать и расшифровывать свои файлы, нужно применить эту политику. Как уже описывалось, восстановление данных становится возможным благодаря назначению агента восстановления (по умолчанию - администратора). Этот агент получает сертификат и соответствующий личный ключ, который позволяет восстановить данные в пределах его администраторских полномочий (т.е. на уровне всего комплекса, отдельного домена, подразделения, рабочей группы или локального диска отдельной рабочей станции).
Политику восстановления можно изменить с помощью оснастки Group Policy (Групповая политика) консоли ММС. На изолированном компьютере политика конфигурируется локально, а в домене - на уровне всего домена, отдельных подразделений или на уровне отдельных компьютеров, что и определяет область действия этой политики.
Необходимо отметить, что шифрование может применяться в системе, не имеющей подключения к сети.
|
