4. Організація шифрування даних у середовищі Windows засобами bitlocker

Шифрування - оборотне перетворення інформації з метою приховування від неавторизованих осіб, з наданням, в цей же час, авторизованим користувачам доступу до неї. Головним чином, шифрування служить завданням дотримання конфіденційності переданої інформації. Важливою особливістю будь-якого алгоритму шифрування є використання ключа, який підтверджує вибір конкретного перетворення із сукупності можливих для даного алгоритму.

Користувачі є авторизованими, якщо вони володіють певним автентичним ключем. Вся складність і, власне, завдання шифрування полягає в тому, як саме реалізован цей процес.

В цілому, шифрування складається з двох складових - зашифрування і розшифрування.

За допомогою шифрування забезпечуються три стану безпеки інформації :

• Конфіденційність - шифрування використовується для приховування інформації від неавторизованих користувачів при передачі або при зберіганні.

• Цілісність - шифрування використовується для запобігання зміни інформації при передачі або зберіганні.

• Ідентифікованість - шифрування використовується для аутентифікації джерела інформації та запобігання відмови відправника інформації від того факту, що дані були відправлені саме їм.

Для того, щоб прочитати зашифровану інформацію, приймаючій стороні необхідні ключ і дешифратор (пристрій, що реалізує алгоритм розшифрування). Ідея шифрування полягає в тому, що зловмисник, перехопивши зашифровані дані і не маючи до них ключа, не може ні прочитати, ні змінити передану інформацію. Крім того, в сучасних криптосистемах (з відкритим ключем) для шифрування, розшифрування даних можуть використовуватися різні ключі. Однак, з розвитком криптоанализу, з'явилися методики, що дозволяють дешифрувати закритий текст без ключа. Вони засновані на математичному аналізі переданих даних.

Мета шифрування:

Шифрування застосовується для зберігання важливої інформації в ненадійних джерелах і передачі її по незахищеним каналам зв'язку. Така передача даних представляє з себе два взаємно зворотних процеса:

Перед відправленням даних по лінії зв'язку вони піддаються зашифруванню.

Для відновлення вихідних даних із зашифрованих, до них застосовується процедура дешифрування.

Шифрування спочатку використовувалося тільки для передачі конфіденційної інформації. Однак, згодом шифрувати інформацію почали з метою її зберігання в ненадійних джерелах. Шифрування інформації з метою її зберігання, застосовується і зараз, це дозволяє уникнути необхідності в фізично захищеному сховище.

Шифром називається пара алгоритмів, що реалізує кожне з зазначених перетворень. Ці алгоритми застосовуються до даних з використанням ключа. Ключі для шифрування і для дешифрування можуть відрізнятися, а можуть бути однаковими. Секретність другого (дешифрування) з них, робить дані недоступними для несанкціонованого ознайомлення, а таємність першого (шифрувального) унеможливлює внесення неправдивих даних. У перших методах шифрування використовувалися однакові ключі, однак в 1976 році були відкриті алгоритми із застосуванням різних ключів. Збереження цих ключів в секретності і правильний їх поділ між адресатами є дуже важливим завданням з точки зору збереження конфіденційності переданої інформації. Це завдання досліджується в теорії управління ключами (у деяких джерелах вона згадується як поділ секрету).

На даний момент існує величезна кількість методів шифрування. Головним чином ці методи діляться, в залежності від структури використовуваних ключів, на симетричні методи і асиметричні методи. Крім того, методи шифрування можуть володіти різною криптостійкості і порізному обробляти вхідні дані - блокові шифри і потокові шифри. Всіма цими методами, їх створенням та аналізом займається наука криптографія.

DES (Data Encryption Standard) — це симетричний алгоритм шифрування даних, стандарт шифрування прийнятий урядом США із 1976 до кінця 1990-х, з часом набув міжнародного застосування. Ще з часу свого розроблення алгоритм викликав неоднозначні відгуки. Оскільки DES містив засекречені елементи своєї структури, породжувались побоювання щодо можливості контролю з боку Національного Агенства Безпеки США. Алгоритм піддавався критиці за малу довжину ключа, що, врешті, після бурних обговорень та контролю академічної громадськості, не завадило йому стати загальноприйнятим стандартом. DES дав поштовх сучасним уявленням про блочні алгоритми шифрування та криптоаналіз.

Зараз DES вважається ненадійним в оcновному через малу довжину ключа (56 біт) та розмір блоку (64 біти). У 1999 ключ DES було публічно дешифровано за 22 години 15 хвилин. Вважається, що алгоритм достатньо надійний для застосування у модифікації 3-DES, хоча існують розроблені теоретичні атаки. DES поступово витісняється алгоритмом AES, що з 2002 року є стандартом США.

ГОСТ Р 34.10-2012 — ГОСТ Р 34.10-2012 засновані на еліптичних кривих. Стійкість цього алгоритму ґрунтується на складності обчислення дискретного логарифма в групі точок еліптичної кривої, а також на стійкості хеш-функції. Для ГОСТ Р 34.10-2012 використовується хеш-функція по ГОСТ Р 34.11-2012.

Стандарт ГОСТ Р 34.10-2012 використовує ту ж схему формування електронного цифрового підпису, що і ГОСТ Р 34.10-2001. Новий стандарт відрізняється наявністю додаткового варіанту параметрів схем (відповідного довжині секретного ключа порядку 512 біт) і вимогою використання функцій хешування ГОСТ Р 34.11-2012: перший варіант вимог до параметрів (такий же, як в ГОСТ Р 34.10-2001, відповідний довжині секретного ключа порядку 256 біт) передбачає використання хеш-функції з довжиною хеш-коду 256 біт, додатковий варіант вимог до параметрів передбачає використання хеш-функції з довжиною хеш-коду 512 біт.

Після підписування повідомлення М до нього дописується цифровий підпис розміром 512 або 1024 біт і текстове поле. У текстовому полі можуть міститися, наприклад, дата та час відправлення або різні дані про відправника.

Даний алгоритм не описує механізм генерації параметрів, необхідних для формування підпису, а тільки визначає, яким чином на підставі таких параметрів отримати цифровий підпис. Механізм генерації параметрів визначається на місці в залежності від розроблюваної системи.

RSA — криптографічна система з відкритим ключем.

RSA став першим алгоритмом такого типу, придатним і для шифрування і для цифрового підпису. Алгоритм використовується у великій кількості криптографічних застосунків.

Безпека алгоритму RSA побудована на принципі складності факторизації цілих чисел. Алгоритм використовує два ключі — відкритий (public) і секретний (private), разом відкритий і відповідний йому секретний ключі утворюють пари ключів (keypair). Відкритий ключ не потрібно зберігати в таємниці, він використовується для шифрування даних. Якщо повідомлення було зашифровано відкритим ключем, то розшифрувати його можна тільки відповідним секретним ключем.

Асиметричні криптосистеми — ефективні системи криптографічного захисту даних, які також називають криптосистемами з відкритим ключем. В таких системах для зашифровування даних використовується один ключ, а для дешифровування — інший ключ (звідси і назва — асиметричні). Перший ключ є відкритим і може бути опублікованим для використання усіма користувачами системи, які шифрують дані. Розшифровування даних за допомогою відкритого ключа неможливе. Для дешифровування даних отримувач зашифрованої інформації використовує другий ключ, який є секретним. Зрозуміло, що ключ дешифровування не може бути визначеним з ключа зашифровування.

Головне досягнення асиметричного шифрування в тому, що воно дозволяє людям, що не мають наперед наявної домовленості про безпеку, обмінюватися секретними повідомленнями. Необхідність відправникові й одержувачеві погоджувати таємний ключ по спеціальному захищеному каналі цілком відпала. Прикладами криптосистем з відкритим ключем є Elgamal (названа на честь автора, Тахіра Ельгамаля), RSA (названа на честь винахідників: Рона Рівеста, Аді Шаміра і Леонарда Адлмана), Diffie-Hellman і DSA, Digital Signature Algorithm (винайдений Девідом Кравіцом).

Шифрування з симетричними ключами — схема шифрування, у якій ключ шифрування, та ключ дешифрування збігаються, або один легко обчислюється з іншого та навпаки, на відміну від асиметричного, де ключ дешифрування важко обчислити.

Симетричні алгоритми шифрування можна розділити на потокові та блочні алгоритми шифрування. Потокові алгоритми шифрування послідовно обробляють текст повідомлення. Блочні алгоритми працюють з блоками фіксованого розміру. Як правило, довжина блоку дорівнює 64 бітам, але, в алгоритмі AES використовуються блоки довжиною 128 біт.

Симетричні алгоритми шифрування не завжди використовуються самостійно. В сучасних криптоситемах, використовуються комбінації симетричних та асиметричних алгоритмів, для того, аби отримати переваги обох схем. До таких систем належить SSL, PGP та GPG. Асиметричні алгоритми використовуються для розповсюдження ключів швидких симетричних алгоритмів.

Утіліта bitlocker

Шифрування диска BitLocker - це функція захисту даних в операційній системі, яка вперше з'явилася в Windows Vista. У наступних випусках операційної системи продовжувалося підвищення безпеки за рахунок захисту BitLocker, завдяки чому операційна система стала надавати захист BitLocker більшому числу дисків і пристроїв. Інтегрована в операційну систему функція BitLocker забезпечує захист від розкрадання та розкриття даних, які перебували на втрачених, вкрадених або неналежним чином списаних комп'ютерах. Шифрування диска BitLocker доступно за замовчуванням в певних випусках Windows 8 і в якості додаткового компонента в усіх випусках Windows Server 2012. Manage-bde - це програма командного рядка, яку також можна використовувати для виконання завдань на комп'ютері, пов'язаному з BitLocker. При встановленні додаткового компонента BitLocker на комп'ютер, на якому виконується Windows Server 2012, також необхідно встановити функцію пристрою Enhanced Storage. Ця функція використовується для підтримки зашифрованих дисків обладнання. У Windows Server 2012 також можна встановити додаткову функцію BitLocker: мережева розблокування BitLocker.

Шифрування BitLocker забезпечує максимальний захист при використанні з модуля TPM (TPM) версії 1.2 або вище. Модуль TPM - це апаратний компонент, встановлюваний в багато сучасні комп'ютери їх виробниками. Він працює разом з шифруванням BitLocker, допомагаючи захистити дані користувача і гарантуючи, що комп'ютер не був підмінений, поки система була вимкнена.

На комп'ютерах без встановленого модуля TPM версії 1.2 або вище шифрування BitLocker можна, тим не менш, використовувати для шифрування диска операційної системи Windows. Однак при цьому користувач повинен вставити USB-ключ запуску для запуску комп'ютера або вийти з цього режиму. В операційній системі Windows 8 використання пароля операційної системи - це ще одна можливість захисту томи операційної системи на комп'ютерах без модуля TPM. В обох випадках не проводиться перевірка цілісності системи перед запуском, пропонована функцією BitLocker з модуля TPM. На додаток до модуля TPM шифрування BitLocker надає можливість блокування звичайного процесу запуску, поки користувач не введе персональний ідентифікаційний номер (PIN-код) або не встаючи знімний пристрій, наприклад USB флеш-пам'яті, що містить ключ запуску. Ці додаткові заходи безпеки забезпечують многофакторну перевірку автентичності і гарантію того, що комп'ютер не буде запущений або виведений з режиму глибокого сну, поки не буде надано правильний PIN-код або ключ запуску.

Практичне застосування:

Дані на втраченому або вкраденому комп'ютері, уразливі для несанкціонованого доступу, виконуваного або за допомогою програмного засобу злому, або шляхом підключення жорсткого диска комп'ютера до іншого комп'ютера. Шифрування BitLocker допомагає запобігти несанкціонований доступ до даних, підвищуючи рівень захисту файлів і системи. Шифрування BitLocker також допомагає зберегти недоступність даних при списанні або повторному використанні комп'ютерів, захищених за допомогою шифрування BitLocker.

У складі засобів віддаленого адміністрування сервера є два додаткових засоби управління BitLocker.

Засіб перегляду пароля відновлення BitLocker дозволяє знайти і переглянути паролі відновлення для шифрування диска BitLocker, резервні копії яких були збережені в доменних службах Active Directory (AD DS). Цей засіб використовується для відновлення даних, що зберігаються на диску, зашифрованому за допомогою BitLocker. Засіб перегляду пароля відновлення BitLocker являє собою розширення оснастки Microsoft Management Console (MMC) Active Directory.

З його допомогою можна вивчити діалогове вікно Властивості об'єкта комп'ютера, щоб переглянути відповідні паролі відновлення в режимі BitLocker. Крім того, можна натиснути правою кнопкою миші контейнер домену та виконати пошук пароля відновлення в режимі BitLocker по всіх доменах лісу служби каталогів Active Directory. Щоб переглядати паролі відновлення, користувач повинен бути адміністратором домену або володіти дозволами, делегованими адміністратором домену.

Засоби шифрування диска BitLocker включають в себе програми командного рядка manage-bde і repair-bde, а також командлети BitLocker для Windows PowerShell. Команду manage-bde і командлети BitLocker можна використовувати для виконання будь-якої задачі, яка вирішується за допомогою панелі управління BitLocker, а також для автоматичного розгортання та інших сценаріїв. Команда repair-bde призначена для сценаріїв аварійного відновлення, в яких диск із захистом BitLocker не можна розблокувати звичайним способом або за допомогою консолі відновлення.

Windows server 2012

В силу значних поліпшень внутрішніх механізмів Windows Server 2012, які набагато підвищують продуктивність, надійність і масштабованість цієї ОС в середовищі підприємства, сервери Windows завжди були винятковими серверами додатків, що дозволяють організаціям обслуговувати важливі для їх ділової активності програми.

Windows Server 2012 традиційно залишається сервером додатків, в операційну систему якого вбудовані типові серверні ролі. При установці Windows Server 2012 майстер Add Roles Wizard (Майстер додавання ролей) виводить список серверних ролей, які можна додати в систему.

 Ці різні ролі в Windows Server 2012 зазвичай діляться на три наступних категорії.

• Служби файлів і друку. Як сервер файлів і друку Windows Server 2012 надає базові служби, необхідні користувачам дл я зберігання даних і виведення інформації з мережі. У Windows Server 2012 внесено кілька поліпшень для підвищення безпеки файлів і відмовостійкості файлового сервера.

• Служби доменів. У середовищах підприємств, що використовують мережеві можливості Windows, для централізації вхідний аутентифікації зазвичай використовується Active Directory. Служба Active Directory продовжує залишатися ключовим компонентом у Windows Server 2012, отримавши кілька розширень в базовій концепції внутрен нього лісу організації - розширені федеративні ліси, які дозволяють ката логам Active Directory взаємодіяти один з одним. Active Directory, федеративні

ліси, полегшені каталоги і т.п. будуть описані в кількох розділах другої частини.

• Служби додатків. Windows Server 2012 2 січня надає основу для установки таких бізнес-додатків, як Microsoft Exchange, Microsoft SharePoint, SQL Server і т.д. Ці додатки спочатку задумані так, щоб вони були сумісні з Windows Server 2012 і використовували всі преімушества нових технологій, вбудованих в операційну cиcтeмy Windows Server 2012.

Деякі програми поставлені продаються відразу з Windows Server 2012: Remote Desktop Services (Служба віддаленого рабочегостола) для доступу до обчислювальних процесів тонких клієнтів допоміжні серверні служби кшталт DNS і DHCP і хостинг віртуального сервера.

Active Directory:

Кожен наступний випуск Windows Server містить ряд нових серверних ролей для служб додатків, і в останніх випусках Windows Server 2008, Windows Server 2008 R2 і Windows Server 2012 містяться відповідні оновлення Active Directory. На відміну від переходу з Windows NT на Active Directory десять років тому, коли знадобилася

серйозна реструктуризація доменних функцій, нововведення в Active Directory 2008 і Active Directory 2012 є скоріше еволюційними, ніж волюціонним. В AD 2008 R2 додано декілька можливостей, які багато організацій не реалізували досі, і, звичайно, справа з Windows Server 2012 буде обстоять приблизно так само. Але всеvзначітельние удосконалення в AD 2008 і AD 2012 варто розглянути - раптом у якихось організаціях потрібні як раз ці можливості (зазвичай пов'язані з безпекою, з політиками і керованістю).

Ось ці нові можливості, введені в Active Directory 2008 R2 і Active Directory 2012:

• Кошик Active Directory. Кошик AD з'явилася в Active Directory 2008. Вона дозволяє адміністраторам легко скасовувати видалення об'єктів в Active Directory. Раніше у разі ненавмисного видалення з Active Directory такого об'єкта, як користувач, група, контейнер організаційної одиниці і т.д. , Цей об'єкт безслідно зникав, і адміністратору доводилося створювати його з нуля, враховуючи всі міркування

за його безпеки та унікальності. Тепер кошик AD дозволяє адміністратору просто запустити утиліту відновлення і повернути об'єкти в стрій.

• Клонування глобального каталогу. У більш ранніх версіях Active Directory створити сервер глобального каталогу (GC) можна було єдиним способом: створити новий сервер і реплицировать на ньому по мережі дані з інших GC. Для малих і середніх організацій це не бьто проблемою, тому глобальний каталог зазвичай не містить дуже вже багато даних, тому вся реплікація займала кілька хвилин, максимум годину. Навіть у великих корпораціях сервер GC можна було реплицировать по лінії WAN за кілька годин, але і це ще терпимо. Однак у міру зростання хмарних середовищ, що містять сотні тисяч і навіть мільйони користувачів, час реплікації в декількох центрах даних виходить за всі допустимі межі.

Клонування в Windows Server 2012 дозволяє організаціям створити копію GC, послати її на інший сайт і відновити там весь сервер або тільки інформацію, а потім реплицировать по глобальній мережі лише останні зміни (дельти).

• Керовані облікові записи служб. Пріложенін в мережі часто використовують облікові записи служб, що створюються для безпечного запуску бази даних, проведення пошуку даних та індексації або виконання фонових завдань. Однак у випадку зміни організацією пароля якийсь із цих облікових записів, на всіх серверах, де є додатки, що використовують цей обліковий запис, необхідно вказати новий пароль для адміністраторів. При роботі в режимі Active Directory 2008 R2, який підтримується і в AD 2008, і в AD 2012, можливо таке виконання ідентифікації та управління обліковими записами служб, що зміна пароля для будь-якої з них автоматично запускає процес змін на серверах додатків в організації.

• Контроль механізму аутентифікації. Ще однією новою функціональної можливістю в Active Directory 2008 R2, яка підтримується і в AD 2008, і в AD 2012, є поліпшена аутентифікація п про заявками (claims-based). Завдяки контролю механізму аутентифікації, що міститься в маркері інформація може вилучатись при попьггках користувача отримати доступ до підтримуючого заявки додатком, і використовуватися для авторизації на основі використовуваного користувачем методу реєстрації. Це розширення буде використовуватися майбутнього програми для удосконалення аутентифікації за заявками в середовищі підприємства.

• Автономне приєднання до домену. Адміністраторам, які створюють образи систем, ускладнює життя те, що система повинна бути обов'язково фізично підключена до мережі, перш ніж її можна буде приєднати до домену. Автономне приєднання до домену дозволяє виконати попереднє приєднання системи до домену за допомогою файлу із записаними всередині нього унікальними обліковими даними системи. При необхідності приєднати до домену Active Directory клієнтську систему Windows або систему Windows Server замість фізичного підключення цієї системи до мережі і приєднання її до домену, адміністратори можуть використовувати цей експортований файл.