ПАМЗИ практикум

Система «StrongDisk» для файлов-ключей и электронных носителей генерирует случайную последовательность одинаковой длины. Электронный и файл-ключ оказываются взаимозаменяемыми. Файлу-ключу можно назначить любое имя с любым расширением, закамуфлировать его под текстовый или другой документ и хранить глубоко в структуре каталогов одного из логических дисков компьютера. Однако более надежная защита дисков обеспечивается при хранении ключевых файлов на съемных носителях.

Рис. 2.39. Окно инициализации ключей

После того как ключи инициализированы их можно назначить защищенным дискам. Операция смены и назначения новых ключей и пароля осуществляется в окне «Смена пароля/ключа», которое вызывается из пункта меню «Сервис». Любому файлу-образу может быть назначен полный комплект, даже если ранее он подключался только по обычному паролю. Для смены ключевой информации необходимо ввести текущие установки и указать новые. При этом следует соблюдать порядок ввода ключевой информации: первым указывается файл-ключ, затем вводится обычный пароль (рис. 2.40).

Рис. 2.40. Установка нового пароля и файла-ключа образу диска C:\Image4.grd, подключаемому ранее только по обычному паролю

70

ВЫПОЛНИТЬ!

22.Отключить все диски. Инициализировать два файла-ключа с различными именами, уточнить размер файлов и просмотреть их содержимое доступными средствами. Один из них скопировать на дискету, а оригинал удалить. Для двух созданных дисков сменить пароль и назначить файлы-ключи. Подключить диски с новой ключевой информацией. Попытаться осуществить операцию смены ключа и пароля на подключенном диске и подключить файл-образ с «чужим» ключом. Сделать выводы.

2.3.7.Гарантированное удаление данных

Всостав системы «StrongDisk» входит утилита «Burner», предназначенная для безопасного удаления файлов с полным затиранием содержащихся в них данных без возможности восстановления. Для уничтожения файла (или целой папки) его необходимо с помощью манипулятора «мышь» «перетащить» на ярлык «горящей корзины» — «Уничтожение данных» (рис. 2.23). Если «Рабочий стол» скрыт под активными окнами, уничтожение файла можно осуществить в любом из приложений, для чего в «Проводнике» щелкнуть на нем правой клавишей мыши и во всплывающем меню выбрать пункт «Уничтожить». Под уничтожением (затиранием) данных в «StrongDisk» понимается заполнение соответствующей области данных на логическом диске случайными символами. При уничтожении объекта утилита «Burner» уточнит у пользователя его намерение удалить данные с полным затиранием. Последние версии системы «StrongDisk» при первом запуске утилиты «Burner» запрашивают у пользователя настройку параметров затирания уничтожаемых данных. В появляющемся окне (рис. 2.41) можно установить количество проходов при затирании файлов и хвостов файлов.

Внимание! Файлы, находящиеся на защищенных дисках, можно удалять с помощью обычных средств. Для их восстановления потребуется минимум подключить защищенный диск, т. е. иметь пароль и внешний ключ к нему.

В состав системы входят средства для затирания свободного места на дисках. В процессе затирания происходит заполнение всего свободного места на указанном логическом диске, включая остатки удаленных файлов, случайными данными. После затирания свободного места восстановление информации, содержавшейся в удаленных файлах, становится невозможным.

Для затирания свободного места на диске, включая хвосты файлов, следует:

•закрыть все работающие приложения;

•в «проводнике» щелкнуть правой кнопкой мыши на иконке диска, на котором требуется затереть свободное место;

•во всплывающем меню выбрать пункт «Затереть свободное место».

71

•в открывшемся окне (рис. 2.42) установить переключатели «Затереть свободное место» и «Затереть хвосты файлов» во включенное состояние.

Рис. 2.41. Установка параметров затирания файлов в утилите «Burner»

Рис. 2.42. Всплывающее окно «Затирание свободного места на диске»

ВЫПОЛНИТЬ!

23.Отформатировать дискету. Скопировать на нее (создать) три коротких текстовых файла. С помощью утилиты «Disk Editor» просмотреть содержимое файлов и свободное место на диске. Просмотреть хвосты файлов, убедится в том, что они пусты. Удалить один из файлов стандартными средствами

72

Windows. Убедиться, что область данных файла на дискете осталась неизменной. Средствами «StrongDisk» произвести затирание свободного места на диске «А:\» и просмотреть область данных, занимаемую ранее удаленным файлом. Просмотреть хвосты файлов, убедиться в том, что они заполнены случайными символами. Средствами «StrongDisk» безопасно удалить (уничтожить) следующий файл. С помощью утилиты «Disk Editor» убедиться в невозможности восстановления удаленного файла. Эту же операцию можно выполнить с любым файлом на любом незашифрованном разделе жесткого диска. При этом следует пользоваться более современными дисковыми редакторами, работающими с NTFS-разделами.

73

2.4. Система защиты корпоративной информации «Secret Disk»

2.4.1.Основные характеристики системы «Secret Disk»

Линейка аппаратно-программных средств криптографической защиты информации «Secret Disk», разработанная компанией ALADDIN Software Security R.D. (г. Москва), является менеджером секретных дисков и предназначена для шифрования разделов жесткого диска и создания на дисковом пространстве компьютера защищенных виртуальных дисков с многопользовательским доступом. Для работы с дисками в состав системы входит VXD-драйвер. Система «Secret Disk» работает только в режиме двухфакторной аутентификации пользователей, когда наряду с вводом пароля пользователь обязан подключить к ПЭВМ внешний носитель ключевой последовательности (eToken в виде USB-ключа или смарт-карты или электронный ключ PCCard (PCMCIA) для портативных компьютеров).

В «Secret Disk 2.0» для шифрования данных могут использоваться следующие алгоритмы:

•собственный алгоритм преобразования данных системы «Secret Disk»;

•криптографический алгоритм ГОСТ 28147–89 (программный эмулятор криптографической платы Криптон фирмы «Анкад»);

•алгоритм RC4, встроенный в ОС Windows (Microsoft CryptoAPI).

2.4.2.Инициализация системы «Secret Disk»

Впроцессе установки системы «Secret Disk 2.0» необходимо указать имеющийся в наличии носитель ключевой информации, выбрав соответствующий пункт в окне «Выбор компонентов» (рис. 2.43). После установки и перезагрузки компьютера будет запущен «Мастер первого запуска», который предложит создать на жестком диске защищенный виртуальный диск.

При этом необходимо активизировать электронный ключ, на котором будет храниться ключевая информация для доступа к создаваемому диску. Эта ключевая информация в СКЗИ «Secret Disk» называется «личным ключом». Для активизации следует подключить по запросу СКЗИ носитель eToken к USB-порту, а затем сгенерировать случайную последовательность путем нажатия произвольных клавиш или перемещением «мыши» (рис. 2.44). Сгенерированный личный ключ будет записан в перепрограммируемую составляющую носителя eToken. Обратим внимание, что в результате будет уничтожен ранее записанный на eToken личный ключ, который, возможно, уже применялся при шифровании пользовательских данных. В связи с возможным ошибочным уничтожением личных ключей в СКЗИ предусмотрена возможность сохранения личного ключа в виде файла на ином носителе (например, на дискете) для последующего восстановления. После активации ключа соответствующее предупреждение выводится на экран.

74

Отдельно задаваемым параметром является ключ шифрования данных (называемый в СКЗИ «рабочим ключом»), который будет храниться в заголовке файла-образа диска в зашифрованном виде. Рабочий ключ создается как генерируемая случайным образом последовательность символов (рис. 2.46).

СКЗИ «Secret Disk» рекомендует сделать резервную копию сгенерированного рабочего ключа на внешнем носителе (дискете), хранить который необходимо в защищенном месте (в сейфе). Эта резервная копия будет содержать рабочий ключ в виде незашифрованного файла, с помощью которого при необходимости (потере электронного ключа или пароля) можно будет получить доступ ко всей информации на зашифрованном диске.

Рис. 2.45. Параметры виртуального диска

Рис. 2.46. Генерация ключа шифрования данных

76

Основная копия рабочего ключа будет храниться в заголовке файлаобраза диска в зашифрованном виде, а ключом для ее расшифрования будет являться совокупность пароля и личного ключа (который хранится на eToken).

Таким образом, безопасному хранению внешних носителей, содержащих резервные копии рабочих ключей, должно уделяться особое внимание. Ни в коем случае не должно быть допущено резервное сохранение рабочих ключей на основном носителе.

2.4.4.Работа с защищенными дисками

После создания файл-образ диска может быть подключен. Для этого необходимо подключить электронный ключ и ввести пароль (рис. 2.47). При их совпадении в системе появится дополнительный логический диск (рис. 2.48), работа с которым осуществляется как с обычным съемным носителем.

Рис. 2.47. Подключение секретного диска

Рис. 2.48. Виртуальный диск F:

СКЗИ «Secret Disk» позволяет организовать многопользовательский доступ к зашифрованной информации (рис. 2.49). Пользователь, создавший диск,

77

может разрешить доступ к своему диску любому иному пользователю, имеющему электронный ключ. Для этого необходимо подключить электронный ключ добавляемого пользователя (рис. 2.50), в результате чего будет сделана еще одна копия рабочего ключа в заголовке файла-образа, но уже зашифрованная с использованием личного ключа добавляемого пользователя.

Рис. 2.49. Многопользовательский режим доступа

Рис. 2.50. Добавление нового пользователя

78