Глава 9
С
ОВЕТ
Самый простой способ получения сертификата — попытаться зашифровать файл. Во
время операции будет создан сертификат, если он отсутствовал.
Если вы работаете в составе домена, то учитывайте, что в корпоративных полити-
ках предусматривается наличие специального пользователя, которому разрешается
расшифровывать все данные. Делается это в целях сохранности производственной
информации в непредвиденных ситуациях (несчастный случай с работником
и т. п.).
Технически такая политика реализуется включением дополнительного сертификата
восстановления (пользователя) в свойства файла. Кроме того, администратор может
настроить опции так, чтобы при создании пары ключей пользователя его закрытый
ключ хранился в виде копии в службе каталогов. В результате специально назна-
ченный администратор сможет при необходимости восстановить этот ключ и полу-
чить доступ к файлу (фактически от имени пользователя).
При шифровании файлов следует учитывать также и то, что параметры опера-
ции привязаны к параметрам безопасности учетной записи. Если получить доступ
Рис. 9.19.
Программа Advanced EFS Data Recovery обнаружила файл, который можно расшифровать
Безопасность
479
к паролю, то можно расшифровать и этот файл. Так, в Интернете сегодня можно
найти несколько утилит, с помощью которых восстанавливается информация из
зашифрованных таким способом файлов.
Шифрованную файловую систему EFS можно использовать и для сменных носите-
лей, но для этого их нужно сначала отформатировать в файловой системе NTFS.
Стоит отметить, что EFS — далеко не самое удачное средство шифрования. Начнем
с того, что если пользователь задал простой пароль (например, словарное слово или
просто некое число), расшифровать файлы, зашифрованные EFS, очень просто. Для
этого разработано несколько приложений, и одно из них (на наш взгляд, самое
удачное) — Advanced EFS Data Recovery (рис. 9.19). Заинтересовавшимся можем
порекомендовать статью, в которой показано, с какой легкостью поддаются рас-
шифровке зашифрованные с помощью EFS файлы:
http://habrahabr.ru/company/
cybersafe/blog/251041/
.
Еще раз хотим обратить ваше внимание, что этот недостаток проявляется только,
если пользователь установил простой пароль. При установке сложного пароля, со-
стоящего хотя бы из 10 символов, взломать EFS уже не так просто.
Шифрование диска при помощи BitLocker
В старшие версии Windows (начиная с Windows Vista) включена возможность
шифрования данных на диске по технологии BitLocker. Помимо требований к вер-
сии ОС, для установки необходим компьютер с совместимой версией BIOS и нали-
чием модуля TPM
1
версии 1.2 (один из ключей, используемых при шифровании
данных, хранится в этом модуле, что обеспечивает самый высокий уровень его за-
щиты).
П
РИМЕЧАНИЕ
Разработчики TrueCrypt всегда критиковали проприетарные решения наподобие
BitLocker. Однако после закрытия TrueCrypt они почему-то сами порекомендовали пе-
реходить именно на BitLocker (см.
http://truecrypt.sourceforge.net
/). Только нам одним
это кажется странным?
С помощью BitLocker, независимо от варианта подключения (IDE, ATA, SATA,
SCSI, USB, Fireware), могут быть зашифрованы системные логические диски и дис-
ки с данными (отформатированные в NTFS, FAT16/32, ExFAT), сменные носители,
использующие флеш-память (флешки), а также логические диски на RAID-мас-
сивах.
Если предполагается зашифровать системный диск, то перед включением BitLocker
необходимо, чтобы на диске было создано как минимум два раздела: на одном из
них, размером не менее 100–300 Мбайт (размер раздела зависит от выпуска ОС),
размещаются загрузочные файлы и среда восстановления (Windows PE). Этот раз-
1
TPM (Trusted Platform Module) — специальная микросхема на материнской плате компьютера, обес-
печивающая работу системы шифрования.
480
Глава 9
дел невидим, ему не присваивается буква логического диска и создается он автома-
тически при новой установке Windows.
BitLocker может быть распространен централизованно. Так же централизованно
могут храниться и данные для восстановления (доступа к зашифрованным дискам).
С
ОВЕТ
При использовании BitLocker могут проверяться параметры BIOS. Поэтому, в случае
необходимости обновления BIOS, внимательно изучите соответствующие разделы
описания технологии. В противном случае вам придется использовать вариант досту-
па к диску в режиме восстановления.
Процесс шифрования диска занимает достаточно длительное время и зависит от
объема диска. В этот период можно продолжать работать на компьютере, хотя его
производительность несколько снижается. Сам BitLocker тоже влияет на произво-
дительность системы, но снижение производительности от его работы обычно не
превышает нескольких процентов.
С
ОВЕТ
Технология BitLocker позволяет создавать ключ
восстановления
при любом варианте
шифрования. Не пренебрегайте этой возможностью. Иначе, например, в случае аппа-
ратных проблем вы потеряете все свои данные.
Использование BitLocker на компьютерах без TPM
Технология BitLocker может быть применена и на компьютерах,
не имеющих TPM-
модуля
. С ее помощью можно зашифровать диск, используя для хранения ключа
сменный USB-носитель. Такая возможность включается
только
через настройки
групповой политики. Для открытия редактора групповой политики наберите
в командной строке
mmc
и добавьте в оснастку консоли
Редактор групповой поли-
тики
. При запросе объекта редактирования выберите
Локальный компьютер
.
Параметры, которые необходимо изменить для включения дополнительных воз-
можностей шифрования, находятся по следующему пути:
Политика "Локальный
компьютер" | Конфигурация компьютера | Административные шаблоны |
Компоненты Windows | Шифрование диска BitLocker | Диски операционной
системы |
параметр
Обязательная дополнительная проверка подлинности при
запуске
1
(рис. 9.20). В свойствах параметра необходимо
Разрешить использова-
ние BitLocker без совместимого TPM
.
Обратите внимание, что в этом случае BIOS должна поддерживать чтение с USB
в режиме старта.
1
В Windows 10 параметр называется «Этот параметр политики позволяет настроить требование до-
полнительной проверки подлинности при запуске».
Безопасность
481
Рис. 9.20.
Настройка параметров для включения BitLocker на компьютерах без TPM
Включение шифрования
Включение шифрования BitLocker осуществляется с помощью команды
Панель
управления | Шифрование диска BitLocker
. Если все необходимые для шифро-
вания условия выполнены, то в окне появляется опция
Включить шифрование
.
После ее выбора запускается мастер операций, и вам нужно просто следовать ука-
заниям программы.
Режим восстановления
В случае выхода из строя оборудования (модуля TPM или всей материнской платы)
или изменения загрузочных файлов (например, при перепрошивке BIOS и т. п.)
нормальная загрузка компьютера становится невозможной — вы увидите черный
экран с предложением ввести пароль восстановления.
Пароль восстановления
создается на одном из этапов подготовки диска к шифро-
ванию с помощью мастера операций. Потом его можно продублировать, восполь-
зовавшись соответствующими опциями задачи шифрования. Пароль представляет
собой последовательность цифр. Для того чтобы отличать один пароль от другого
(если вы работаете с несколькими системами), вам сообщается также его название,
состоящее из ряда цифр и букв. И название пароля, и его значение сохраняются
482
Глава 9
в один файл, так что легко можно выяснить, подойдет ли этот пароль для восста-
новления.
Как уже было сказано, пароль состоит только из цифр и вводится при помощи не
цифровых, а функциональных клавиш, при этом клавиши , , ...,
соответствуют цифрам 1, 2, ..., 0.
После ввода пароля система продолжит загрузку, а затем вы сможете отключить
режим шифрования. Обратите внимание, что есть две возможности его отключе-
ния. Первая предполагает полное дешифрование диска — это довольно длительная
операция. Вторая только временно отключает режим шифрования, если вы соби-
раетесь, например, заменить на компьютере BIOS.
Шифрование почты
Электронная почта передается по открытым каналам связи, поэтому не исключен
риск ее перехвата или модификации. Гарантировать, что текст сообщения никем не
изменен, можно с помощью
электронной подписи
письма, а шифрование делает
просмотр письма недоступным для посторонних.
Можно использовать различные варианты шифрования сообщений (например,
вкладывать в письмо заранее зашифрованный какой-либо программой текст), но
одним из самых удобных является стандарт
S/MIME
(Secure/Multipurpose Internet
Mail Extensions). Почтовая программа автоматически шифрует текст письма и пе-
ресылает полученный код в виде файла, вложенного в обычное почтовое сообще-
ние, — поэтому шифрованные письма могут без каких-либо дополнительных на-
строек пересылаться обычными почтовыми системами.
Работа с подписанными или шифрованными сообщениями не представляет слож-
ности. Система автоматически обрабатывает сообщение, пользователю достаточно
лишь включить соответствующую опцию в свойствах письма. О том, что письмо
зашифровано, сообщают только значки в панели инструментов сообщения: на
рис. 9.21 левый значок в прямоугольнике внизу справа означает, что сообщение
зашифровано, правый — что сообщение подписано. Сам текст автоматически рас-
шифровывается в момент открытия сообщения. Щелчок на том или ином значке
покажет информацию о сертификате, использованном при составлении письма
(рис. 9.22).
Рис. 9.21.
Образец почтового сообщения с электронной подписью и шифрованием текста
Безопасность
483
Рис. 9.22.
Информация о шифровании
Получение открытого ключа для защищенной переписки
Шифрование сообщения по стандарту S/MIME производится отправителем с по-
мощью открытого ключа получателя письма. Поэтому расшифровано оно может
быть только тем пользователем, у которого имеется закрытый ключ, соответст-
вующий использованному открытому ключу.
Поскольку для шифрования требуется знать открытый ключ получателя, то его не-
обходимо получить
до отправки письма
. В рамках предприятия (домена Windows)
открытые ключи пользователей доступны через службу каталогов. Если же вы хо-
тите написать письмо внешнему адресату, то предварительно следует получить его
открытый ключ, запросив, например, у него письмо с электронной подписью.
Получение цифрового сертификата для защищенной переписки
Используемые для защищенной переписки пары ключей должны быть заверены
удостоверяющим центром, которому доверяют как отправитель, так и получатель
сообщения. Цифровые удостоверения, выданные серверами предприятия, не вызо-
вут доверия у внешних пользователей, и получатель сообщения увидит предупреж-
дение о нарушении электронной защиты. Хотя сам текст сообщения поврежден не
будет, большинство адресатов просто не станут открывать такие письма.
Для обеспечения защищенной переписки между двумя предприятиями существуют
два варианта решения. Первый — обменяться сертификатами удостоверяющих
484
Глава 9
центров своих предприятий и установить к ним доверие в каждом предприятии.
У этого решения есть серьезный недостаток — такие «обмены» придется осущест-
влять с
каждым
предприятием, с сотрудниками которого необходимо осуществ-
лять защищенную переписку.
Второй вариант основан на использовании сертификатов от публичных удостове-
ряющих центров, к которым в операционной системе по умолчанию установлены
доверительные отношения. В большинстве случаев получение подобного сертифи-
ката является платной услугой, хотя некоторые центры предоставляют возмож-
ность получения временных бесплатных сертификатов. Обычно такие сертификаты
не предполагают возможности строгого шифрования сообщения и фактически удо-
стоверяют только сам адрес электронной почты.
После получения сертификата он должен быть добавлен в настройки программы
почтового клиента.
Рассмотрим этот процесс подробнее. Для создания ключевой пары, т. е. открытого
и закрытого ключей, мы воспользуемся уже упоминавшейся ранее программой
CybersSafe Top Secret
1
. В общем-то нет особой разницы, какой программой созда-
вать ключи, но Top Secret обладает встроенным удостоверяющим центром и при
этом стоит дешевле (доступна и вообще бесплатная версия), чем PGP Desktop. Сра-
зу хотим вас предупредить — программа несколько сложна в использовании, осо-
бенно с непривычки, поэтому мы настоятельно рекомендуем ознакомиться с руко-
водством по ее эксплуатации, которое можно скачать с сайта разработчика.
При первом запуске программы надо обязательно принять сертификат от CyberSoft
CA. Да, это предлагает и руководство по программе, но лучше лишний раз об этом
вспомнить, чем не принять сертификат.
Затем нужно перейти в раздел
Ключи и сертификаты | Личные ключи
, нажать
кнопку
Создать
и в открывшемся окне ввести адрес электронной почты и пароль,
а также свои имя и фамилию, чтобы вашим друзьям и коллегам сразу стало ясно,
кому принадлежит сертификат (рис. 9.23).
Выберите срок действия сертификата и длину ключа. Для мощных компьютеров
лучше выбрать максимальную длину ключа, для не очень мощных — 4096 битов.
Помните, чем длиннее ключ, тем надежнее защита.
Обязательно установите флажок
Опубликовать, после создания
— ваш сертифи-
кат будет автоматически опубликован на сервере CyberSafe, и ваши коллеги смогут
легко его найти. Если вы не собираетесь создавать собственный сервер сертифика-
тов или использовать какой-то внешний сервер, то публикация сертификата на сер-
вере CyberSafe — оптимальное решение. Если вы поспешили и не установили этот
флажок, не беда — после создания сертификата выделите его и нажмите кнопку
Публик
.
Ну, и в завершение нажмите кнопку
Готово
, после чего программа попросит вас
подтвердить ваш e-mail. На него будет выслан код подтверждения, который нужно
ввести в открывшееся окно (рис. 9.24).
1
См.
http://cybersafesoft.com/product.php?id=1
.
Безопасность
485
Рис. 9.23.
Создание сертификата в программе CyberSafe Top Secret
В результате вы получите сообщение, что сертификат успешно опубликован. Ваши
коллеги смогут найти ваш открытый ключ, используя средства поиска программы
CyberSafe Top Secret. Разумеется, у них она тоже должна быть установлена. Если
они по каким-либо причинам этого не сделали, вы можете в разделе
Личные клю-
чи
нажать кнопку
Экспорт
и экспортировать только публичные ключи (рис. 9.25).
Экспортированные ключи нужно передать (например, по e-mail, через Skype или
другим способом) пользователям, которые будут отправлять вам зашифрованные
сообщения.
Обзаведясь личными ключами, вы должны получить публичные (открытые) ключи
тех, кому собираетесь отправлять зашифрованные сообщения.
Дело осталось за малым — настроить почтовые клиенты. По настройке настольных
клиентов информации предостаточно, и вы без проблем найдете в Интернете ин-
формацию о настройке вашего почтового клиента
1
.
1
Например, о том, как настроить почтовый агент Outlook, подробно рассказано в статье по адресу:
http://habrahabr.ru/company/cybersafe/blog/209642/
.
486
Do'stlaringiz bilan baham: |