پورتال اطلاعات امنیتی رمزگذاری شفاف: مزایا و معایب

وبلاگ CyberSoft

استفاده گسترده فناوری های شبکه(LAN، CAN، VPN) به شرکت ها اجازه می دهد تا سازماندهی سریع و تبادل راحتاطلاعات در مورد فواصل مختلف. با این وجود، حفاظت از اطلاعات در یک محیط شرکتی وظیفه ای است که تا به امروز همچنان مرتبط است و ذهن مدیران شرکت های کوچک، متوسط و بزرگ در زمینه های مختلف فعالیت را نگران می کند. علاوه بر این، صرف نظر از اندازه شرکت، تقریباً همیشه لازم است که مدیریت حقوق دسترسی کارکنان به اطلاعات محرمانه را بر اساس درجه اهمیت آن متمایز کند.

در این مقاله در مورد آن صحبت خواهیم کرد رمزگذاری شفافبه عنوان یکی از رایج ترین راه های حفاظت از اطلاعات در یک محیط شرکتی، در نظر بگیرید اصول کلیرمزگذاری برای چندین کاربر (رمزنگاری چند کلید عمومی)، و همچنین نحوه راه اندازی رمزگذاری شفاف پوشه های شبکه با استفاده از برنامه رمزگذاری فایل های CyberSafe.

مزیت رمزگذاری شفاف چیست؟

استفاده از دیسک های رمزنگاری مجازی یا عملکرد رمزگذاری کامل دیسک کاملاً توجیه شده است کامپیوتر محلیکاربر، با این حال، در یک فضای شرکتی، رویکرد مناسب تری استفاده از آن است رمزگذاری شفاف، از آنجایی که این تابع سریع و کار راحتبا فایل های طبقه بندی شده برای چندین کاربر به طور همزمان. هنگام ایجاد و ویرایش فایل ها، فرآیندهای رمزگذاری و رمزگشایی آنها به طور خودکار و در پرواز اتفاق می افتد. برای کار با اسناد محافظت شده، کارمندان شرکت نیازی به داشتن مهارت های رمزنگاری ندارند، آنها نیازی به انجام هیچ مرحله اضافی برای رمزگشایی یا رمزگذاری فایل های مخفی ندارند.

کار با اسناد طبقه بندی شده در حالت معمول با استفاده از استاندارد انجام می شود برنامه های کاربردی سیستم. همه عملکردها برای راه اندازی رمزگذاری و محدود کردن حقوق دسترسی را می توان به یک شخص، به عنوان مثال، یک مدیر سیستم اختصاص داد.

رمزنگاری چند کلید عمومی و پاکت دیجیتال

رمزگذاری شفاف به شرح زیر عمل می کند. برای رمزگذاری فایل، از یک کلید جلسه متقارن تولید شده به طور تصادفی استفاده می شود که به نوبه خود توسط کلید نامتقارن عمومی کاربر محافظت می شود. اگر کاربر به فایلی دسترسی پیدا کند تا تغییراتی در آن ایجاد کند، درایور رمزنگاری شفاف، کلید متقارن را با استفاده از کلید خصوصی (خصوصی) کاربر رمزگشایی می کند و سپس با استفاده از کلید متقارن، خود فایل را رمزگشایی می کند. ما در مورد نحوه عملکرد رمزگذاری شفاف به تفصیل صحبت کردیم.

اما اگر چندین کاربر وجود داشته باشد و فایل های مخفی در رایانه محلی ذخیره نشده باشند، بلکه در یک پوشه در یک سرور راه دور ذخیره شوند، چه؟ پس از همه، فایل رمزگذاری شده یکسان است، اما هر کاربر جفت کلید منحصر به فرد خود را دارد.

در این مورد، به اصطلاح پاکت های دیجیتال.

همانطور که از شکل مشخص است، پاکت دیجیتال حاوی یک فایل رمزگذاری شده با یک کلید متقارن به طور تصادفی تولید شده، و همچنین چندین نسخه از این کلید متقارن است که با کلیدهای نامتقارن عمومی هر کاربر محافظت می شود. به تعداد کاربرانی که مجاز به دسترسی به پوشه محافظت شده باشند، کپی وجود خواهد داشت.

درایور رمزگذاری شفاف به صورت زیر عمل می کند: وقتی کاربر به فایلی دسترسی پیدا می کند، بررسی می کند که آیا گواهی آن وجود دارد ( کلید عمومی) در لیست مجاز. در این صورت، کپی کلید متقارن که با استفاده از کلید عمومی کاربر رمزگذاری شده است، با استفاده از کلید خصوصی این کاربر رمزگشایی می شود. اگر در لیست گواهی این کاربرخیر، دسترسی ممنوع خواهد بود.

رمزگذاری پوشه های شبکه با CyberSafe

با استفاده از CyberSafe، مدیر سیستمقادر خواهد بود رمزگذاری شفاف یک پوشه شبکه را بدون استفاده از پروتکل های حفاظت از داده های اضافی مانند IPSec یا WebDAV تنظیم کند و دسترسی کاربر به یک پوشه رمزگذاری شده خاص را مدیریت کند.

برای پیکربندی رمزگذاری شفاف، هر کاربری که برنامه ریزی شده است اجازه دسترسی به اطلاعات محرمانه را داشته باشد باید CyberSafe را روی رایانه خود نصب کرده، یک گواهی شخصی ایجاد کرده و کلید عمومی را روی سرور کلید عمومی CyberSafe منتشر کند.

بعد، مدیر سیستم در سرور راه دور ایجاد می کند پوشه جدید، آن را به CyberSafe اضافه می کند و کلیدهایی را به آن دسته از کاربرانی که می توانند در آینده با فایل های موجود در این پوشه کار کنند، اختصاص می دهد. البته، می توانید هر تعداد پوشه را که می خواهید ایجاد کنید، در آنها ذخیره کنید اطلاعات محرمانهدرجات مختلف اهمیت دارند، و مدیر سیستم می تواند در هر زمان یک کاربر را از افرادی که به پوشه دسترسی دارند حذف کند یا یک کاربر جدید اضافه کند.

یک مثال ساده را در نظر بگیرید:

بر سرور فایل Enterprise ABC 3 پایگاه داده را با اطلاعات محرمانه با درجات مختلف اهمیت ذخیره می کند - DSP، Secret و Top Secret. لازم است دسترسی داشته باشید: به DB1 کاربران ایوانوف، پتروف، نیکیفوروف، به DB2 پتروف و اسمیرنوف، به DB3 اسمیرنوف و ایوانوف.

برای انجام این کار، در سرور فایل، که می تواند هر منبع شبکه، باید برای هر پایگاه داده سه پوشه جداگانه ایجاد کنید و گواهی (کلید) کاربران مربوطه را به این پوشه ها اختصاص دهید:

البته، این یا کار مشابه دیگری با حقوق دسترسی را می توان با استفاده از ویندوز ACL حل کرد. اما این روش تنها زمانی می تواند موثر باشد که حقوق دسترسی به رایانه های کارکنان درون شرکت را متمایز کند. به خودی خود محافظت از اطلاعات محرمانه را در صورت وجود فراهم نمی کند اتصال شخص ثالثبه یک سرور فایل و استفاده از رمزنگاری برای محافظت از داده ها ضروری است.

علاوه بر این، تمام تنظیمات امنیتی سیستم فایل را می توان با استفاده از خط فرمان بازنشانی کرد. در ویندوز، ابزار ویژه ای برای این کار وجود دارد - "calcs" که می تواند برای مشاهده مجوزهای پرونده ها و پوشه ها و همچنین بازنشانی آنها استفاده شود. در ویندوز 7 این دستور "icacls" نامیده می شود و به صورت زیر اجرا می شود:

1. در خط فرمانبا حقوق مدیر وارد کنید: cmd
2. به دیسک یا پارتیشن بروید، به عنوان مثال: CD /D D:
3. برای بازنشانی همه مجوزها، وارد کنید: icacls * / T / Q / C / RESET

این امکان وجود دارد که icacls بار اول کار نکند. سپس قبل از مرحله 2 باید دستور زیر را اجرا کنید:
بعد از اون زودتر مجوزها را تنظیم کنیدروی فایل ها و پوشه ها بازنشانی می شود.

امکان ایجاد یک سیستم بر اساس دیسک رمزگذاری مجازی و ACL(در مورد چنین سیستمی هنگام استفاده از دیسک های رمزنگاری شده در سازمان ها بیشتر نوشته شده است.). با این حال، چنین سیستمی نیز آسیب‌پذیر است، زیرا برای اطمینان از دسترسی دائمی کارکنان به داده‌های روی دیسک رمزنگاری، مدیر باید آن را در طول روز کاری متصل (نصب) نگه دارد، که اطلاعات محرمانه روی دیسک رمزنگاری را حتی بدون آن به خطر می‌اندازد. دانستن رمز عبور آن، اگر در حین اتصال، مهاجم بتواند به سرور متصل شود.

درایوهای شبکه با رمزگذاری داخلی نیز مشکل را حل نمی‌کنند، زیرا فقط زمانی از داده‌ها محافظت می‌کنند که کسی با آن کار نمی‌کند. یعنی تابع رمزگذاری داخلی تنها در صورتی می‌تواند از داده‌های محرمانه در برابر به خطر افتادن محافظت کند که خود درایو به سرقت رفته باشد.

در CyberSafe، رمزگذاری/رمزگشایی فایل نه بر روی سرور فایل، بلکه انجام می شود در سمت کاربر. بنابراین، فایل های محرمانه فقط به صورت رمزگذاری شده بر روی سرور ذخیره می شوند، که امکان به خطر افتادن آنها را در زمانی که ارتباط مستقیممهاجم به سرور فایل تمامی فایل های روی سرور که در یک پوشه رمزگذاری شده شفاف ذخیره می شوند، رمزگذاری شده و ایمن هستند. در عین حال، کاربران و برنامه‌ها آن‌ها را به‌عنوان فایل‌های معمولی می‌بینند: Notepad، Word، Excel، HTML و غیره. برنامه‌ها می‌توانند مستقیماً این فایل‌ها را بخوانند و بنویسند. این واقعیت که آنها رمزگذاری شده اند برای آنها شفاف است.

کاربران بدون دسترسی نیز می توانند این فایل ها را ببینند، اما نمی توانند آنها را بخوانند یا تغییر دهند. این بدان معنی است که اگر مدیر سیستم به اسناد موجود در هیچ یک از پوشه ها دسترسی نداشته باشد، همچنان می تواند آنها را انجام دهد. پشتیبان گیری. البته همه چیز پشتیبان گیریفایل ها نیز رمزگذاری شده اند.

با این حال، زمانی که کاربر هر یک از فایل ها را برای کار روی رایانه خود باز می کند، این احتمال وجود دارد که برنامه های ناخواسته به آن دسترسی پیدا کنند (البته اگر رایانه آلوده باشد). برای جلوگیری از این امر، CyberSafe به عنوان یک اقدام امنیتی اضافی، به لطف آن یک مدیر سیستم می‌تواند فهرستی از برنامه‌هایی را تعریف کند که می‌توانند از یک پوشه محافظت شده به فایل‌ها دسترسی داشته باشند. همه برنامه‌های کاربردی دیگری که در فهرست برنامه‌های مورد اعتماد گنجانده نشده‌اند، دسترسی نخواهند داشت. این امر دسترسی به اطلاعات محرمانه را محدود می‌کند. نرم افزارهای جاسوسی، روت کیت ها و سایر بدافزارها.

از آنجایی که تمام کارها با فایل های رمزگذاری شده در سمت کاربر انجام می شود، این بدان معناست که CyberSafe روی یک سرور فایل نصب نمی شود و هنگام کار در یک محیط شرکتی، می توان از این برنامه برای محافظت از اطلاعات استفاده کرد. ذخیره سازی شبکهآه با فایل سیستم NTFSمانند Windows Storage Server. تمام اطلاعات محرمانه در چنین فضای ذخیره‌سازی رمزگذاری می‌شود و CyberSafe فقط روی رایانه‌های کاربران که از آنجا به فایل‌های رمزگذاری شده دسترسی دارند نصب می‌شود.

این مزیت CyberSafe نسبت به TrueCrypt و سایر برنامه های رمزگذاری است که نیاز به نصب در محل ذخیره سازی فیزیکی فایل ها دارند، به این معنی که فقط کامپیوتر شخصی، اما نه درایو شبکه. البته استفاده از ذخیره‌سازی‌های شبکه در شرکت‌ها و سازمان‌ها بسیار راحت‌تر و موجه‌تر از استفاده از رایانه‌های معمولی است.

بنابراین، با CyberSafe، بدون هیچ وجوه اضافیمی توان ترتیب داد حفاظت موثرفایل های ارزشمند، کار راحت با پوشه های شبکه رمزگذاری شده را فراهم می کند، و همچنین حقوق دسترسی کاربر به اطلاعات محرمانه را متمایز می کند.

همه ما می دانیم که چگونه داده های ارسال شده از طریق اینترنت را رمزگذاری کنیم - شما باید از همه نوع استفاده کنید. اگر ما در مورد حفاظت از داده های شرکتی که بین شعب منتقل می شود صحبت می کنیم (اغلب چنین انتقالی از طریق اینترنت انجام می شود: ساخت خطوط انتقال داده خود از نظر اقتصادی مقرون به صرفه نیست)، سپس در شبکه شرکتیسرور VPN خود را مستقر کنید.

اگر نیاز به محافظت دارید ترافیک شخصی، سپس انواع خدمات VPN با پرداخت ترافیک استفاده می شود. خدمات آنها بسیار ارزان است. علاوه بر این، می توانید از پروژه استفاده کنید - به طور کلی رایگان است.

رمزگذاری شفاف با CyberSafe

پیشگفتار
نحوه عملکرد رمزگذاری شفاف در CyberSafe

اما اگر نیاز به رمزگذاری داده های ارسال شده داشته باشید، چه می کنید شبکه محلی? تصور کنید که اسناد مهمی را با استفاده از EFS رمزگذاری کرده اید یا آنها را روی یک دیسک مجازی ذخیره می کنید. تا زمانی که شما شخصا از این مدارک استفاده کنید، مشکلی وجود ندارد. اما در صورت نیاز به همکاری روی این اسناد، مشکلاتی پیش خواهد آمد. سیستم فایل EFS از رمزگذاری داده های ارسال شده از طریق شبکه پشتیبانی نمی کند.

وضعیت در مورد دیسک مجازی نیز مشابه است: بله، می‌توانید دسترسی به دیسک مجازی را به اشتراک بگذارید، اما داده‌های شما فقط در رایانه شما رمزگذاری شده باقی می‌مانند. به محض اینکه محدودیت های آن را ترک کنند، از طریق شبکه محلی در فضای روشن منتقل می شوند. و این بدان معنی است که یک مهاجم (که ممکن است همکار شما باشد، که به همان شبکه محلی شما متصل است، اما به داده های رمزگذاری شده دسترسی ندارد) می تواند به راحتی آنها را رهگیری کند.

تمام راه حل های رمزگذاری ترافیک عمدتاً با هدف رمزگذاری داده هایی است که فراتر از شبکه محلی است ، یعنی هنگام انتقال داده ها از طریق اینترنت محافظت انجام می شود. یک شبکه محلی یک محیط ذاتا امن در نظر گرفته می شود.

بله، راه های سخت افزاری برای حل این مشکل وجود دارد - آداپتورهای شبکه و سوئیچ های ویژه با پشتیبانی از رمزگذاری. اما فقط فکر کنید: چنین سوئیچ باید در هر زیر شبکه نصب شود، و مانند آن آداپتور شبکهبرای هر کامپیوتر موجود در شبکه خیلی گران است

شروع کردم به دنبال راه حل ارزان تر. و من آن را پیدا کردم. این برنامه . راستی به همین دلیل با این برنامه آشنا شدم. بله، برنامه تجاری است. درست است، به لطف سیاست قیمت گذاری نامفهوم توسعه دهنده در سایت، می توانید آن را فقط با 32 دلار (مجوز برای 2 رایانه شخصی) خریداری کنید و نه 100 دلار (چنین قیمتی در cybersafesoft.com). به نظر می رسد که قیمت محافظت از یک کامپیوتر 16 دلار است. اگر تعداد کاربرانی که نیاز به کار با داده های مخفی دارند بیشتر باشد، باید خرید کنید.

رمزگذاری شفاف در CyberSafe

بیایید ببینیم که چگونه رمزگذاری شفاف در برنامه CyberSafe پیاده سازی می شود. برای رمزگذاری شفاف، از درایور Alfa Transparent File Encryptor1 استفاده می شود که فایل ها را با استفاده از الگوریتم AES-256 رمزگذاری می کند.

قانون رمزگذاری (ماسک فایل، فرآیندهای مجاز/رد شده و غیره) و کلید رمزگذاری به درایور منتقل می شود. خود کلید رمزگذاری در پوشه ADS (جریان‌های داده جایگزین) ذخیره می‌شود و با استفاده از OpenSSL رمزگذاری می‌شود. الگوریتم RSA) - برای این کار از گواهی استفاده می شود.

منطق به این صورت است: ما یک پوشه اضافه می کنیم، CyberSafe یک کلید برای درایور ایجاد می کند، آن را با گواهی های عمومی انتخاب شده رمزگذاری می کند (آنها باید قبلا ایجاد یا وارد CyberSafe شوند). هنگامی که هر کاربری سعی می کند به پوشه دسترسی پیدا کند، CyberSafe ADS پوشه را باز می کند و کلید رمزگذاری شده را می خواند. اگر این کاربر یک کلید گواهی خصوصی داشته باشد (ممکن است یک یا چند گواهینامه خود را داشته باشد) که برای رمزگذاری کلید استفاده شده است، می تواند این پوشه را باز کند و فایل ها را بخواند. لازم به ذکر است که درایور هنگام اعطای دسترسی به فایل، تنها موارد مورد نیاز و نه همه فایل ها را رمزگشایی می کند.

به عنوان مثال، اگر کاربر یک بزرگ را باز کند سند ورد، سپس تنها بخشی که در حال حاضر در ویرایشگر بارگذاری شده است رمزگشایی می شود، بقیه در صورت لزوم بارگذاری می شوند. اگر فایل کوچک باشد، به طور کامل رمزگشایی می شود، اما بقیه فایل ها رمزگذاری شده باقی می مانند.

اگر پوشه به اشتراک گذاشته شده در شبکه، فایل‌های موجود در آن رمزگذاری شده باقی می‌مانند، درایور سرویس گیرنده فقط فایل یا بخشی از فایل را در حافظه رمزگشایی می‌کند، اگرچه این موضوع برای پوشه محلی. هنگام ویرایش فایل، درایور تغییرات حافظه را رمزگذاری کرده و در فایل می‌نویسد. به عبارت دیگر، حتی زمانی که یک پوشه فعال است (ما بعداً به شما نشان خواهیم داد که چه چیزی وجود دارد)، اطلاعات روی درایو همیشه رمزگذاری شده باقی می‌مانند.

اصل ساده است: ما یک پوشه رمزگذاری شده را در سرور ذخیره می کنیم (به این ترتیب رایانه ای را که پوشه با اسناد رمزگذاری شده ذخیره می شود به صورت مشروط فراخوانی می کنیم)، دسترسی به این پوشه به اشتراک گذاشته می شود. برنامه CyberSafe بر روی کامپیوتر هر کاربری که باید به اسناد محرمانه دسترسی داشته باشد نصب می شود. نکته اصلی این است که رمزگذاری و رمزگشایی داده ها بر روی مشتری اتفاق می افتد، نه روی سرور. بنابراین داده ها به صورت رمزگذاری شده از طریق شبکه منتقل می شوند.

توجه! برنامه CyberSafe یک ویژگی بسیار مهم و غیرقابل درک برای من دارد. رایانه ای که اسناد رمزگذاری شده در آن ذخیره می شود نباید CyberSafe نصب شده باشد. اگر آن را نصب کنید، دیگر رایانه ها در دسترسی به پوشه رمزگذاری شده با مشکل مواجه خواهند شد. چرا این کار انجام می شود، من نمی فهمم. البته در شرکت های بزرگ این رفتار بسیار راحت و موجه است. به طور معمول، اسناد به اشتراک گذاشته شده در یک سرور ذخیره می شوند (معمولاً در زیر کنترل ویندوزسرور)، و تخصیص یک رایانه جداگانه مورد نیاز نیست - قبلاً اختصاص داده شده است. و شما نیازی به خرید مجوز جداگانه برای سرور ندارید، که، همانطور که می گویند، جزئی است، اما خوب است.

نحوه راه اندازی رمزگذاری شفاف

من فقط روند کلی راه اندازی را شرح می دهم:

هر کاربر باید کلید خود را تولید و منتشر کند.
در سرور باید یک پوشه خالی ایجاد کنید و پس از رمزگذاری اطلاعات را در آن کپی کنید. بگذارید پوشه \\ACER\test\secret باشد.
نیاز به ارائه دسترسی عمومیبه پوشه ای با اسناد محرمانه
در یکی از رایانه‌ها، باید گواهی‌های همه را وارد کنید
کاربرانی که نیاز به دسترسی به اسناد محرمانه دارند. همه چیز برای رمزگذاری پوشه آماده است.
به قسمت Transparent Encryption بروید، روی دکمه Add کلیک کنید. پوشه را انتخاب کنید و پوشه ای را که می خواهید رمزگذاری کنید انتخاب کنید. به شما یادآوری می کند که انتخاب کنید پوشه شبکه\\ACER\test\secret.
روی دکمه Apply کلیک کنید. از شما خواسته می شود که کلیدهای رمزگذاری را برای پوشه اضافه کنید، روی Yes کلیک کنید. اگر به طور تصادفی پاسخ منفی دادید، پوشه موجود در لیست را برجسته کرده و روی دکمه کلیدها کلیک کنید.
گفتگوی انتخاب کلید کاربر ظاهر می شود. فقط کسانی را انتخاب کنید که باید به پوشه دسترسی داشته باشند (کسانی که می توانند فایل ها را رمزگشایی کنند). روی OK کلیک کنید.
از شما خواسته می شود که یک کلید مدیریت به پوشه اضافه کنید. مدیر می تواند لیست کلیدهای کاربر را مدیریت کند. اگر لیست کاربرانی که به پوشه دسترسی دارند بدون تغییر باشد، کلید مدیر را می توان حذف کرد. در مرحله بعد، باید یک مدیر پوشه را انتخاب کنید.
تمام، پوشه رمزگذاری شده است. برای شروع کار با آن، آن را انتخاب کرده و روی دکمه Enable کلیک کنید. پس از آن، می توانید کار با پوشه را شروع کنید.

مهم! هر بار که به یک پوشه رمزگذاری شده نیاز دارید، باید آن را از طریق دکمه Enable فعال کنید. اگر پوشه قرار نگیرد و فایل ها به آن اضافه شوند، رمزگذاری نمی شوند!

همین. اما من می خواهم یک بار دیگر توجه شما را به سرور جلب کنم. می تواند به عنوان یک سرور عمل کند کامپیوتر معمولیدر حال اجرا ویندوز فقط تعداد کاربرانی که به طور همزمان با پوشه شبکه کار می کنند را فراموش نکنید. این تعداد توسط خود ویندوز محدود شده است و اگر تعداد کاربران زیاد باشد به احتمال زیاد مجبور به خرید خواهید بود ویندوز سرور. و یک چیز دیگر: همانطور که قبلاً اشاره شد ، نیازی به نصب برنامه روی سرور ندارید ، در غیر این صورت فرآیند رمزگذاری به درستی پیش نخواهد رفت.

) به شرکت ها اجازه می دهد تا تبادل سریع و راحت اطلاعات را در فواصل مختلف سازماندهی کنند. با این وجود، حفاظت از اطلاعات در یک محیط شرکتی وظیفه ای است که تا به امروز همچنان مرتبط است و ذهن مدیران شرکت های کوچک، متوسط و بزرگ در زمینه های مختلف فعالیت را نگران می کند. علاوه بر این، صرف نظر از اندازه شرکت، تقریباً همیشه لازم است که مدیریت حقوق دسترسی کارکنان به اطلاعات محرمانه را بر اساس درجه اهمیت آن متمایز کند.

در این مقاله در مورد آن صحبت خواهیم کرد رمزگذاری شفافبه عنوان یکی از رایج ترین راه های محافظت از اطلاعات در یک محیط شرکتی، ما اصول کلی رمزگذاری را برای چندین کاربر در نظر خواهیم گرفت (رمزنگاری کلید عمومی چندگانه) و همچنین در مورد نحوه راه اندازی رمزگذاری شفاف پوشه های شبکه با استفاده از برنامه صحبت خواهیم کرد.

مزیت رمزگذاری شفاف چیست؟

استفاده از دیسک های رمزنگاری مجازی یا رمزگذاری کامل دیسک در رایانه محلی کاربر کاملاً موجه است، با این حال، در فضای شرکتی، رویکرد مناسب تری استفاده از آن است. رمزگذاری شفاف، زیرا این ویژگی کار سریع و راحت با فایل های طبقه بندی شده را به طور همزمان برای چندین کاربر فراهم می کند. هنگام ایجاد و ویرایش فایل ها، فرآیندهای رمزگذاری و رمزگشایی آنها به طور خودکار و در پرواز اتفاق می افتد. برای کار با اسناد محافظت شده، کارمندان شرکت نیازی به داشتن مهارت های رمزنگاری ندارند، آنها نیازی به انجام هیچ مرحله اضافی برای رمزگشایی یا رمزگذاری فایل های مخفی ندارند.

کار با اسناد طبقه بندی شده در حالت معمول با استفاده از برنامه های کاربردی سیستم استاندارد انجام می شود. همه عملکردها برای راه اندازی رمزگذاری و محدود کردن حقوق دسترسی را می توان به یک شخص، به عنوان مثال، یک مدیر سیستم اختصاص داد.

رمزنگاری چند کلید عمومی و پاکت دیجیتال

در این مورد، به اصطلاح پاکت های دیجیتال.

درایور رمزگذاری شفاف به صورت زیر عمل می کند: وقتی کاربر به فایلی دسترسی پیدا می کند، بررسی می کند که آیا گواهی آن (کلید عمومی) در لیست مجاز است یا خیر. در این صورت، کپی کلید متقارن که با استفاده از کلید عمومی کاربر رمزگذاری شده است، با استفاده از کلید خصوصی این کاربر رمزگشایی می شود. اگر گواهی این کاربر در لیست نباشد، دسترسی ممنوع خواهد شد.

رمزگذاری پوشه های شبکه با CyberSafe

با استفاده از CyberSafe، یک مدیر سیستم می‌تواند رمزگذاری شفاف یک پوشه شبکه را بدون استفاده از پروتکل‌های حفاظت از داده‌های اضافی، مانند یا کنترل بیشتر دسترسی کاربر به یک پوشه رمزگذاری‌شده خاص، راه‌اندازی کند.

سپس، مدیر سیستم در سرور راه دور یک پوشه جدید ایجاد می‌کند، آن را به CyberSafe اضافه می‌کند و کلیدهایی را به آن دسته از کاربرانی که می‌توانند در آینده با فایل‌های موجود در این پوشه کار کنند، اختصاص می‌دهد. البته، می‌توانید هر تعداد پوشه که نیاز دارید ایجاد کنید، اطلاعات محرمانه با اهمیت متفاوت را در آن‌ها ذخیره کنید، و مدیر سیستم می‌تواند در هر زمانی یک کاربر را از افرادی که به پوشه دسترسی دارند حذف کند یا یک مورد جدید اضافه کند.

یک مثال ساده را در نظر بگیرید:

سرور فایل شرکت ABC 3 پایگاه داده را با اطلاعات محرمانه با درجات مختلف اهمیت ذخیره می کند - DSP، Secret و Top Secret. لازم است دسترسی داشته باشید: به DB1 کاربران ایوانوف، پتروف، نیکیفوروف، به DB2 پتروف و اسمیرنوف، به DB3 اسمیرنوف و ایوانوف.

برای انجام این کار، در سرور فایل، که می تواند هر منبع شبکه باشد، باید سه پوشه مجزا برای هر پایگاه داده ایجاد کنید و گواهی (کلید) کاربران مربوطه را به این پوشه ها اختصاص دهید:

البته، این یا مشکل مشابه دیگری با تمایز حقوق دسترسی نیز قابل حل است راهنما ویندوز. اما این روش تنها زمانی می تواند موثر باشد که حقوق دسترسی به رایانه های کارکنان درون شرکت را متمایز کند. به خودی خود، در صورت اتصال شخص ثالث به یک سرور فایل، حفاظتی برای اطلاعات محرمانه ارائه نمی دهد و استفاده از رمزنگاری برای محافظت از داده ها به سادگی ضروری است.

1. در خط فرمان با حقوق administrator وارد کنید: cmd
2. به دیسک یا پارتیشن بروید، به عنوان مثال: CD /D D:
3. برای بازنشانی همه مجوزها، وارد کنید: icacls * / T / Q / C / RESET

این امکان وجود دارد که icacls بار اول کار نکند. سپس قبل از مرحله 2 باید دستور زیر را اجرا کنید:

پس از آن، مجوزهای تنظیم شده قبلی روی فایل ها و پوشه ها بازنشانی می شود.

رمزگذاری / رمزگشایی فایل ها در سرور فایل انجام نمی شود، اما در سمت کاربر. بنابراین، فایل‌های محرمانه فقط به صورت رمزگذاری شده در سرور ذخیره می‌شوند، که در صورت اتصال مستقیم مهاجم به سرور فایل، احتمال به خطر افتادن آنها را حذف می‌کند. تمامی فایل های روی سرور که در یک پوشه رمزگذاری شده شفاف ذخیره می شوند، رمزگذاری شده و ایمن هستند. در عین حال، کاربران و برنامه‌ها آن‌ها را به‌عنوان فایل‌های معمولی می‌بینند: Notepad، Word، Excel، HTML و غیره. برنامه‌ها می‌توانند مستقیماً این فایل‌ها را بخوانند و بنویسند. این واقعیت که آنها رمزگذاری شده اند برای آنها شفاف است.

کاربران بدون دسترسی نیز می توانند این فایل ها را ببینند، اما نمی توانند آنها را بخوانند یا تغییر دهند. این بدان معنی است که اگر مدیر سیستم به اسناد موجود در هیچ یک از پوشه ها دسترسی نداشته باشد، همچنان می تواند از آنها نسخه پشتیبان تهیه کند. البته تمام فایل های پشتیبان نیز رمزگذاری شده است.

با این حال، زمانی که کاربر هر یک از فایل ها را برای کار روی رایانه خود باز می کند، این احتمال وجود دارد که برنامه های ناخواسته به آن دسترسی پیدا کنند (البته اگر رایانه آلوده باشد). برای جلوگیری از این امر، CyberSafe به عنوان یک اقدام امنیتی اضافی، به لطف آن یک مدیر سیستم می‌تواند فهرستی از برنامه‌هایی را تعریف کند که می‌توانند از یک پوشه محافظت شده به فایل‌ها دسترسی داشته باشند. همه برنامه‌های کاربردی دیگری که در لیست برنامه‌های مورد اعتماد قرار نمی‌گیرند، دسترسی نخواهند داشت. این امر دسترسی به اطلاعات محرمانه برای جاسوس‌افزارها، روت‌کیت‌ها و سایر بدافزارها را محدود می‌کند.

از آنجایی که تمام کارها با فایل های رمزگذاری شده در سمت کاربر انجام می شود، به این معنی است که CyberSafe روی یک سرور فایل نصب نمی شود و هنگام کار در یک فضای شرکتی، می توان از این برنامه برای محافظت از اطلاعات موجود در حافظه های شبکه با سیستم فایل NTFS استفاده کرد. ، مانند . تمام اطلاعات محرمانه در چنین فضای ذخیره‌سازی رمزگذاری می‌شود و CyberSafe فقط روی رایانه‌های کاربران که از آنجا به فایل‌های رمزگذاری شده دسترسی دارند نصب می‌شود.

این مزیت CyberSafe نسبت به TrueCrypt و سایر برنامه های رمزگذاری است که نیاز به نصب در یک مکان ذخیره سازی فیزیکی برای فایل ها دارند، به این معنی که فقط یک رایانه شخصی می تواند به عنوان سرور استفاده شود، اما نه یک درایو شبکه. البته استفاده از ذخیره‌سازی‌های شبکه در شرکت‌ها و سازمان‌ها بسیار راحت‌تر و موجه‌تر از استفاده از رایانه‌های معمولی است.

بنابراین، با کمک CyberSafe، بدون هیچ ابزار اضافی، می توانید حفاظت موثر از فایل های ارزشمند را سازماندهی کنید، از کار راحت با پوشه های شبکه رمزگذاری شده اطمینان حاصل کنید و همچنین حقوق دسترسی کاربر را به اطلاعات محرمانه متمایز کنید.

در این مقاله در مورد آن صحبت خواهیم کرد رمزگذاری شفافبه عنوان یکی از رایج‌ترین روش‌های حفاظت از اطلاعات در یک محیط شرکتی، ما اصول کلی رمزگذاری برای چندین کاربر (رمزنگاری کلید عمومی چندگانه) را در نظر خواهیم گرفت و همچنین در مورد چگونگی راه‌اندازی رمزگذاری شفاف پوشه‌های شبکه با استفاده از فایل‌های CyberSafe صحبت خواهیم کرد. برنامه رمزگذاری

مزیت رمزگذاری شفاف چیست؟

رمزنگاری چند کلید عمومی و پاکت دیجیتال

رمزگذاری شفاف به شرح زیر عمل می کند. برای رمزگذاری فایل، از یک کلید جلسه متقارن تولید شده به طور تصادفی استفاده می شود که به نوبه خود توسط کلید نامتقارن عمومی کاربر محافظت می شود. اگر کاربر به فایلی دسترسی پیدا کند تا تغییراتی در آن ایجاد کند، درایور رمزنگاری شفاف، کلید متقارن را با استفاده از کلید خصوصی (خصوصی) کاربر رمزگشایی می کند و سپس با استفاده از کلید متقارن، خود فایل را رمزگشایی می کند. نحوه عملکرد رمزگذاری شفاف را در مبحث قبلی به تفصیل شرح دادیم.

در این مورد، به اصطلاح پاکت های دیجیتال.

رمزگذاری پوشه های شبکه با CyberSafe

با استفاده از CyberSafe، یک مدیر سیستم می‌تواند رمزگذاری شفاف یک پوشه شبکه را بدون استفاده از پروتکل‌های حفاظت از داده‌های اضافی، مانند IPSec یا WebDAV تنظیم کند و دسترسی کاربر به یک پوشه رمزگذاری شده خاص را کنترل کند.

یک مثال ساده را در نظر بگیرید:

البته، این یا کار مشابه دیگری با حقوق دسترسی را می توان با استفاده از ویندوز ACL حل کرد. اما این روش تنها زمانی می تواند موثر باشد که حقوق دسترسی به رایانه های کارکنان درون شرکت را متمایز کند. به خودی خود، در صورت اتصال شخص ثالث به یک سرور فایل، حفاظتی برای اطلاعات محرمانه ارائه نمی دهد و استفاده از رمزنگاری برای محافظت از داده ها به سادگی ضروری است.

1. در خط فرمان با حقوق administrator وارد کنید: cmd
2. به دیسک یا پارتیشن بروید، به عنوان مثال: CD /D D:
3. برای بازنشانی همه مجوزها، وارد کنید: icacls * / T / Q / C / RESET

این امکان وجود دارد که icacls بار اول کار نکند. سپس قبل از مرحله 2 باید دستور زیر را اجرا کنید:

پس از آن، مجوزهای تنظیم شده قبلی روی فایل ها و پوشه ها بازنشانی می شود.

برای رمزگذاری درایوهای فیزیکی و ایجاد درایوهای رمزگذاری شده مجازی. با این حال، چنین رمزگذاری همیشه راحت نیست.
اول اینکه همیشه رمزگذاری کل امکان پذیر نیست دیسک فیزیکی. ثانیا، اگر از دیسک های مجازی استفاده می کنید، فایل های کانتینری معمولا صدها مگابایت را اشغال می کنند. فضای دیسکو شناسایی آنها توسط مهاجم بسیار آسان است. بله، داده ها وجود دارد، اما تنبلی انسان برنده است. ثالثاً، پوشه رمزگذاری شده می تواند دائماً رشد کند و اندازه cryptodisk به مقدار مشخص شده در زمان ایجاد آن محدود می شود.
همه می خواهند به راحتی با فایل ها کار کنند و در عین حال فایل ها به طور ایمن محافظت شوند. چنین مصالحه ای وجود دارد - این رمزگذاری فایل شفاف است، هنگامی که فایل ها رمزگذاری و رمزگشایی می شوند "در حال پرواز" - در فرآیند کار با آنها. فایل ها رمزگذاری شده باقی می مانند و شما مانند فایل های معمولی با آنها کار می کنید. به عنوان مثال، اگر پوشه C:\Documents را رمزگذاری کرده باشید و اسناد خود را در آن قرار دهید، پس از باز کردن یک سند از این پوشه، ورد یا اکسل راه اندازی می شود و آنها حتی شک نمی کنند که آنها رمزگذاری شده اند. شما با فایل های رمزگذاری شده مانند رایج ترین آنها کار می کنید، بدون اینکه به رمزگذاری، نصب، دیسک های مجازیو غیره.
رمزگذاری شفاف علاوه بر سهولت استفاده، مزیت قابل توجه دیگری نیز دارد. به عنوان یک قاعده، دیسک های رمزگذاری شده مجازی ذخیره می شوند تعداد زیادی ازفایل ها. برای کار حتی با یکی از آنها، باید کل دیسک رمزنگاری را متصل کنید. در نتیجه همه فایل های دیگر آسیب پذیر می شوند. البته، شما می توانید بسیاری از دیسک های رمزنگاری کوچک ایجاد کنید، یک رمز عبور جداگانه به هر کدام اختصاص دهید، اما این خیلی راحت نیست.
در مورد رمزگذاری شفاف، می توانید به تعداد مورد نیاز پوشه های رمزگذاری شده ایجاد کنید و گروه های مختلفی از فایل ها را در هر یک از آنها قرار دهید - اسناد، عکس های شخصی و غیره. در این حالت، فقط آن دسته از فایل‌هایی که به آنها دسترسی پیدا می‌شود رمزگشایی می‌شوند و نه همه فایل‌های cryptodisk به یکباره.

مزایا و معایب EFS

در ویندوز (با شروع ویندوز 2000 و به جز نسخه های خانگی)، سیستم فایل رمزگذاری (EFS) به طور سنتی برای سازماندهی رمزگذاری شفاف استفاده می شود.
EFS برای جلوگیری از دسترسی یک کاربر به فایل های (رمزگذاری شده) کاربر دیگر طراحی شده است. اگر NTFS از کنترل دسترسی پشتیبانی می کند، چرا ایجاد EFS ضروری بود؟ اگرچه NTFS یک سیستم فایل نسبتاً ایمن است، با گذشت زمان، ابزارهای مختلفی ظاهر شدند (یکی از اولین آنها NTFSDOS بود که به شما امکان می‌دهد فایل‌های واقع در یک پارتیشن NTFS را از یک محیط DOS بخوانید)، بدون توجه به مجوزهای NTFS. نیاز بود حفاظت اضافی. چنین حفاظتی قرار بود EFS باشد.
در واقع EFS یک افزونه برای NTFS است. EFS راحت است زیرا با ویندوز همراه است و برای رمزگذاری فایل ها به نرم افزار اضافی نیاز ندارید. نرم افزار- هر چیزی که نیاز دارید از قبل در ویندوز موجود است. برای شروع رمزگذاری فایل ها نیازی به انجام هیچ کاری نیست، زیرا اولین باری که یک فایل را رمزگذاری می کنید، یک گواهی رمزگذاری و یک کلید خصوصی به طور خودکار برای کاربر تولید می شود.
یکی دیگر از مزایای EFS این است که وقتی یک فایل را از یک پوشه رمزگذاری شده به پوشه دیگری منتقل می کنید، رمزگذاری شده باقی می ماند و زمانی که یک فایل را در یک پوشه رمزگذاری شده کپی می کنید، به طور خودکار رمزگذاری می شود. نیازی به انجام اقدامات اضافی نیست.
این رویکرد البته بسیار راحت است و به نظر کاربر تنها مزیت EFS است. اما اینطور نیست. از یک طرف، در شرایط نامطلوب، کاربر ممکن است به طور کلی دسترسی به فایل های رمزگذاری شده را از دست بدهد. این می تواند در موارد زیر رخ دهد:

مشکلات سخت افزاری، به عنوان مثال از کار افتادن مادربرد، بوت لودر خراب، خراب شده است فایل های سیستمیبه دلیل شکست هارد دیسک(بخش های بد). در نهایت HDDمی توانید به رایانه دیگری متصل شوید تا فایل ها را از آن کپی کنید، اما اگر با EFS رمزگذاری شده باشند، موفق نخواهید شد.
سیستم دوباره نصب شد ویندوز به دلایل مختلفی قابل نصب مجدد است. در این صورت البته دسترسی به داده های رمزگذاری شده از بین خواهد رفت.
پروفایل کاربری حذف شد حتی اگر کاربری با همین نام ایجاد کنید، شناسه دیگری به او اختصاص داده می شود و داده ها باز هم رمزگشایی نمی شوند.
مدیر سیستم یا کاربر رمز عبور را بازنشانی کرده است. پس از آن، دسترسی به داده های EFS نیز از بین خواهد رفت.
انتقال نادرست کاربر به دامنه دیگر. اگر انتقال کاربر به اشتباه انجام شود، او نمی تواند به فایل های رمزگذاری شده خود دسترسی داشته باشد.

هنگامی که کاربران (به ویژه مبتدیان) شروع به استفاده از EFS می کنند، افراد کمی به آن فکر می کنند. اما، از سوی دیگر، نرم افزار خاصی وجود دارد (و بعداً در کار نشان داده خواهد شد) که به شما امکان می دهد حتی در صورت نصب مجدد سیستم و گم شدن برخی از کلیدها، به داده ها دسترسی داشته باشید. و من حتی نمی دانم که آیا این واقعیت را می توان به مزایا یا معایب نسبت داد - این نرم افزار به شما امکان می دهد دسترسی به داده ها را بازیابی کنید، اما در عین حال می تواند توسط یک مهاجم برای دسترسی غیرمجاز به فایل های رمزگذاری شده استفاده شود.
به نظر می رسد که داده های رمزگذاری شده با استفاده از EFS بسیار قابل اعتماد هستند. پس از همه، فایل های روی دیسک با استفاده از کلید FEK (کلید رمزگذاری فایل) که در ویژگی های فایل ذخیره می شود، رمزگذاری می شوند. خود FEK با یک کلید اصلی رمزگذاری می شود که به نوبه خود با کلیدهای کاربران سیستمی که به این فایل دسترسی دارند رمزگذاری می شود. کلیدهای کاربر با هش رمز عبور این کاربران و هش رمز عبور نیز با SYSKEY رمزگذاری می شود.
به نظر می رسد که چنین زنجیره رمزگذاری باید ارائه می شد حفاظت قابل اعتمادداده ها، اما همه آنها به نام کاربری و رمز عبور خلاصه می شود. پس از بازنشانی رمز عبور یا نصب مجدد سیستم توسط کاربر، دیگر امکان دسترسی به داده های رمزگذاری شده وجود نخواهد داشت.
توسعه دهندگان EFS آن را ایمن بازی کردند و عوامل بازیابی (EFS Recovery Agent) را پیاده سازی کردند، یعنی کاربرانی که می توانند داده های رمزگذاری شده توسط سایر کاربران را رمزگشایی کنند. با این حال، استفاده از مفهوم EFS RA بسیار راحت و حتی دشوار نیست، به خصوص برای کاربران تازه کار. در نتیجه، همین کاربران مبتدی می دانند که چگونه با استفاده از آن رمزگذاری کنند فایل های EFSاما نمی دانم در مواقع اضطراری چه باید کرد. خوب است که نرم افزار خاصی وجود دارد که می تواند در این شرایط کمک کند، اما همان نرم افزار را می توان برای دسترسی غیرمجاز به داده ها، همانطور که قبلا ذکر شد، استفاده کرد.
از معایب EFS می توان به عدم امکان رمزگذاری شبکه (در صورت نیاز، باید از پروتکل های رمزگذاری دیگر مانند IPSec استفاده کرد) و عدم پشتیبانی از سایر فایل سیستم ها اشاره کرد. اگر فایل رمزگذاری شده را در سیستم فایل، که از رمزگذاری پشتیبانی نمی کند، به عنوان مثال، در FAT / FAT32، فایل رمزگشایی می شود و برای همه قابل مشاهده است. هیچ چیز تعجب آور نیست، EFS فقط یک افزونه برای NTFS است.
به نظر می رسد که EFS بیشتر از اینکه مفید باشد ضرر دارد. اما، برای اینکه بی اساس نباشم، مثالی از استفاده از برنامه Advanced EFS Data Recovery برای دسترسی به داده های رمزگذاری شده می زنم. سناریو ساده ترین خواهد بود: اول، من به عنوان یک کاربر دیگر وارد سیستم می شوم و سعی می کنم به فایل رمزگذاری شده ای که کاربر دیگر رمزگذاری کرده است، دسترسی پیدا کنم. سپس من یک موقعیت واقعی را شبیه سازی می کنم که در آن گواهی کاربری که فایل را رمزگذاری کرده است حذف شده است (این ممکن است برای مثال در مورد نصب مجدد ویندوز). همانطور که خواهید دید، برنامه مشکلات خاصبا این وضعیت مقابله کنید

استفاده از Advanced EFS Data Recovery برای رمزگشایی فایل های رمزگذاری شده EFS

بیایید ببینیم چگونه می توانید فایل های رمزگذاری شده با EFS را رمزگشایی کنید. اولین قدم این است که رمزگذاری را برای یکی از پوشه ها فعال کنید. برای نمایش، من به طور خاص پوشه EFS-Crypted را ایجاد کردم. برای فعال کردن رمزگذاری EFS برای یک پوشه، فقط باید ویژگی مربوطه را در ویژگی های آن فعال کنید (شکل 1).

برنج. 1. رمزگذاری را برای یک پوشه فعال کنید

نام پوشه رمزگذاری شده و تمام فایل های قرار داده شده در آن (که به طور خودکار رمزگذاری می شوند) در Explorer نمایش داده می شود. به رنگ سبز. همانطور که در شکل نشان داده شده است. 2، در پوشه رمزگذاری شده ای که اضافه کردم فایل متنی config.txt، که سعی می کنیم با ورود به عنوان یک کاربر دیگر، محتوای آن را مشاهده کنیم. برای آزمایش، کاربر دیگری با حقوق سرپرست ایجاد شد (این حقوق توسط برنامه Advanced EFS مورد نیاز است بازیابی اطلاعات(AEFSDR) توسط ElcomSoft)، به شکل. 3.

برنج. 2. محتویات پوشه رمزگذاری شده

برنج. 3. یک کاربر جدید ایجاد کرد

طبیعتاً، اگر به عنوان یک کاربر دیگر وارد شوید و سعی کنید فایل config.txt را بخوانید، هیچ کاری از دستش بر نمی آید (شکل 4).

برنج. 4. دسترسی ممنوع است

اما مهم نیست - ما برنامه Advanced EFS Data Recovery را راه اندازی می کنیم و مستقیماً به حالت Expert می رویم (البته می توانید از ویزاردی که در اولین شروع باز می شود استفاده کنید (شکل 5))، اما من حالت متخصص را ترجیح می دهم. .

برنج. 5. Wizard هنگام راه اندازی Advanced EFS Data Recovery

برنج. 6. متخصص حالت پیشرفتهبازیابی اطلاعات EFS

بنابراین به برگه بروید فایل های رمزگذاری شدهو دکمه را فشار دهید فایل های رمزگذاری شده را اسکن کنید. روی انجیر 6 قبلاً نتیجه اسکن را نشان می دهد - تنها فایل رمزگذاری شده ما C:\EFS-Crypted\config.txt پیدا شد. آن را انتخاب کنید و روی دکمه کلیک کنید رمزگشایی. برنامه از شما می خواهد دایرکتوری را انتخاب کنید که در آن می خواهید فایل ها را رمزگشایی کنید (شکل 7).

برنج. 7. دایرکتوری که فایل ها در آن رمزگشایی می شوند را انتخاب کنید

چون من دارم نسخه آزمایشیبرنامه، برای ادامه باید فشار دهید. ادامه هید(شکل 8). فایل های رمزگشایی شده در زیر پوشه AEFS_ قرار می گیرند<имя_диска>_DECRYPTED (شکل 9). لطفاً توجه داشته باشید که فایل config.txt ما دیگر با رنگ سبز مشخص نمی شود و می توانیم محتویات آن را مشاهده کنیم (شکل 10).

برنج. 8. دکمه را فشار دهید ادامه هید

برنج. 9. فایل های رمزگشایی شده

برنج. 10. محتویات فایل config.txt

حالا بیایید کار برنامه را پیچیده کنیم بازیابی اطلاعات EFS پیشرفته، یعنی گواهی شخصی را حذف کنید. به عنوان کاربری که پوشه رمزگذاری شده را ایجاد کرده وارد شوید و کنسول mmc را راه اندازی کنید، دستور منو را انتخاب کنید فایل، افزودن یا حذف اسنپ. بعد، لوازم جانبی را انتخاب کنید گواهینامه هاو دکمه را فشار دهید اضافه کردن(شکل 11). در پنجره ای که ظاهر می شود، را انتخاب کنید من حسابکاربر(شکل 12).

برنج. 11. اضافه کردن یک اسنپ

برنج. 12. مدیر گواهی Snap-in

بعد روی دکمه کلیک کنید خوبو در پنجره ظاهر شده به آن بروید گواهینامه ها، شخصی، گواهینامه ها. گواهی های تولید شده برای کاربر فعلی را خواهید دید (شکل 13). در مورد من کاربر نامیده می شود تست. روی گواهی آن کلیک راست کرده و command را انتخاب کنید حذفبرای حذف گواهی اخطاری خواهید دید مبنی بر اینکه رمزگشایی داده های رمزگذاری شده با این گواهی دیگر امکان پذیر نخواهد بود. خوب، به زودی آن را بررسی می کنیم.

برنج. 13. گواهی های شخصی

برنج. 14. هشدار هنگام حذف گواهی

Snap-in را ببندید و سعی کنید به فایل رمزگذاری شده دسترسی پیدا کنید. با وجود اینکه این فایل را رمزگذاری کرده اید، موفق نخواهید شد. پس از همه، گواهی حذف شده است.
کاربر را تغییر دهید، Advanced EFS Data Recovery را اجرا کنید. همانطور که قبلا نشان داده شده است سعی کنید فایل را رمزگشایی کنید. ابتدا، برنامه گزارش می دهد که گواهی پیدا نشد. بنابراین، شما باید به برگه بروید فایل های مرتبط با EFSو دکمه را فشار دهید اسکن برای کلیدها. پس از مدتی، برنامه به شما اطلاع می دهد که کلیدها را پیدا کرده است، اما احتمالاً نه همه (شکل 15). این برنامه توصیه می کند که کلیدها را دوباره اسکن کنید، اما این بار با فعال بودن گزینه اسکن بر اساس بخش ها(شکل 16)، اما من این کار را نکردم و بلافاصله به برگه رفتم فایل های رمزگذاری شده. برنامه با موفقیت فایل را پیدا و رمزگشایی کرد. روی انجیر شکل 17 نشان می دهد که من قبلاً فایل رمزگشایی شده را در دسکتاپ خود ذخیره کرده ام.

برنج. 15. کلیدها را جستجو کنید

برنج. 16. پنجره را اسکن کنید

برنج. 17. فایل دوباره رمزگشایی می شود

به شرم EFS یا به اعتبار Advanced EFS Data Recovery، فایل در هر دو مورد رمزگشایی شد. در عین حال همانطور که می بینید نیازی به دانش و مهارت خاصی نداشتم. کافی است برنامه ای را اجرا کنید که تمام کارها را برای شما انجام دهد. می توانید در مورد نحوه کار این برنامه در وب سایت توسعه دهندگان (http://www.elcomsoft.ru/) بخوانید، ما در این مقاله اصل عملکرد آن را به طور مفصل در نظر نخواهیم گرفت، زیرا AEFSDR موضوع مقاله نیست. .
انصافاً باید گفت که متخصصان می توانند سیستم را طوری پیکربندی کنند که Advanced EFS Data Recovery بی قدرت باشد. با این حال، ما رایج ترین استفاده از EFS را برای اکثریت قریب به اتفاق کاربران پوشش داده ایم.

سیستم رمزگذاری شفاف در CyberSafe Top Secret پیاده سازی شده است

بیایید نگاهی به نحوه اجرای رمزگذاری شفاف در CyberSafe بیاندازیم. برای رمزگذاری شفاف، از درایور Alfa Transparent File Encryptor (http://www.alfasp.com/products.html) استفاده می شود که فایل ها را با استفاده از الگوریتم AES-256 یا الگوریتم GOST 28147-89 (هنگام استفاده از Crypto-Pro) رمزگذاری می کند. ).
قانون رمزگذاری (ماسک فایل، فرآیندهای مجاز/رد شده و غیره) و کلید رمزگذاری به درایور منتقل می شود. خود کلید رمزگذاری در پوشه ADS (Alternate Data Streams، eb.by/Z598) ذخیره می شود و با استفاده از OpenSSL (الگوریتم RSA) یا GOST R 34.10-2001 رمزگذاری می شود - برای این کار از گواهی نامه ها استفاده می شود.
منطق به این صورت است: ما یک پوشه اضافه می کنیم، CyberSafe یک کلید برای درایور ایجاد می کند، آن را با گواهی های عمومی انتخاب شده رمزگذاری می کند (آنها باید قبلا ایجاد یا وارد CyberSafe شوند). هنگامی که هر کاربری سعی می کند به پوشه دسترسی پیدا کند، CyberSafe ADS پوشه را باز می کند و کلید رمزگذاری شده را می خواند. اگر این کاربر یک کلید گواهی خصوصی داشته باشد (ممکن است یک یا چند گواهینامه خود را داشته باشد) که برای رمزگذاری کلید استفاده شده است، می تواند این پوشه را باز کند و فایل ها را بخواند. لازم به ذکر است که درایور هنگام اعطای دسترسی به فایل، تنها موارد مورد نیاز و نه همه فایل ها را رمزگشایی می کند. به عنوان مثال، اگر کاربر یک سند Word بزرگ را باز کند، تنها بخشی که در حال حاضر در ویرایشگر بارگذاری شده است رمزگشایی می شود، بقیه در صورت لزوم بارگذاری می شوند. اگر فایل کوچک باشد، به طور کامل رمزگشایی می شود، اما بقیه فایل ها رمزگذاری شده باقی می مانند.
اگر پوشه به اشتراک گذاشته شده در شبکه باشد، فایل‌های موجود در آن رمزگذاری شده باقی می‌مانند، درایور سرویس گیرنده فقط فایل یا بخشی از فایل را در حافظه رمزگشایی می‌کند، اگرچه این برای پوشه محلی نیز صادق است. هنگام ویرایش فایل، درایور تغییرات حافظه را رمزگذاری کرده و در فایل می‌نویسد. به عبارت دیگر، حتی زمانی که یک پوشه فعال است (ما بعداً به شما نشان خواهیم داد که چه چیزی وجود دارد)، اطلاعات روی درایو همیشه رمزگذاری شده باقی می‌مانند.

استفاده از CyberSafe Top Secret برای رمزگذاری شفاف فایل ها و پوشه ها

وقت آن است که در نظر بگیرید استفاده عملیبرنامه مخفی CyberSafe. برای رمزگذاری یک پوشه، به بخش برنامه ها بروید رمزگذاری شفاف(برگه رمزگذاری فایل) شکل را ببینید. 18. سپس از Explorer، پوشه هایی را که می خواهید رمزگذاری کنید به فضای کاری برنامه بکشید. همچنین می توانید از دکمه استفاده کنید داخلی پوشه. من یک پوشه اضافه کردم - C:\CS-Crypted.

برنج. 18. برنامه فوق محرمانه CyberSafe

روی دکمه کلیک کنید درخواست دادن. در پنجره ظاهر شده (شکل 19) روی دکمه کلیک کنید آرهیا برای همه چیز بله x (اگر می خواهید چندین پوشه را همزمان رمزگذاری کنید). در مرحله بعد، پنجره ای برای انتخاب گواهینامه ها مشاهده خواهید کرد که از کلیدهای آن برای رمزگذاری شفاف پوشه استفاده می شود (شکل 20). به عنوان یک قاعده، گواهی ها بلافاصله پس از نصب برنامه ایجاد می شوند. اگر قبلاً این کار را نکرده اید، باید به بخش بازگردید کلیدهای خصوصیو دکمه را فشار دهید ايجاد كردن.

برنج. 19. روی Yes کلیک کنید

برنج. 20. انتخاب گواهی برای رمزگذاری شفاف

سوال بعدی برنامه این است که آیا نیاز به تنظیم کلید مدیر برای این پوشه وجود دارد (شکل 21). بدون کلید مدیریت، نمی توانید تغییراتی در پوشه ایجاد کنید، بنابراین روی دکمه کلیک کنید آره.

برنج. 21. دوباره فشار دهید آره

پس از آن به پنجره اصلی برنامه باز می گردید. قبل از شروع کار با یک پوشه رمزگذاری شده، باید آن را انتخاب کرده و روی دکمه کلیک کنید روشن کن. برنامه رمز عبور گواهی (شکل 22) را که برای رمزگذاری این پوشه مشخص شده است، می خواهد. پس از آن، کار با یک پوشه رمزگذاری شده با کار با یک پوشه معمولی تفاوتی نخواهد داشت. در پنجره CyberSafe، پوشه به عنوان باز علامت گذاری می شود و یک نماد قفل در سمت چپ نماد پوشه ظاهر می شود (شکل 23).

برنج. 22. رمز عبور گواهی را وارد کنید

برنج. 23. پوشه رمزگذاری شده متصل است

در Explorer، نه پوشه رمزگذاری شده و نه فایل های رمزگذاری شده به هیچ وجه علامت گذاری نمی شوند. از نظر ظاهری، مانند سایر پوشه‌ها و فایل‌ها به نظر می‌رسند (برخلاف EFS، که نام فایل‌ها/پوشه‌های رمزگذاری‌شده با رنگ سبز مشخص می‌شوند)، به شکل. 24.

برنج. 24. پوشه رمزگذاری شده CS-Crypted در File Explorer

لازم به ذکر است که به همین ترتیب می توانید یک پوشه شبکه را رمزگذاری کنید. در این حالت، برنامه CyberSafe باید فقط در رایانه کاربر قرار داشته باشد و نه در سرور فایل. تمام رمزگذاری روی کلاینت انجام می شود و فایل های رمزگذاری شده از قبل به سرور منتقل می شوند. این تصمیم بیش از حد موجه است. ابتدا داده های رمزگذاری شده از قبل از طریق شبکه منتقل می شود. ثانیا، حتی اگر مدیر سرور بخواهد به فایل ها دسترسی پیدا کند، موفق نخواهد شد، زیرا فقط کاربرانی که گواهینامه آنها در هنگام رمزگذاری مشخص شده است می توانند فایل ها را رمزگشایی کنند. اما در صورت لزوم مدیر می تواند از فایل های رمزگذاری شده نسخه پشتیبان تهیه کند.
هنگامی که پوشه رمزگذاری شده دیگر مورد نیاز نیست، باید به برنامه CyberSafe بروید، پوشه را انتخاب کنید و روی دکمه کلیک کنید. خاموش کن. چنین راه حلی ممکن است به اندازه EFS برای شما راحت به نظر نرسد - باید دکمه های روشن / خاموش را فشار دهید. اما این فقط در نگاه اول است. اولاً، کاربر درک واضحی دارد که پوشه رمزگذاری شده است و هنگام نصب مجدد ویندوز این واقعیت را فراموش نخواهد کرد. ثانیاً، هنگام استفاده از EFS، اگر باید رایانه خود را ترک کنید، باید از سیستم خارج شوید، زیرا زمانی که شما دور هستید، هر کسی می تواند به رایانه بیاید و به فایل های شما دسترسی داشته باشد. تنها کاری که باید انجام دهید این است که فایل های خود را در دستگاهی کپی کنید که از رمزگذاری پشتیبانی نمی کند، مانند فلش مموری FAT32. سپس او می تواند فایل های خارج از کامپیوتر شما را مشاهده کند. با برنامه CyberSafe، همه چیز کمی راحت تر است. بله، شما باید یک اقدام اضافی انجام دهید ("خاموش کردن" پوشه) و همه فایل های رمزگذاری شده غیر قابل دسترسی خواهند بود. اما از طرف دیگر، مانند پس از ورود مجدد به سیستم، نیازی به راه اندازی مجدد همه برنامه ها و باز کردن تمام اسناد (از جمله موارد رمزگذاری نشده) نخواهید داشت.
با این حال، هر محصول ویژگی های خاص خود را دارد. CyberSafe نیز از این قاعده مستثنی نیست. بیایید تصور کنیم که پوشه C:\CS-Crypted را رمزگذاری کرده اید و فایل report.txt را در آنجا قرار داده اید. وقتی پوشه غیرفعال است، مسلماً نمی توانید فایل را بخوانید. وقتی پوشه فعال شد، می توانید به فایل دسترسی داشته باشید و بر این اساس آن را در هر پوشه رمزگذاری نشده دیگری کپی کنید. اما پس از کپی کردن فایل در یک پوشه رمزگذاری نشده، به زندگی خود ادامه می دهد. از یک طرف به راحتی EFS نیست، از طرف دیگر با دانستن این ویژگی برنامه، کاربر نظم بیشتری خواهد داشت و فایل های مخفی خود را فقط در پوشه های رمزگذاری شده ذخیره می کند.

کارایی

اکنون بیایید سعی کنیم بفهمیم کدام یک سریعتر است - EFS یا CyberSafe Top Secret. تمام تست ها بر روی یک ماشین واقعی انجام می شود - بدون ماشین مجازی. پیکربندی نوت بوک به شرح زیر است - Intel 1000M (1.8 GHz)/4 GB RAM/WD WD5000LPVT (500 GB, SATA-300, 5400 RPM, 8 MB buffer/Windows 7 64-bit). دستگاه خیلی قدرتمند نیست، اما چه چیزی است.
آزمون فوق العاده ساده خواهد بود. ما فایل ها را در هر یک از پوشه ها کپی می کنیم و می بینیم که کپی چقدر طول می کشد. برای اینکه بفهمیم کدام ابزار رمزگذاری شفاف سریعتر است، می توانیم از اسکریپت ساده زیر استفاده کنیم:

@echo off echo "کپی کردن 5580 فایل در EFS-Crypted" echo %time% robocopy c:\Joomla c:\EFS-Crypted /E > log1 echo %time% echo "کپی کردن 5580 فایل در CS-Crypted" echo %time% Robocopy c:\Joomla c:\CS-Crypted /E > log2 echo %time%

برای حدس زدن اینکه این اسکریپت چه کاری انجام می دهد، لازم نیست یک استاد برنامه نویسی باشید. بر کسی پوشیده نیست که ما اغلب با فایل های نسبتاً کوچکی کار می کنیم که از چند ده تا چند صد کیلوبایت متغیر است. این اسکریپت جوملا را کپی می کند! 3.3.6 که حاوی 5580 فایل کوچک از این دست است، ابتدا به پوشه رمزگذاری شده با EFS و سپس به پوشه رمزگذاری شده CyberSoft. ببینیم کی برنده میشه
دستور robocopy برای کپی بازگشتی فایل‌ها، از جمله فایل‌های خالی (گزینه /E) استفاده می‌شود و خروجی آن عمداً به یک فایل متنی هدایت می‌شود (در صورت تمایل می‌توانید ببینید چه چیزی کپی شده و چه چیزی کپی نشده است) تا مسدود نشود. خروجی اسکریپت
نتایج آزمایش دوم در شکل نشان داده شده است. 25. همانطور که می بینید، EFS این کار را در 74 ثانیه انجام داد، در حالی که CyberSoft آن را تنها در 32 ثانیه انجام داد. با توجه به اینکه در بیشتر موارد، کاربران با فایل های کوچک زیادی کار می کنند، CyberSafe بیش از دو برابر سریعتر از EFS خواهد بود.

برنج. 25. نتایج آزمون

مزایای رمزگذاری شفاف CyberSafe

حالا بیایید کمی مرور کنیم. مزایای رمزگذاری شفاف CyberSafe شامل حقایق زیر است:

هنگامی که پوشه را خاموش می کنید، فایل ها را می توان به صورت رمزگذاری شده در هر جایی کپی کرد، که به شما امکان می دهد رمزگذاری ابری را سازماندهی کنید.
درایور برنامه CyberSafe به شما امکان می دهد از طریق یک شبکه کار کنید، که سازماندهی را ممکن می کند.
برای رمزگشایی یک پوشه، نه تنها باید رمز عبور را بدانید، بلکه باید گواهینامه های مناسب را نیز داشته باشید. هنگام استفاده از Crypto-Pro، کلید را می توان به یک توکن منتقل کرد.
برنامه CyberSafe از مجموعه دستورالعمل AES-NI پشتیبانی می کند که تأثیر مثبتی بر عملکرد برنامه دارد (با آزمایش های بالا ثابت شد).
شما می توانید با استفاده از احراز هویت دو مرحله ای از دسترسی غیرمجاز به کلیدهای خصوصی خود محافظت کنید.
پشتیبانی از اپلیکیشن های قابل اعتماد

دو مزیت آخر سزاوار توجه ویژه است. برای محافظت از خود در برابر دسترسی به کلیدهای خصوصی کاربر، می توانید از خود برنامه CyberSafe محافظت کنید. برای این کار دستور را اجرا کنید ابزارها، تنظیمات(شکل 26). در پنجره تنظیمات، در برگه احراز هویتمی توانید احراز هویت رمز عبور را فعال کنید یا احراز هویت دو مرحله ای. برای جزئیات در مورد نحوه انجام این کار، به راهنمای برنامه CyberSafe در صفحه 119 مراجعه کنید.

برنج. 26. محافظت از خود برنامه CyberSafe

روی زبانه مجاز. برنامه های کاربردیمی توانید برنامه های قابل اعتمادی را تعریف کنید که اجازه کار با فایل های رمزگذاری شده را دارند. به طور پیش فرض، همه برنامه ها قابل اعتماد هستند. اما برای امنیت بیشتر، می‌توانید برنامه‌هایی را تنظیم کنید که اجازه کار با فایل‌های رمزگذاری شده را دارند. روی انجیر 27 من MS Word و MS Excel را به عنوان برنامه های مورد اعتماد مشخص کرده ام. اگر هر برنامه دیگری سعی کند به پوشه رمزگذاری شده دسترسی پیدا کند، از دسترسی آن منع می شود. اطلاعات تکمیلیمی توانید در مقاله "رمزگذاری شفاف فایل ها در رایانه محلی با استفاده از رمزگذاری فایل های CyberSafe" (http://website/company/cybersafe/blog/210458/) بیابید. افزودن برچسب