Защищённый носитель информации — устройство безопасного хранения информации с помощью одного из методов шифрования и возможностью экстренного уничтожения данных.
Возможности использования носителей информации
Защищённые носители информации позволяют организовать двухфакторную аутентификацию пользователя, когда для входа в систему необходимо предоставить пароль или pin-код от носителя и само устройство. Выделяют следующие возможности использования носителей информации:
Аутентификация пользователя в операционной системе, службах каталога и сетях (операционные системы Microsoft, Linux, Unix, Novell).
Защита компьютеров от несанкционированной загрузки.
Строгая аутентификация пользователей, разграничение доступа, защита передаваемых по сети данных в Web-ресурсах (Интернет-магазины, электронная коммерция).
Электронная почта – формирование ЭЦП и шифрование данных, контроль доступа, защита паролей.
Системы шифрования с открытым ключом (PKI), удостоверяющие центры – хранение сертификатов X.509, надежное и безопасное хранение ключевой информации, значительное снижение риска компрометации закрытого ключа.
Организация защищённых каналов передачи данных (технология VPN, протоколы IPSec и SSL) – аутентификация пользователей, генерация ключей, обмен ключами.
Системы документооборота – создание юридически значимого защищённого документооборота с использованием ЭЦП и шифрования (передача налоговой отчётности, договоров и прочей коммерческой информации по сети Интернет).
Бизнес-приложения, базы данных, ERP системы – аутентификация пользователей, хранение конфигурационной информации, ЭЦП и шифрование передаваемых и хранящихся данных.
Системы «Клиент-Банк», электронные платежи – обеспечение юридической значимости совершенных транзакций, строгая взаимная аутентификация и авторизация клиентов.
Криптография − обеспечение удобного использования и безопасного хранения ключевой информации в сертифицированных средствах криптографической защиты информации(криптопровайдеры и криптобиблиотеки).
Терминальный доступ и тонкие клиенты – аутентификация пользователей, хранение параметров и настроек сеанса работы.
Шифрование дисков – разграничение и контроль доступа к защищённым данным, аутентификация пользователей, хранение ключей шифрования.
Шифрование данных на дисках – аутентификация пользователей, генерация ключей шифрования, хранение ключевой информации.
Поддержка унаследованных приложений и замены парольной защиты на более надежную двухфакторную аутентификацию.
Аппаратные средства шифрования
Аппаратные средства шифрования реализуются либо в виде специализированных накопителей (IronKey, носители eToken NG-Flah, носители ruToken Flash), либо специализированных контроллеров доступа к жестким дискам (устройства криптографической защиты данных КРИПТОН, разработка Фирмы «АНКАД» ).
Защищённые накопители представляют собой обычные флеш-накопители, шифрование данных для которых выполняется непосредственно при записи информации на накопитель с использованием специализированного контроллера. Для доступа к информации пользователь должен указать персональный пароль.
Контроллеры типа КРИПТОН представляют собой плату расширения стандарта PCI и обеспечивающую прозрачное шифрование записываемых на защищённый носитель данных. Существует также программная эмуляция аппаратного шифрования КРИПТОН – Crypton Emulator.
Программные методы шифрования
Программные методы шифрования заключаются в создании средствами определенного программного обеспечения защищённых носителей информации. Существует несколько методов создания защищённых носителей информации программными методами: создание защищённого файлового контейнера, шифрование раздела жесткого диска, шифрование системного раздела жесткого диска.
При создании защищённого носителя информации с использованием файлового контейнера специализированной программой создается на диске файл указанного размера. Для начала работы с защищённым носителем пользователь осуществляет его монтирование в операционной системе. Монтирование выполняется средствами программы, с использованием которой создавался носитель. При монтировании пользователь указывает пароль (возможны также методы идентификации пользователя с использованием ключевых файлов, smart-карт и т. д.). После монтирования в операционной системе появляется новый логический диск, с которым пользователь имеет возможность работать как с обычными (не зашифрованными) носителями. После завершения сеанса работы с защищённым носителем осуществляется его размонтирование. Шифрование информации на защищённом носителе осуществляется непосредственно в момент записи информации на него на уровне драйвера операционной системы. Получить доступ к защищённому содержимому носителя практически невозможно.
При шифровании целых разделов жесткого диска порядок действий в целом аналогичен. На первом этапе создается обычный, нешифрованный раздел диска. Затем используя одно из средств шифрования выполняется шифрование разделаПосле шифрования доступ к разделу может быть получен только после его монтирования. Не смонтированный зашифрованный раздел выглядит как неразмеченная область жесткого диска.
В последних версиях систем шифрования появилась возможность шифрования системного раздела жесткого диска. Данный процесс аналогичен шифрования раздела жесткого диска за тем исключением, что монтирование раздела осуществляется при загрузке компьютера до загрузки операционной системы.
Некоторые системы шифрования предоставляют возможность создания в рамках зашифрованных носителей информации (любого из перечисленных выше типов: файловый контейнер, шифрованный раздел, шифрованный системный раздел) скрытых разделов. Для создания скрытого раздела пользователь создает защищённый носитель по обычным правилам. Затем в рамках созданного носителя создается ещё один, скрытый раздел. Для получения доступа к скрытому разделу пользователю необходимо указать пароль, отличный от пароля для получения доступа к открытому разделу. Таким образом, указывая различные пароли, пользователь получает возможность работы либо с одним (открытым), либо с другим (скрытым) разделом защищённого носителя. При шифровании системного раздела имеется возможность создания скрытой операционной системы (указывая пароль к открытому разделу, загружается одна копия операционной системы, указывая пароль к скрытому разделу – другая). При этом разработчики заявляют о том, что обнаружить факт наличия скрытого раздела в рамках открытого контейнера не представляется возможным. Создание скрытых контейнеров поддерживается достаточно большим количеством программ: TrueCrypt, PGP, BestCrypt, DiskCryptor и т. д.