Miesięcznik informatyków i menedżerów IT sektora publicznego

Marcin Lisiecki

Dane dobrze zaszyfrowane

Szyfrowanie gwarantuje wysoki poziom bezpieczeństwa danych, dlatego trzeba z niego korzystać. Dostępne dziś oprogramowanie i algorytmy są na tyle skuteczne, że ich złamanie jest praktycznie niemożliwe.

Brak fabrycznie zainstalowanego modułu TPM nie jest problemem. Często możemy sami zamontować go na płycie głównej komputera.

Nie sprzęt komputerowy w naszej jednostce jest najcenniejszy, a dane, które gromadzimy na różnych nośnikach. Gdy jakieś urządzenie ulegnie zniszczeniu, awarii lub zostanie ukradzione, możemy je łatwo wymienić czy zastąpić. Dane w tej sytuacji też najczęściej odzyskamy, korzystając z kopii bezpieczeństwa. W erze powszechnej mobilności w każdej placówce używane są laptopy, dyski przenośne, smartfony oraz pendrive’y. Takie urządzenia łatwo zgubić lub stracić, np. w wyniku kradzieży. Natomiast serwery i stacje robocze mogą stać się celem ataku hakerów, którym zależy m.in. na poufnych informacjach. Na tych wszystkich urządzeniach może się znajdować korespondencja biznesowa, ważne dokumenty urzędowe, dane osobowe różnych osób czy numery kart kredytowych. Tego rodzaju informacje w rękach niepowołanych osób to katastrofa, dlatego osoby pełniące funkcje związane z zabezpieczaniem danych mogą być pociągnięte do odpowiedzialności karnej.

Należyta ochrona nie może się sprowadzać jedynie do odpowiedniej konfiguracji systemu (np. poprzez nadawanie praw dostępu) czy stosowania oprogramowania i urządzeń zabezpieczających (firewall, antywirus), bo w razie fizycznej utraty komputera czy nośnika w niczym nam to nie pomoże. Koniecznością jest pełne zabezpieczenie danych poprzez ich zaszyfrowanie. Dzięki temu, nawet jeśli osoba trzecia będzie miała fizyczny dostęp np. do laptopa czy dysku USB, dane będą dla niej bezużyteczne, a poufność informacji zostanie zachowana.

Najważniejszy jest klucz

Szyfrowanie to nic innego niż przekształcanie dowolnej informacji zrozumiałej dla użytkownika (lub programu, który odczytuje dany plik, np. dokument czy zdjęcie) w niezrozumiały, z pozoru przypadkowy i chaotyczny ciąg znaków (bitów). W ten sposób informacja zostaje utajniona i może być bezpiecznie przechowywana, przenoszona między urządzeniami czy przesyłana przez internet. Szyfrowanie jest możliwe dzięki zaawansowanym obliczeniom matematycznym, które nazywamy algorytmami kryptograficznymi. Aby dana informacja stała się znów czytelna dla człowieka i oprogramowania, konieczna jest jej deszyfracja. Zarówno do tej czynności, jak i do zaszyfrowania danych niezbędny jest klucz. Jego funkcję najczęściej pełni hasło, które „powie” algorytmowi, w jaki sposób ma odszyfrować plik lub nawet cały dysk.

Powszechnie wiadomo, że o poziomie bezpieczeństwa decyduje długość klucza (hasła) oraz stopień jego skomplikowania (np. stosowanie znaków specjalnych), a w przypadku tzw. słownikowych ataków – niestosowanie w haśle konkretnych wyrazów, lecz jedynie nic nieznaczących ciągów znaków. Przy odpowiednio długim kluczu agresor nic nie wskóra ze względu na czas potrzebny do złamania hasła za pomocą metody siłowej brute force, czyli mozolnego sprawdzania wszystkich możliwych kombinacji. W komputerowym szyfrowaniu stosuje się różne długości klucza określane przez liczbę bitów (np. klucz 56-bitowy, 128-bitowy czy 256-bitowy). Im więcej bitów, tym większa liczba kombinacji. Dzięki funkcji haszującej w szyfrowaniu hasło nie musi mieć dokładnie takiej długości.

Programy szyfrujące

Jeśli zamierzamy szyfrować dane, konieczne jest wykorzystanie do tego odpowiedniego oprogramowania. Na rynku dostępnych jest wiele (także bezpłatnych) produktów, które sprawdzą się w różnych zastosowaniach. Za ich pomocą możemy szyfrować pojedyncze pliki, katalogi, partycje, a nawet całe dyski. Dane mogą znajdować się również na nośnikach zewnętrznych (USB). Co więcej, zaszyfrujemy też korespondencję e-mailową. Ciekawym przykładem oprogramowania szyfrującego są niektóre kompresory danych wyposażone w odpowiednie funkcje kryptograficzne (7-Zip, WinRAR). Dzięki nim nie tylko oszczędzamy miejsce na dysku, ale dbamy także o bezpieczeństwo.

Użytkownicy systemów Windows 7, 8 i 10 w wersjach profesjonalnych i korporacyjnych mają do dyspozycji gotowe i bardzo skuteczne rozwiązanie. Jest nim mechanizm BitLocker pozwalający zaszyfrować nawet partycję systemową. Jego dodatkową zaletą jest elektroniczny moduł TPM, z którego można skorzystać, o ile nasz sprzęt jest w niego wyposażony. Zapewnia on bardzo wysoki poziom bezpieczeństwa, np. blokadę dostępu do danych po przełożeniu napędu do innego komputera.

Jeżeli korzystamy z innego systemu, można sięgnąć po bezpłatne i wieloplatformowe narzędzie VeraCrypt, będące kontynuacją zarzuconego projektu True­Crypt. Za pomocą VeraCrypt nie tylko zaszyfrujemy całe dyski lub wybrane partycje, ale też utworzymy tzw. kontenery, w których można przechowywać zabezpieczone pliki. Integrują się one z systemem plików w taki sposób, że są widoczne jako zwykłe dyski. Zarówno BitLocker, jak i VeraCrypt korzystają z kaskadowego działania różnych algorytmów (np. AES, TwoFish, Serpent), co sprawia, że dane będą w zasadzie całkowicie bezpieczne przy zachowaniu zasady stosowania odpowiednio długiego klucza.

Funkcja BitLocker

Zaimplementowana w biznesowych wydaniach systemu Windows usługa szyfrowania umożliwia bardzo skuteczną ochronę plików przechowywanych na dyskach, a także na nośnikach USB (BitLocker To Go). Jak już wspomnieliśmy, narzędzie pozwala zaszyfrować też partycję systemową. W jaki więc sposób uda nam się później uruchomić komputer? Odpowiedzią jest ukryta partycja System Reserved tworzona automatycznie podczas instalacji systemu lub w momencie włączenia funkcji BitLocker – o ile wcześniej nie została utworzona (odbywa się to bez utraty danych). Systemy Windows 7, 8 i 10 i wydania serwerowe (od wersji 2008 R2) same rezerwują specjalny obszar na nośniku. W tej niedostępnej dla użytkownika części dysku znajduje się menedżer rozruchu i dane konfiguracji bootowania. Komputer uruchamia program rozruchowy z partycji System Reserved, a ten ładuje system Windows już z dysku systemowego. Jeżeli używamy BitLockera, komputer zawsze najpierw uruchamia niezaszyfrowaną partycję System Reserved, a następnie odszyfrowuje partycję systemową (zaszyfrowaną), co umożliwia załadowanie systemu Windows. W zależności od wydania „okienek” taka partycja rozruchowa zajmuje od 100 do 500 MB miejsca w pierwszych sektorach.

Dużą zaletą korzystania z funkcji Bit­Locker jest to, że nie przechowuje ona klucza szyfrującego na dysku lokalnym, a w elektronicznym chipie TPM. Jeśli nasz komputer go nie ma, można użyć pendrive’a. Warto dodać, że niektóre płyty główne umożliwiają samodzielną instalację modułów TPM, które są powszechnie dostępne w sprzedaży w wersjach dla laptopów i komputerów stacjonarnych. Komputer z mikroukładem TPM przechowuje w jego pamięci klucze szyfrowania – mogą być one używane tylko z wykorzystaniem dokładnie tego samego modułu TPM. Dzięki temu Bit­Locker blokuje możliwość użycia dysku twardego na innym komputerze. Szyfrowanie metodą BitLocker innych partycji niż systemowa i nośników zewnętrznych nie wymaga posiadania modułu TPM.

[...]

Autor jest niezależnym dziennikarzem publikującym w magazynach komputerowych. Ma zawodowe doświadczenie w testowaniu sprzętu i oprogramowania komputerowego.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma. Zapraszamy do składania zamówień na prenumeratę i numery archiwalne.
 
 

Polecamy

Biblioteka Informacja Publiczna

Specjalistyczne publikacje książkowe dla pracowników administracji publicznej

więcej