Прозрачное шифрование сетевых папок в корпоративном пространстве. Прозрачное шифрование по локальной сети с CyberSafe Top Secret

) позволяет компаниям организовать быстрый и удобный обмен информацией на различных расстояниях. Тем не менее, защита информации в корпоративной среде – задача, которая остается актуальной по сегодняшний день и тревожит умы руководителей предприятий малого, среднего и крупного звена самых разнообразных сфер деятельности. Кроме того, какой бы ни была численность компании, для руководства практически всегда возникает необходимость разграничить права доступа сотрудников к конфиденциальной информации исходя из степени ее важности.

В этой статье мы поговорим о прозрачном шифровании как об одном из наиболее распространенных способов защиты информации в корпоративной среде, рассмотрим общие принципы шифрования для нескольких пользователей (криптография с несколькими открытыми ключами), а также расскажем о том, как настроить прозрачное шифрование сетевых папок при помощи программы .

В чем преимущество прозрачного шифрования?

Использование виртуальных криптодисков либо функции полнодискового шифрования вполне оправдано на локальном компьютере пользователя, однако в корпоративном пространстве более целесообразным подходом является использование прозрачного шифрования , поскольку эта функция обеспечивает быструю и удобную работу с засекреченными файлами одновременно для нескольких пользователей. При создании и редактировании файлов процессы их шифрования и дешифрования происходят автоматически, “на лету”. Для работы с защищенными документами сотрудникам компании не нужно иметь какие-либо навыки в области криптографии, они не должны выполнять какие-либо дополнительные действия для того чтобы расшифровать или зашифровать секретные файлы.

Работа с засекреченными документами происходит в привычном режиме при помощи стандартных системных приложений. Все функции по настройке шифрования и разграничению прав доступа могут быть возложены на одного человека, например системного администратора.

Криптография с несколькими открытыми ключами и цифровые конверты

Прозрачное шифрование работает следующим образом. Для шифрования файла используется случайно сгенерированный симметричный сеансовый ключ, который в свою очередь защищается при помощи открытого асимметричного ключа пользователя. Если пользователь обращается к файлу для того, чтобы внести в него какие-то изменения, драйвер прозрачного шифрования расшифровывает симметричный ключ при помощи закрытого (приватного) ключа пользователя и далее, при помощи симметричного ключа, расшифровывает сам файл. Подробно о том, как работает прозрачное шифрование, мы рассказали в .

Но как быть в том случае, если пользователей несколько и засекреченные файлы хранятся не на локальном ПК, а в папке на удаленном сервере? Ведь зашифрованный файл - один и тот же, однако у каждого пользователя своя уникальная ключевая пара.

В этом случае используются так называемые цифровые конверты .

Как видно из рисунка, цифровой конверт содержит файл, зашифрованный при помощи случайно сгенерированного симметричного ключа, а также несколько копий этого симметричного ключа, защищенных при помощи открытых асимметричных ключей каждого из пользователей. Копий будет столько, скольким пользователям разрешен доступ к защищенной папке.

Драйвер прозрачного шифрования работает по следующей схеме: при обращении пользователя к файлу он проверяет, есть ли его сертификат (открытый ключ) в списке разрешенных. Если да – при помощи закрытого ключа этого пользователя расшифровывается именно та копия симметричного ключа, которая была зашифрована при помощи его открытого ключа. Если в списке сертификата данного пользователя нет, в доступе будет отказано.

Шифрование сетевых папок при помощи CyberSafe

Используя CyberSafe, системный администратор сможет настроить прозрачное шифрование сетевой папки без использования дополнительных протоколов защиты данных, таких как или и в дальнейшем управлять доступом пользователей к той или иной зашифрованной папке.

Для настройки прозрачного шифрования у каждого из пользователей, которым планируется разрешить доступ к конфиденциальной информации, на компьютере должен быть установлен CyberSafe, создан персональный сертификат, а открытый ключ опубликован на сервере публичных ключей CyberSafe.

Далее сисадмин на удаленном сервере создает новую папку, добавляет ее в CyberSafe и назначает ключи тех пользователей, которые в дальнейшем смогут работать с файлами в этой папке. Конечно, можно создавать столько папок, сколько требуется, хранить в них конфиденциальную информацию различной степени важности, а системный администратор в любой момент может удалить пользователя из числа имеющих к доступ к папке, либо добавить нового.

Рассмотрим простой пример:

На файловом сервере предприятия ABC хранится 3 базы данных с конфиденциальной информацией различной степени важности – ДСП, Секретно и Совершенно Секретно. Требуется обеспечить доступ: к БД1 пользователей Иванов, Петров, Никифоров, к БД2 Петрова и Смирнова, к БД3 Смирнова и Иванова.

Для этого на файл-севере, в качестве которого может быть любой сетевой ресурс, потребуется создать три отдельных папки для каждой БД и назначить этим папкам сертификаты (ключи) соответствующих пользователей:

Конечно, такую или другую аналогичную задачу с разграничением прав доступа можно решить и при помощи Windows. Но этот метод может оказаться эффективным лишь при разграничении прав доступа на компьютерах сотрудников внутри компании. Сам по себе он не обеспечивает защиту конфиденциальной информации в случае стороннего подключения к файловому серверу и применение криптографии для защиты данных просто необходимо.

Кроме того, все настройки параметрами безопасности файловой системы можно сбросить при помощи командной строки. В Windows для этого существует специальный инструмент - «calcs», который можно использовать для просмотра разрешений на файлах и папках, а также для их сброса. В Windows 7 эта команда называется «icacls» и исполняется следующим образом:

1. В командной строке с правами администратора, вводим: cmd
2. Переходим к диску или разделу, например: CD /D D:
3. Для сброса всех разрешений вводим: icacls * /T /Q /C /RESET

Возможно, что icacls с первого раза не сработает. Тогда перед шагом 2 нужно выполнить следующую команду:

После этого ранее установленные разрешения на файлах и папках будут сброшены.

Можно создать систему на базе виртуального криптодиска и ACL (подробнее о такой системе при использовании криптодисков в организациях написано .). Однако такая система также уязвима, поскольку для обеспечения постоянного доступа сотрудников к данным на криптодиске администратору потребуется держать его подключенным (монтированным) в течении всего рабочего дня, что ставит под угрозу конфиденциальную информацию на криптодиске даже без знания пароля к нему, если на время подключения злоумышленник сможет подключиться к серверу.

Сетевые диски со встроенным шифрованием также не решают проблему, поскольку обеспечивают защиту данных лишь тогда, когда с ними никто не работает. То есть, встроенная функция шифрования сможет защитить конфиденциальные данные от компрометации лишь в случае хищения самого диска.

В шифрование/дешифрование файлов осуществляется не на файловом сервере, а на стороне пользователя . Поэтому конфиденциальные файлы хранятся на сервере только в зашифрованном виде, что исключает возможность их компрометации при прямом подключении злоумышленника к файл-серверу. Все файлы на сервере, хранящиеся в папке, защищенной при помощи прозрачного шифрования, зашифрованы и надежно защищены. В то же время, пользователи и приложения видят их как обычные файлы: Notepad, Word, Excel, HTML и др. Приложения могут осуществлять процедуры чтения и записи этих файлов непосредственно; тот факт, что они зашифрованы прозрачен для них.

Пользователи без доступа также могут видеть эти файлы, но они не могут читать и изменять их. Это означает, что если у системного администратора нет доступа к документам в какой-то из папок, он все равно может осуществлять их резервное копирование. Конечно, все резервные копии файлов также зашифрованы.

Однако когда пользователь открывает какой-либо из файлов для работы на своем компьютере, существует возможность, что к нему получат доступ нежелательные приложения (в том случае, конечно, если компьютер инфицирован). Для предотвращения этого в CyberSafe в качестве дополнительной меры безопасности существует , благодаря которой системный администратор может определить список программ, которые смогут получить доступ к файлам из защищенной папки. Все остальные приложения, не вошедшие в список доверенных, не будут иметь доступа.Так мы ограничим доступ к конфиденциальной информации для шпионских программ, руткитов и другого вредоносного ПО.

Поскольку вся работа с зашифрованными файлами осуществляется на стороне пользователя, это означает, что CyberSafe не устанавливается на файл-сервер и при работе в корпоративном пространстве программа может быть использована для защиты информации на сетевых хранилищах с файловой системой NTFS, таких как . Вся конфиденциальная информация в зашифрованном виде находится в таком хранилище, a CyberSafe устанавливается только на компьютеры пользователей, с которых они получают доступ к зашифрованным файлам.

В этом заключается преимущество CyberSafe перед TrueCrypt и другими программами для шифрования, которые требуют установки в место физического хранения файлов, а значит, в качестве сервера могут использовать лишь персональный компьютер, но не сетевой диск. Безусловно, использование сетевых хранилищ в компаниях и организациях намного более удобно и оправдано, нежели использование обычного компьютера.

Таким образом, при помощи CyberSafe без каких-либо дополнительных средств можно организовать эффективную защиту ценных файлов, обеспечить удобную работу с зашифрованными сетевыми папками, а также разграничить права доступа пользователей к конфиденциальной информации.

После закрытия разработки TrueCrypt армия любителей шифрования и секретности (в которой, как мы не раз говорили, уже давно должен состоять каждый айтишник) начала бороздить просторы интернета в поисках достойной альтернативы. В рамках этой статьи мы рассмотрим интересный и даже местами опенсорсный проект от отечественного производителя - CyberSafe Top Secret.

WARNING

Вся информация предоставлена исключительно в ознакомительных целях. Ни редакция, ни автор не несут ответственности за любой возможный вред, причиненный материалами данной статьи.

Версии и лицензионная политика

Линейка модификаций программы включает Free, Advanced, Professional, Ultimate и Enterprise. В бесплатной версии CyberSafe используется алгоритм шифрования DES (по сравнению с AES или Blowfish это просто решето, а не алгоритм шифрования), поэтому данная версия подойдет лишь для ознакомления. Основные функции программы, а именно шифрование файлов/разделов/контейнеров, прозрачное шифрование файлов и облачное шифрование файлов в ней ограничены, а все остальные недоступны. Длина пароля и длина ключа в бесплатной версии (четыре символа и 64 бита) тоже оставляют желать лучшего. Скачать бесплатную версию можно по адресу cybersafesoft.com/cstopsecret.zip , но после ее установки придется либо активировать полную версию (это можно сделать через меню «Помощь»), либо удалить, потому что сочетание алгоритма DES и пароля в четыре символа делает программу бесполезной.

Для персонального использования, на мой взгляд, будет достаточно модификации Professional. В отличие от Advanced, в Professional поддерживается прозрачное шифрование файлов, а длина открытого ключа в два раза больше (4096 бит против 2048 в Advanced). Остальные основные характеристики шифрования те же - длина пароля 16 символов, алгоритм AES, длина ключа 256 бит.

Если тебе нужно защитить не один, а два компьютера, тогда нужно выбирать Ultimate. Она стоит на 20 баксов дороже, но в качестве бонуса ты получишь неограниченную длину пароля, длину открытого ключа в 8192 бита, двухфакторную авторизацию и алгоритм Blowfish с длиной ключа в 448 бит. Также Ultimate поддерживает скрытие папок и защиту сетевых папок.

Самая полная версия - Enterprise. Она позволяет защитить до десяти систем (как-то маловато для предприятия, но такова лицензионная политика), поддерживает корпоративное облачное шифрование (а не только облачное шифрование, как в Ultimate), а также не ограничивает количество сетевых пользователей. Остальные характеристики шифрования аналогичны Ultimate: Blowfish с длиной ключа 448 бит, длина открытого ключа 8192 бита, неограниченная длина пароля.

В мои волосатые лапы попалась самая полная версия, поэтому все иллюстрации будут соответствовать именно ей.

Что лучше: AES или Blowfish?

Оба алгоритма хороши. Оба стойки. Но у алгоритма AES максимальная длина ключа 256 бит, а у Blowfish - 448, к тому же Blowfish считается более быстрым, поэтому в максимальных модификациях программы используется именно он.

Установка программы

Прежде всего хочется сказать несколько слов об установке программы. Во-первых, программа поддерживает все практически используемые версии Windows - XP/2003/Vista/7/8. Так что если у тебя все еще XP и ты бородат, то ради конкретно этой программы тебе не придется переходить на «семерку» или «восьмерку». Во-вторых, запуск программы установки нужно производить только с правами администратора, иначе на завершающей стадии установки получишь ошибку и длинный лог.

В-третьих, при запуске программы нужно добавить сертификат CyberSoft CA (рис. 1). То есть нажать кнопку «Да», иначе не будет установлен корневой сертификат CyberSafe и нельзя будет настроить шифрование электронной почты в почтовых клиентах. Я понимаю, что типичный читатель нашего журнала - крутой парень и ему будет как-то даже обидно видеть такие подробные разъяснения, но мы искренне надеемся, что статьи, касающиеся каждого, должны быть написаны как можно более подробно. Вдруг ты решишь вырезать эту статью из журнала и подарить ее младшей сестре, чтобы она наконец научилась шифровать свои интимные фотографии? 🙂

Использование программы

Функций у программы множество, и одной статьи будет явно недостаточно, чтобы рассмотреть все. На рис. 2 изображено основное окно программы сразу после установки и активации полной версии.

В разделе «Ключи и сертификаты» можно управлять ключами и сертификатами, которые ты успеешь создать в процессе работы с приложением. Раздел «Шифрование файлов» используется для шифрования/расшифрования файлов и папок. Ты можешь зашифровать файлы для личного использования, а также для передачи их другому пользователю. Раздел «Эл. цифровая подпись» используется для работы с (сюрпрайз!) электронной цифровой подписью. А раздел «Шифрование дисков» - для шифрования разделов и создания виртуального диска.

Вариантов использования программы может быть несколько. Первый вариант - это передача зашифрованных файлов. Зашифровать отдельные файлы для передачи другому пользователю можно в разделе «Шифровать файлы -> Шифрование для передачи». Второй вариант - это прозрачное шифрование файлов для личного использования. Третий - шифрование всего раздела или создание виртуального диска.

С первым вариантом все ясно - если есть такая необходимость, то программа справится с ней в лучшем виде. Второй вариант довольной спорный и оправдан, если у тебя до сих пор XP. В «семерку» и «восьмерку» уже встроено шифрование BitLocker, поэтому отдавать 75 баксов за Pro-версию этой программы по меньшей мере странно и экономически неоправданно. Разве что у тебя младшие версии этих систем, где нет поддержки BitLocker. Впрочем, о BitLocker, TrueCrypt и Top Secret 2 обязательно прочитай соответствующую врезку.

А вот третий вариант довольно заманчивый. В этом году вместе с окончанием поддержки Windows XP была прекращена разработка программы TrueCrypt. Для меня она была эталоном в мире шифрования. И я ее использовал так: создавал зашифрованный виртуальный диск размером с флешку (чтобы при необходимости можно было на нее его и скопировать), который я монтировал только тогда, когда мне были нужны зашифрованные файлы. На данный момент разработка TrueCrypt прекращена, а ее использование считается небезопасным. Найденные в ней бреши уже никем не будут исправлены. Если тебе интересно, можешь ознакомиться с этой страничкой: .

Поэтому мне нужна была программа на замену TrueCrypt. Похоже, что ей теперь стала CyberSafe Top Secret.

Итак, давай рассмотрим, как создать зашифрованный виртуальный диск и как его использовать. Перейди в раздел «Виртуальный диск» (рис. 3) и нажми кнопку «Создать». В появившемся окне нужно ввести имя файла виртуального диска (рис. 4). Если нужно будет перенести этот диск на другую систему, просто скопируй на нее этот файл и вместо кнопки «Создать» используй кнопку «Открыть» для открытия файла виртуального диска.

Немного ждем, и наш виртуальный диск появляется в списке (рис. 6). Виртуальный диск пока не смонтирован, поэтому он недоступен в системе. Выдели его и нажми кнопку «Монтиров.». После чего нужно будет выбрать букву для нового диска (рис. 7) и ввести пароль, указанный при его создании (рис. 8).

После этого статус диска будет изменен на «смонтирован», а созданный диск появится в проводнике (рис. 9). Все, с виртуальным диском можно работать, как с самым обычным диском, то есть копировать на него файлы, которые будут автоматически зашифрованы. Помни, что, когда ты перемещаешь файл с виртуального диска на обычный, файл будет автоматически расшифрован.

Для завершения работы с виртуальным диском лучше вернуться в окно программы, выделить его и нажать кнопку «Демонтир.». Так ты точно убедишься, что будут сброшены все буферы и вся информация будет сохранена. Хотя при завершении работы программы автоматически размонтируются все смонтированные диски, лучше проконтролировать этот процесс явно.

О BitLocker, TrueCrypt и Top Secret 2

Поскольку мне очень нравилась программа TrueCrypt, то я не удержался, чтобы не сравнить ее и CyberSafe Top Secret 2. Вследствие использования алгоритма AES обе программы одинаково надежны. Однако все-таки нужно отметить, что исходный код TrueCrypt был открытым, код же CyberSafe Top Secret 2 открыт, но не полностью. Сам исходный код программы доступен на сайте для анализа, и ссылка на него есть на главной странице сайта разработчиков. Приведу ее еще раз: https://subversion.assembla.com/svn/cybersafe-encryption-library/ .

Однако в состав программы входят несколько драйверов (NtKernel, AlfaFile), исходный код которых закрыт. Но это в любом случае лучше, чем программа с полностью закрытым исходным кодом.

Кстати, почему была закрыта разработка TrueCrypt? Поскольку его разработчики всегда высмеивали проприетарный BitLocker, а потом сами же рекомендовали на него перейти, мы подозреваем, что единственной весомой причиной закрытия проекта было давление на разработчиков. На данный момент ни одна из версий TrueCrypt не была явно скомпрометирована, поэтому закрытие проекта из-за взлома программы считаю маловероятным.

CyberSafe Mobile: приложение для Android

В последнее время все актуальнее становится шифрование данных на мобильном устройстве. Наиболее популярны среди мобильных устройств девайсы под управлением Android. Как раз для таких устройств и предназначена программа CyberSafe Mobile. Контейнеры, созданные в CyberSafe Mobile, могут быть использованы в CyberSafe Top Secret, и наоборот. Ссылка на приложение: https://play.google.com/store/apps/details?id=com.cybersafesoft.cybersafe.mobile

Выводы

Лично для меня программа CyberSafe Top Secret 2 стала заменой TrueCrypt. Хотя бы на время, пока эта программа будет поддерживаться разработчиками или пока не найду что-либо лучше. Необходимые мне функции для создания зашифрованного виртуального диска она вполне выполняет и вдобавок предоставляет дополнительные. Думаю, многим пользователям пригодятся функции по отправке зашифрованных файлов, по работе с сертификатами и электронными цифровыми подписями. Интерфейс программы прост и интуитивно понятен, поэтому не думаю, что у тебя возникнут проблемы с использованием остальных ее функций, хотя они и не рассмотрены в этой статье.

В чем преимущество прозрачного шифрования?

Криптография с несколькими открытыми ключами и цифровые конверты

В этом случае используются так называемые цифровые конверты .

Шифрование сетевых папок при помощи CyberSafe

Используя CyberSafe, системный администратор сможет настроить прозрачное шифрование сетевой папки без использования дополнительных протоколов защиты данных, таких как IPSec или WebDAV и в дальнейшем управлять доступом пользователей к той или иной зашифрованной папке.

Рассмотрим простой пример:

Конечно, такую или другую аналогичную задачу с разграничением прав доступа можно решить и при помощи ACL Windows. Но этот метод может оказаться эффективным лишь при разграничении прав доступа на компьютерах сотрудников внутри компании. Сам по себе он не обеспечивает защиту конфиденциальной информации в случае стороннего подключения к файловому серверу и применение криптографии для защиты данных просто необходимо.

1. В командной строке с правами администратора, вводим: cmd
2. Переходим к диску или разделу, например: CD /D D:
3. Для сброса всех разрешений вводим: icacls * /T /Q /C /RESET

Возможно, что icacls с первого раза не сработает. Тогда перед шагом 2 нужно выполнить следующую команду:

После этого ранее установленные разрешения на файлах и папках будут сброшены.

04.02.2016, ЧТ, 11:49, Мск, Текст: Павел Притула

Системы прозрачного шифрования дисков – высокотехнологичный наукоемкий продукт, разработка и поддержка которого по силам весьма ограниченному кругу компаний. Но свою основную функцию – снижение уровня риска утечки конфиденциальной информации – они выполняют неплохо.

Как отмечалось в «Как управлять рисками утечки критичных данных», бизнес вынужден постоянно снижать уровень риска утечки конфиденциальной информации. Наиболее простой и сравнительно недорогой способ – это использование систем прозрачного шифрования. Основное достоинство прозрачного шифрования заключается в том, что от пользователя не требуется никакого участия в процессах, все они происходят в фоновом режиме «на лету».

От постановки требований к системе зависит многое

Системы прозрачного шифрования, представленные на рынке, имеют, на первый взгляд, много общего: ведь все они решают одну и ту же задачу. Но у бизнеса всегда есть свои специфические требования. Ниже приведен список наиболее актуальных из них.

Требования, предъявляемые к системам прозрачного шифрования

№	Описание требований
1	Стойкость шифрования	Стойкость защиты должна быть такой, чтобы секретность не нарушалась даже в том случае, когда злоумышленнику становится известен метод шифрования
2	Надежность алгоритмов шифрования	Используемый алгоритм шифрования не должен иметь слабых мест, которыми могли бы воспользоваться криптоаналитики
3	Безопасное использование ключей	Ключ шифрования должен быть недоступен для злоумышленника. Несоблюдение принципов безопасного использования ключей шифрования может поставить под угрозу защищенность информации, даже при том, что в системе будут реализованы самые криптостойкие алгоритмы
4	«Прозрачность» шифрования	Шифрование должно происходить максимально «прозрачно» для пользователя – он не замечает процесса зашифрования и расшифрования данных во время работы
5	Устойчивость к ошибкам	Система должна быть максимально устойчива к случайным ошибкам и неправильным действиям пользователей
6	Многофакторная аутентификация	Выполнение проверки прав пользователей на доступ к защищаемым данным должно быть реализовано на основе средств многофакторной аутентификации
7	Дополнительный функционал для работы в чрезвычайных ситуациях	В чрезвычайных ситуациях, когда становится известно о попытке физического доступа или попытке изъятия серверного оборудования, крайне полезным инструментом защиты становится возможность экстренного прекращения доступа к данным
8	Защита от инсайдеров	Все пользователи системы, включая системных администраторов и технический персонал, должны иметь доступ к физической файловой системе исключительно в рамках своих полномочий, прописанных в ИБ-политиках компании

Первые два пункта, касающиеся надежности и стойкости алгоритмов шифрования, требуют от поставщиков службы криптографии соответствия их продуктов требованиям регуляторов. В РФ это использование ГОСТ 28147‐89 с длиной ключа 256 бит в решениях от криптопровайдеров, имеющих лицензию ФСБ России.

Как защититься от системного администратора?

Злоумышленники, интересующиеся приватными данными, могут находиться и внутри компании. Серьезную угрозу, от которой не спасет криптография, представляют технические специалисты и системные администраторы компании. Но при всем при этом они, в силу своих должных обязанностей, обязаны следить за работоспособностью систем, обеспечивающих безопасность на каждом компьютере.

В условиях текущей непростой экономической ситуации у ряда сотрудников, включая системных администраторов, возникает желание скопировать корпоративную информацию для ее продажи на черном рынке или в качестве дополнительного преимущества перед конкурентами-соискателями при устройстве на новую работу. Это обостряет отношения между руководством и персоналом компаний.

А значит, выбираемая система прозрачного шифрования просто обязана иметь механизмы, реализующие комплекс требований по защите от системного администратора, что нашло свое место в списке требований к решению.

Виртуальная файловая система – важный компонент защиты

Так какой же механизм лежит в основе лучших в своем классе систем прозрачного шифрования, позволяющий реализовать многочисленные требования, представленные выше? На практике он выражается простой формулой: файл для владельца информации доступен в расшифрованном виде, а для всех остальных – только в зашифрованном виде без доступа к ключам. Специалисты называют этот функционал «одновременностью доступа».

«Но если на компьютере пользователя установлена ОС Windows, что в РФ практически стало корпоративным стандартом, то достижение «одновременности доступа» – задача не из простых. Виной тому эффект когерентности Windows: файл в ней может иметь свои копии, помимо файловой системы, в менеджере памяти или кэше. Поэтому приходится решать и проблему «одновременности существования» файлов», – рассказывает Илья Щавинский , менеджер по развитию бизнеса компании «Аладдин Р.Д.». А проблема решается оригинальным способом при помощи совместной работы «виртуальной файловой системы» (ВФС) и фильтра драйвера файловых систем, схема работы которых приведена ниже.

Виртуальная файловая система

Источник: «Аладдин Р.Д.», 2016

Как видно из схемы, диспетчер кэша «считает», что работает с двумя разными файлами. Для этого ВФС формирует дополнительную парную структуру описателей файлов. Специальный драйвер файловых систем обеспечивает постоянное обновление зашифрованного файла в реальной файловой системе, вслед за изменением его незашифрованной копии в ВФС. Таким образом, находящиеся на диске данные всегда зашифрованы.

Для ограничения доступа к файлам драйвер файловых систем при обращении к защищенным ресурсам загружает в оперативную память ключи шифрования. Сама же ключевая информация защищена ключевой парой сертификата пользователя и хранится в криптохранилище.

В результате авторизованный пользователь видит одну файловую систему, виртуальную с расшифрованными файлами, а неавторизованные в то же самое время будут видеть физическую (реальную) файловую систему, где имена и содержимое файлов зашифрованы.

Системные администраторы и другие технические специалисты, у которых нет возможности получить ключи шифрования в расшифрованном виде, будут работать с реальной, надежно зашифрованной файловой системой. При этом у них сохраняется возможность корректно выполнять свои служебные обязанности, например создавать резервные копии зашифрованной информации, не нарушая конфиденциальности самой информации. Тем самым выполнятся важное требование о защите информации от инсайдеров.

Без многофакторной аутентификации риски не снизить

Для многофакторной аутентификации пользователей для загрузки операционной системы и для доступа к зашифрованным данным обычно применяют токен или смарт-карту – устройство, на которых хранится сертификат открытого ключа этого пользователя и соответствующий ему закрытый ключ.

Централизованная система управления и хранения ключей шифрования защищает от потери этих ключей ‐ они находятся на защищенном сервере и передаются пользователю лишь по мере необходимости. Также компания контролирует доступ сотрудников к принадлежащим им данным и в любой момент может запретить его. Кроме того, возможен мониторинг событий доступа к защищенным данным, а также включение режима шифрования всех данных, отправляемых на флэш-накопители и т.д.

Состав типичной системы прозрачного шифрования

Блог компании КиберСофт

Широкое распространение сетевых технологий (LAN , CAN , VPN) позволяет компаниям организовать быстрый и удобный обмен информацией на различных расстояниях. Тем не менее, защита информации в корпоративной среде – задача, которая остается актуальной по сегодняшний день и тревожит умы руководителей предприятий малого, среднего и крупного звена самых разнообразных сфер деятельности. Кроме того, какой бы ни была численность компании, для руководства практически всегда возникает необходимость разграничить права доступа сотрудников к конфиденциальной информации исходя из степени ее важности.

В чем преимущество прозрачного шифрования?

Криптография с несколькими открытыми ключами и цифровые конверты

В этом случае используются так называемые цифровые конверты .

Шифрование сетевых папок при помощи CyberSafe

Рассмотрим простой пример:

1. В командной строке с правами администратора, вводим: cmd
2. Переходим к диску или разделу, например: CD /D D:
3. Для сброса всех разрешений вводим: icacls * /T /Q /C /RESET

Возможно, что icacls с первого раза не сработает. Тогда перед шагом 2 нужно выполнить следующую команду:
После этого ранее установленные разрешения на файлах и папках будут сброшены.

В CyberSafe шифрование/дешифрование файлов осуществляется не на файловом сервере, а на стороне пользователя . Поэтому конфиденциальные файлы хранятся на сервере только в зашифрованном виде, что исключает возможность их компрометации при прямом подключении злоумышленника к файл-серверу. Все файлы на сервере, хранящиеся в папке, защищенной при помощи прозрачного шифрования, зашифрованы и надежно защищены. В то же время, пользователи и приложения видят их как обычные файлы: Notepad, Word, Excel, HTML и др. Приложения могут осуществлять процедуры чтения и записи этих файлов непосредственно; тот факт, что они зашифрованы прозрачен для них.

Поскольку вся работа с зашифрованными файлами осуществляется на стороне пользователя, это означает, что CyberSafe не устанавливается на файл-сервер и при работе в корпоративном пространстве программа может быть использована для защиты информации на сетевых хранилищах с файловой системой NTFS, таких как Windows Storage Server . Вся конфиденциальная информация в зашифрованном виде находится в таком хранилище, a CyberSafe устанавливается только на компьютеры пользователей, с которых они получают доступ к зашифрованным файлам.