Přejít k hlavnímu obsahu

Metody šifrování dat

redakce 03.04.2018
info ikonka
Zdroj:

Článek informuje o tom, jaké výhody má celodiskové a souborové šifrování a co vám přinese šifrování virtuálního disku. Dozvíte se i to, jaká řešení používají různí výrobci k ochraně dat.

Ochranu důležitých dat řeší firmy různě. Mohou využít přístupových práv, zálohování, VPN nebo šifrování. Právě šifrování však považují odborníci na kybernetickou bezpečnost za nejspolehlivější řešení. „Při použití kryptografických metod doba možného prolomení, na rozdíl například od ochrany přístupovými právy, tisícinásobně převyšuje aktuálnost chráněných informací,“ seznamuje s problematikou Jan Vobruba ze společnosti SODAT. Není ale šifrování, jako šifrování. Potřeba je řešit i to, jak je možné po ztrátě nebo krádeži nosiče data obnovit nebo to, zda je možné šifrovat i data na externích discích nebo síťových uložištích.

Tři metody zabezpečení dat

Moderní šifrovací nástroje aktivně používají tři metody zabezpečení dat pomocí kryptografických algoritmů. Jde o souborové šifrování dat (file encryption), celodiskové šifrování (whole disk encryption) nebo šifrování virtuálního disku (virtual disk encryption). Jaký je v těchto metodách rozdíl a jaké technické požadavky kladou jednotlivá řešení na své uživatele?

Šifrování celého disku

Šifrování celého disku zabezpečuje celý prostor pevného disku nebo jeho logické jednotky. Na bootovací jednotku je zanášen pre-boot záznam pro možnost zadání vstupního hesla nebo načtení certifikátu, jímž je disk chráněn. Při celodiskovém šifrování je zašifrován, jak už název napovídá, celý disk včetně prázdného místa a nešifrovaná je ponechaná jen malá oblast pro start počítače.

Chráněny jsou veškeré informace na disku

Nespornou výhodou šifrování touto metodou je, že veškeré informace jsou chráněny, a to včetně SWAP souborů a souborů hibernace. Díky šifrování celého disku není možné bez znalosti hesla vyměnit žádnou DLL (dynamicky linkovanou knihovnu) nebo přečíst strukturu disku.

Jako výhodu lze vnímat i to, že uživatel nijak neovlivňuje, zda se soubor uloží zašifrovaně či nikoli. Celý prostor je šifrován automaticky. Samozřejmě v případě, že neexistuje více logických disků, respektive za předpokladu, že je šifrování aplikováno na všechny logické disky. Při využití této metody není tedy nutné rozhodovat, co má být chráněno a u uživatelů je tak tento způsob snadno prosaditelný.

Všechno má ale svá pro a proti, a i celodiskové šifrování má své mouchy. Kladeny jsou například vyšší nároky na hardwarové prostředky, a to kvůli šifrování a dešifrování velkého objemu dat při běhu počítače. Nevýhodou může být i pro uživatele nestandardní zadání pověření před spuštěním systému. To může být přenášeno až do Windows, pokud se jedná o klasické jméno a heslo.

Fakt, že jde o šifrování celého disku, vede i k tomu, že počáteční šifrování může trvat i několik hodin. Doba šifrování je samozřejmě závislá na velikosti disku, je však nutné počítat s většími časovými nároky na toto prvotní šifrování.

Riziko je pak třeba vidět především v poškození bootovací části, v takovém případě totiž dochází ke ztrátě dat. „Recovery obvykle vyžaduje mnohahodinovou operaci se speciálním CD a ani tehdy není výsledek zcela jistý,“ popisuje Jan Vobruba ze společnosti SODAT, která se kromě bezpečnostní analýzy a monitoringu věnuje i šifrování dat. Po přihlášení do systému jsou všechny soubory přístupné a může k nim mít přístup i případný útočník, kterému se podařilo do systému proniknout.

Software využívající tuto technologii:

                BitLocker

                TrueCrypt

                PGP

                Safetica Technologies s.r.o.

Online souborové šifrování dat

Souborové šifrování pracuje na principu zabezpečení určité části disku, například profilu uživatele, jednotlivých adresářů nebo souborů. „U této metody zabezpečení je důležité, aby byla pro uživatele online transparentní tzn., pokud uživatel vlastní klíč, má přístup k souborům, nebo je může vytvářet bez další interakce. To platí i pro aplikace, které pod ním běží. V opačném případě by tato metoda byla uživatelsky nekomfortní,“ říká Vobruba. Ve srovnání s celodiskovým šifrováním jsou v tomto případě kladeny menší nároky na hardware prostředky systému. Jednotlivé soubory jsou šifrovány vždy jedním klíčem, a je tak možné je kdykoliv tímto klíčem dešifrovat, a to bez další interakce uživatele.

Šifrovat je nutné jen to, co potřebujete chránit

Chráněna jsou pouze data, která uživatel chránit chce nebo potřebuje. Metoda souborového šifrování umožňuje snadné sdílení informací mezi jednotlivými uživateli. Uživatel, který má k dispozici patřičný klíč může s informacemi nakládat, dešifrovat je a upravovat jejich obsah.

Díky škálovatelnosti jednotlivých klíčů, kdy každý klíč může být použit k zabezpečení jiné složky, vzrůstá i variabilita použití v reálném prostředí organizace. Díky tomu lze na jednom počítači šifrovat data s různou klasifikací. Rozdělit je tak lze například na citlivá, důvěrná, tajná nebo osobní, skupinová, firemní s různými šifrovacími klíči.

„Uživatel pracuje ve standardním prostředí, které mu nepřipadá cizí. Veškeré soubory se jeví standardně, není tedy na první pohled poznat, že se jedná o šifrované informace. Vytváření, editování, mazání, kopírování složek a souborů se chová naprosto stejně, jako při manipulaci s nešifrovanými daty. Nicméně soubory zůstávají vždy na disku v zašifrované podobě. Při práci s nimi je konkrétní část dešifrována do operační paměti a po ukončení editace se z ní odstraňuje,“ popisuje Vobruba.

Prvotní zašifrování probíhá rychleji než při celodiskovém šifrování. Snadno je možné v případě této metody také data zálohovat. Využít stejnou metodu šifrování je možné nejen pro lokální data na disku, ale také pro data při přenosu například pomocí flash disku, emailu nebo po síti.

Administrátor nemusí mít přístup k datům

Často řešeným tématem je také servisování počítače. Při souborovém šifrování je možné běžný servis provést administrátorem, aniž by u toho měl přístup k chráněným datům. Administrátor nepotřebuje mít k dispozici šifrovací klíče k tomu, aby mohl provádět instalace, nastavení či jiné administrátorské úkony na stanici. V případě poškození disku jsou sobory lehce obnovitelné. Navíc bez potřeby jejich dešifrování a opětovného zašifrování.

Jako nevýhodu lze vnímat fakt, že na šifrování má vliv samotný uživatel. Ten se může rozhodnout uložit data například do nechráněného adresáře, a tím je zpřístupnit. Nasazení je složitější než například u celodiskového šifrování, protože je nutné definovat šifrované adresáře. Uživatel sám tedy musí definovat, kde se citlivá data, která potřebuje chránit, nacházejí. Data, která nejsou šifrovaná, pak logicky nejsou chráněná. V potaz je třeba brát i to, že adresářová struktura je viditelná.

Software využívající tuto technologii:

                SODAT Encryption

                EFS

                McAfee File Encryption

                WinMagic

Šifrování virtuálního disku

Šifrování virtuálních disků využívá alokování určitého místa na disku, které v prostředí operačního systému připojí jako disk fyzický. Ve skutečnosti je disk prezentován souborem, nebo několika soubory, jejichž velikost odpovídá datovému prostoru virtuálního disku. Uživatel do tohoto disku může snadno ukládat data, která potřebuje.

Metoda šifrování virtuálního disku stojí mezi metodou souborového šifrování a šifrování celých disků. Umožňuje uživateli ukládat data do zabezpečeného virtuálního disku připojeného v systému. Kapacita virtuálního disku roste automaticky dle potřeby a množství dat.

Také při využití této metody vznikají menší nároky na hardware, protože nedochází k dešifrování celé jednotky, ale dešifruje se pouze část, se kterou uživatel zrovna pracuje. S diskem může pracovat více uživatelů, tyto je třeba ale předem definovat.

„Nevýhodou je, že pro uživatele aplikace je zadání pověření k disku nestandardní. Rizikové je také to, že při poškození souboru vytvořeného na stanici dochází ke ztrátě dat. A to proto, že dochází k vytvoření pouze jednoho souboru, jen obtížně se sdílí v síti a záloha tohoto prostoru vyžaduje výkonný hardware,“ upozorňuje Vobruba. Chráněná jsou ta data, která jsou uložena v šifrovaném prostoru, i tady tedy do jisté míry záleží na ochotě uživatele. Chráněna jsou data ve chvíli, kdy nejsou přístupná, jakmile je zadáno pověření může s daty podle libosti nakládat kdokoli.

Celá jednotka je šifrována jedním klíčem a není možné data diferencovat v případě, že počítač využívá více uživatelů.

Software využívající tuto technologii:

                TrueCrypt

                PGP

                AlertBoot

Mějte jistotu a zálohujte!

V každém případě – ať hovoříme o jakýchkoli softwarových a hardwarových nástrojích, je nutné si uvědomit, že data jsou vždy to nejcennější, co máte v počítači. A tak byste se k nim měli i chovat. A protože existuje i určitá možnost poruchy počítače (je to jenom stroj), pak si uvědomte, že svá data nejlépe ochráníte nejen šifrováním, ale i pravidelným zálohováním. Záloha totiž zvyšuje míru bezpečnosti, protože, pokud by došlo k nějaké havárii disku s uloženým obsahem, vždy se máte kam vrátit. Práci, uloženou v záložní kopii snadno obnovíte a pak musíte – ale, bohužel – na všech souborech a datech provést stejné úpravy, které jste na nich provedli už jednou od doby, kdy zálohování proběhlo a byla vytvořena záložní kopie. Zda ale i tato bude šifrované nebo ne, záleží jen na vás, doporučujeme, aby šifrovaná byla, i když to běh zálohovacího procesu prodlouží. Ale vy máte jistotu, že se k vašim důležitým datům nedostane nikdo nepovolaný.

 


Máte k článku připomínku? Napište nám

Sdílet článek

Mohlo by se vám líbit








Všechny nejnovější zprávy

doporučujeme