Шифруешься?

 | 15.36

Мой Компьютер, №21 (525), 13.10.2008

 

Компьютер очень давно перестал быть атрибутом серьезного НИИ или признаком «красивой жизни». Сегодня для очень многих людей это удобный подручный инструмент. А еще — собеседник, окно в мир, хранилище огромного массива важной (и просто необъятного массива неважной) информации. Соответственно, все больше алчных или просто любопытных взглядов устремляется из-за вашей спины на экран монитора.

Крупные и средние компании вкладывают немалые средства в IT-безопасность. Этим вопросом ведают штатные специалисты, а то и целые отделы, оснащенные специальным оборудованием и программным обеспечением.

Короче: обеспечение комплексной безопасности конфиденциальных данных на ПК — насущная потребность каждого пользователя. Что значит «комплексная»? А значит, что пора снять наконец с монитора стикер с логином и паролем :-).

На уровне софта первейшее дело — защита от угроз из сети. Антивирусы и антишпионы, брандмауэры и шифровальщики электронной почты — наши верные друзья на этом поприще. Следующий шаг — безопасность информации на локальной машине: используем учетные записи, шифруем важные файлы, надежно (без возможности восстановления) удаляем то, что утратило актуальность.

Тема защиты конфиденциальных данных на ПК просто безгранична. В этой статье речь будет идти лишь об одном ее аспекте — криптографической защите данных, известной также как шифрование.

Идеальную программу-шифровальщик я начал искать около двух лет назад и должен признаться — не нашел. Связано это с противоречивостью моих требований. Вот основные из них:

  • безопасность;
  • удобство;
  • портабельность и поддержка съемных носителей;
  • бесплатность.

Безопасность — критерий самый многогранный. Главное в нем — эффективные алгоритмы шифрования, хеширования и поддержка надежных паролей.

О применяемых алгоритмах хеширования авторы большинства программ не упоминают. Тем больше доверия к тем, кто сообщает все существенные сведения о своем детище. Алгоритм шифрования обычно известен, во многих программах можно выбрать один из нескольких поддерживаемых. Скрытностью отличаются разве что создатели некоторых архиваторов.

На рынке доступны шифровальщики, поддерживающие алгоритмы с длиной ключа от 128 до 2048 бит. Однако этот показатель не является решающим при определении криптостойкости. Например, алгоритм AES с длиной ключа 256 бит считается более надежным, чем Blowfish с ключом 448 бит.

Рис. 1. Cерьезное предупреждение!

Подробнее о некоторых распространенных алгоритмах хеширования и шифрования на английском языке можно почитать в онлайновом руководстве к программе TrueCrypt на www.

truecrypt.org. Настоятельно рекомендую не полениться прочитать сей пространный документ всем, кто интересуется шифрованием, независимо от того, каким продуктом вы планируете пользоваться в дальнейшем.

Надежность пароля определяется его длиной и сложностью подбора. Тут все зависит от пользователя, однако ограничение длины шестью-восьмью знаками, как в некоторых «непрофильных» программах, делает невозможной надежную защиту данных. TrueCrypt, например, предупреждает о ненадежности пароля, если он короче 20 знаков (рис. 1).

Какая-то прога, помню, оценку «good» ставила паролю после введения 15 знаков, а оценки «excellent» я так и не добился. Поддержка кириллицы в поле пароля — редкая опция — увеличивает количество возможных вариантов и многократно усложняет подбор такого пароля.

Рис. 2. Дополнительное средство безопасности — экранная клавиатура

Каким бы надежным ни был пароль, он может быть перехвачен клавиатурным шпионом. Копирование пароля из текстового файла — не выход; шпионы обычно мониторят и буфер обмена Windows.

Для решения проблемы в некоторых шифровальщиках, например в dsCrypt, используется экранная клавиатура (рис. 2), хотя набор пароля, в принципе, может быть «сфотографирован» кейлоггером.

Другой вариант — использование ключевых файлов (папок). Эта опция доступна в упомянутых TrueCrypt и dsCrypt. Паролем тут выступает часть выбранного файла. Таким способом я защищаю данные на флэшке. От случайного взломщика, нашедшего или похитившего ее, такая защита очень надежна, однако лицо, имеющее доступ к вашему компьютеру, может вычислить ключевой файл по записям в реестре, журнале Windows и т.п.

Еще один аспект безопасности — отсутствие backdoor, специально оставленных автором уязвимостей, с помощью которых можно получить доступ к зашифрованной информации. По логике, более надежны программы от известных производителей и open source проекты, но полной уверенности в честности создателей ПО не может быть в принципе.

Рассмотрим теперь второй важный для меня критерий выбора программ — удобство. Это для меня означает простой интерфейс, легкость запуска процесса шифрования, скорость его выполнения, наличие информативного руководства, возможность локализации на русский или украинский язык.

Наиболее удобным кажется запуск шифрования через контекстное меню (рис. 3), хотя программа Clipsecure, висящая в трее и осуществляющая деятельность с помощью горячих клавиш, мне тоже понравилась.

Неплохо шифровать файлы простым их перемещением в специальный раздел, но его для этого предварительно нужно создать и смонтировать.

Рис. 3. Доступ к функции через контекстное меню у вас всегда под правой клавишей мыши

Касательно скорости: тем, кто пользовался программами, работающими on the fly (что это такое — объясню дальше), наверняка показалось, что они справляются со своей задачей гораздо быстрее. Вряд ли это так, но благодаря тому, что процесс шифрования протекает незаметно для пользователя, создается приятное впечатление быстроты.

Следующий критерий — портабельность. Это возможность запуска программы со съемного носителя (не только флэшки, но и оптических дисков и дискет). Главное, что этот тип софта позволяет просмотреть зашифрованные данные на компьютере, на котором не установлен соответствующий шифровальщик.

Альтернативой им могут служить самораспаковывающиеся файлы, которые умеют создавать многие программы, к примеру Crypt Archiver.

Однако кроме просмотра может ведь понадобиться и зашифровать что-нибудь «в полевых условиях». Или на работе, где просто установив шифровальщик, вы рискуете навлечь на себя подозрения Бог весть в чем. Тут и придет на помощь портабельный софт, оставляющий минимум следов в системе.

Поддержка записи на съемные носители была для меня очень важна при резервном копировании конфиденциальных данных. Я с удивлением обнаружил, что многие программы не умеют сохранять зашифрованные файлы прямо на флэш-накопитель. Зато функция шифрования реализована во многих backup-утилитах, иногда весьма неплохо.

Печальнее обстоят дела с записью на CD/DVD. Было такое, что файлы, корректно себя ведущие на винчестере, будучи записанными на оптический диск, переставали принимать пароль. Понятно, что копирование их назад на винт ничего не давало. Причем такая «забывчивость» наблюдалась только у творений отдельных программ, в то время как с другими все было в порядке. Может кто-то знает причину этих грабель?

Я выбирал шифровальщик, обеспечивающий хранение архива на оптических носителях, методом проб и ошибок. Советую всем проверять, читаются ли зашифрованные файлы с диска, причем перед проверкой следует перезагрузить компьютер.

Ну, критерий бесплатности особо пояснять не нужно: freeware выигрывает по цене даже у самого демократичного коммерческого ПО :-).

Возможно, у кого-то есть сомнения в надежности бесплатного софта — мол, знаем мы, где бывает бесплатный сыр. Но судя по моему опыту, и это относится не только к шифровальщикам, бесплатные проги часто не хуже, а иногда и лучше платных. И почти всегда — меньше. Например, open source TrueCrypt в 20 (!) раз меньше коммерческой Steganos Safe One (в инсталляторах) при схожей функциональности. Кнопочки, правда, в последней симпатичнее, но разве в них счастье?

Подытожим: программа должна быть компактной, портабельной, но при этом функциональной, интегрироваться в оболочку, поддерживать несколько алгоритмов шифрования, уметь шифровать файлы, папки, разделы, а то еще и электронную почту. И все это даром. Такой комбайн наверняка существует, вот только софт, пытающийся делать ВСЕ, зачастую все делает плохо.

Лучше воспользоваться парой утилит-профессионалов, обладающих нужными именно вам свойствами.

Я выделил три группы шифровальщиков. Выбрав по одному в каждой группе, практически любой пользователь сможет решать все свои задачи, кому-то будет достаточно и вовсе одного.

Группа 1. Программы, шифрующие отдельные файлы и папки.

Наиболее распространенная группа. На большинстве компьютеров такой шифровальщик уже установлен — в составе архиватора. Если потребность в сокрытии информации возникает не часто, он может быть неплохим решением. Нужно только обращать внимание на надежность используемого алгоритма и длину пароля. О заинтересовавших меня специализированных программах этого типа будет рассказано в свое время. Для удобства рекомендую установить на компьютер прогу, позволяющую запускать шифрование через контекстное меню проводника, а в корневой директории флэшки создать ярлык exe-файла портабельного шифровальщика и пользоваться drag-and-drop.

Недостатков у программ этого типа достаточно.

Во-первых, нужно помнить: шифруя папку с файлами, вы шифруете только файлы. Если давать файлам говорящие названия («Черная касса 2007», «Чертеж двигателя истребителя» :-), следует активировать опцию «шифровать имена файлов», присутствующую в 7-zip и других продвинутых архиваторах.

Можно также упаковать все файлы в архив с нейтральным именем (без шифрования), а затем полученный файл защитить вашей любимой программой.

Во-вторых, для просмотра файлов большинство утилит данного типа сохраняют их на винчестере в незашифрованном виде. Эти файлы нужно удалять с помощью специальных программ-стирателей (шредеров).

Особенно коварны архиваторы: при просмотре архива создается незашифрованный временный файл, затем он удаляется самим распаковщиком и может быть впоследствии восстановлен заинтересованными лицами.

Есть, однако, программы, умеющие расшифровывать объекты для просмотра прямо в память, ничего на жестком диске не сохраняя.

Группа 2. Шифровальщики, создающие виртуальные разделы.

Зашифрованная область дискового пространства обычно имеет вид файла (а программа TrueCrypt умеет защищать целые разделы, физические диски, флэш-накопители). После ввода пароля они монтируются как виртуальные разделы. Это похоже на подключение образа диска в виртуальном дисководе.

Для шифрования в дальнейшем достаточно переместить файлы в полученный раздел, для дешифровки наоборот — перемещаем данные из виртуального раздела на любой физический. Но самое главное, что просматриваемые файлы расшифровываются в оперативную память, причем не целиком, а только та часть, к которой в данный момент обращается система или приложение. Благодаря этому можно, например, смотреть зашифрованный видеофильм. Все процессы протекают незаметно для пользователя, за что этот тип шифрования получил название on the fly.

Еще одно преимущество — все временные и удаленные файлы также являются зашифрованными (после размонтирования виртуального раздела удаленные с него файлы в корзине Windows не отображаются, но снова появляются после повторного монтирования).

На зашифрованный раздел можно устанавливать ПО как на обычный. Файл-контейнер может быть записан на оптический диск — правда, для монтирования в некоторых случаях может понадобиться скопировать его назад на винчестер.

Существенных недостатков у программ этого типа нет, но тем, кто шифрует данные редко и в основном для резервного копирования, просто нецелесообразно занимать дисковое пространство под зашифрованный файл, который всегда больше, чем содержащиеся в нем данные. Особенно если он монтируется не как съемный носитель, ведь в таком случае резервируется место под корзину и MFT.

Группа 3. Программы, шифрующие данные внутри файла.

Что имеется в виду? Допустим вам нужно скрыть некий текст. Можно создать текстовый документ и зашифровать его внешней программой. А можно воспользоваться текстовым редактором, поддерживающим функцию шифрования. При этом файл шифруется той же программой, которой создается.

Программы этого типа, однако, очень ограничены — либо по части шифрования, либо в плане создания и редактирования файлов.

На этом с теорией закончено. Из следующей статьи вы сможете узнать, какие же собственно криптографические программы можно выловить Всемирной Сетью.

 

a5l аkа Алекс Блоха

Robo User
Web-droid editor

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *