Ochranu důležitých dat řeší firmy různě. Mohou využít přístupových práv, zálohování, VPN nebo šifrování. Právě šifrování považují odborníci na kybernetickou bezpečnost za nejspolehlivější řešení. Při použití kryptografických metod doba možného prolomení, na rozdíl například od ochrany přístupovými právy, tisícinásobně převyšuje aktuálnost chráněných informací. Není ale šifrování, jako šifrování. Potřeba je řešit i to, jak je možné po ztrátě nebo krádeži nosiče data obnovit nebo to, zda je možné šifrovat i data na externích discích nebo síťových uložištích.

Tři metody zabezpečení dat

Moderní šifrovací nástroje aktivně používají 3 metody zabezpečení dat pomocí kryptografických algoritmů. Jde o souborové šifrování dat (file encryption), celodiskové šifrování (whole disk encryption) nebo šifrování virtuálního disku (virtual disk encryption). Jaký je v těchto metodách rozdíl a jaké technické požadavky kladou jednotlivá řešení na své uživatele?

1. Šifrování celého disku - chráněny jsou veškeré informace na disku

Šifrování celého disku zabezpečuje celý prostor pevného disku, nebo jeho logické jednotky. Na bootovací jednotku je zanášen pre-boot záznam pro možnost zadání vstupního hesla nebo načtení certifikátu, jímž je disk chráněn. Při celodiskovém šifrování je zašifrován, jak už název napovídá, celý disk včetně prázdného místa a nešifrovaná je ponechaná jen malá oblast pro start počítače.

Nespornou výhodou šifrování touto metodou je, že veškeré informace jsou chráněny, a to včetně SWAP souborů a souborů hibernace. Díky šifrování celého disku není možné bez znalosti hesla vyměnit žádnou DLL (dynamicky linkovanou knihovnu) nebo přečíst strukturu disku.

Jako výhodu lze vnímat i to, že uživatel nijak neovlivňuje, zda se soubor uloží zašifrovaně či nikoli. Celý prostor je šifrován automaticky. Samozřejmě v případě, že neexistuje více logických disků, respektive za předpokladu, že je šifrování aplikováno na všechny logické disky. Při využití této metody není tedy nutné rozhodovat, co má být chráněno a u uživatelů je tak tento způsob snadno prosaditelný.

Všechno má své pro a proti, a i celodiskové šifrování má své mouchy. Kladeny jsou například vyšší nároky na hardwarové prostředky, a to kvůli šifrování a dešifrování velkého objemu dat. Nevýhodou může být i pro uživatele nestandardní zadání pověření před spuštěním systému. To může být přenášeno až do Windows, pokud se jedná o klasické jméno a heslo.

Fakt, že jde o šifrování celého disku, vede i k tomu, že počáteční šifrování může trvat i několik hodin. Doba šifrování je samozřejmě závislá na velikosti disku, je však nutné počítat s většími časovými nároky na toto prvotní šifrování.

Riziko je pak třeba vidět především v poškození bootovací části, v takovém případě totiž dochází ke ztrátě dat. Recovery obvykle vyžaduje mnohahodinovou operaci se speciálním CD a ani tehdy není výsledek zcela jistý. Po přihlášení do systému jsou všechny soubory přístupné a může k nim mít přístup i případný útočník, kterému se podařilo do systému proniknout.

Software využívající tuto technologii:

• BitLocker
• TrueCrypt
• PGP by Symantec
• WinMagic

2. Online souborové šifrování dat – šifrujte jen to, co potřebujete chránit

Souborové šifrování pracuje na principu zabezpečení určité části disku, například profilu uživatele, jednotlivých adresářů nebo souborů. U této metody zabezpečení je důležité, aby byla pro uživatele online transparentní tzn., pokud uživatel vlastní klíč, má přístup k souborům, nebo je může vytvářet bez další interakce. To platí i pro aplikace, které pod ním běží. V opačném případě by tato metoda byla uživatelsky nekomfortní. Ve srovnání s celodiskovým šifrováním jsou v tomto případě kladeny menší nároky na hardware prostředky systému. Jednotlivé soubory jsou šifrovány vždy jedním klíčem, a je tak možné je kdykoliv tímto klíčem dešifrovat, a to bez další interakce uživatele.

Chráněna jsou pouze data, která uživatel chránit chce nebo potřebuje. Metoda souborového šifrování umožňuje snadné sdílení informací mezi jednotlivými uživateli. Uživatel, který má k dispozici patřičný klíč může s informacemi nakládat, dešifrovat je a upravovat jejich obsah.

Díky škálovatelnosti jednotlivých klíčů, kdy každý klíč muže být použit k zabezpečení jiné složky, vzrůstá i variabilita použití v reálném prostředí organizace. Díky tomu lze na jednom počítači šifrovat data s různou klasifikací. Rozdělit je tak lze například na citlivá, důvěrná, tajná nebo osobní, skupinová, firemní s různými šifrovacími klíči.

Uživatel pracuje ve standardním prostředí, které mu nepřipadá cizí. Veškeré soubory se jeví standardně, není tedy na první pohled poznat, že se jedná o šifrované informace. Vytváření, editování, mazání, kopírování složek a souborů se chová naprosto stejně, jako při manipulaci s nešifrovanými daty. Nicméně soubory zůstávají vždy na disku v zašifrované podobě. Při práci s nimi je konkrétní část dešifrována do operační paměti a po ukončení editace se z ní odstraňuje.

Prvotní zašifrování probíhá rychleji než při celodiskovém šifrování. Snadno je možné v případě této metody také data zálohovat. Využít stejnou metodu šifrování je možné nejen pro lokální data na disku, ale také pro data při přenosu například pomocí flash disku, emailu nebo po síti.

Často řešeným tématem je také servisování počítače. Při souborovém šifrování je také možné provést běžný servis administrátorem, aniž by u toho měl přístup k chráněným datům. Administrátor nepotřebuje mít k dispozici šifrovací klíče k tomu, aby mohl provádět instalace, nastavení či jiné administrátorské úkony na stanici. V případě poškození disku jsou sobory lehce obnovitelné. Navíc bez potřeby jejich dešifrování a opětovného zašifrování.

Jako nevýhodu lze vnímat fakt, že na šifrování má vliv samotný uživatel. Ten se může rozhodnout uložit data například do nechráněného adresáře, a tím je zpřístupnit. Nasazení je složitější než například u celodiskového šifrování, protože je nutné definovat šifrované adresáře. Uživatel sám tedy musí definovat, kde se citlivá data, která potřebuje chránit, nacházejí. Data, která nejsou šifrovaná, pak logicky nejsou chráněná. V potaz je třeba brát i to, že adresářová struktura je viditelná.

Software využívající tuto technologii

• SODAT Encryption
• EgoSecure
• McAfee File Encryption
• WinMagic

3. Šifrování virtuálního disku

Šifrování virtuálních disků využívá alokování určitého místa na disku, které v prostředí operačního systému připojí jako fyzický disk. Ve skutečnosti je disk prezentován souborem, nebo několika soubory, jejichž velikost odpovídá datovému prostoru virtuálního disku. Uživatel do tohoto disku může snadno ukládat data, která potřebuje.

Metoda šifrování virtuálního disku stojí mezi metodou souborového šifrování a šifrování celých disků. Umožňuje uživateli ukládat data do zabezpečeného virtuálního disku připojeného v systému. Kapacita virtuálního disku roste automaticky dle potřeby a množství dat.

Také při využití této metody vznikají menší nároky na hardware, protože nedochází k dešifrování celé jednotky, ale dešifruje se pouze část, se kterou uživatel zrovna pracuje. S diskem může pracovat více uživatelů, je třeba je ale předem definovat.

Nevýhodou je, že pro uživatele aplikace je zadání pověření k disku nestandardní. Rizikové je také to, že při poškození souboru vytvořeného na stanici dochází ke ztrátě dat. A to proto, že dochází k vytvoření pouze jednoho souboru, jen obtížně se sdílí v síti a záloha tohoto prostoru vyžaduje výkonný hardware. Chráněná jsou ta data, která jsou uložena v šifrovaném prostoru, i tady tedy do jisté míry záleží na ochotě uživatele. Chráněna jsou data ve chvíli, kdy nejsou přístupná, jakmile je zadáno pověření může s daty podle libosti nakládat kdokoli. Celá jednotka je šifrována jedním klíčem a není možné data diferencovat v případě, že počítač využívá více uživatelů.

Software využívající tuto technologii

• TrueCrypt
• PGP by Symantec
• AlertBoot
• Sophos

Jan Vobruba Autor článku je ředitelem společnosti SODAT.