Технологии и продукты Microsoft в обеспечении ИБ Криптографические механизмы Windows Лекция 14.

реклама
Технологии и продукты Microsoft
в обеспечении ИБ
Лекция 14. Криптографические механизмы Windows
Цели
 Рассмотреть круг задач, на решение которых




ориентирован BitLocker
Рассмотреть различные режимы работы
BitLocker
Изучить функции и механизм работы EFS
Ознакомиться с рекомендациями Microsoft по
применению систем шифрования
Проанализировать возможность совместного
использования технологий BitLocker и EFS
2
Высшая школа экономики - 2009
Криптографические средства
 « - средства вычислительной техники,
осуществляющие криптографическое
преобразование информации для
обеспечения ее конфиденциальности и
контроля целостности»
ГОСТ Р 50922-96. Защита
информации. Основные
термины и определения.
3
Высшая школа экономики - 2009
Безопасность данных зависит от
физической безопасности ключей
Высокая
безопасность
ключей
Низкая
безопасность
ключей
Высокая
безопасность
ключей
Стойкое
шифрование
Стойкое
шифрование
Слабая
криптозащита
Защищенные
данные
Уязвимые
данные
Уязвимые
данные
4
Высшая школа экономики - 2009
Обеспечение физической безопасности
 Как защитить ключи?
1. Спрятать в неожиданном месте ;-)
•
Хакеры скоро их обнаружат, поэтому механизм нужно часто
менять.
2. Зашифровать?
•
Фактически, это означает перенос проблемы в другое место
(особенно если ключ удаляется с одной машины и
переносится на другую)
3. Защитить с использованием специализированной
аппаратуры (TPM, смарткарты)
•
Превосходный выбор, если устройству можно доверять, и
никто кроме вас не получит к нему доступ
4. Напечатать на бумаге
•
Подойдет для редко используемых ключей – но придется
обеспечить бумаге безопасность
5
Высшая школа экономики - 2009
Защита данных
 Все существующие механизмы основаны на
криптографии
 Различия:





Защита ключей
Стратегии восстановления
Внедрение
Пользовательский интерфейс
Цель
6
Высшая школа экономики - 2009
BitLocker
 Цель:
 Защита от нарушения конфиденциальности
данных в случае кражи ноутбука
• Только в случае использования «вторичных» методов
защиты: PIN, электронный замок




Проверка целостности кода ОС
Защита от атаки на жесткий диск
Защита других ключей
Упрощение утилизации
 Производительность
 В среднем 5-6% ЦПУ usage on average,
максимум 15%
7
Высшая школа экономики - 2009
Область применения
 Сервер: физическая безопасность данных
на сервере — защита данных при
физическом изъятии жесткого диска
и копировании данных.
 Клиент: физическая безопасность данных,
особенно актуально применение этой
технологии шифрования для ноутбуков,
которые могут быть потеряны или украдены
8
Высшая школа экономики - 2009
Криптоалгоритмы BitLocker
 Suite-B
 AES-128-CBC с диффузором данных
• Быстрый
• Диффузор (Elephant) предотвращает атаки на основе
манипуляций с открытым текстом
 AES-256-CBC с диффузором и без
• Гораздо медленнее, чем AES-128-CBC
 AES-256 - для управления ключами
 Recovery key - 128 бит (48 цифр)




Сохранить ключ в файл
Сохранить ключ на USB-носителе
Распечатать ключ
Сохранить ключ Active Directory
9
Высшая школа экономики - 2009
Особенности
 Полное шифрование тома
 включая код ОС!
 Когда BitLocker работает, любой
сохраняемый на жестком диске файл будет
автоматически зашифрован
 НЕ шифруются:
 загрузочный сектор,
 поврежденные сектора, уже отмеченные как
нечитаемые,
 метаданные тома.
10
Высшая школа экономики - 2009
Разметка диска для установки BitLocker
 Создать новый первичный раздел объемом 1,5




Гбайт.
Сделать этот раздел активным.
Создать другой первичный раздел на
оставшемся месте на жестком диске.
Отформатировать оба раздела, используя NTFS.
Установить Windows Vista на больший из
разделов.
11
Высшая школа экономики - 2009
BitLocker: рекомендации
 Нужно включить
 Для ноутбуков нужна дополнительная
защита
 Восстановление:
 Надежная защита ключа восстановления
При включении BitLocker без дополнительных
параметров активируется шифрование жесткого
диска без применения ТРМ – не лучший вариант с
точки зрения безопасности, но единственно
возможный в России, где использование TPM
запрещено
12
Высшая школа экономики - 2009
Как включить BitLocker
13
Высшая школа экономики - 2009
BitLocker: рекомендации
 Нужно включить
 Для ноутбуков нужна дополнительная
защита:
 Пароль, PIN, USB-ключи и т.д.
 Отпечатки пальцев? Слабая защита
 Восстановление:
 Надежная защита ключа восстановления
14
Высшая школа экономики - 2009
Вторичные методы защиты
15
Высшая школа экономики - 2009
BitLocker: рекомендации
 Нужно включить
 Для ноутбуков нужна дополнительная
защита:
 Пароль, PIN, USB-ключи и т.д.
 Отпечатки пальцев? Слабая защита
 Восстановление:
 Надежная защита ключа восстановления
16
Высшая школа экономики - 2009
Как сохранить пароль восстановления
17
Высшая школа экономики - 2009
Рекомендации по созданию пароля
восстановления
 Рекомендуется создать пароль
восстановления и хранить его в безопасном
месте, так как вся безопасность вашего
компьютера будет зависеть от места
хранения пароля восстановления
 Microsoft рекомендует иметь несколько копий
пароля восстановления
 Однако при этом необходимо понимать, что в
таком случае вам придется гарантировать
сохранность всех резервных копий пароля
восстановления
18
Высшая школа экономики - 2009
Процесс шифрования BitLocker
 До начала шифрования необходимо убедиться, что




BitLocker сможет корректно прочесть ключи
восстановления и шифрования
Для этого необходимо вставить USB-устройство с
паролем восстановления и выполнить перезагрузку
компьютера
Для ввода PIN-кода необходимо пользоваться
клавишами F1-F10, где цифрам от 1 до 9 будут
соответствовать клавиши F1-F9, а цифре 0 – F10
Если проверка прошла нормально, появится
строка состояния Encryption in Progress
После окончания этой процедуры диск будет
зашифрован
19
Высшая школа экономики - 2009
Усовершенствование технологии
 BitLocker To Go —новая функция в
Windows 7, позволяющая блокировать
переносные запоминающие устройства,
способные легко потеряться, например
флэш-накопители USB и внешние жесткие
диски
20
Высшая школа экономики - 2009
Encrypting File System (EFS)
 Цель: обеспечение конфиденциальности на уровне
папок, не ограничивается машиной
 Workgroups
 Для нескольких пользователей
 Простота использования, управление через
политики безопасности
 Стратегии восстановления:
 Агенты восстановления
 Escrow
 Бэкап ключей
 В Windows Vista/7/Server 2008/ EFS поддерживает
смарткарты
21
Высшая школа экономики - 2009
Криптоалгоритмы EFS
 EFS поддерживает:
 AES-256 (по умолчанию Server 2003/2008), 192,
128
 3DES – медленный
 DESX – принят только в Microsoft, разработан на
базе DES, не следует использовать, т.к. не
является стойким
• Предупреждение: по умолчанию Windows XP!
 Обмен ключами: RSA и SHA-1 до Vista;
алгоритмы из Suite-B для Windows Vista/ 7 /
Server 2008
22
Высшая школа экономики - 2009
EFS : рекомендации
 Устанавливается на файловых серверах
уровня департамента
 Необходимо, чтобы все цифровые
сертификаты пользователей были доступны
через AD
 Для защиты секретных ключей (on
laptop/workstation) используются:
 Смарткарты
 BitLocker
 На Windows XP - “Protected Storage”
• Надежность определяется надежностью пароля
пользователя
23
Высшая школа экономики - 2009
Золотое правило криптографии
 «Если вы шифруете что-то дважды – вы, не
понимаете, что делаете »
BitLocker + EFS = ?
24
Высшая школа экономики - 2009
Использованные источники
 Авдошин С.М., Савельева А.А.
Криптотехнологии Microsoft // М.: Новые
технологии, 2008.
 Lukawiecki R. A-to-Z of Data Protection on the
Windows Platform // Microsoft TechEd IT Forum,
2006.
 Безмалый В. BitLocker в Windows 7 // Windows
IT Pro/RE #6/09, 2009
 Безмалый В. Шифрование дисков с
поддержкой ТРМ в Windows Server 2008 //
Windows IT Pro/RE #8/07, 2007
25
Высшая школа экономики - 2009
Спасибо за внимание!
Скачать