Как защищены ключи при хранении на персональном компьютере
Обновлено: 07.07.2024
Первоначально аппаратные ключи были созданы как средство борьбы с несанкционированным копированием программных продуктов, но в дальнейшем сфера их применения значительно расширилась.
Наиболее распространенным и надежным способом защиты от несанкционированного запуска стали программно-аппаратные ключи, подключаемые к COM-, LPT- или USB-портам. Почти все коробочные варианты серьезного коммерческого ПО используют программно-аппаратные комплексы защиты, более известные как аппаратные ключи защиты. Такие способы защиты основаны на том, что в компьютер добавляется специальное физическое защитное устройство, к которому при запуске защищаемой программы обращается ее контролирующая часть, проверяя наличие ключа доступа и его параметров. Если ключ не найден (устройства обычно формируют еще и код ответа, который затем анализируется программой), то программа не запустится (или не будет разрешен доступ к данным).
Общий принцип работы компьютера в этом случае следующий. После запроса на выполнение защищаемой программы происходят ее загрузка в оперативную память и инициализация контролирующей части. На физическое устройство защиты, подсоединенное к компьютеру, посылается запрос. В ответ формируется код, посылаемый через микропроцессор в оперативную память для распознавания контролирующей частью программы. В зависимости от правильности кода ответа программа либо прерывается, либо выполняется.
В дальнейшем сфера применения таких ключей значительно расширилась. Сегодня этот ключ используется для идентификации владельца, для хранения его личной электронной подписи, конфиденциальной информации, а также как кредитная смарт-карта или электронные деньги.
Таким образом, мы имеем сегодня недорогое средство для широкомасштабного внедрения смарт-ключей в качестве персональных идентификаторов или в составе так называемых ААА-систем (аутентификация, авторизация и администрирование). До сих пор предлагалось оснащать компьютеры специальными считывателями, что, конечно, нереально. Современные устройства биометрической аутентификации пользователей (столь часто показываемые в голливудских фильмах) типа систем, работающих с отпечатками пальцев или со снимками радужной оболочки глаза, стоят настолько дорого, что не найдут широкого практического применения. При этом в любом случае следует помнить, что абсолютно надежной защиты не существует. Любую защиту можно сломать, поэтому необходимо искать оптимальное соотношение затрат на создание защиты и прогнозируемых затрат на ее взлом, учитывая также ценовое соотношение с самими защищаемыми продуктами.
Сегодня все острее встает проблема обеспечения безопасности при использовании сетевых технологий и все более насущной становится потребность в решениях по защите мобильных пользователей. Появляются и беспроводные аппаратные ключи защиты приложений, работающие по технологии Bluetooth. Так, тайваньская компания First International Computer продемонстрировала PDA с соответствующим модулем и беспроводной аппаратный ключ защиты приложений BlueGenie, разработанный в сотрудничестве с Silicon Wave.
HASP — это аппаратно-программная инструментальная система, предназначенная для защиты программ и данных от нелегального использования, пиратского тиражирования и несанкционированного доступа к данным, а также для аутентификации пользователей при доступе к защищенным ресурсам. В первых версиях это небольшое устройство подключалось к параллельному порту компьютера. Затем появились USB-HASP-устройства. Иметь маленький USB-ключ значительно удобнее, чем большой 25-штырьковый сквозной разъем, да и часто возникающие проблемы с совместимостью ключей и устройств, работающих через параллельный порт, типа принтеров и ZIP-дисководов изрядно утомляли пользователей. А с USB-устройствами работает автоматическое подключение (рlug-and-рlay), порты USB выносятся на переднюю панель, встраиваются в клавиатуру и монитор. А если даже такого удобного разъема под рукой нет, то в комплекте с этими ключами часто продают удлинители. Существуют несколько разновидностей ключей — с памятью, с часами и т.д.
Используя память ключа, разработчик может:
- управлять доступом к различным программным модулям и пакетам программ;
- назначать каждому пользователю защищенных программ уникальный номер;
- сдавать программы в аренду и распространять их демо-версии с ограничением количества запусков;
- хранить в ключе пароли, фрагменты кода программы, значения переменных и другую важную информацию.
У каждого ключа HASP с памятью имеется уникальный опознавательный номер, или идентификатор (ID-number), доступный для считывания защищенными программами и позволяющий различать пользователей. Идентификатор присваивается электронному ключу в процессе изготовления, что делает невозможным его замену, но гарантирует надежную защиту от повтора. С использованием идентификатора можно шифровать содержимое памяти и использовать возможность ее дистанционного перепрограммирования.
Hardlock
Такие ключи могут устойчиво работает во всех компьютерах (включая ноутбуки), на различных портах, в самых разных режимах, позволяя подключать через них практически любые устройства — принтеры, сканеры, модемы и т.п. А малый ток потребления позволяет каскадировать любое количество ключей.
eToken
ак уже говорилось, наилучшим решением сегодня в области защиты информации являются смарт-карты, но для их использования необходимы специальные устройства считывания (карт-ридеры). Эту проблему снимают устройства типа eToken — электронные смарт-ключи производства той же компании Aladdin, подключаемые напрямую к USB-порту.
Кроме того, eToken выполнен в прочном водонепроницаемом корпусе и защищен от воздействия окружающей среды. Он имеет защищенную энергонезависимую память (модели PRO и RIC снабжены микропроцессором). Небольшой размер позволяет носить его на связке с ключами.
Если нужно подключить к компьютеру несколько ключей одновременно, а USB-портов не хватает, то можно воспользоваться концентратором (USB-HUB). Для удобства применения eToken поставляется вместе с удлинителем для USB-порта.
Таким образом, eToken может стать универсальным ключом, легко интегрируемым в различные системы для обеспечения надежной аутентификации. С его помощью можно осуществлять безопасный доступ к защищенным Web-страницам, к сетям, отдельным приложениям и т.д. Универсальность применения, легкость в использовании, удобство для пользователей и администраторов, гарантированное качество делают его прекрасным средством при необходимости использовать цифровые сертификаты и защищенный доступ.
Secret Disk
случае если объем конфиденциальной информации довольно значителен, можно воспользоваться устройством Secret Disk, выполненным с применением технологии eToken. Secret Disk — это разработка компании Aladdin Software Security R.D., предназначенная для защиты конфиденциальной информации на персональном компьютере с ОС Windows 2000/XP.
Принцип защиты данных при помощи системы Secret Disk заключается в создании на компьютере пользователя защищенного ресурса — секретных дисков, предназначенных для безопасного хранения конфиденциальной информации. Доступ к этой информации осуществляется посредством электронного ключа eToken, подсоединяемого к USB-порту компьютера. Доступ к информации, защищенной системой Secret Disk, получают только непосредственный владелец информации и авторизованные им доверенные лица, имеющие электронный ключ eToken и знающие его PIN-код. Для других пользователей защищенный ресурс будет невидим и недоступен. Более того, они даже не догадаются о его наличии.
Устанавливая на компьютере систему Secret Disk, пользователь может быть уверен в сохранности защищаемых данных. Конфиденциальная информация не может быть просмотрена, скопирована, уничтожена или повреждена другими пользователями. Она не может быть использована посторонними при ремонте или краже компьютера, а также при утере съемного зашифрованного диска.
Заключение
Однако даже индивидуальным пользователям к таким хранилищам стоит относиться с опаской: если специальное устройство хранит все пароли пользователя (в том числе и его private key) и впускает его в систему по аппаратному ключу, то достаточно подобрать к этому устройству один пароль — и все секреты как на ладони…
Описывает передовую практику, расположение, значения, управление политикой и соображения безопасности для криптографии Системы: защита ключей клавиши force для ключей пользователей, хранимые в параметре политики безопасности компьютера.
Справочники
Этот параметр политики определяет, могут ли пользователи использовать закрытые ключи, такие как ключ Secure/Multipurpose Internet Mail Extensions (S/MIME) без пароля.
Настройка этого параметра политики, чтобы пользователи должны предоставлять пароль каждый раз, когда они используют ключ (помимо пароля домена), затрудняет доступ злоумышленника к локальным ключам пользователей, даже если злоумышленник получает контроль над устройством пользователя и определяет его логосный пароль.
Возможные значения
- Ввод пользователя не требуется, когда новые ключи хранятся и используются
- Пользователь подсказывуется, когда клавиша впервые используется
- Пользователь должен вводить пароль при каждом использовании ключа
- Не определено
Рекомендации
Местонахождение
Конфигурация компьютера\Windows Параметры\Security Параметры\Local Policies\Security Options
Значения по умолчанию
В следующей таблице перечислены фактические и эффективные значения по умолчанию для этой политики. Значения по умолчанию также можно найти на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
| Default Domain Policy | Не определено |
| Политика контроллера домена по умолчанию | Не определено |
| Параметры по умолчанию для автономного сервера | Не определено |
| Dc Effective Default Параметры | Не определено |
| Действующие параметры по умолчанию для рядового сервера | Не определено |
| Действующие параметры по умолчанию для клиентского компьютера | Не определено |
Управление политикой
В этом разделе описываются функции и средства, доступные для управления этой политикой.
Необходимость перезапуска
Нет. Изменения в этой политике становятся эффективными без перезапуска устройства при локальном сбережении или распространении через групповую политику.
Вопросы безопасности
В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации.
Уязвимость
Если учетная запись пользователя скомпрометирована или устройство пользователя непреднамеренно оставлено необеспеченным, злоумышленник может использовать ключи, хранимые для пользователя, для доступа к защищенным ресурсам.
Противодействие
Настройка криптографии системы: защита ключей force для ключей **** пользователей, хранимых на параметре компьютера, чтобы пользователь каждый раз вводил пароль при каждом использовании ключа, чтобы пользователи могли предоставить пароль, который отличается от пароля домена при каждом использовании ключа. Эта конфигурация затрудняет доступ злоумышленника к локально хранимым ключам пользователей, даже если злоумышленник получает контроль над компьютером пользователя и определяет пароль с логотипом.
Возможное влияние
Как известно, если у стороннего лица есть доступ к закрытому ключу вашей электронной подписи, последний может от вашего имени устанавливать ее, что по возможным последствиям аналогично подделке подписи на бумажном документе. Поэтому необходимо обеспечить высокий уровень защиты закрытого ключа, что наилучшим образом реализовано в специализированных хранилищах. К слову, электронная подпись это не сохраненная в виде файла картинка с вашими закорючками, а строка бит, полученная в результате криптографического преобразования информации с использованием закрытого ключа, позволяющая идентифицировать владельца и установить отсутствие искажения информации в электронном документе. У электронной подписи имеется и открытый ключ – код, который доступен всем, с помощью него можно определить, кто и когда подписал электронный документ.
Сейчас наиболее распространенный вариант хранения закрытого ключа – на жестком диске компьютера. Но у него существует ряд недостатков, в том числе:
-
необходимо устанавливать на все компьютеры, на которых работает пользователь. А это, во-первых, неудобно, во-вторых, потенциально небезопасно. Почему? Получив доступ к системе (например, пользователь забыл заблокировать систему пред уходом), можно беспрепятственно подписывать документы или скопировать ключ, используя средства экспорта;
- для экспорта/импорта закрытого ключа, например, если возникнет необходимость переехать с одного рабочего места на другое, необходима определенная квалификация и права доступа. Как вариант, можно оформить заявку администраторам, но это потеря времени и не всегда удобно.
Теперь вернемся к специализированным хранилищам. На текущий момент в некоторых системах электронного документооборота реализована возможность использования хранилищ, например e-Token и Rutoken. Что же такое e-Token или Rutoken (часто называют просто «токен»)? Это защищенное хранилище ключей в виде USB-брелоков и смарткарт, доступ к которому осуществляется только по пинкоду. При вводе неверного пинкода более трех раз хранилище блокируется, предотвращая попытки доступа к ключу путем подбора значения пинкода. Все операции с ключом производятся в памяти хранилища, т.е. ключ никогда его не покидает. Таким образом, исключается перехват ключа из оперативной памяти.
Помимо указанных выше преимуществ при использовании защищенных хранилищ можно выделить следующие:
- гарантируется сохранность ключа, в том числе при потере носителя на время, необходимое для отзыва сертификата (ведь о потере ЭП необходимо срочно сообщать в удостоверяющий центр, как сообщается в банк при потере банковской карты);
- нет необходимости устанавливать сертификат закрытого ключа на каждый компьютер, с которого работает пользователь;
- «токен» можно одновременно использовать для авторизации при входе в операционную систему компьютера и в СЭД. То есть он становится персональным средством аутентификации.
Если СЭД имеет интеграционные решения со специализированными хранилищами для закрытых ключей, то все преимущества проявляются и при работе с системой.
Рассмотрим вариант, когда пользователь хранит ключ в специализированном хранилище, при этом активно работает с ноутбука. Тогда, даже при утере мобильного рабочего места (при условии сохранения «токена»), можно не беспокоиться о том, что кто-то получит доступ к СЭД с ноутбука или сможет скопировать закрытый ключ и подписать электронные документы от имени этого пользователя.
Использование специализированных хранилищ предполагает дополнительные расходы, но при этом значительно увеличивается уровень обеспечения безопасности вашего ключа и системы в целом. Поэтому специалисты рекомендуют использовать подобные устройства в работе, но выбор, конечно, всегда остается за вами.
Сегодня мы все чаще храним и свои, и чужие персональные данные на компьютерах. Безусловно, хранить адреса, номера телефонов, адреса электронной почты и блогов, а также такую информацию, как номер паспорта, водительского удостоверения, а то и номер банковской карты, гораздо удобнее в электронном виде. Как же правильно хранить подобные данные на своем компьютере? В данной статье мы рассмотрим несколько возможных технологий и соответственно примеров программного обеспечения. На самом деле их намного больше
Сегодня мы все чаще храним и свои, и чужие персональные данные на компьютерах. Безусловно, хранить адреса, номера телефонов, адреса электронной почты и блогов, а также такую информацию, как номер паспорта, водительского удостоверения, а то и номер банковской карты, гораздо удобнее в электронном виде. Но вот безопасно ли? Если этому не уделять внимания, то, конечно, нет. А ведь у каждого из нас есть подобная информация о наших друзьях и знакомых. Причем с каждым днем ее все больше и больше.
А когда вы в последний раз пытались разобрать ворох визиток, лежащий на столе? Наверное, когда искали нужный телефон. Да и то при этом неоднократно пожалели, что не ведете такую базу в электронном виде, верно?
И хотя по закону персональные данные — совокупность ведомостей о физическом лице, которое идентифицировано или может быть идентифицировано, всегда ведь можно сослаться на то, что мы, как физические лица, не попадаем под действие закона о защите персональных данных и не отвечаем за нарушение данного закона, но кому из нас понравится обвинение в том, что именно с нашего компьютера ушли данные о друзьях и партнерах? А то и наши собственные данные? Думаю, никому.
Как же правильно хранить подобные данные на своем компьютере? В данной статье мы рассмотрим несколько возможных технологий и соответственно примеров программного обеспечения. На самом деле их намного больше.
Шифрование всего компьютера
На мой взгляд, это кардинальный подход. Вариантов программного обеспечения, осуществляющих полное шифрование всех жестких дисков, масса. Я остановлюсь лишь на тех, которыми пользуюсь сам.
Шифрование BitLocker
Я считаю, что шифрование BitLocker — оптимальное решение. Особенно если ваш компьютер оснащен TrustedPlatformModule (TPM). Правда, в этом случае вам придется задействовать Windows 7 Ultimate (поскольку речь идет о малых предприятиях или вообще физических лицах, я думаю, что вряд ли кто-то из этой группы использует Windows 7 Enterprise).
Итак, если на вашем ноутбуке (или стационарном компьютере) установлена версия Windows 7 Ultimate, то шифровать с помощью BitLocker — идеальный вариант. Единственный совет: если ваш компьютер оснащен ТРМ, вы можете применять данный модуль для хранения ключа. Выбирайте шифрование TPM+PIN, то есть фактически используйте для расшифровывания двухфакторную аутентификацию.
Если же ваш компьютер не оснащен ТРМ, вам придется использовать в качестве места для хранения ключа флэш-накопитель USB. Не забудьте, естественно, в том и другом случае сделать резервную копию ключа (конечно же, не на тот USB-ключ, который будет использоваться в качестве основного) и распечатайте ключи. Потом положите распечатанные ключи в какое-то закрытое хранилище. И не забудьте, что не следует носить USB-флэш с записанным ключом в той же сумке, что и ноутбук!
SecretDisk 4.0 от компании «Аладдин Р. Д.»
SecretDisk 4 — система защиты конфиденциальной информации и персональных данных, хранящихся и обрабатываемых на персональном компьютере, от несанкционированного доступа плюс двухфакторная аутентификация для доступа к зашифрованным данным и защита системного раздела, прозрачная работа для пользователя, соответствие закону по защите персональных данных (ФЗ-152) и наличие сертифицированной версии продукта.
Перечислим случаи, когда бывает необходим SecretDisk 4.
- При работе на ноутбуке. Утеря или кража ноутбука, несанкционированное использование посторонними лицами (во время деловых поездок или на отдыхе).
- При работе на персональном компьютере в офисе. Несанкционированный доступ к данным по локальной сети или неправомерное использование посторонними лицами во время отсутствия пользователя на рабочем месте.
- Если компьютер передается на сервисное обслуживание. Несанкционированный доступ к данным во время проведения ремонтных и сервисных работ внутренней ИТ-службой или внешней сервисной компанией.
- Если информация конфиденциального характера переносится или пересылается на съемных носителях (утеря или кража носителей).
Необходимо обеспечить выполнение требований федерального закона «О персональных данных» от 27 июля 2006 года. Нарушение конфиденциальности персональных данных, которые хранятся и обрабатываются на персональных компьютерах в организации.
Для чего предназначен SecretDisk?
- Защита от несанкционированного доступа и раскрытия конфиденциальности информации, хранящейся и обрабатываемой на персональном компьютере или ноутбуке.
- Защита информации при переносе и хранении на съемных носителях.
- Разграничение прав пользователей на доступ к защищенной информации с использованием надежной двухфакторной аутентификации (владение электронным ключом e-Token и знание PIN-кода).
В данном случае вы сможете шифровать весь жесткий диск, если ваш компьютер работает под управлением любых версий операционных систем Microsoft Windows XP, Microsoft WindowsVista, Microsoft Windows 7.
Недостаток обоих предложенных выше способов состоит в том, что контейнер с вашими персональными данными привязан к компьютеру, следовательно, вы не можете носить его с собой. Разве что сделаете шифрованный сменный носитель. Опять же учтите, что, для того чтобы сменный носитель, зашифрованный на компьютере под управлением Windows 7 Ultimate, вы смогли прочесть на компьютерах под управлением более младших операционных систем, параметр групповой политики Allow access to BitLocker-protected removable data drives from earlier versions of Windows должен быть установлен в значение «Да» или не настроен!
В случае использования SecretDisk вы можете создать криптоконтейнер, но тогда на том компьютере, на котором вы хотите прочесть из него информацию, также должно быть установлено соответствующее программное обеспечение, что, согласитесь, далеко не всегда удобно.
Несмотря на то что технология Information Rights Management (IRM) применяется в Microsoft Office начиная с версии Office 2003, ее использование и сегодня вызывает у ИТ-специалистов много вопросов.
Это позволяет создать обычный документ, записав в него нужную нам информацию, и отослать ее самому себе, поставив ограничение, что никто другой открыть данное письмо не может.
IRM + Windows Live
Что же делать в подобных случаях? Запускать службу управления правами? Конечно, это выход. Но как быть в небольшой компании, где всего-то 5–10 сотрудников? Или как поступить при пересылке сугубо личного письма, если необходимо, чтобы адресат не мог переслать его дальше или распечатать? Здесь на помощь придет технология, применяемая Microsoft Outlook 2010.
.jpg) |
| Экран 1. Параметры |
Если вы впервые настраиваете IRM, вам придется выполнить еще несколько действий. Вначале потребуется оформить подписку на службу управления правами на доступ к данным. После этого, в случае отсутствия идентификатора Windows Live ID, вам будет предложено его создать. После создания идентификатора Windows Live ID (или если у вас уже есть этот идентификатор) потребуется ввести его (электронный адрес), а также пароль (экран 2).
Далее вам нужно будет указать, используете вы частный компьютер или общедоступный. На этом настройка механизма управления правами WRM завершается. Если вы обладаете несколькими учетными записями Windows Live ID, вы всегда сможете выбрать, какую из них использовать в данный момент. После этого вы можете приступать к отправке письма, задав нужные разрешения (экран 3).
.jpg) |
| Экран 3. Задание нужных разрешений |
Если получатель использует веб-интерфейс, а не клиентскую программу для работы с почтой, ему придется установить у себя дополнительную надстройку для Internet Explorer. После перехода по ссылке, указанной в теле письма, нужно будет загрузить надстройку RightsManagementAdd-on для Internet Explorer.
Как осуществляется защита содержимого?
При использовании функции управления правами на доступ к данным вы получаете следующие возможности защиты:
Вместе с тем нужно учесть, что вы не сможете защитить данные с помощью указанной технологии в следующих случаях:
Kaspersky Password Manager
Данное программное обеспечение, как следует из названия, в первую очередь является менеджером паролей. Однако на самом деле область его применения намного шире, так как фактически вы можете хранить не только свои пароли, но и персональные данные (данные о паспорте, водительском удостоверении, банковских карточках и счетах и т. д.). Причем, естественно, не только свои персональные данные, но данные ваших близких, сотрудников или партнеров.
Рассмотрим подробнее, как работает эта программа. Установка ее не вызывает никаких сложностей, поэтому здесь я не буду ее описывать. Сразу же после установки вам будет предложено на выбор несколько вариантов авторизации.
- Мастер-пароль (по умолчанию). При этом автоматически будет отслеживаться сложность вашего мастер-пароля.
- Аутентификация с помощью USB-flash. Естественно, в этом случае вы должны носить флэшку не в той же сумке, что и ноутбук A.
- Bluetooth-устройство.
- Без аутентификации. Данный способ, несомненно, самый удобный, однако не рекомендуется ввиду отсутствия безопасности как таковой.
После того как вы введете свой мастер-пароль, на экране появится основное окно программы (экран 4).
.jpg) |
| Экран 4. Основное окно Kaspersky Password Manager |
После этого вы можете вручную ввести пароли к необходимому программному обеспечению (например, ICQ). Однако наиболее интересным, на мой взгляд, является создание личных заметок. В диалоговом окне вам будут предложены шаблоны личных заметок (хотя вы можете создавать их сами). В частности, с помощью данного модуля можно хранить такую информацию, как:
- лицензии на использование программного обеспечения;
- кредитная карта;
- банковский счет;
- удостоверение личности;
- водительские права;
- паспорт;
- виза;
- удостоверение избирателя;
- студенческий билет;
- параметры подключения к Интернету.
Для себя я бы еще добавил налоговый код (весьма актуально на Украине).
Пример ввода паспортных данных показан на экране 5.
.jpg) |
| Экран 5. Паспорт |
Таким образом вы можете хранить не только свои личные данные. А теперь, на мой взгляд, самое интересное. Если перейти на вкладку «Настройка», то вы сможете изменить алгоритм шифрования своих данных.
Для этого нужно выбрать разработчика (по умолчанию — Microsoft Strong Cryptographic Provider) и алгоритм (по умолчанию RC4 с длиной ключа 128 разрядов). Вместе с тем необходимо отметить, что вы можете создать переносную версию на основе USB-накопителя, что позволит воспользоваться вашими данными на другом компьютере.
SPB Wallet
Данная программа реализована как для компьютеров под управлением Windows, так и для смартфонов под управлением Android, Symbian, Windows Mobile, iPhone, а также для iPad. Главное окно программы показано на экране 6.
Читайте также: