Шифрование - это процесс кодирования информации таким образом, что она не может быть доступной другим людям, если они не имеют необходимый ключ для декодирования. Шифрование, как правило, используется для защиты важных документов, но это также хороший способ остановить людей, которые пытаются украсть ваши личные данные.

Зачем использовать категории? Чтобы разбить огромное множество программ шифрования информации на более простые и понятные наборы программ, т.е. структурировать. Данная статья ограничивается набором утилит для шифрования файлов и папок.

1. Утилиты шифрования файлов и папок - эти утилиты рассматриваются в данной статье. Эти утилиты шифрования работают напрямую с файлами и папками, в отличие от утилит, которые осуществляют шифрование и хранение файлов в томах (архивах, то есть в контейнерах файлов). Данные утилиты шифрования могут работать в режиме "по требованию" или в режиме "на лету".
2. Утилиты шифрования виртуальных дисков . Такие утилиты работают по средствам создания томов (зашифрованных контейнеров/архивов), которые представляются в файловой системе в качестве виртуальных дисков, имеющих свою букву, например, "L:". Эти диски могут содержать как файлы, так и папки. Файловая система компьютера может читать, писать и создавать документы в режиме реального времени, т.е. в открытом виде. Такие утилиты работают в режиме "на лету".
3. Full-drive утилиты шифрования - шифруют все устройства хранения данных, например, сами жесткие диски, разделы диска и USB устройства. Некоторые из утилит в этой категории также могут зашифровать диск, на котором установлена операционная система.
4. Клиентские утилиты шифрования в "облаке": новая категория утилит шифрования. Эти утилиты шифрования файлов используются до загрузки или синхронизации с "облаком". Файлы находятся в зашифрованном виде при передаче и во время хранения в "облаке". Утилиты шифрования в "облаке" используют различные формы виртуализации, чтобы представить доступ к исходному тексту на стороне клиента. При этом вся работа происходит в режиме "на лету".

Предостережения

Операционные системы порочны: эхо ваших личных данных - файлы подкачки, временные файлы, файлы режима энергосбережения ("сна системы"), удаленные файлы, артефакты браузеров, и т.д. - скорее всего, останутся на любом компьютере, который вы используете для доступа к данным. Это нетривиальная задача - выделить это эхо ваших личных данных. Если вам необходима защита данных жесткого диска во время их перемещения или поступления извне, то это достаточно сложная задача. Например, когда вы осуществляете создание зашифрованного архива файлов или разархивирование такого архива, то, соответственно, оригинальные версии файлов или копии оригинальных файлов из этого архива остаются на жестком диске. Они так же могут остаться в местах хранилища временных файлов (ака папки Temp и т.д.). И получается, что задача удаления этих оригинальных версий становится задачей не простого удаления этих файлов по средствам команды "удалить".

1. Тот факт, что программа шифрования «работает» не означает, что она является безопасной. Новые утилиты шифрования часто появляются после того, как "кто-то" прочитает прикладную криптографию, выберет алгоритм и возьмется за разработку. Может быть даже "кто-то" использует проверенный опенсурс код. Реализует пользовательский интерфейс. Убедится в том, что она работает. И подумает, что на этом все закончено. Но, это не так. Такая программа наверняка наполнена фатальными багами. "Функциональность не означает качество, и никакое бета-тестирование не раскроет проблемы безопасности. Большинство продуктов представляют собой красивое слово "соблюдается". Они используют алгоритмы криптографии, но сами не являются безопасными." (Вольный перевод) - Брюс Шнайер, из Security Pitfalls in Cryptography. (исходная фраза: "Functionality does not equal quality, and no amount of beta testing will ever reveal a security flaw. Too many products are merely buzzword compliant; they use secure cryptography, but they are not secure.").
2. Использование шифрования - не является достаточным для обеспечения безопасности ваших данных. Существует множество способов обойти защиту, поэтому если ваши данные "очень секретные", то необходимо так же задумываться и о других путях защиты. Как "старт" для дополнительных поисков можно использовать статью риски использования криптографического ПО .

Обзор программ шифрования файлов и папок

TrueCrypt когда-то был самой лучшей программой в этой категории. И до сих пор является одной из лучших, но уже не соответствует данной категории, так как базируется на работе по средствам виртуальных дисков.

Большинство, если не все программы, описанные ниже, подвергают пользователя неочевидным угрозам, которые описаны выше в пункте №1 из списка п редостережений. TrueCrypt, который базируется на работе с разделами, а не на работе с файлами и папками - не подвергает пользователей этой уязвимости.

Sophos Free Encryption - больше не доступна.

Сопутствующие продукты и ссылки

Сопутствующие продукты:

Альтернативные продукты:

• SafeHouse Explorer является простой, бесплатной программой, которая достаточно мало весит, что позволяет ее с легкостью использовать на USB накопителях. Так же вы можете найти хорошо подготовленные видео материалы и руководство пользователя на их веб-сайте.
  
• Rohos Mini Drive это портативная (portable) программа, которая создает скрытый, зашифрованный раздел на USB накопителе.
• FreeOTFE (из обзора утилит шифрования виртуальных дисков) является программой для осуществления шифрования диска "на лету". Она может быть адаптирована для портативного (portable) использования.
• FreeOTFE Explorer является более простым вариантом FreeOTFE. Она не требует прав администратора.
• Pismo File Mount Audit Package является расширением файловой системы, которое обеспечивает доступ к специальным зашифрованным файлам (через контекстное меню проводника Windows), в свою очередь которые предоставляют доступ к зашифрованным папкам. Приложения могут писать прямо в эти папки, что позволяет гарантировать, что текстовые копии оригинального документа не останутся на жестком диске.
• 7-Zip это мощная утилита для создания архивов файлов, которая обеспечивает 256-битное AES шифрование для *.7z и *.zip форматов. Однако, программа Pismo более лучшее решение, поскольку оно позволяет избежать проблемы хранения незашифрованных версий файлов.

Руководство по быстрому выбору (скачать программы для шифрования файлов и папок)

AxCrypt

		Интеграция с контекстным меню проводника Windows. AxCrypt позволяет так же легко открывать, редактировать и сохранять зашифрованные файлы, как если бы вы работали с незашифрованными файлами. Используйте этот продукт, если вам необходимо часто работать с шифрованными файлами.
		Программа использует Open Candy (устанавливается в комплекте дополнительного стороннего программного обеспечения). Если хотите, то можете и не устанавливать его, но тогда надо регистрироваться на сайте.

На наших носителях в огромных количествах хранится персональная и важная информация, документы и медиафайлы. Их необходимо защитить. Такие криптографические методы, как AES и Twofish , стандартно предлагающиеся в шифровальных программах, относятся примерно к одному поколению и обеспечивают сравнительно высокий уровень безопасности.

На практике обычный пользователь не сможет сильно ошибиться в выборе. Вместо этого стоит определиться со специализированной программой в зависимости от намерений: зачастую шифрование жесткого диска использует иной операционный режим, чем шифрование файлов.

Долгое время лучшим выбором была утилита TrueCrypt , если речь шла о полном шифровании жесткого диска или сохранении данных в зашифрованном контейнере. Сейчас этот проект закрыт. Его достойным приемником стала программа с открытым исходным кодом VeraCrypt . В ее основу был положен код TrueCrypt, однако его доработали, благодаря чему качество шифрования повысилось.

К примеру, в VeraCrypt улучшено генерирование ключа из пароля . Для шифрования жестких дисков используется не такой распространенный режим, как CBC , а XTS . В данном режиме блоки шифруются по типу ECB , однако при этом добавляется номер сектора и внутрисегментное смещение .

Случайные числа и сильные пароли

Для защиты отдельных файлов достаточно бесплатной программы с простым интерфейсом, например, MAXA Crypt Portable или AxCrypt . Мы рекомендуем AxCrypt, поскольку она представляет собой проект с открытым исходным кодом. Однако при ее установке следует обратить внимание на то, что в пакете с приложением идут ненужные дополнения, поэтому с них необходимо снять флажки.

Утилита запускается щелчком правой кнопкой мыши по файлу или папке и вводу пароля (например, при открытии зашифрованного файла ). В данной программе используется алгоритм AES на 128 бит с режимом CBC . Для создания надежного вектора инициализации (IV) Ax-Crypt встраивает генератор псевдослучайных чисел.

Если IV не является настоящим случайным числом, то режим CBC его ослабляет. Программа MAXA Crypt Portable работает похожим образом, однако шифрование происходит с помощью ключа длиной в 256 бит . Если вы загружаете личную информацию в облачные хранилища, необходимо исходить из того, что их владельцы, например, Google и Dropbox, сканируют контент.

Boxcryptor встраивается в процесс в качестве виртуального жесткого диска и по щелчку правой кнопкой мыши шифрует все расположенные там файлы еще до загрузки в облако. При этом важно обзавестись менеджером паролей, таким как Password Depot . Он создает сложные пароли, которые не сможет запомнить ни один человек. Нужно только не потерять мастер-пароль к этой программе.

Используем зашифрованные диски

Подобно TrueCrypt, мастер утилиты VeraCrypt проведет пользователя сквозь все этапы создания зашифрованного диска. Вы также можете защитить существующий раздел.

Шифрование одним кликом

Бесплатная программа Maxa Crypt Portable предлагает все необходимые опции для быстрого шифрования отдельных файлов по алгоритму AES. Нажатием на кнопку вы запускаете генерацию безопасного пароля.

Связываем облако с частной жизнью

Boxcryptor по одному клику шифрует важные файлы перед загрузкой в хранилища Dropbox или Google. По умолчанию применяется шифрование AES с ключом длиной 256 бит .

Краеугольный камень - менеджер паролей

Длинные пароли усиливают безопасность. Программа Password Depot генерирует и применяет их, в том числе для шифрования файлов и работы с веб-службами, которым передает данные для доступа к учетной записи.

Фото: компании-производители

Еще в детстве меня забавляла мысль о шифрах, играя в шпионов, мы с другом даже придумали примитивный шифр, где буквы были заменены цифрами. Чувство, что твое послание может прочесть только тот, у кого есть ключ, будоражило.

Современная криптография, это конечно же, невероятно сложная штука, со времен энигмы вычислительные мощности выросли многократно, да и цифровая эпоха изменила мир до неузнаваемости. Надежда на то, что ваши данные, пароли, платежная и финансовая информация останутся неуязвимыми, есть. Нужно лишь зашифровать их, на данный момент это самый надежный способ. Существует множество инструментов и программ, о бесплатных и лучших, на мой взгляд, я и расскажу:

Шифрование - обратимое преобразование информации в целях сокрытия от неавторизованных лиц, с предоставлением, в это же время, авторизованным пользователям доступа к ней. Главным образом, шифрование служит задачей соблюдения конфиденциальности передаваемой информации. Важной особенностью любого алгоритма шифрования является использование ключа, который утверждает выбор конкретного преобразования из совокупности возможных для данного алгоритма.

Википедия

(Windows/OS X/Linux)

VeraCrypt — это продолжатель знаменитой открытой программы TrueCrypt, прекратившей свое развитие год назад. VeraCrypt поддерживает AES, наиболее популярный тип шифрования, TwoFish и Serpen менее популярные, но тоже обладают уникальными характеристиками. Так же VeraCrypt поддерживает создание скрытых зашифрованных томов внутри других томов, шифрование раздела целиком или всего диска, или же usb-накопителя. Шифрование и расшифровка происходит довольно быстро, программа постоянно развивается и проходит аудит сообществом открытого программного обеспечения.

Если вы впервые пользуетесь программами шифрования будьте внимательны, читайте указания и испытайте её на каком-нибудь простом примере. Для тех, кто знаком с TrueCrypt пользование никакого труда не составит.

7-Zip (Windows / OS X / Linux)

Немногие знают, что самый распространенный бесплатный архиватор 7-zip обладает функцией шифрования. Метод ограничивает AES-256, что вполне защищенный вариант. Однако процесс невероятно прост, выбираем файл или папку и прежде чем архивировать устанавливаем пароль с возможностью скрыть имена защищенных файлов. И всё! Возможно процесс не так быстр, как у VeraCrypt, но есть одно преимущество — архив можно открыть любой программой, открывающей .zip . Более продвинутый WinRAR обладает теми же функциями, но он все же условно бесплатный.

(Windows / OS X)

Невероятно простой и красивый шифровальщик, использующий протокол AES-256. Добавляйте файл или папку, или просто перетаскивайте в окно программы, введите пароль и подсказку (если захотите). Процесс проходит довольно быстро, по завершении получите файл с расширением.crypto. Для его расшифровки вам понадобиться encrypto, и это небольшой минус, который впрочем решается легко, ведь программа бесплатная.

Заключение.

Все инструменты шифрования, которые были представлены в обзоре, бесплатны, достаточно просты в использовании, поэтому шифрование, это не какая-то сложная штука. Оно доступно обычному пользователю, по крайней мере для того, чтобы свои файлики с паролями, сканы паспортов и документов хранить в безопасности, и, конечно, помнить мастер-пароль, с помощью которого вы зашифровали сокровенное.

У любого пользователя на компьютере имеется конфиденциальная информация, и, естественно, никому не хочется, чтобы она стала доступна другим пользователям, тоже имеющим доступ к этому компьютеру. Подобная ситуация может возникнуть и дома, когда, например, необходимо оградить ребенка от излишней информации, и на работе, где даже при наличии у каждого пользователя своего компьютера возможны ситуации, когда приходится пускать за свой компьютер другого сотрудника. И в том, и в другом случае совершенно не хочется демонстрировать посторонним свои рабочие материалы, и вовсе не потому, что они имеют гриф «совершенно секретно». Все гораздо проще - каждый имеет право на конфиденциальность. Есть и более серьезная сторона вопроса. Всегда ли вы можете спокойно доверить свои материалы кому бы то ни было? Скорее всего, нет - ведь никогда нельзя быть уверенным, что ваши файлы и папки вдруг не окажутся удаленными или измененными по чистой случайности неподготовленным пользователем. В то же время, заблокировав доступ к информации, вы можете быть спокойны, что с вашими документами ничего не случится по вине другого пользователя. Кроме того, не стоит сбрасывать со счетов и то, что если ваши материалы представляют какую-то коммерческую ценность, то вполне возможно, что ими захотят воспользоваться. Причем все это касается не только информации, хранящейся на жестком диске, но и той, что находится на ноутбуке либо на каких-то съемных носителях, возможность несанкционированного доступа к которым еще выше, - ведь любое из данных устройств может быть потеряно или украдено. Так что защищать конфиденциальные данные, хранящиеся на мобильных устройствах, не менее актуально.

Способы защиты данных от несанкционированного доступа

Вариантов решения названных проблем несколько: можно сжать папки и файлы в архиве, защищенном паролем, или скрыть и поместить в секретную папку, доступ к которой для других пользователей будет закрыт паролем, или зашифровать их, или создать виртуальный зашифрованный диск, на который записывать свои секретные материалы. Выбор наиболее предпочтительного способа зависит от конкретной ситуации.

Архивирование с паролем подходит только для защиты редко используемых файлов и папок, поскольку данный способ не слишком удобен для самого пользователя, ведь для работы с заархивированными данными их придется каждый раз разархивировать. Кроме того, надежность данного варианта защиты напрямую зависит от внимательности пользователя (ему нужно постоянно помнить, что каждый раз в конце работы необходимо вновь заархивировать данные и удалить исходные файлы), от типа архиватора (разные архиваторы поддерживают различные по уровню надежности методы шифрования данных), а также от самого пароля. Последний момент весьма актуален, так как выбор короткого либо тривиального пароля может свести на нет все усилия пользователя по защите данных.

Другим простым и доступным способом защиты своих персональных папок и файлов от чужих глаз является их сокрытие. Сделать это можно как встроенными средствами Windows, так и с помощью специализированных решений. Сокрытие файлов и папок средствами ОС производится путем маркировки соответствующих объектов в качестве скрытых, что реализуется через их свойства (рис. 1). Скрытые таким образом папки и файлы не будут видны в проводнике другим пользователям системы, но лишь при условии, что у пользователя включен флажок «Не показывать скрытые файлы и папки» (рис. 2). В принципе, этого может оказаться вполне достаточно для защиты своих данных от наиболее неподготовленной аудитории. Однако стоит иметь в виду, что скрытые подобным образом объекты будут прекрасно видны в других приложениях, таких, например, как FAR, Total Commander и др., которые не используют стандартный диалог для отображения файлов и папок. Поэтому подобную защиту нельзя считать надежной.

Рис. 1. Настройка запрета отображения скрытых
объектов в Windows

Чтобы скрытые папки не были видны при отключении флажка «Не показывать скрытые файлы и папки», необходимо использовать специально предназначенные для этого решения. С их помощью можно достичь того, что защищенные данные действительно не будут видны другим пользователям. Подобные решения в большинстве своем доступны по цене и очень просты в применении, а потому вполне подходят для большинства пользователей. Правда, тут необходимо учитывать два момента. Во-первых, некоторые решения данного класса обеспечивают сокрытие данных только при нормальной загрузке ОС, однако при загрузке Windows в безопасном режиме (SafeMode) скрытые папки окажутся видны. Объясняется это очень просто: в безопасном режиме Windows загружает лишь драйверы, необходимые для работы системы, а все дополнительные (в том числе и отвечающие за сокрытие данных) пропускает, что и приводит к подобному результату. Во-вторых, довольно часто (но не всегда) скрытые подобным образом данные можно увидеть, зайдя в систему под именем администратора. Поэтому, выбирая решение для сокрытия данных, стоит отдавать предпочтение тем, в которых подобные ситуации исключены. При этом нельзя не отметить, что сокрытие данных даже в лучших из таких решений не обеспечивает их полной безопасности, поскольку всегда есть варианты обхода подобного рода защиты - например загрузка ПК в другой операционной системе (если их установлено на компьютере несколько) либо загрузка другой ОС с CD-ROM. Аналогичная ситуация возможна и при снятии HDD-диска и подключении его к другому компьютеру.

Рис. 2. Включение флажка «Не показывать скрытые
файлы и папки»

Более надежным вариантом защиты данных является их шифрование, когда защищаемая информация преобразуется с помощью специальных алгоритмов шифрования, после чего прочесть ее можно только с указанием пароля (в некоторых решениях - USB-ключа). Возможно это как посредством встроенных средств Windows, так и с помощью решений от сторонних разработчиков. Для этой цели в ОС Windows предусмотрена шифрованная файловая система EFS (Encrypting File System), позволяющая пользователю шифровать файлы, просто включая для них в проводнике опцию «Шифровать содержимое для защиты данных» (Свойства => Общие => Дополнительно) - рис. 3. После этого владелец файлов может спокойно продолжать с ними работу, так как для него абсолютно ничего не изменится - зашифрованные файлы будут отображаться в папках практически так же (правда, другим цветом). Зато любой пользователь, вошедший под другой учетной записью, доступа к защищенным данным уже не получит. Однако система EFS позволяет защищать папки и файлы только в файловой системе NTFS, а защищенные файлы будут прекрасно видны другим пользователям (хоть и недоступны), что, разумеется, нежелательно. Конечно, их можно скрыть, воспользовавшись встроенными возможностями Windows, но о недостатках этого метода мы уже говорили.

Рис. 3. Настройка шифрования файла в Windows

Гораздо удобнее воспользоваться одним из специализированных решений для шифрования данных. Подобные программы бывают нескольких типов: одни предназначены для шифрования файлов, другие позволяют шифровать и файлы и папки (а иногда даже целые диски), а третьи ориентированы строго на создание защищенных дисков либо разделов. При этом подобные приложения, как правило, обеспечивают защиту данных от всех пользователей, включая администратора, даже при загрузке Windows в безопасном режиме. А некоторые защищают данные даже в случае загрузки в другой операционной системе и на другом компьютере (если на него предварительно установить жесткий диск с защищенной информацией). При желании среди подобных решений можно найти те, что рассчитаны на широкий круг пользователей - именно на них мы и остановимся.

Правила, которые стоит соблюдать при защите данных

Операции сокрытия, а тем более шифрования опасны тем, что из-за невнимательности пользователя может сложиться ситуация, когда попасть к данным не удастся даже ему самому. Кроме того, возможны проблемы с работой ОС и/или приложений. Поэтому к применению подобных решений следует относиться крайне серьезно и соблюдать ряд важных правил:

1. Без пароля (либо USB-ключа) получить доступ к зашифрованным данным невозможно. А забыть пароль проще простого, ведь тривиальные (то есть те, что легко запоминаются) пароли применять нельзя в силу их ненадежности. Да и возможностей утратить USB-ключ предостаточно - он может быть украден, его можно потерять, накопитель USB flash может выйти из строя. Поэтому нужно заранее предусмотреть подобную ситуацию и иметь копию пароля (USB-ключа), хранящуюся в недоступном для других пользователей месте.
2. При деинсталляции ПО, которое одно время использовалось на компьютере для сокрытия/шифрования данных, защита не будет отключена, а потому попасть к защищенным данным после деинсталляции не удастся. Поэтому перед деинсталляцией подобного приложения нужно обязательно отключить защиту непосредственно в самом приложении.
3. Не следует блокировать или шифровать системные файлы и файлы приложений, поскольку это приведет к невозможности нормальной работы за компьютером, а в случае шифрования раздела с операционной системой даже не позволит ее загрузить.

Решения для шифрования дисков и разделов

Решения для шифрования дисков и разделов незаменимы в том случае, если требуется не просто скрыть какие-то свои папки с документами, а полностью защитить свои рабочие диски от других пользователей, причем так, чтобы последние не смогли получить доступ к данным, даже подключив диск на другом компьютере. Приложений подобного плана на рынке много - мы рассмотрим русскоязычные пакеты Cryptic Disk, Disk Password Protection и Rohos Диск. Первые два ориентированы на защиту физических дисков либо имеющихся на них разделов. При этом Cryptic Disk несколько дороже, но зато с его помощью можно организовать доступ к защищенным дискам/разделам для множества пользователей с предоставлением им различных привилегий (табл. 1). Второй привлекателен по цене и помимо защиты разделов позволяет установить низкоуровневую защиту жестких дисков. Третий защищает не весь диск целиком, а создает на нем один или более защищенных виртуальных дисков (доступных при подключении в системе в качестве логических), позволяет использовать вместо пароля USB-ключ и имеет специальные средства для защиты USb flash drive.

Cryptic Disk 2.4.9

Разработчик : EXLADE, Inc.

Размер дистрибутива: 2,35 Мбайт

Работа под управлением: Windows 2000/XP/2003/Vista

Способ распространения: shareware (демо-версия, не позволяющая изменить пароль demo, - http://www.exlade.ru/download/crdisksetup.zip)

Цена: 49,95 долл. (для русскоязычных пользователей: домашняя лицензия - 990 руб., бизнес-лицензия - 1290 руб.)

Cryptic Disk - удобное решение для предотвращения несанкционированного доступа к данным путем размещения их на зашифрованных дисках либо в зашифрованных разделах обычных (то есть незашифрованных) дисков. Поддерживаются все виды накопителей: обычные и динамические жесткие диски, USB External HDD, Flash Drive, Flash Card и т.д.

Зашифрованные диски/разделы невидимы в системе, и для доступа к находящимся на них данным диски/разделы следует подключить, указав пароль (рис. 4). После этого они станут отображаться в системе в виде логических дисков, а с находящимися на них данными можно будет работать обычным образом. Закрывается доступ вручную либо автоматически по завершении пользовательской сессии. Если в процессе автоматического отключения зашифрованного диска обнаружится, что на нем имеются открытые файлы, то он отключен не будет, что предотвратит потерю несохраненных данных (только при условии включения в настройках программы соответствующего флажка). Предусмотрена функция автоматического подключения сразу всех зашифрованных дисков/разделов - это удобно, так как позволяет лишь единожды (а не многократно, что потребовалось бы при открытии каждого конкретного диска/раздела по очереди) указать пароль. Без знания пароля получить доступ к данным (даже установив диск на другой компьютер) невозможно. Если же пароль известен, то воспользоваться информацией с зашифрованного диска на другом компьютере не составит труда - достаточно установить на нем программу Cryptic Disk и подключить диск обычным образом. Пароль может быть сохранен в файле (как при создании зашифрованного диска/раздела, так и позже) - это позволит избежать ситуации, когда доступ к диску окажется невозможным из-за потери пароля.

Рис. 4. Работа с зашифрованными дисками
в Cryptic Disk

Шифрование производится в режиме реального времени по алгоритму AES с длиной ключа в 256 бит. Предусмотрен многопользовательский доступ (до 256 пользователей) с предоставлением пользователям разного уровня доступа (чтение, чтение/запись и доступ без ограничений).

Disk Password Protection 4.8.930

Разработчик: EXLADE, Inc.

Размер дистрибутива: 2,11 Мбайт

Работа под управлением: Windows 9x/NT/2000/XP/2003

Способ распространения: shareware (30-дневная демо-версия, не позволяющая изменить пароль demo, - http://www.exlade.ru/download/dppsetup.zip)

Цена: 49 долл. (для русскоязычных пользователей: домашняя лицензия - 690 руб., бизнес-лицензия - 890 руб.)

Disk Password Protection - инструмент для комплексной защиты данных от несанкционированного доступа через парольный доступ. Данное решение позволяет:

защитить загрузку операционных систем - в таком случае загрузка компьютера с защищенного диска (независимо от числа и типа операционных систем) начнется только после ввода правильного пароля;

защитить разделы жесткого или съемных дисков (Flash Drive, USB External Hard Disk и др.) - такие разделы невидимы на диске и недоступны для операций чтения/записи; для получения доступа к защищенному разделу необходимо снять с него защиту; после выполнения работы с разделом защита вновь устанавливается;

организовать низкоуровневую защиту дисков - защищенный подобным образом жесткий диск заблокирован на аппаратном уровне от всех операций чтения/записи; данный вид защиты поддерживается только жесткими дисками, соответствующими спецификации ATA-3 и выше.

Установка и снятие защиты загрузки и защиты разделов (рис. 5) осуществляются вручную из программы либо с помощью мастера. При попытке защиты раздела, в котором находятся используемые в данный момент системой или одним из приложений файлы, программа выдаст предупреждение, и можно будет отменить операцию (это позволит избежать потери несохраненных файлов). Установка/снятие низкоуровневой защиты дисков производится лишь из реального режима операционной системы MS-DOS. Поведение системы с защищенным на низком уровне диском зависит от материнской платы. Если она поддерживает защиту низкого уровня (то есть умеет определять, защищен диск или нет), то при загрузке система запросит пароль для защищенного диска. Если материнская плата не имеет поддержки низкоуровневой защиты, то система не распознает защищенный диск (и потому пароль не запросит) - в таком случае для работы с диском придется отключать защиту из главного окна Disk Password Protection. Включать низкоуровневую защиту диска после окончания работы не требуется, так как после выключения питания диск автоматически блокируется. Следует иметь в виду, что для активации/деактивации данного вида защиты может потребоваться полное отключение питания компьютера (понадобится данная операция или нет - зависит от оборудования).

Рис. 5. Защита раздела в Disk Password Protection

Пароли для доступа шифруются и хранятся в защищенных областях диска, поэтому защита будет работать даже при установке защищенного диска на другом компьютере. Без знания пароля (например, если вы его забыли) получить доступ к защищенным данным невозможно - во избежание потери данных в подобных ситуациях в программе предусмотрена возможность ввода подсказки к паролю (только для защиты загрузки и защиты разделов).

Rohos Диск 1.18

Разработчик: Teslain ltd

Размер дистрибутива: 1,29 Мбайт

Работа под управлением: Windows 2000/XP/2003/Vista

Способ распространения: http://www.rohos.ru/rohos.exe)

Цена: 35 долл. (для пользователей стран СНГ - 29 долл.)

«Rohos Диск» - удобная программа для организации защиты конфиденциальных данных, хранящихся на жестком диске или на USB-накопителях (рис. 6). С ее помощью можно создать один или более виртуальных зашифрованных дисков (они отображаются в системе в виде логических дисков), в которые копируются или перемещаются защищаемые данные. При перемещении исходные данные могут уничтожаться встроенным шредером. На виртуальные диски также можно устанавливать программы, доступ к которым другим пользователям должен быть закрыт. Возможно создание защищенного шифрованием и паролем раздела на USB-накопителе - получить доступ к секретной информации на таком носителе можно на любом компьютере (даже на том, где не установлена программа «Rohos Диск»).

Рис. 6. Защита данных с помощью «Rohos Диск»

Зашифрованные диски невидимы в системе, и для доступа к находящимся на них данным диски следует подключить, указав пароль, либо воспользоваться USB-ключом, в качестве которого может быть использован рабочий USB флэш-накопитель, применяемый для переноса информации. Окно для ввода пароля вызывается вручную либо автоматически сразу после загрузки системы. После подключения зашифрованного диска можно будет работать с находящимися на нем данными обычным образом, причем из программ пакета MS Office и проводника доступ к зашифрованному диску осуществляется одним кликом, поскольку «Rohos Disk» встраивается в окна загрузки/сохранения MS Office и контекстного меню проводника. Отключение диска осуществляется по горячей клавише, при отключении USB-ключа, а также по завершении работы в Windows и включении «спящего» режима. При наличии на диске в момент отключения несохраненных данных последние не будут потеряны, но только при условии установки дополнительной программы Rohos Logon Key (http://rohos.ru/welcome/), которая отсрочит отключение диска до окончания сохранения данных.

Шифрование данных производится в режиме реального времени по алгоритмам AES либо Blowfish. Зашифрованный диск представляет собой один большой файл, совпадающий по размеру с помещенной в него информацией, - это так называемый образ диска. При необходимости образ можно скрыть в большом медиафайле (AVI, MP3 и др.), который будет по-прежнему открываться и проигрываться. Кроме того, предусмотрена возможность защиты образа диска от случайного удаления, но только при условии установки Rohos Logon Key. Для предотвращения утери USB-ключа существует функция создания его дубликата, а для защиты USB-ключа от несанкционированного применения можно использовать PIN-код, благодаря которому ключ блокируется после трех неудачных попыток введения PIN-кода.

Программы для сокрытия и шифрования папок и файлов

Для большинства пользователей более удобны приложения для сокрытия/шифрования папок и файлов (чем вышерассмотренные решения), поскольку они не закрывают диски полностью (хотя в некоторых из них подобная возможность реализована). А значит, другие пользователи и не заметят, что на диске появилась пара скрытых от них папок, и не будут задаваться лишними вопросами и предпринимать какие-то шаги. Кроме того, данные решения более просты в освоении и применении и не требуют предварительного создания виртуальных дисков.

Подобных приложений на рынке очень много, и уровень реализованной в них защиты заметно различается. В одних решениях предусмотрено лишь банальное сокрытие папок, в других поддерживается не только скрытие, но и полноценное шифрование, причем реализованное на высоком уровне, что обеспечивает защиту данных даже при загрузке в другой операционной системе, установке диска на другом компьютере и т.д. В качестве примеров мы рассмотрим пакеты Folder Lock, Universal Shield и Hide Folders XP. Первый из них обеспечивает самый высокий уровень защиты шифруемых данных (табл. 2), а второй отличается поддержкой множества методов шифрования и возможностью назначения различных уровней доступа к данным. Пакет Hide Folders XP, конечно, заметно уступает названным решениям по своим возможностям (он умеет лишь скрывать и блокировать папки и файлы, а не шифровать их), но зато имеет русскоязычный интерфейс и предлагается русскоязычным пользователям по весьма привлекательной цене.

Folder Lock 5.8

Разработчик : NewSoftwares.net, Inc.

Размер дистрибутива: 2,22 Мбайт

Работа под управлением: Windows (все версии)

Способ распространения: shareware (20-дневная демо-версия - http://dl.filekicker.com/nc/file/130083-0M78/folder-lock.exe)

Цена: 35 долл.

Folder Lock - эффективное и надежное решение для защиты персональных файлов, папок и дисков (рис. 7) путем установки на них пароля, сокрытия и шифрования (алгоритм Blowfish с 256-битным ключом), причем данные могут находиться не только на жестком диске, но и на USB флэш-накопителях, картах памяти, дисках CD-RW, дискетах и ноутбуках. Программа поддерживает основные файловые системы (FAT16, FAT32, NTFS) и отличается высокой скоростью работы. Она может быть применена сразу к большому количеству файлов и папок - максимальный общий размер одновременно обрабатываемых файлов составляет 25 Мбайт, а их количество может достигать 250. Защищенные файлы не отображаются ни в проводнике, ни в приложениях, не могут быть удалены и полностью недоступны, так как получить доступ к ним нельзя, даже загрузившись в DOS, в безопасном режиме Windows, с другой ОС или установив диск на другом компьютере. На случай, если пользователи забыли использованный для защиты данных пароль, предусмотрена возможность получения доступа к данным по регистрационному ключу. При необходимости процесс блокирования данных может производиться автоматически - это удобно для тех пользователей, которые заканчивают работу на компьютере в одно и то же время.

Рис. 7. Работа с папками и файлами в пакете Folder Lock

В качестве дополнительного функционала Folder Lock позволяет гарантированно уничтожать файлы и папки с требуемым уровнем безопасности и удалять следы, остающиеся на компьютере после установки защиты данных. Кроме того, в целях большей безопасности программа ведет учет всех неудачно введенных для снятия защиты паролей, что позволяет пользователю вовремя понять, что его компьютер стал вызывать нездоровый интерес, например, у сослуживцев.

Universal Shield 4.1

Разработчик : Everstrike Software

Размер дистрибутива: 1,76 Мбайт

Работа под управлением: Windows 2000/XP/2003 Server

Способ распространения: http://www.everstrike.com/download.htm)

Цена: 34,95 долл.

Universal Shield - удобный инструмент для защиты персональных файлов, папок и дисков (включая сетевые) в файловых системах FAT16, FAT32 и NTFS путем их сокрытия и шифрования (поддерживается восемь алгоритмов шифрования, включая AES и Blowfish) - рис. 8. Количество одновременно скрываемых файлов неограниченно, причем для выделения групп скрываемых файлов можно использовать маски. Предусмотрена установка различных правил доступа (чтение, запись, видимость и удаление), что позволяет выбирать самые разные комбинации параметров, например можно сделать файлы доступными для чтения и записи и запретить их удаление. Подобный вариант доступа позволяет предотвратить удаление не только персональных данных, но и файлов приложений, что не менее актуально. Защищенные данные не будут доступны другим пользователям, включая администратора даже при загрузке Windows в безопасном режиме. Если на компьютере не предпринимались никакие действия в течение некоторого периода, то блокирование данных может происходить автоматически. Для большей безопасности можно использовать специальный режим Stealth Mode. В нем скрывается вся видимая пользователю информация об инсталляции Universal Shield - ярлык программы на рабочем столе и в меню «Пуск», а также соответствующая папка в Program Files. Доступ к программе в этом режиме возможен лишь при нажатии заранее оговоренной комбинации клавиш.

Рис. 8. Шифрование файлов вручную и с помощью мастера
в Universal Shield

Дополнительно Universal Shield позволяет ограничивать доступ к специальным папкам Windows («Мои документы», «Избранное», панели управления пр.), защищать рабочий стол от изменений, ограничивать доступ к панели управления и предотвращать изменение на компьютере даты и времени.

Hide Folders XP 2.9

Разработчик: FSPro Labs

Размер дистрибутива: 1,21 Мбайт

Работа под управлением: Windows 2000/XP/2003/Vista

Способ распространения: shareware (15-дневная демо-версия - http://www.fspro.net/downloads.html)

Цена: 29,95 долл. (в магазине Softkey.ru - 400 руб.)

Hide Folders XP - простая программа для защиты папок и файлов в файловых системах FAT, FAT32 и NTFS от несанкционированного доступа путем их сокрытия и/или блокирования (рис. 9). Число одновременно защищаемых файлов и папок неограниченно. Защищенные папки не будут доступны другим пользователям, в том числе администратору системы даже при загрузке Windows в безопасном режиме (правда, сокрытие в режиме SafeMode требуется предварительно настроить через параметры). При этом невозможно будет удалить не только защищенные папки и файлы, но и папки, их содержащие.

Рис. 9. Работа с защищенными файлами в среде Hide Folders XP

Помимо сокрытия/блокирования данных программа позволяет удалять следы, остающиеся на компьютере после включения защиты данных, и умеет скрывать себя - может не отображать свой ярлык в меню «Пуск», скрыть строку об инсталляции/деинсталляции в панели управления, а при работе в режиме Stealth mode будет отсутствовать еще и в списке запущенных процессов.

Программы для шифрования файлов

Программы для шифрования файлов использовать для защиты больших объемов данных неудобно, ведь указание множества файлов в разных папках потребует немало времени. Однако данные решения незаменимы при необходимости передать конфиденциальную информацию по почте или на каком-либо носителе (CD/DVD-диске, USB-накопителе, дискете и т.д.). При этом некоторые подобные программы позволяют получателю дешифровать данные без их инсталляции на его компьютере. Это удобно, поскольку отправитель может, например, послать зашифрованный документ по электронной почте (предварительно условившись с получателем о пароле) и не беспокоиться о том, есть ли у получателя соответствующее шифрующее/дешифрующее ПО, так как последний все равно сможет расшифровать документ, просто указав пароль.

В качестве примеров подобных решений мы рассмотрим программы Max File Encryption и Animabilis RS File Encryption. Первая более функциональна, так как позволяет не только шифровать документы, но и скрывать их средствами стенографии. Зато вторая обладает русскоязычным интерфейсом, что привлекательно для русскоязычных пользователей.

Max File Encryption 1.8

Разработчик: Softeza.com

Размер дистрибутива: 1,09 Мбайт

Работа под управлением: Windows 95/98/Me/NT/2000/XP/2003

Способ распространения: shareware (15-дневная демо-версия - http://www.softeza.com/download/mfesetup.exe)

Цена: 29,95 долл. (для жителей Российской Федерации и стран СНГ - 300 руб.)

Max File Encryption - удобная программа для шифрования файлов любого типа (включая документы Word, Excel и PowerPoint) с применением алгоритма Blowfish (рис. 10). Она может использоваться для шифрования сразу нескольких файлов и позволяет шифровать даже очень большие файлы (до 4 Гбайт). Зашифрованные файлы сохраняются в собственном формате программы либо в формате EXE - последний вариант позволяет дешифровать файлы при отсутствии на компьютере Max File Encryption. Кроме того, шифруемые файлы могут быть скрыты в обычных файлах (так называемых носителях) - графических, аудио- и видеофайлах и даже в приложениях и Dll-файлах, при этом файлы-носители зашифрованной информации остаются полностью работоспособными.

Рис. 10. Шифрование/дешифрование файлов
в Max File Encryption

Animabilis RS File Encryption 1.3

Разработчик: AES Software

Размер дистрибутива: 1,1 Мбайт

Работа под управлением: Windows 98/2000/NT/Me/XP

Способ распространения: shareware (30-дневная демо-версия - http://www.rsfileencryption.com/rus/file/RSFileEncryption_rus.exe)

Цена: 300 руб.

Animabilis RS File Encryption - простой инструмент для шифрования файлов любого типа, включая документы Word, Excel и PowerPoint с применением алгоритма Blowfish (рис. 11). Зашифрованные файлы записываются в собственном формате программы либо преобразуются в самораспаковывающийся формат EXE, что позволяет дешифровать файлы при отсутствии на компьютере Animabilis RS File Encryption. После шифрования программа может осуществить гарантированное удаление исходных файлов путем записи в соответствующую область диска случайного набора символов заданное число раз.

Рис. 11. Шифрование/дешифрование файлов в Animabilis
RS File Encryption

Что вам угрожает, если важная информация из вашего компьютера попадет в чужие руки? Может ли обиженный вами лично или же просто не удовлетворенный своим служебным положением сотрудник воспользоваться доступом к корпоративным данным, переписать их и предоставить конкуренту? Или - если эти данные окажутся в похищенном у вас ноутбуке и затем попадут к тому же коварному конкуренту - сможет ли он нанести вред вашему делу? Ответ очевиден. Если вы хотите уберечь конфиденциальную информацию от посторонних, стоит подумать о приобретении одной из программ шифрования данных для настольных систем, о которых пойдет речь в предлагаемом обзоре. С этими пакетами легко работать, но что еще важнее, они помогут защитить важную для вас информацию.

Если бы в нашу эпоху быстро изменяющихся информационных технологий потребовалось выбрать некое утверждение, которое оставалось бы справедливым вне зависимости от смены версий программного обеспечения, возрастания тактовой частоты, объемов компьютерной памяти и т. д., то, вероятно, пришлось бы ограничиться формулировкой "Информация - сила". Но что же вы все-таки делаете для того, чтобы эта сила не оказалась на стороне ваших соперников? Для большинства пользователей компьютеров ответ на этот вопрос звучит так: "Да почти ничего".

Криптография, наука о шифровании сообщений с целью сокрытия их содержания от посторонних, непосвященным кажется чем-то вроде черной магии. Поскольку техника шифрования чрезвычайно сложна, многим организациям бывает очень трудно сделать осознанный выбор при покупке шифровальных программ.

Дело осложняется еще и тем, что абсолютно защищенных компьютеров или абсолютно надежных систем шифрования не бывает. Но не следует отчаиваться: все же есть достаточно простые способы, с помощью которых можно отразить почти все попытки раскрыть зашифрованную информацию. Для того чтобы войти в курс дела на реальных примерах, предлагаем вам ознакомиться с четырьмя программами шифрования.

Как работают шифровальные программы

Программы шифрования отличаются друг от друга тем, как они шифруют, и тем, что они шифруют. Но в принципе все они делают одно: шифруют файлы на вашем компьютере. Если кто-то посторонний получит доступ к вашей машине, он не сумеет прочесть и интерпретировать зашифрованные файлы. Зашифрованный файл можно послать по электронной почте или поместить в сеть, откуда его извлекут те, кому он предназначен. Тот, кто получит такой файл, должен иметь такую же, как у вас, шифровальную программу, чтобы расшифровать содержимое файла. Шифруется файл либо для каждого получателя по его собственному ключу, либо, как в случае работы с пакетом RSA Secure, по выбранному заранее общему ключу для всех пользователей (включая автора сообщения).

Основу всех рассмотренных нами шифровальных программ составляет криптографическая система с секретным ключом. Проще говоря, эта система использует секретный код, чтобы превратить вашу информацию в бессмысленный набор символов. Если использован хороший алгоритм шифрования, то практически единственным возможным способом восстановить исходные данные будет использование того секретного ключа, который применялся при их шифровании. Поскольку для шифрования и расшифровки информации используется один и тот же ключ, такие алгоритмы часто называют системами с симметричным ключом.

Основой технологии закрытия информации является алгоритм шифрования, который должен сделать невозможным раскрытие данных без знания секретного ключа. Даже плохой алгоритм шифрования способен защитить данные от обычного пользователя, однако у профессиональных криптографов есть целый ряд способов извлечения закодированной информации.

Как же узнать, насколько надежен алгоритм шифрования? Если вы не профессиональный криптограф, то вряд ли сможете самостоятельно ответить на этот вопрос. Поэтому большинство из нас должно полагаться на мнение профессионалов. Некоторые из алгоритмов шифрования, такие как Triple DES (Data Encryption Standard - стандарт шифрования данных), были подвергнуты многолетней проверке, и большинство криптографов сходятся в мнении, что они надежны. Более новые алгоритмы, например международный алгоритм шифрования данных IDEA, также изучались достаточно пристально и сейчас считаются в целом надежными.

Некоторые криптографы предпочитают не публиковать свои методы шифрования. Однако, если другие специалисты не могут изучить алгоритм, нет оснований ему полностью доверять. Поэтому не следует доверять программам, не подвергавшимся открытому рассмотрению и обсуждению. К сожалению, к этой категории принадлежит алгоритм Skipjack ("Попрыгунчик"), принятый федеральными организациями США и используемый в микросхемах Capstone и Clipper. Но если уж вы пользуетесь этими устройствами, то у вас нет выбора. Аналогичная ситуация сложилась и с алгоритмом шифрования RC4, на котором базируется программа RSA Secure, выпущенная компанией RSA Data Security. Этот алгоритм был опубликован в закрытой печати. Надежен ли он? Возможно. Ведь компания RSA Data Security пользуется большим авторитетом благодаря своему опыту работы в области шифрования информации, а закрытый анализ алгоритма не выявил (по крайней мере, по утверждению представителей RSA) никаких серьезных недостатков. RC4 используется также в популярных пакетах Notes (Lotus Development), Internet Explorer (Microsoft) и Navigator (Netscape Communications).

Если вам нужно всего лишь защитить свои собственные данные, программа шифрования просто построит секретный ключ по вашему паролю. Надо только задать длинный пароль, который никто не сможет угадать. Однако, если требуется, чтобы файл смог прочесть кто-то другой, вам понадобится тем или иным способом передать этому человеку секретный ключ (или пароль, на основе которого он создан).

Для решения этой проблемы в большинстве программ используется шифрование с открытым ключом (public key). Системы шифрования с открытым ключом (например, система RSA, которая является фактическим стандартом в этой области) генерируют два цифровых ключа для каждого пользователя: один служит для шифрования данных, другой - для их расшифровки. Первый ключ (называемый открытым) можно опубликовать, а второй оставить в секрете. После этого зашифровать информацию сумеет любой (воспользовавшись открытым ключом), а расшифровать - только тот, кто имеет соответствующий секретный ключ.

Рассмотрим подробно соответствующий процесс закрытия и пересылки файла ("сеанс"). В начале "сеанса" отправитель файла-сообщения вырабатывает некий секретный ключ - обычно случайное число. Поскольку это случайное число используется лишь один раз, оно часто называется сеансовым (одноразовым) ключом. Затем выработанный сеансовый ключ передается системе шифрования типа Triple DES или IDEA, которая с его помощью зашифровывает файл, подлежащий пересылке. Чтобы впоследствии получатель мог расшифровать этот файл, нужно переслать ему секретный сеансовый ключ, поэтому программа ищет открытый ключ получателя файла и использует его для шифрования сеансового ключа. Затем программа присоединяет зашифрованный одноразовый ключ к отдельно зашифрованному на предыдущем шаге файлу и отсылает их получателю. Чтобы расшифровать файл, программа получателя повторяет те же процедуры в обратном порядке.

С помощью секретного ключа получателя (который соответствует открытому ключу, примененному при шифровании) она восстанавливает сеансовый (одноразовый) ключ, а затем по расшифрованному ключу расшифровывает и сам пересылаемый файл с данными.

Некоторые программы шифрования содержат еще одно важное средство защиты - так называемую цифровую подпись. Последняя удостоверяет, что файл не претерпел изменений с тех пор, как был подписан, и дает получателю информацию о том, кто именно подписал файл. Наиболее распространены два алгоритма создания цифровой подписи: первый принадлежит компании RSA, второй - стандарт DSS (Digital Signature Standard - стандарт цифровой подписи), поддерживаемый Национальным институтом стандартов и технологий США (NIST). В обоих вариантах схема вычисления подписи предусматривает получение усложненного эквивалента контрольной суммы - так называемой хэш-суммы, или дайджеста сообщения. Для этого используется одна из двух стандартных методик - MD5 или SHA (Secure Hash Algorithm).

Алгоритмы MD5 и SHA устроены так, что практически невозможно подобрать два разных файла, хэш-суммы которых совпали бы. В деталях методики несколько различаются: RSA просто зашифровывает хэш-сумму по секретному ключу отправителя, а DSS специальным образом вычисляет цифровую подпись по секретному ключу и хэш-сумме.

Когда адресат получает файл с цифровой подписью, его программа шифрования заново вычисляет хэш-сумму для этого файла. Затем получатель с помощью открытого ключа, опубликованного отправителем, либо (если применялась методика RSA) расшифровывает исходное значение хэш-суммы, либо (в случае применения DSS) восстанавливает цифровую подпись. Если результат соответствует значению, вычисленному для файла, получатель может быть уверен, что текст сообщения не был изменен (если бы это произошло, хэш-сумма оказалась бы иной), а подпись принадлежит человеку, имеющему доступ к секретному ключу отправителя.

Выбор стратегии шифрования

Для защиты важной или конфиденциальной информации нужна не только хорошая программа шифрования. Следует позаботиться и о разработке стратегии безопасности, которая поможет застраховаться от всех потенциальных опасностей. Если вы установите ненадежный пароль или оставите в компьютере незашифрованные копии информации, которую хотите защитить, то никакая программа шифрования не спасет ваши данные. К сожалению, ни один из испытанных нами программных пакетов не уделяет должного внимания вопросам безопасной работы в целом.

После того как вы разработали свою стратегию безопасности, познакомьтесь поближе с программой Your Eyes Only ("Только для ваших глаз"), которую разработала корпорация Symantec. Благодаря тесной интеграции программы с интерфейсом Проводника Windows 95 с ней исключительно просто работать. Your Eyes Only также обеспечивает почти прозрачное зашифровывание и расшифровывание каталогов. Пользователям Windows 95 мы могли бы посоветовать в первую очередь именно эту программу, но у нее все же есть два недостатка, о которых следует упомянуть: во-первых, отсутствует возможность ставить цифровую подпись под документом, во-вторых, требуется вводить пароль при каждой перезагрузке системы и для отключения хранителя экрана, но не предусмотрено способа принудить пользователей вводить пароль при расшифровке файлов.

Те, кто собирается покупать шифровальную программу для государственных предприятий, могут заинтересоваться и программой SecretAgent компании AT&T. Она предлагает самый широкий выбор алгоритмов шифрования с секретными и открытыми ключами (включая Triple DES и RSA), а также поддерживает оба основных стандарта цифровой подписи. Ее интерфейс для Windows 3.х достаточно прост и включает такие удобные функции, как автоматическая рассылка документов по электронной почте.

Стоит обратить внимание и на программу ViaCrypt PGP Business Edition компании Pretty Good Privacy. Это коммерческая версия популярной программы, распространявшейся ранее бесплатно и выпущенной той же компанией. Новая версия сохранила все качества, принесшие добрую славу компании PGP, включая довольно сложный алгоритм генерирования открытого ключа и возможность ставить цифровую подпись под незашифрованным документом. К сожалению, интерфейс программы не слишком удобен и в нем недостаточно автоматизированы рутинные операции.

Компания RSA считается одним из лидеров в области создания средств защиты для персонального компьютера, но ее программа RSA Secure, тоже участвовавшая в наших испытаниях, обладала лишь немногими из тех качеств, которые мы надеялись в ней найти. В программе не оказалось шифрования с открытым ключом (кроме ключа для аварийных ситуаций), что затрудняет обмен зашифрованными файлами с другим пользователем. Кроме того, RSA Secure полностью основана на алгоритме RC4. Хотя большинство экспертов считают этот алгоритм вполне пригодным, RSA опубликовала его только в закрытой печати, и трудно прийти к окончательному мнению относительно его надежности. В то же время RSA Secure оказалась единственной программой, позволяющей предоставить доступ к аварийному ключу одновременно нескольким доверенным лицам.

Грегори С. Смит - независимый журналист и консультант по организации работы сетей из г. Сан-Франциско.

Участники испытаний

SecretAgent (AT&T) . Имеется в каталоге GSA. Общая оценка: 7,74.

ViaCrypt PGP Business Edition (Pretty Good Privacy). Имеется в открытой продаже. Общая оценка: 7,06.

RSA Secure (RSA Data Security). Имеется в открытой продаже. Общая оценка: 6,09.

Norton Your Eyes Only (Symantec). Имеется в каталоге GSA. Общая оценка: 7,81.

От редакции

Предлагаемый вниманию читателей сокращенный перевод статьи Грегори С. Смита "Encryption Software" содержит сравнительный обзор возможностей четырех коммерческих программ, предлагаемых западным пользователям для закрытия содержания текстовых файлов от посторонних путем криптографических преобразований. Возможности оцениваются с точки зрения как прикладных пользователей, так и администраторов сети, отвечающих за ее безопасность. Стоит обратить внимание на сугубо утилитарный подход к оценке обсуждаемых продуктов: хотя сами они вряд ли когда-нибудь станут предметом практического выбора для отечественных пользователей, набор критериев, принимаемых в расчет при обсуждении, вполне может оказаться жизнеспособным и в наших условиях.

Обзор Г. Смита интересен не только фактическим материалом, но и методически: в нем предпринимается небезуспешная попытка без формул, простыми словами, общедоступно рассказать о весьма непростых понятиях.

В российской компьютерной прессе, с той поры как это стало возможным, было достаточно много публикаций о шифровании: от исторических обзоров до алгоритмических рассмотрений криптографических протоколов. Появились уже и книги об этой науке на русском языке. Об одной из них (С. Дориченко, В. Ященко. "25 этюдов о шифрах". М.: ТОО ТЕИС, 1994), а также о русскоязычной литературе на эту тему, выходившей до 1994 г., наш журнал уже писал в разделе "Книжная полка" ("Мир ПК", # 4/95, c. 112, "Чтобы не поняли").

В 1996 г. в издательстве "Мир" переведена с финского и издана книга А. Саломаа "Критография с открытым ключом" (М.: Мир, 1996, 318 с.). В 1995-1996 гг. факультет "Информационной безопасности" МИФИ выпустил несколько брошюр в качестве учебных пособий. Переведена и готовится к изданию книга Дж.Брассара "Современная криптология", о которой "Мир ПК" упоминал в N 1 за этот год (с. 132, "Компьютерная тайнопись"). Ее первую часть вы можете найти на WWW-сервере "Мира ПК" (60.htm ). Нельзя не вспомнить также превосходно написанную книгу В. Жельникова "Криптография от папируса до компьютера" (М.: ABF, 1996, 336 c.).

Методика тестирования

Мы устанавливали каждую программу в нашу сеть на базе Windows NT с клиентами Windows 95 и Windows 3.11, работающими на машинах класса Pentium. Все проверявшиеся программы работали хорошо; единственное серьезное замедление происходило при генерировании ключей в процессе установки пакетов.

Рутинные операции производились достаточно быстро даже при длине ключей 1024 бит.

Учитывая, что все рассмотренные продукты поддерживают по крайней мере один авторитетный шифровальный алгоритм, мы исследовали в первую очередь простоту использования программ и богатство их возможностей. Мы также обращали внимание на недостатки в реализации таких стандартных функций, как шифрование и расшифровка файлов, управление ключами и цифровые подписи. Функции управления оценивались с позиции администратора, в обязанности которого входит надзор за соблюдением правил защиты информации в организации. Оценивались такие характеристики, как поддержка баз данных открытых ключей, управление правилами выдачи сертификатов, возможность отключения тех административных функций в программах-клиентах, которые могут войти в противоречие с правилами работы предприятия, и различные методы обеспечения надежности паролей. Мы также учитывали условия хранения аварийных ключей и возможность доступа к ним. Специально отмечалась возможность разделения аварийного ключа на части с раздачей их нескольким доверенным лицам.

Тестирование программ проводилось на двух задачах. Первая заключалась в шифровании файла для персональной работы. В этом случае открытые ключи имеют мало преимуществ перед секретными; несколько дополнительных очков добавлялось за наличие функции автоматического шифрования файла по окончании работы с ним или при выходе из программы. Второй задачей было обеспечение совместной работы с шифрованными файлами в сети или обмен такими файлами по электронной почте. При этом высоко ценились такие характеристики, как поддержка открытых ключей, эффективное шифрование одноразовых ключей для нескольких получателей, тесная интеграция с системами электронной почты и работа с цифровыми подписями.

AT&T SecretAgent 3.14

Программа SecretAgent предлагает пользователю на выбор несколько стандартов создания секретных ключей шифрования, цифровых подписей, сжатия и преобразования форматов файлов. На случай, если выбор стандарта окажется для пользователя чересчур сложным делом, разработчики снабдили свою программу богатой справочной информацией, которая поможет ему во всем разобраться.

Управление ключами полностью основывается на шифровании с открытым ключом. Пользователю предлагаются на выбор ключи типа RSA или DSA (Digital Signature Algorithm - алгоритм цифровой подписи) длиной 512 или 1024 бит, и он может также совместно с другими пользователями работать в сети с базами открытых ключей. Кроме того, программа предусматривает несколько алгоритмов шифрования: DES, Triple DES и ЕА2 - собственную разработку AT&T. Поддерживаются такие аппаратные средства шифрования, как карты Smartcard компании Datakey и Fortezza. (Конечно, информация в тех узлах, на которых используется карта Fortezza, шифруется алгоритмом Skipjack, а не теми, которые поддерживает SecretAgent.)

Если вы используете электронную почту в Internet или по какой-либо иной причине нуждаетесь в ASCII-кодировке, SecretAgent может автоматически переводить данные в формат base64 или в шестнадцатеричное представление. Кроме шифрования файлов, SecretAgent позволяет ставить цифровые подписи в стандарте DSS, но только на предварительно зашифрованные файлы.

Имеется также версия программы, в которой пользователи могут создавать свои собственные ключи, и версия, поддерживающая ключ аварийного доступа.

Программы шифрования данных

Цена
Цена продукта зависит от числа и типа приобретаемых лицензий (имеются индивидуальные, многопользовательские и корпоративные лицензии). В каталоге GSA (General Services Administration), по которому производятся официальные закупки для государственных организаций США, присутствуют только пакеты фирм Symantec и AT&T. В GSA цены на лицензию для одного пользователя находятся в диапазоне от 43 до 144 долл., а на групповые лицензии различных типов - в диапазоне от 79 до 586 долл.

Спрос
Самым высоким спросом в государственных организациях пользуются шифровальные программы, построенные на алгоритмах с открытым и секретным ключами, а также пакеты, поддерживающие цифровые подписи.

Как сэкономить
Возможна экономия (до 40-50%) при покупке большого числа лицензий, т. е. начиная от 500 копий программы.

Что следует учитывать
Выбирайте пакет, который позволит организовать гибкую систему защиты информации, включая "прозрачное" шифрование и поддержку удаленных пользователей и пользователей с портативными компьютерами. Подумайте, не нужен ли вам пакет, способный поддерживать сеть смешанной архитектуры.

Какой должна быть длина ключей?

Покупатели шифровальных программ часто задают вопрос: какова должна быть длина ключа, чтобы обеспечить хорошую защиту данных? Длина цифрового ключа действительно важна, поскольку она определяет общее число всех возможных ключей. И чем это число больше, тем больше времени потребуется "взломщику", чтобы перебрать все возможные комбинации и найти среди них одну правильную. Для защиты от угрозы разгадывания ключа есть смысл выбирать ключ большей длины.

Стандарт DES (Data Encryption Standard - стандарт шифрования данных), который в настоящее время пока еще является государственным стандартом в США, базируется на ключе длиной 56 бит. Возможно, эта длина уже недостаточна в сегодняшних условиях, но стандарт Triple DES, который использует алгоритм DES трижды с двумя разными паролями, базируется на ключе длиной 112 бит и в целом считается надежным. В некоторых алгоритмах с секретным ключом (например, IDEA, RC4 и RC5), применяемых в современных шифрующих программах, используются ключи длиной 128 бит.

При шифровании с открытым ключом используется гораздо большая длина ключа. Из этого не следует, что метод шифрования более надежен, просто он работает несколько иначе. В настоящее время компания RSA Data Security рекомендует для своей системы шифрования с открытым ключом длину ключа 768 бит. Ключи в таких системах длиннее, поскольку и характер вероятных попыток взломать защиту здесь несколько иной. К сожалению, более длинные ключи замедляют процесс шифрования и расшифровки данных. Тем не менее современные персональные компьютеры, имеющие процессоры 486 и Pentium, работают с 1024-битовыми достаточно быстро.

Правительство США запрещает экспорт хороших криптографических продуктов. Например, ни одна из программ, представленных в этом обзоре, не может быть экспортирована за пределы США и Канады. У некоторых поставщиков имеются версии, которые удовлетворяют старым экспортным ограничениям на длину ключа (40 бит для симметричных ключей). Недавно правительство США ослабило эти ограничения, но программы, о которых идет речь в обзоре, все равно попадают в категорию запрещенных к экспорту. Еще одно недавнее изменение экспортных правил разрешает гражданам США, временно находящимся за рубежом, использовать запрещенные к экспорту шифровальные программы для личных нужд. Тем не менее остается еще много всяких ограничений, и для вывоза таких программ требуется разрешение Государственного департамента.

Norton Your Eyes Only

Пакет Norton Your Eyes Only корпорации Symantec - единственный из рассматриваемых продуктов, предназначенный для работы в среде Windows 95. За исключением задач администрирования и подключения к серверу пакет полностью основывается на расширениях к Проводнику Windows 95, так что пользоваться им в этой среде очень удобно.

В Your Eyes Only можно выбрать один из нескольких алгоритмов шифрования с симметричным ключом: RC4, RC5, Triple DES или Blowfish. Секретный ключ зашифровывается на основе открытого. Однако постановка цифровой подписи не обеспечивается.

Тем не менее Your Eyes Only способен защитить данные на компьютере лучше других рассмотренных нами пакетов. Автоматизация шифрования и расшифровки файлов облегчает задачу их защиты. При загрузке компьютера, защищенного этой программой, пользователь должен ввести свое имя и пароль. Кроме главного пользователя разрешается определять так называемых вторичных, которые также могут работать с системой, но не имеют доступа к большинству функций управления Your Eyes Only.

Мы испытывали пакет в версии Administrator, включающей множество важных функций управления безопасностью в организации. Программа-администратор генерирует ключи, поддерживает базы данных пользователей и сертификатов, может автоматически устанавливать программу, а также пакеты обновления на пользовательские компьютеры в сети.

О классификации мер защиты информации и отношении к ним

"Послушайте, ... нельзя ли вам, для общей нашей пользы, всякое письмо, которое прибывает к вам в почтовую контору, входящее и исходящее, знаете, этак немножко распечатать и прочитать: не содержится ли в нем какого-нибудь донесения или просто переписки..."

С такими вот словами обращается облеченный немалыми полномочиями чиновник к должностному лицу, имеющему самое непосредственное служебное отношение к организации прохождения как казенных, так и личных писем в масштабах небольшого города.

Российская действительность может предложить не слишком много примеров строгого отношения к конфиденциальности чужих документов и писем, если это не связано с государственными тайнами. Зато противоположные примеры стали хрестоматийными. В приведенном классическом отрывке затронуты "общие интересы" и "просьба" исходит от высшего в городской иерархии начальства, так что ее нельзя не уважить. Да ведь и просьбы никакой не нужно: "Этому не учите, это я делаю не то, чтобы из предосторожности, а больше из любопытства: смерть люблю узнать, что есть нового на свете... Иное письмо с наслаждением прочтешь!.." - отвечает должностное лицо.

Этот диалог из самой, пожалуй, известной отечественной пьесы не вызывает удивления. Более того, исправив кое-какие обороты, его смело можно отнести и к нашему настоящему, и даже к ближайшему будущему. И не только применительно к бумажной корреспонденции. Так что защита документов - вопрос вовсе не праздный.

Каковы же возможные меры защиты для конфиденциальных электронных данных? Их принято подразделять на четыре уровня. На первом уровне на пути лица, пытающегося получить доступ к чужой информации, стоят этические и юридические нормы и правила передачи и обработки информации. Законы на эту тему у нас в стране хотя и разрабатываются, но копирование чужих данных юридически пока еще ненаказуемо. Ведь данные при переписывании не исчезают! Вот если похищена магнитная лента или дискета - другое дело. Впрочем, может преследоваться по закону использование информации, составляющей предмет авторского права или представляющей секретные данные.

Второй барьер, предназначенный для блокирования неправомерных попыток доступа, - административный. И пока в вашей организации не введены действенные меры по контролю доступа к ресурсам ЭВМ, все прочие меры будут неэффективны.

На третьем уровне защиты - аппаратно-программные методы идентификации и аутентификации пользователей. Но и они надежны лишь до тех пор, пока персонал, вынужденный подвергаться всевозможным проверкам при входе в систему и т. п., относится к ним с пониманием. Когда это надоедает или превращается в фактор, ограничивающий основную деятельность, люди начинают записывать пароли прямо на стене...

Четвертый и последний уровень защиты - криптографические методы.

Михаил Ветчинин, Андрей Карасев, Николай Гоголь

RSA Secure 1.1.1

Пользователям Windows 3.х пакет RSA Secure обеспечивает простое шифрование файлов. В Windows 95 приходится запускать RSA Secure из Диспетчера файлов - из Проводника, который предпочитают большинство пользователей, это сделать невозможно.

Программа основана на алгоритме шифрования RC4, разработанном компанией RSA и базирующемся на 128-битовом ключе. Длину ключа изменить нельзя, не поддаются настройке и многие другие параметры программы.

Очевидно, что RSA предназначала свою программу для защиты файлов на жестком диске отдельно взятого пользователя и не очень заботилась об организации обмена файлами в компании. Восхищаясь той свободой, которую пакет дает пользователям-одиночкам, мы все же полагаем, что в крупной организации с ним сложно иметь дело. Бросается в глаза отсутствие какой бы то ни было поддержки шифрования с открытым ключом за исключением аварийного, который позволяет определенному числу доверенных лиц расшифровать файл.

ViaCrypt PGP Business Edition 4.0C

Компания ViaCrypt (теперь она называется Pretty Good Privacy) приобрела у Фила Циммермана лицензию на использование его алгоритма Pretty Good Privacy и встроила этот алгоритм в программу для Windows, снабдив его, таким образом, более дружественным по отношению к пользователю интерфейсом, чем исходная командная строка.

В программе используется шифрование с секретным ключом по алгоритму IDEA, а секретные ключи зашифровываются с помощью системы RSA с открытым ключом. Можно выбрать любую длину ключа в диапазоне от 384 до 2048 бит.

Хотя ViaCrypt и не предлагает программу администрирования как таковую, пакет ViaCrypt PGP Business Edition содержит довольно много средств администрирования, среди которых можно упомянуть ключ аварийного доступа, ряд механизмов сертификации ключей и возможность отключить почти любую функцию в пользовательском приложении.

Программа поддерживает ключ аварийного доступа к файлам и заставляет пользователей применять открытые ключи, созданные администратором системы. Эти довольно простые в использовании функции очень украшают программу, но мы были сильно разочарованы, обнаружив, что доступ к аварийным ключам нельзя предоставить одновременно нескольким доверенным лицам.

Можно создавать ключи для шифрования, для цифровых подписей или для того и другого вместе. Программа позволяет легко аннулировать и восстанавливать ключи, а также указывать срок их действия.

Программа ViaCrypt PGP снабжена гибким средством, позволяющим распознавать владельцев ключей, имеющих уровень полного или частичного доверия. Можно задать минимальное число таких владельцев, необходимое для принятия подписанного сертификата ключа, и установить аналогичные уровни доверия для ключей. Каким-то организациям система с распределением ключей между лицами, обладающими частичным уровнем доверия, возможно, не подойдет, других же вполне устроит.

Сравнение возможностей шифровальных программ

Продукт	Вес	SecretAgent 3.14	ViaCrypt PGP Business Edition 4.0C	RSA Secure 1.1.1	Norton Your Eyes Only
Производитель		AT&T Government Markets Security Software www.att.com	Pretty Good Privacy Inc. www.pgp.com	RSA Data Security Inc. www.rsa.com	Symantec Corp. www.symantec.com
Установка	75	**1/2 47,00 Простая процедура установки, но нет напоминания о необходимости создания резервной копии ключа	**1/2 47,00 Простая процедура установки, но отсутствует возможность создать резервную копию секретного ключа	**1/2 47,00 Двухступенчатый процесс хорошо автоматизирован, но требуется подготавливать большое число дискет, что увеличивает трудоемкость установки программы	**1/2 47,00 Версия Administrator включает подпрограмму установки пакета по сети. Обилие функций управления затрудняет установку, но расширяет возможности контроля над пользователями
Администрирование	125	**1/2 78,00 Не обеспечивает централизованного управления параметрами работы пользователей, но предлагает множество вариантов шифрования и простой пользовательский интерфейс	*** 94,00 Поддерживает простой аварийный ключ и сложный механизм сертификации ключа	** 63,00 Поддерживает только одну функцию управления - аварийный ключ, который может быть роздан по частям нескольким доверенным лицам	**** 125,00 Обеспечивает администратору почти полный контроль над клиентами, но аварийный ключ не может быть разделен на части и роздан нескольким доверенным лицам
Защита информации	225	**1/2 141,00 Процесс шифрования прост благодаря удобному интерфейсу и наличию макрокоманд для популярных программ. Недостает автоматического шифрования файлов	**1/2 141,00 Удобный интерфейс поддерживает цифровые подписи с шифрованными и нешифрованными файлами. Нет автоматического шифрования	*** 169,00 Удобные расширения для Диспетчера файлов. хорошо работают как с Windows 95, так и с Windows 3.х	**** 225,00 Почти прозрачен при работе, автоматически шифрует каталоги. За исключением функций управления программа полагается на интерфейс Проводника Windows 95
Совместное использование данных	225	**** 225,00 Хорошая система шифрования с открытым ключом; автоматическая отправка зашифрованных файлов по электронной почте	*** 169,00 Удобное шифрование с открытым ключом; поддерживает популярный формат электронной почты. Нет автоматической отправки документов по электроннойпочте, но имеется возможность помещать ASCII-файлы в буфер обмена	** 113,00 Не поддерживается шифрование с открытым ключом. Можно только дать нескольким пользователям общий секретный ключ	**1/2 141,00 Прост в использовании, но работа менее автоматизирована,чем в других пакетах. Нет поддержки цифровых подписей
Документация	100	*** 75,00 В руководстве чрезвычайно подробно описывается правильная последовательность действий для большинства операций	*** 75,00 Руководство хорошо составлено; недостает рекомендаций по разработке стр тегии шифрования	**1/2 63,00 Исчерпывающая инструкция; хорошо написана. Не достает описания алгоритмов шифрования и рекомендаций по разработке стратегии защиты информации	*** 75,00 Инструкция написана очень хорошо, но мало внимания уделено разработке стратегии защиты информации.
Сопровождение	50	**1/2 31,00	**1/2 31,00	**1/2 31,00	**1/2 31,00
Техническая поддержка	50	*** 38,00 Чрезвычайно грамотные консультанты; малое время ожидания	*** 38,00 Грамотные консультанты; дозвониться легко	**1/2 31,00 В период тестирования RSA переводила службу технического сопровождения в головную компанию. В это время дозвониться было трудно, но консультации предоставлялись на очень хорошем уровне	** 25,00 Консультанты хорошо знакомы с продуктом, но время ожидания достигало десяти минут.
Цена	150	*** 113,00	*** 113,00	**1/2 94,00	*** 113,00
Стоимость на одного пользователя, долл.		144	149	129	43 (без инструментария администратора)
Оптовая цена, долл.		440 (5 пользователей)	390 (5 пользователей)	495 (5 пользователей)	586 (10 пользователей)
Итоговая оценка		7,47 Программа SecretAgent ориентирована на использование в государственном предприятии и поддерживает практически все государственные нормативы безопасности. Пакет создан в первую очередь для обмена данными с другими пользователями, но можно защищать и локальные файлы	7,06 Пакет ViaCrypt PGP предлагает одну из лучших на сегодня систем шифрования с открытым ключом, но настройка и управление реализованы довольно неудобно. Однако это надежное средство защиты данных, и с ним стоит познакомиться получше	6,09 Главные достоинства RSA Secure - исключительная простота в работе и автоматическое шифрование файлов. Однако пакет не поддерживает шифрования с открытым ключом, так что для обмена файлами пользователи должны передавать друг другу секретные пароли	7,81 Корпорация Symantec создала великолепный (и недорогой) продукт для организаций, предпочитающих простую в работе программу. В нем, однако, отсутствуют некоторые средства обеспечения безопасности информации(например,цифровые подписи).

Примечание Продукты, представленные в таблице, оцениваются по каждому параметру от "отлично" до "неприемлемо". Количественные оценки получаются умножением веса каждого параметра на его оценку, где
**** = "отлично" = 1,0 (выдающийся во всех отношениях)
*** = "очень хорошо" = 0,8 (удовлетворяет основным критериям и обладает существенными достоинствами)
**1/2 = "удовлетворительно" = 0,4 (удовлетворяет основным критериям)
* = "плохо" = 0,2 (не удовлетворяет некоторым важным требованиям)
- = "неприемлемо" (не удовлетворяет минимальным требованиям или не имеет какой-либо из основных функций)
Общая оценка (максимум 10,0 баллов) получается путем суммирования количественных оценок, деления суммы на 100 и округления до двух знаков после запятой. Продукты, общие оценки которых различаются менее чем на 0,2 балла, незначительно отличаются по своим возможностям.