Шифрование данных - это метод сокрытия исходного смысла документа или сообщения, которое обеспечивает искажение его первоначального вида. Простыми словами, это Такой метод еще называют кодированием, так как с помощью специальных программ или вручную ваш текст переводят в непонятный для постороннего человека код. Сама процедура зависит от последовательности изменения Такую последовательность принято называть алгоритмом.

Шифрование данных относят к криптографии. Эта наука тщательно изучается мировыми разведывательными организациями, и с каждым днем разгадываются и создаются новые криптографические алгоритмы.

Методы шифрования были известны еще в древности, когда римские военачальники передавали с гонцами важные письма в зашифрованном виде. Алгоритмы тогда были примитивными, но успешно запутывали врагов.

В отличие от тех времен мы не являемся военачальниками, но врагов имеем. Ими являются мошенники, которые жаждут заполучить важные для нас данные. Вот их-то и следует защитить любым способом.

Флешка сегодня стала самым популярным хранилищем информации. Даже огромные корпорации передают важные, конфиденциальные данные на этом виде носителя. Востребованность флешок привела ученых к вопросу защиты данных на них. Для этого были придуманы программы, которые шифруют информацию на носителе с помощью секретного ключа, известного только настоящему владельцу. Такое шифрование данных на флешке очень надежное и поможет защитить важную информацию от посторонних глаз.

Самой популярной программой шифрования данных специалисты считают TrueCrypt.Она была создана на основе E4M (Encryption for the Masses), первая версия которой выпущена еще в 1997 году. Автором считается француз Пауль Рокс. Сегодня программу используют миллионы людей и множество предприятий для шифрования данных.

Помимо защиты информации на флэш-носителях, многих интересует также шифрование данных на диске. Ведь люди часто хотят «спрятать» какие-нибудь документы от посторонних глаз. Запросы в поисковых системах подтверждают это, поэтому многие компании начали разрабатывать специальные программы. Сегодня существует множество различных программ, которые занимаются шифрованием данных. Они используют различные криптографические алгоритмы, самые известные - DES, AES, Brute Force и другие.

Шифрование данных помогает не только защитить информацию, оно выступает еще и как «сжиматель». Многие архиваторы экономят место на диске именно с помощью шифрования. Например, известный всем WinRAR использует AES с длиной ключа - 128. Многие пользователи хранят данные на своем компьютере только в архивированном виде, и при этом каждый архив защищают паролем. Это им гарантирует не только больше свободного места, но и защиту важных данных от мошенников.

С развитием интернета хорошо подготовленному хакеру не стоит труда взломать незащищенный компьютер и заполучить нужную ему информацию. Поэтому специалисты рекомендуют шифровать все важные для вас данные.

С помощью программы CyberSafe можно шифровать не только отдельные файлы. Программа позволяет зашифровать целый раздел жесткого диска или весь внешний диск (например, USB-диск или флешку). В этой статье будет показано, как зашифровать и скрыть от посторонних глаз зашифрованный раздел жесткого диска.

Шпионы, параноики и обычные пользователи

Кому будет полезна возможность шифрования разделов? Шпионов и параноиков отбросим сразу. Первых не так уж и много и необходимость шифрования данных у них сугубо профессиональная. Вторым лишь бы что-то зашифровать, спрятать и т.д. Хотя никакой реальной угрозы нет и зашифрованные данные не представляют ни для кого никакого интереса, они все равно их шифруют. Именно поэтому нас интересуют простые пользователи, которых, я надеюсь, будет больше, чем шпионов с параноиками.
Типичный сценарий шифрования раздела - это совместное использование компьютера. Здесь есть два варианта применения программы CyberSafe: или каждый из работающих за компьютером пользователей создает виртуальный диск или же каждый отводит себе по разделу на жестком диске для хранения личных файлов и шифрует его. О создании виртуальных дисков уже было написано , а в этой статье речь пойдет именно о шифровании всего раздела.
Допустим, есть жесткий диск на 500 Гб и есть три пользователя, которые периодически работают с компьютером. Не смотря на то, что файловая система NTFS все же поддерживает права доступа и позволяет ограничить доступ одного пользователя к файлам другого пользователя, ее защиты недостаточно. Ведь у одного из этих трех пользователей будут права администратора и он сможет получить доступ к файлам оставшихся двух пользователей.
Поэтому дисковое пространство жесткого диска можно разделить следующим образом:

• Примерно 200 Гб - общий раздел. Этот раздел также будет системным разделом. На нем будет установлена операционная система, программа и будут храниться общие файлы всех трех пользователей.
• Три раздела по ~100 Гб - думаю, 100 Гб вполне достаточно для хранения личных файлов каждого пользователя. Каждый из этих разделов будет зашифрован, а пароль доступа к зашифрованному разделу будет знать только тот пользователь, который зашифровал этот раздел. При этом администратор при всем своем желании не сможет расшифровать раздел другого пользователя и получить доступ к его файлам. Да, при желании администратор может отформатировать раздел и даже удалить его, но получить доступ он сможет только лишь в том случае, если обманом выведает у пользователя его пароль. Но, думаю, этого не произойдет, поэтому шифрование раздела - гораздо более эффективная мера, чем разграничение прав доступа с помощью NTFS.

Шифрование раздела vs виртуальные зашифрованные диски

Что лучше - шифровать разделы или использовать виртуальные зашифрованные диски? Здесь каждый решает сам, поскольку у каждого способа есть свои преимущества и недостатки. Шифрование разделов также надежно, как и шифрование виртуального диска и наоборот.
Что такое виртуальный диск? Смотрите на него как на архив с паролем и степенью сжатия 0. Вот только файлы внутри этого архива зашифрованы гораздо надежнее, чем в обычном архиве. Виртуальный диск хранится на жестком диске в виде файла. В программе CyberSafe вам нужно открыть и смонтировать виртуальный диск и тогда с ним можно будет работать как с обычным диском.
Преимущество виртуального диска в том, что его можно легко скопировать на другой жесткий диск или флешку (если позволяет размер). Например, вы можете создать виртуальный диск на 4 Гб (ограничений на размер виртуального диска нет, если не считать естественных) и при необходимости скопировать файл виртуального диска на флешку или на внешний жесткий диск. С зашифрованным разделом у вас такое проделать не получится. Также файл виртуального диска можно скрыть .
Конечно, при необходимости, можно создать образ зашифрованного диска - на тот случай, если вы хотите сделать его резервную копию или переместить на другой компьютер. Но это уже отдельная история. Если у вас возникнет подобная потребность, рекомендую программу Clonezilla - уже надежное и проверенное решение. Перенос зашифрованного раздела на другой компьютер - это более сложная затея, чем перенос виртуального диска. Если есть такая необходимость, то проще использовать виртуальные диски.
В случае с шифрованием раздела физически шифруется весь раздел. При монтировании этого раздела нужно будет ввести пароль, после чего можно будет работать с разделом, как обычно, то есть читать и записывать файлы.
Какой способ выбрать? Если вы можете себе позволить зашифровать раздел, тогда можно выбрать этот способ. Также весь раздел лучше шифровать, если размер ваших секретных документов довольно большой.
Но есть ситуации, когда использовать весь раздел нельзя или нет смысла. Например, у вас есть только один раздел (диск С:) на жестком диске и по тем или иным причинам (нет прав, например, поскольку компьютер не ваш) вы не можете или не хотите изменять его разметку, тогда нужно использовать виртуальные диски. Нет смысла шифровать весь раздел, если размер документов (файлов), которые вам нужно зашифровать небольшой - несколько гигабайт. Думаю, с этим разобрались, поэтому самое время поговорить о том, какие разделы (диски) можно зашифровать.

Поддерживаемые типы дисков

Вы можете зашифровать следующие типы носителей:

• Разделы жесткого диска, отформатированные в файловых системах FAT, FAT32 и NTFS.
• Флешки, внешние USB-диски за исключением дисков, представляющих мобильные телефоны, цифровые камеры и аудио-проигрыватели.

Нельзя зашифровать:

• CD/DVD-RW-диски, дискеты
• Динамические диски
• Системный диск (с которого загружается Windows)

Начиная с Windows XP, Windows поддерживает динамические диски. Динамические диски позволяют объединять в себе несколько физических жестких дисков (аналог LVM в Windows). Такие диски зашифровать программой невозможно.

Особенности работы с зашифрованным диском

Представим, что вы уже зашифровали раздел жесткого диска. Для работы с файлами на зашифрованном разделе вам нужно его cмонтировать. При монтировании программа запросит у вас пароль к зашифрованному диску, указанный при его шифровании. Поработав с зашифрованным диском, его нужно сразу же размонтировать, иначе файлы останутся доступны пользователям, у которых есть физический доступ к вашему компьютеру.
Другими словами, шифрование защищает ваши файлы только тогда, когда зашифрованный раздел размонтирован. Когда раздел смонтирован, любой, у кого есть физический доступ к компьютеру, может скопировать с него файлы на незашифрованный раздел, USB-диск или внешний жесткий диск и файлы не будут зашифрованы. Поэтому, когда вы работаете с зашифрованным диском, возьмите в привычку всегда размонтировать его каждый раз, когда отлучаетесь от компьютера, даже ненадолго! После того, как вы размонтировали зашифрованный диск, ваши файлы будут под надежной защитой.
Что касается производительности, то при работе с зашифрованным разделом она будет ниже. Насколько ниже - зависит от способностей вашего компьютера, но система останется работоспособной и просто придется подождать чуть дольше, чем обычно (особенно, когда вы будете копировать большие файлы на зашифрованный раздел).

Готовимся к шифрованию

Первым делом нужно раздобыть где-то ИБП. Если у вас ноутбук, все хорошо, если же у вас обычный стационарный компьютер и вы хотите зашифровать раздел, на котором уже есть файлы, то шифрование займет определенное время. Если за это время отключат свет, то потеря данных вам гарантирована. Посему, если ИБП, способного выдержать несколько часов автономной работы у вас нет, рекомендую сделать следующее:

• Сделайте резервную копию своих данных, например, на внешнем жестком диске. Потом от этой копии придется избавиться (желательно после удаления данных с незашифрованного диска затереть свободное пространство утилитой вроде Piriform, чтобы было невозможно восстановить удаленные файлы), поскольку при ее наличии пропадает смысл в наличии зашифрованной копии данных.
• Данные на зашифрованный диск перенесете с копии после того, как диск будет зашифрован. Отформатируйте диск и зашифруйте его. Собственно, отдельно форматировать его не нужно - за вас это сделает CyberSafe, но об этом позже.

Если у вас ноутбук и вы готовы продолжить без создания резервной копии данных (я бы рекомендовал ее на всякий случай сделать), обязательно проверьте диск на наличие ошибок, хотя бы стандартной утилитой Windows. Только после этого нужно приступать к шифрованию раздела/диска.

Шифрование раздела: практика

Итак, теория без практики бессмысленна, поэтому приступим к шифрованию раздела/диска. Запустите программу CyberSafe и перейдите в раздел Шифрование дисков, Шифровать раздел (рис. 1).

Рис. 1. Список разделов/дисков вашего компьютера

Выберите раздел, который вы хотите зашифровать. Если кнопка Создать будет неактивна, то этот раздел зашифровать нельзя. Например, это может быть системный раздел или динамический диск. Также вы не можете одновременно зашифровать несколько дисков. Если вам нужно зашифровать несколько дисков, то операцию шифрования нужно повторить поочередно.
Нажмите кнопку Создать . Далее откроется окно Крипо Диск (рис. 2). В нем нужно ввести пароль, который будет использоваться для расшифровки диска при его монтировании. При вводе пароля проверьте регистр символов (чтобы не была нажата клавиша Caps Lock) и раскладку. Если за спиной никого нет, можно включить переключатель Показать пароль .

Рис. 2. Крипто Диск

Из списка Тип шифрования нужно выбрать алгоритм - AES или ГОСТ. Оба алгоритмы надежные, но в государственных организациях принято использовать только ГОСТ. На своем собственном компьютере или в коммерческой организации вы вольны использовать любой из алгоритмов.
Если на диске есть информация и вы хотите ее сохранить, включите переключатель . Нужно учесть, что в этом случае время шифрования диска значительно возрастет. С другой стороны, если зашифрованные файлы, скажем, находятся на внешнем жестком диске, то вам все равно придется их скопировать на зашифрованный диск для их шифрования, а копирование с шифрованием «на лету» также займет некоторое время. Если вы не сделали резервную копию данных, обязательно включите флажок включите переключатель Сохранить файловую структуру и данные , иначе вы потеряете все ваши данные.
Остальные параметры в окне Крипто Диск можно оставить по умолчанию. А именно - будет использоваться весь доступный размер устройства и будет выполнено быстрое форматирование в файловую систему NTFS. Для начала шифрования нажмите кнопку Принять . Ход процесса шифрования будет отображен в основном окне программы.

Рис. 3. Ход процесса шифрования

После того, как диск будет зашифрован, вы увидите его состояние - зашифрован, скрытый (рис. 4). Это означает, что ваш диск был зашифрован и скрыт - он не будет отображаться в Проводнике и других высокоуровневых файловых менеджерах, но его будут видеть программы для работы с таблицей разделов. Не нужно надеяться, что раз диск скрыт, то его никто не найдет. Все скрытые программой диски будут отображены в оснастке Управление дисками (см. рис. 5) и других программах для разметки диска. Обратите внимание, что в этой оснастке зашифрованный раздел отображается как раздел с файловой системой RAW, то есть без файловой системы вообще. Это нормальное явление - после шифрования раздела Windows не может определить его тип. Однако сокрытие раздела необходимо по совсем иным причинам и далее вы поймете, по каким именно.

Рис. 4. Состояние диска: зашифрован, скрыт. Раздел E: не отображается в Проводнике

Рис. 5. Оснастка Управление дисками

Теперь cмонтируем раздел. Выделите его и нажмите кнопку Восстан. , чтобы вновь сделать раздел видимым (состояние диска будет изменено на просто "зашифрован "). Windows увидит этот раздел, но поскольку она не может распознать тип его файловой системы, она предложит его отформатировать (рис. 6). Этого нельзя ни в коем случае делать, поскольку вы потеряете все данные. Именно поэтому программа скрывает зашифрованные диски - ведь если за компьютером работаете не только вы, другой пользователь может отформатировать якобы не читаемый раздел диска.

Рис. 6. Предложение отформатировать зашифрованный раздел

От форматирования, понятное дело, отказываемся и нажимаем кнопку Монтиров . в основном окне программы CyberSafe. Далее нужно будет выбрать букву диска, через которую вы будете обращаться к зашифрованному разделу (рис. 7).

Рис. 7. Выбор буквы диска

После этого программа попросит ввести пароль, необходимый для расшифровки ваших данных (рис. 8). Расшифрованный раздел (диск) появится в области Подключенные расшифрованные устройства (рис. 9).

Рис. 8. Пароль для расшифровки раздела

Рис. 9. Подключенные расшифрованные устройства

После этого с расшифрованным диском можно будет работать, как с обычным. В Проводнике будет отображен только диск Z: - именно эту букву я назначил расшифрованному диску. Зашифрованный диск E: отображаться не будет.

Рис. 10. Проводник - просмотр дисков компьютера

Теперь можете открыть cмонтированный диск и скопировать на него все секретные файлы (только не забудьте потом их удалить с оригинального источника и затереть на нем свободное пространство).
Когда нужно завершить работу с нашим разделом, то или нажмите кнопку Демонтир. , а затем - кнопку Скрыть или просто закройте окно CyberSafe. Как по мне, то проще закрыть окно программы. Понятное дело, закрывать окно программы во время операции копирования/перемещения файлов не нужно. Ничего страшного и непоправимого не произойдет, просто часть файлов не будет скопирована на ваш зашифрованный диск.

О производительности

Понятно, что производительность зашифрованного диска будет ниже, чем обычного. Но насколько? На рис. 11 я скопировал папку своего профиля пользователя (где есть множество мелких файлов) с диска С: на зашифрованный диск Z:. Скорость копирования показана на рис. 11 - примерно на уровне 1.3 МБ/с. Это означает, что 1 ГБ мелких файлов будет копироваться примерно 787 секунд, то есть 13 минут. Если же скопировать эту же папку на незашифрованный раздел, то скорость будет примерно 1.9 МБ/с (рис. 12). Под конец операции копирования скорость выросла до 2.46 МБ/с, но с такой скоростью было скопировано совсем немного файлов, поэтому считаем, что скорость была на уровне 1.9 МБ/с, а это на 30% быстрее. Тот самый 1 ГБ мелких файлов в нашем случае будет скопирован за 538 секунд или почти 9 минут.

Рис. 11. Скорость копирования мелких файлов с незашифрованного раздела на зашифрованный

Рис. 12. Скорость копирования мелких файлов между двумя незашифрованными разделами

Что же касается крупных файлов, то никакой разницы вы не почувствуете. На рис. 13 приведена скорость копирования крупного файла (видео-файл размером 400 Мб) с одного незашифрованного раздела на другой. Как видите, скорость составила 11.6 МБ/с. А на рис. 14 показана скорость копирования этого же файла с обычного раздела на зашифрованный и она составила 11.1 МБ/с. Разница небольшая и находится в пределах погрешности (все равно скорость незначительно изменяется по ходу выполнения операции копирования). Ради интереса сообщу скорость копирования этого же файла с флешки (не USB 3.0) на жесткий диск - около 8 МБ/с (скриншота нет, но уж поверьте мне).

Рис. 13. Скорость копирования крупного файла

Рис. 14. Скорость копирования крупного файла на зашифрованный раздел

Такой тест не совсем точный, но все же позволяет получить некоторые представления о производительности.
На этом все. Также я рекомендую вам ознакомиться со статьей

Основные возможности программы Folder Lock следующие:

• AES-шифрование, длина ключа 256 бит.
• Сокрытие файлов и папок.
• Шифрование файлов (посредством создания виртуальных дисков - сейфов) «на лету».
• Резервное копирование онлайн.
• Создание защищенных USB/CD/DVD-дисков.
• Шифрование вложений электронной почты.
• Создание зашифрованных «бумажников», хранящих информацию о кредитных картах, счетах и т.д.

Казалось бы, возможностей у программы вполне достаточно, особенно для персонального использования. Теперь посмотрим на программу в работе. При первом запуске программа просит установить мастер-пароль, который используется для аутентификации пользователя в программе (рис. 1). Представьте такую ситуацию: вы скрыли файлы, а кто-то другой запустил программу, просмотрел, какие файлы скрыты и получил к ним доступ. Согласитесь, не очень хорошо. А вот если программа запрашивает пароль, то у этого «кто-то» уже ничего не выйдет - во всяком случае, до тех пор, пока он не подберет или не узнает ваш пароль.

Рис. 1. Установка мастер-пароля при первом запуске

Первым делом посмотрим, как программа скрывает файлы. Перейдите в раздел Lock Files , затем либо перетащите файлы (рис. 2) и папки в основную область программы или же воспользуйтесь кнопкой Add . Как показано на рис. 3, программа позволяет скрыть файлы, папки и диски.

Рис. 2. Перетащите файл, выделите его и нажмите кнопку Lock

Рис. 3. Кнопка Add

Посмотрим, что произойдет, когда мы нажмем кнопку Lock . Я попытался скрыть файл C:\Users\Denis\Desktop\cs.zip. Файл исчез из Проводника, Total Commander и остальных файловых менеджеров, даже если включено отображение скрытых файлов. Кнопка сокрытия файла называется Lock , а раздел Lock Files . Однако нужно было бы эти элементы UI назвать Hide и Hide Files соответственно. Потому что на самом деле программа осуществляет не блокирование доступа к файлу, а просто «прячет» его. Посмотрите на рис. 4. Я, зная точное имя файла, скопировал его в файл cs2.zip. Файл спокойно скопировался, не было никаких ошибок доступа, файл не был зашифрован - он распаковался, как обычно.

Рис. 4. Копирование скрытого файла

Сама по себе функция сокрытия бестолковая и бесполезная. Однако если использовать ее вместе с функцией шифрования файлов - для сокрытия созданных программой сейфов - тогда эффективность от ее использования увеличится.
В разделе Encrypt Files вы можете создать сейфы (Lockers). Сейф - это зашифрованный контейнер, который после монтирования можно использовать как обычный диск - шифрование не простое, а прозрачное. Такая же техника используется многими другими программами шифрования, в том числе TrueCrypt, CyberSafe Top Secret и др.

Рис. 5. Раздел Encrypt Files

Нажмите кнопку Create Locker , в появившемся окне введите название и выберите расположение сейфа (рис. 6). Далее нужно ввести пароль для доступа к сейфу (рис. 7). Следующий шаг - выбор файловой системы и размера сейфа (рис. 8). Размер сейфа - динамический, но вы можете задать максимальный его предел. Это позволяет экономить дисковое пространство, если вы не используете сейф «под завязку». При желании можно создать сейф фиксированного размера, что будет показано в разделе «Производительность» этой статьи.

Рис. 6. Название и расположение сейфа

Рис. 7. Пароль для доступа к сейфу

Рис. 8. Файловая система и размер сейфа

После этого вы увидите окно UAC (если он включен), в котором нужно будет нажать Да, далее будет отображено окно с информацией о созданном сейфе. В нем нужно нажать кнопку Finish, после чего будет открыто окно Проводника, отображающее подмонтированный контейнер (носитель), см. рис. 9.

Рис. 9. Виртуальный диск, созданный программой

Вернитесь в раздел Encrypt Files и выделите созданный сейф (рис. 10). Кнопка Open Locker позволяет открыть закрытый сейф, Close Locker - закрыть открытый, кнопка Edit Options вызывает меню, в котором находятся команды удаления/копирование/ переименования/изменения пароля сейфа. Кнопка Backup Online позволяет выполнить резервное копирование сейфа, причем не куда-нибудь, а в облако (рис. 11). Но сначала вам предстоит создать учетную запись Secure Backup Account , после чего вы получите до 2 ТБ дискового пространства, а ваши сейфы будут автоматически синхронизироваться с онлайн-хранилищем, что особенно полезно, если вам нужно работать с одним и тем же сейфом на разных компьютерах.

Рис. 10. Операции над сейфом

Рис. 11. Создание Secure Backup Account

Ничто не бывает просто так. С расценками за хранение ваших сейфов можно ознакомиться по адресу secure.newsoftwares.net/signup?id=en . За 2 Тб придется выложить 400$ в месяц. 500 Гб обойдется в месяц 100$. Если честно, то это очень дорого. За 50-60$ можно арендовать целый VPS с 500 Гб «на борту», который вы сможете использовать, как хранилище для ваших сейфов и даже создать на нем свой сайт.
Обратите внимание: программа умеет создавать зашифрованные разделы, но в отличие от программы PGP Desktop, она не умеет шифровать целые диски. В разделе Protect USB/CD можно защитить ваши USB/CD/DVD-диски, а также вложения электронной почты (рис. 12). Однако эта защита осуществляется не путем шифрования самого носителя, а путем записи на соответствующий носитель саморасшифровывающегося сейфа. Другими словами, на выбранный носитель будет записана урезанная portable-версия программы, позволяющаяся «открыть» сейф. Как таковой поддержки почтовых клиентов у этой программы тоже нет. Вы можете зашифровать вложение и прикрепить его (уже зашифрованное) к письму. Но вложение шифруется обычным паролем, а не PKI. Думаю, о надежности говорить нет смысла.

Рис. 12. Раздел Protect USB/CD

Раздел Make Wallets позволяет создать бумажники, содержащие информацию о ваших кредитках, банковских счетах и т.д. (рис. 13). Вся информация, понятное дело, хранится в зашифрованном виде. Со всей ответственностью могу сказать, что этот раздел бесполезный, поскольку не предусмотрена функция экспорта информации из бумажника. Представьте, что у вас есть множество банковских счетов и вы внесли информацию о каждом из них в программу - номер счета, название банка, владелец счета, SWIFT-код и т.д. Затем вам нужно предоставить информацию о счете третьему лицу для перевода вам денег. Вам придется вручную копировать каждое поле, вставлять его в документ или электронное письмо. Наличие функции экспорта значительно облегчило бы эту задачу. Как по мне, гораздо проще хранить всю эту информацию в одном общем документе, который нужно поместить на созданный программой виртуальный диск - сейф.

Рис. 13. Бумажники

Преимущества программы Folder Lock:

• Привлекательный и понятный интерфейс, который понравится начинающим пользователям, владеющим английским языком.
• Прозрачное шифрование «на лету», создание виртуальных зашифрованных дисков, с которыми можно работать, как с обычными дисками.
• Возможность резервного онлайн-копирования и синхронизации зашифрованных контейнеров (сейфов).
• Возможность создания саморасшифровывающихся контейнеров на USB/CD/DVD-дисках.

Недостатки программы:

• Нет поддержки русского языка, что усложнит работу с программой пользователей, не знакомых с английским языком.
• Сомнительные функции Lock Files (которая просто скрывает, а не «запирает» файлы) и Make Wallets (малоэффективна без экспорта информации). Честно говоря, думал, что функция Lock Files будет обеспечивать прозрачное шифрование папки/файла на диске, как это делает программа CyberSafe Top Secret или файловая система EFS .
• Отсутствие возможности подписания файлов, проверки цифровой подписи.
• При открытии сейфа не позволяет выбрать букву диска, которая будет назначена виртуальному диску, который соответствует сейфу. В настройках программы можно выбрать только порядок, в котором программа будет назначать букву диска - по возрастанию (от A до Z) или по убыванию (от Z до A).
• Нет интеграции с почтовыми клиентами, есть только возможность зашифровать вложение.
• Высокая стоимость облачного резервного копирования.

PGP Desktop

Программа PGP Desktop от Symantec - это комплекс программ для шифрования, обеспечивающий гибкое многоуровневое шифрование. Программа отличается от CyberSafe TopSecret и Folder Lock тесной интеграцией в системную оболочку. Программа встраивается в оболочку (Проводник), а доступ к ее функциям осуществляется через контекстное меню Проводника (рис. 14). Как видите, в контекстном меню есть функции шифрования, подписи файла и т.д. Довольно интересной является функция создания саморасшифровывающегося архива - по принципу самораспаковывающегося архива, только вместо распаковки архив также еще и расшифровывается. Впрочем, у программ Folder Lock и CyberSafe также есть аналогичная функция.

Рис. 14. Контекстное меню PGP Desktop

Также доступ к функциям программы можно получить через системный трей (рис. 15). Команда Open PGP Desktop открывает основное окно программы (рис. 16).

Рис. 15. Программа в системном трее

Рис. 16. Окно PGP Desktop

Разделы программы:

• PGP Keys - управление ключами (как собственными, так и импортированными с keyserver.pgp.com).
• PGP Messaging - управление службами обмена сообщениями. При установке программа автоматически обнаруживает ваши учетные записи и автоматически шифрует коммуникации AOL Instant Messenger.
• PGP Zip - управление зашифрованными архивами. Программа поддерживает прозрачное и непрозрачное шифрование. Этот раздел как раз и реализует непрозрачное шифрование. Вы можете создать зашифрованный Zip-архив (PGP Zip) или саморасшифровывающийся архив (рис. 17).
• PGP Disk - это реализация функции прозрачного шифрования. Программа может, как зашифровать весь раздел жесткого диска (или даже весь диск) или создать новый виртуальный диск (контейнер). Здесь же есть функция Shred Free Space, которая позволяет затереть свободное пространство на диске.
• PGP Viewer - здесь можно расшифровать PGP-сообщения и вложения.
• PGP NetShare - средство «расшаривания» папок, при этом «шары» шифруются с помощью PGP, а у вас есть возможность добавить/удалить пользователей (пользователи идентифицируются на основе сертификатов), которые имеют доступ к «шаре».

Рис. 17. Саморасшифровывающийся архив

Что касается виртуальных дисков, то мне особо понравилась возможность создания виртуального диска динамического размера (рис. 18), а также выбора алгоритма, отличного от AES. Программа позволяет выбрать букву диска, к которой будет подмонтирован виртуальный диск, а также позволяет автоматически монтировать диск при запуске системы и размонтировать при простое (по умолчанию через 15 минут бездействия).

Рис. 18. Создание виртуального диска

Программа старается зашифровать все и вся. Она отслеживает POP/SMTP-соединения и предлагает их защитить (рис. 19). То же самое касается и клиентов для обмена мгновенными сообщениями (рис. 20). Также есть возможность защиты IMAP-соединений, но ее нужно отдельно включать в настройках программы.

Рис. 19. Обнаружено SSL/TLS-соединение

Рис. 20. PGP IM в действии

Жаль, что PGP Desktop не поддерживает популярные современные программы вроде Skype и Viber. Кто сейчас пользуется AOL IM? Думаю, таких найдется немного.
Также при использовании PGP Desktop сложно настроить шифрование почты, которое работает только в режиме перехвата. А что, если зашифрованная почта уже была получена, а PGP Desktop был запущен уже после получения зашифрованного сообщения. Как его расшифровать? Можно, конечно, но придется это делать вручную. К тому же уже расшифрованные письма в клиенте уже никак не защищаются. А если настроить клиент на сертификаты, как это сделано в программе CyberSafe Top Secret, то письма всегда будут зашифрованы.
Режим перехвата работает тоже не очень хорошо, поскольку сообщение о защите почты появляется каждый раз на каждый новый почтовый сервер, а у gmail их очень много. Окошко защиты почты очень быстро вам надоест.
Стабильностью работы программа также не отличается (рис. 21).

Рис. 21. PGP Desktop зависла…

Также после ее установки система работала медленнее (субъективно)…

Преимущества программы PGP Desktop:

• Полноценная программа, использующаяся для шифрования файлов, подписания файлов и проверки электронной подписи, прозрачного шифрования (виртуальные диски и шифрование всего раздела), шифрования электронной почты.
• Поддержка сервера ключей keyserver.pgp.com.
• Возможность шифрования системного жесткого диска.
• Функция PGP NetShare.
• Возможность затирания свободного места.
• Тесная интеграция с Проводником.

Недостатки программы:

• Отсутствие поддержки русского языка, что усложнит работу с программой пользователям, которые не знают английский язык.
• Нестабильная работа программы.
• Низкая производительность программы.
• Есть поддержка AOL IM, но нет поддержки Skype и Viber.
• Уже расшифрованные письма остаются незащищенными на клиенте.
• Защита почты работает только в режиме перехвата, который быстро вам надоест, поскольку окно защиты почты будет появляться каждый раз для каждого нового сервера.

CyberSafe Top Secret

Как и в предыдущем обзоре , подробного описания программы CyberSafe Top Secret не будет, поскольку в нашем блоге и так уже много о ней написано (рис. 22).

Рис. 22. Программа CyberSafe Top Secret

Однако мы все же обратим внимание на некоторые моменты - самые важные. Программа содержит средства управления ключами и сертификатами, а наличие в CyberSafe собственного сервера ключей позволяет пользователю опубликовать на нем свой открытый ключ, а также получить открытые ключи других сотрудников компании (рис. 23).

Рис. 23. Управление ключами

Программа может использоваться для шифрования отдельных файлов, что было показано в статье «Электронная подпись: практическое использование на предприятии программного продукта CyberSafe Enterprise. Часть первая» . Что касается алгоритмов шифрования, то программа CyberSafe Top Secret поддерживает алгоритмы ГОСТ и сертифицированный криптопровайдер КриптоПро, что позволяет использовать ее в государственных учреждениях и банках.
Также программа может использоваться для прозрачного шифрования папки (рис. 24), что позволяет ее использовать в качестве замены для EFS . А, учитывая, что программа CyberSafe оказалась надежнее и быстрее (в некоторых сценариях), чем EFS, то использовать ее не только можно, но и нужно.

Рис. 24. Прозрачное шифрование папки C:\CS-Crypted

Функционал программы CyberSafe Top Secret напоминает функционал программы PGP Desktop - если вы заметили, то программа также может использоваться для шифрования сообщений электронной почты, а также для электронной подписи файлов и проверки этой подписи (раздел Эл. цифровая подпись , см. рис. 25).

Рис. 25. Раздел Эл. цифровая подпись

Как и программа PGP Desktop, программа CyberSafe Top Secret умеет создавать виртуальные зашифрованные диски и шифровать полностью разделы жесткого диска . Нужно отметить, что программа CyberSafe Top Secret умеет создавать виртуальные диски только фиксированного размера, в отличие от программ Folder Lock и PGP Desktop. Однако этот недостаток нейтрализуется возможностью прозрачного шифрования папки, а размер папки ограничен только размером свободного пространства на жестком диске.
В отличие от программы PGP Desktop, программа CyberSafe Top Secret не умеет шифровать системный жесткий диск, она ограничивается лишь шифрованием внешних и внутренних не системных дисков.
Зато у CyberSafe Top Secret есть возможность облачного резервного копирования, причем, в отличие от Folder Lock, данная возможность абсолютно бесплатна, точнее функцию облачного резервного копирования можно настроить на любой сервис - как платный, так и бесплатный. Подробнее об этой возможности можно прочитать в статье «Шифрование резервного копирования на облачных сервисах» .
Также нужно отметить две немаловажные особенности программы: двухфакторную авторизацию и систему доверенных приложений. В настройках программы можно или установить аутентификацию по паролю или двухфакторную аутентификацию (рис. 26).

Рис. 26. Настройки программы

На вкладке Разрешен. приложения можно определить доверенные приложения, которым разрешено работать с зашифрованными файлами. По умолчанию все приложения являются доверенными. Но для большей безопасности вы можете задать приложения, которым разрешено работать с зашифрованными файлами (рис. 27).

Рис. 27. Доверенные приложения

Преимущества программы CyberSafe Top Secret:

• Поддержка алгоритмов шифрования ГОСТ и сертифицированного криптопровайдера КриптоПро, что позволяет использовать программу не только частным лицам и коммерческим организациям, но и государственным учреждениям.
• Поддержка прозрачного шифрования папки, что позволяет использовать программу в качестве замены EFS. Учитывая, что программа обеспечивает лучший уровень производительности и безопасности , такая замена более чем оправдана.
• Возможность подписания файлов электронной цифровой подписью и возможность проверки подписи файла.
• Встроенный сервер ключей, позволяющий публиковать ключи и получать доступ к другим ключам, которые были опубликованы другими сотрудниками компании.
• Возможность создания виртуального зашифрованного диска и возможность шифрования всего раздела.
• Возможность создания саморасшифровывающихся архивов.
• Возможность бесплатного облачного резервного копирования, которое работает с любым сервисом - как платным, так и бесплатным.
• Двухфакторная аутентификация пользователя.
• Система доверенных приложений, позволяющая разрешить доступ к зашифрованным файлам только определенным приложениям.
• Приложение CyberSafe поддерживает набор инструкций AES-NI, что положительно сказывается на производительности программы (этот факт будет продемонстрирован далее).
• Драйвер программы CyberSafe позволяет работать по сети, что дает возможность организовать корпоративное шифрование .
• Русскоязычный интерфейс программы. Для англоязычных пользователей имеется возможность переключения на английский язык.

Теперь о недостатках программы. Особых недостатков у программы нет, но поскольку была поставлена задача честно сравнить программы, то недостатки все же придется найти. Если совсем уж придираться, иногда в программе (очень-очень редко) «проскакивают» нелокализированные сообщения вроде «Password is weak». Также пока программа не умеет шифровать системный диск, но такое шифрование не всегда и не всем необходимо. Но все это мелочи по сравнению с зависанием PGP Desktop и ее стоимостью (но об этом вы еще не знаете).

Производительность

При работе с PGP Desktop у меня создалось впечатление (уже сразу после установки программы), что компьютер стал работать медленнее. Если бы не это «шестое чувство», то этого раздела не было в данной статье. Было решено измерить производительность программой CrystalDiskMark . Все испытания проводятся на реальной машине - никаких виртуалок. Конфигурация ноутбука следующая - Intel 1000M (1.8 GHz)/4 Гб ОЗУ/WD WD5000LPVT (500 Гб, SATA-300, 5400 RPM, буфер 8 Мб/Windows 7 64-bit). Машина не очень мощная, но какая есть.
Тест будет производиться следующим образом. Запускаем одну из программ и создаем виртуальный контейнер. Параметры контейнера следующие:

• Размер виртуального диска - 2048 Мб.
• Файловая система - NTFS
• Буква диска Z:

После этого программа закрывается (ясное дело, виртуальный диск размонтируется) - чтобы уже ничто не мешало тесту следующей программы. Запускается следующая программа, в ней создается аналогичный контейнер и снова производится тест. Чтобы вам было понятнее читать результаты теста, нужно поговорить о том, что означают результаты CrystalDiskMark:

1. Seq - тест последовательной записи/последовательного чтения (размер блока = 1024КБ);
2. 512К - тест случайной записи/случайного чтения (размер блока = 512КБ);
3. 4К - то же самое, что и 512К, но размер блока 4 Кб;
4. 4К QD32 - тест случайной записи/чтения (размер блока = 4КБ, Глубина Очереди = 32) для NCQ&AHCI.

Во время теста все программы, кроме CrystalDiskMark были закрыты. Я выбрал размер теста 1000 Мб и установил 2 прохода, чтобы лишний раз не насиловать свой жесткий диск (в результате данного эксперимента у него и так температура выросла с 37 до 40 градусов).

Начнем с обычного жесткого диска, чтобы было с чем сравнивать. Производительность диска C: (а это единственный раздел на моем компьютере) будет считаться эталонной. Итак, я получил следующие результаты (рис. 28).

Рис. 28. Производительность жесткого диска

Теперь приступим к тестированию первой программы. Пусть это будет Folder Lock. На рис. 29 показаны параметры созданного контейнера. Обратите внимание: я использую фиксированный размер. Результаты программы показаны на рис. 30. Как видите, имеет место значительное снижение производительности по сравнению с эталоном. Но это нормальное явление - ведь данные зашифровываются и расшифровываются на лету. Производительность должна быть ниже, вопрос насколько.

Рис. 29. Параметры контейнера Folder Lock

Рис. 30. Результаты программы Folder Lock

Следующая программа - PGP Desktop. На рис. 31 - параметры созданного контейнера, а на рис. 32 - результаты. Мои ощущения подтвердились - программа действительно работает медленнее, что и подтвердил тест. Вот только при работе этой программы «тормозил» не только виртуальный диск, а даже вся система, чего не наблюдалось при работе с другими программами.

Рис. 31. Параметры контейнера PGP Desktop

Рис. 32. Результаты программы PGP Desktop

Осталось протестировать программу CyberSafe Top Secret. Как обычно, сначала - параметры контейнера (рис. 33), а затем результаты программы (рис. 34).

Рис. 33. Параметры контейнера CyberSafe Top Secret

Рис. 34. Результаты программы CyberSafe Top Secret

Думаю, комментарии будут лишними. По производительности места распределились следующим образом:

1. CyberSafe Top Secret
2. Folder Lock
3. PGP Desktop

Цена и выводы

Поскольку мы тестировали проприетарное программное обеспечение, нужно рассмотреть еще один немаловажный фактор - цена. Приложение Folder Lock обойдется 39.95$ за одну установку и 259.70$ за 10 инсталляций. С одной стороны, цена не очень высока, но функционал программы, откровенно говоря, мал. Как уже отмечалось, от функций сокрытия файлов и бумажников толку мало. Функция Secure Backup требует дополнительной платы, следовательно, отдавать почти 40 долларов (если поставить себя на место обычного пользователя, а не компании) только за возможность шифрования файлов и создания саморасшифровывающихся сейфов - дорого.
Программа PGP Desktop обойдется в 97 долларов. И заметьте - это только начальная цена. Полная версия с набором всех модулей обойдется примерно в 180-250$ и это только лицензия на 12 месяцев. Другими словами, каждый год за использование программы придется выложить 250$. Как по мне, это перебор.
Программа CyberSafe Top Secret - золотая середина, как по функционалу, так и по цене. Для обычного пользователя программа обойдется всего в 50 долларов (специальная антикризисная цена для России, для остальных стран полная версия обойдется 90$). Прошу заметить, столько стоит самая полная версия программы Ultimate .
Таблица 1 содержит сравнительную таблицу функций всех трех продуктов, которая сможет помочь вам выбрать именно ваш продукт.

Таблица 1. Программы и функции

Функция	Folder Lock	PGP Desktop	CyberSafe Top Secret
Виртуальные зашифрованные диски	Да	Да	Да
Шифрование всего раздела	Нет	Да	Да
Шифрование системного диска	Нет	Да	Нет
Удобная интеграция с почтовыми клиентами	Нет	Нет	Да
Шифрование сообщений электронной почты	Да (ограничено)	Да	Да
Шифрование файлов	Нет	Да	Да
ЭЦП, подписание	Нет	Да	Да
ЭЦП, проверка	Нет	Да	Да
Прозрачное шифрование папки	Нет	Нет	Да
Саморасшифровывающиеся архивы	Да	Да	Да
Облачное резервное копирование	Да (платно)	Нет	Да (беплатно)
Система доверенных приложений	Нет	Нет	Да
Поддержка сертифицированного криптопровайдера	Нет	Нет	Да
Поддержка токенов	Нет	Нет (поддержка прекращена)	Да (при установке КриптоПро)
Собственный сервер ключей	Нет	Да	Да
Двухфакторная аутентификация	Нет	Нет	Да
Сокрытие отдельных файлов	Да	Нет	Нет
Сокрытие разделов жесткого диска	Да	Нет	Да
Бумажники для хранения платежной информации	Да	Нет	Нет
Поддержка шифрования ГОСТ	Нет	Нет	Да
Русский интерфейс	Нет	Нет	Да
Последовательная чтение/ запись (DiskMark), Мб/с	47/42	35/27	62/58
Стоимость	40$	180-250$	50$

Учитывая все изложенные в этой статье факторы (функционал, производительность и цену), победителем данного сравнения является программа CyberSafe Top Secret. Если у вас остались вопросы, мы с радостью ответим на них в комментариях.

Теги: Добавить метки

Одной из важнейших тенденций в эволюции современных телекоммуникаций является развитие средств IP-телефонии - множества новых технологий, обеспечивающих передачу мультимедийных сообщений (речи, данных, видео) через информационно-вычислительные сети (ИВС), построенные на базе протокола IP (Internet Protocol), в том числе локальные, корпоративные, глобальные вычислительные сети и сеть Internet. Понятие IP-телефонии включает в себя Internet-телефонию, позволяющую организовать телефонную связь между абонентами сети Internet, между абонентами телефонных сетей общего пользование (ТСОП) через Internet, а также телефонную связь абонентов ТСОП и Internet друг с другом.

IP-телефония обладает рядом несомненных достоинств, обеспечивающих ее быстрое развитие и расширение рынка компьютерной телефонии. Она выгодна конечным пользователям, которые обеспечиваются телефонной связью при довольно низкой поминутной оплате. Компаниям, имеющим удаленные филиалы, IP-технология позволяет организовать речевую связь при помощи уже существующих корпоративных IP-сетей. Вместо нескольких сетей связи при этом используется одна. Безусловным преимуществом IP-телефонии перед обычным телефоном является также возможность предоставления дополнительных услуг за счет использования мультимедийного компьютера и различных Internet-приложений. Таким образом, благодаря IP-телефонии предприятия и частные лица могут расширить возможности организации связи путем включения в них современной видеоконференцсвязи, совместного использования приложений, средств типа электронной чертежной доски (whiteboard) и т.п.

Какие международные стандарты и протоколы регламентируют основные параметры и алгоритмы функционирования аппаратных и программных средств связи, используемых в IP-телефонии? Очевидно, как следует из названия, данная технология построена на базе протокола IP, который, впрочем, используется не только для телефонии: первоначально он был разработан для передачи цифровых данных в ИВС с коммутацией пакетов.

В сетях, не обеспечивающих гарантированное качество обслуживания (к ним относятся сети, построенные на основе протокола IP), пакеты могут теряться, может изменяться порядок их поступления, данные, передаваемые в пакетах, могут искажаться. Для обеспечения надежной доставки передаваемой информации в этих условиях используются различные процедуры транспортного уровня. При передаче цифровых данных для этой цели применяется протокол ТСР (Transmission Control Protocol). Данный протокол обеспечивает надежную доставку данных и восстанавливает исходный порядок следования пакетов. Если в пакете обнаружена ошибка, или пакет теряется, процедуры TCP посылают запрос на повторную передачу.

Для приложений аудио- и видеоконференцсвязи задержки пакетов гораздо в большей степени влияют на качество сигнала, чем отдельные искажения данных. Различия в задержках могут приводить к появлению пауз. Для таких приложений необходим другой протокол транспортного уровня, обеспечивающий восстановление исходной последовательности пакетов, их доставку с минимальной задержкой, воспроизведение в реальном масштабе времени в точно заданные моменты, распознавание типа трафика, групповую или двухстороннюю связь. Таким протоколом является транспортный протокол реального времени RTP (Real-Time Transport Protocol). Данный протокол регламентирует передачу мультимедийных данных в пакетах через ИВС на транспортном уровне и дополняется протоколом управления передачей данных в реальном масштабе времени RTCP (Real-Time Control Protocol). Протокол RTCP, в свою очередь, обеспечивает контроль доставки мультимедийных данных, контроль качества обслуживания, передачу информации об участниках текущего сеанса связи, управление и идентификацию, и иногда считается частью протокола RTP.

Во многих публикациях, посвященных IP-телефонии, отмечается, что большая часть сетевого оборудования и специального программного обеспечения для данной технологии разрабатывается на базе Рекомендации Сектора стандартизации электросвязи Международного союза электросвязи (МСЭ-Т) Н.323 (в том числе, TAPI 3.0, NetMeeting 2.0 и т.д.). Как соотносится Н.323 с протоколами RTP и RTCP? Н.323 - это широкий концептуальный каркас, включающий множество других стандартов, каждый из которых отвечает за различные аспекты передачи информации. Большинство из этих стандартов, например, стандарты аудио- и видеокодеков, имеют широкое применение не только в IP-телефонии. Что касается протоколов RTP/RTCP, то они составляют основу стандарта H.323, ориентированы на обеспечение именно IP-технологии, лежат в основе организации IP-телефонии. Рассмотрению данных протоколов и посвящена эта статья.

2. Основные понятия

Транспортный протокол реального времени RTP обеспечивает сквозную передачу в реальном времени мультимедийных данных, таких как интерактивное аудио и видео. Этот протокол реализует распознавание типа трафика, нумерацию последовательности пакетов, работу с метками времени и контроль передачи.

Действие протокола RTP сводится к присваиванию каждому исходящему пакету временных меток. На приемной стороне временные метки пакетов указывают на то, в какой последовательности и с какими задержками их необходимо воспроизводить. Поддержка RTP и RTCP позволяет принимающему узлу располагать принимаемые пакеты в надлежащем порядке, снижать влияние неравномерности времени задержки пакетов в сети на качество сигнала и восстанавливать синхронизацию между аудио и видео, чтобы поступающая информация могла правильно прослушиваться и просматриваться пользователями.

Заметим, что RTP сам по себе не имеет никакого механизма, гарантирующего своевременную передачу данных и качество обслуживания, но для обеспечения этого использует службы нижележащего уровня. Он не предотвращает нарушения порядка следования пакетов, но при этом и не предполагает, что основная сеть абсолютно надежна и передает пакеты в нужной последовательности. Порядковые номера, включенные в RTP, позволяют получателю восстанавливать последовательность пакетов отправителя.

Протокол RTP поддерживает как двустороннюю связь, так и передачу данных группе адресатов, если групповая передача поддерживается нижележащей сетью. RTP предназначен для обеспечения информации, требуемой отдельным приложениям, и в большинстве случаев интегрируется в работу приложения.

Хотя протокол RTP считается протоколом транспортного уровня, он функционирует обычно поверх другого протокола транспортного уровня UDP (User Datagram Protocol). Оба протокола вносят свои доли в функциональность транспортного уровня. Следует отметить, что RTP и RTCP являются независимыми от нижележащих уровней - транспортного и сетевого, поэтому протоколы RTP/RTCP могут использоваться с другими подходящими транспортными протоколами.

Протокольные блоки данных RTP/RTCP называются пакетами. Пакеты, формируемые в соответствии с протоколом RTP и служащие для передачи мультимедийных данных, называются информационными пакетами или пакетами данных (data packets), а пакеты, генерируемые в соответствии с протоколом RTCP и служащие для передачи служебной информации, требуемой для надежной работы телеконференции, называют пакетами управления или служебными пакетами (control packets). Пакет RTP включает в свой состав фиксированный заголовок, необязательное расширение заголовка переменной длины и поле данных. Пакет RTCP начинается с фиксированной части (подобной фиксированной части информационных пакетов RTP), за которой следуют структурные элементы, имеющие переменную длину.

Для того, чтобы протокол RTP был более гибким и мог применяться для различных приложений, некоторые его параметры сделаны преднамеренно не определенными, но зато в нем предусмотрено понятие профиля. Профиль (profile) - это набор параметров протоколов RTP и RTCP для конкретного класса приложений, определяющий особенности их функционирования. В профиле определяются использование отдельных полей заголовков пакетов, типы трафика, дополнения к заголовкам и расширения заголовков, типы пакетов, услуги и алгоритмы обеспечения безопасности связи, особенности использования протокола нижележащего уровня и т.д (в качестве примере в разделе 11 рассмотрен предложенный в RFC 1890 профиль RTP для аудио- и видеоконференций с минимальным управлением). Каждое приложение обычно работает только с одним профилем, и задание типа профиля происходит путем выбора соответствующего приложения. Никакой явной индикации типа профиля номером порта, идентификатором протокола и т.п. не предусмотрено.

Таким образом, полная спецификация RTP для конкретного приложения должна включать дополнительные документы, к которым относятся описание профиля, а также описание формата трафика, определяющее, как трафик конкретного типа, такой как аудио или видео, будет обрабатываться в RTP.

Особенности передачи мультимедийных данных при проведении аудио- и видеоконференций рассмотрены в следующих разделах.

2.1. Групповая аудиоконференцсвязь

Для организации групповой аудиоконференцсвязи требуется многопользовательский групповой адрес и два порта. При этом один порт необходим для обмена звуковыми данными, а другой используется для пакетов управления протокола RTCP. Информация о групповом адресе и портах передается предполагаемым участникам телеконференции. Если требуется секретность, то информационные и управляющие пакеты могут быть зашифрованы, как определено в разделе 7.1, в этом случае также должен быть сгенерирован и распределен ключ шифрования.

Приложение аудиоконференцсвязи, используемое каждым участником конференции, посылает звуковые данные малыми порциями, например, продолжительностью 20 мс. Каждой порции звуковых данных предшествует заголовок RTP; заголовок RTP и данные поочередно формируются (инкапсулируются) в пакет UDP. Заголовок RTP показывает, какой тип кодирования звука (например, ИКМ, АДИКМ или LPC) использовался при формировании данных в пакете. Это дает возможность изменять тип кодирования в процессе конференции, например, при появлении нового участника, который использует линию связи с низкой полосой пропускания, или при перегрузках сети.

В сети Internet, как и в других сетях передачи данных с коммутацией пакетов, пакеты иногда теряются и переупорядочиваются, а также задерживаются на различное время. Для противодействия этим событиям заголовок RTP содержит временную метку и порядковый номер, которые позволяют получателям восстановить синхронизацию в исходном виде так, чтобы, например, участки звукового сигнала воспроизводились динамиком непрерывно каждые 20 мс. Эта реконструкция синхронизации выполняется отдельно и независимо для каждого источника пакетов RTP в телеконференции. Порядковый номер может также использоваться получателем для оценки количества потерянных пакетов.

Так как участники телеконференции могут вступать и выходить из нее во время ее проведения, то полезно знать, кто участвует в ней в данный момент, и как хорошо участники конференции получают звуковые данные. Для этой цели каждый экземпляр звукового приложения во время конференции периодически выдает на порт управления (порт RTCP) для приложений всех остальных участников сообщения о приеме пакетов с указанием имени своего пользователя. Сообщение о приеме указывает, как хорошо слышим текущий оратор, и может использоваться для управления адаптивными кодерами. В дополнение к имени пользователя, может быть включена также другая информация идентификации для контроля полосы пропускания. При выходе из конференции сайт посылает пакет BYE протокола RTCP.

2.2. Видеоконференцсвязь

Если в телеконференции используются и звуковые, и видеосигналы, то они передаются отдельно. Для передачи каждого типа трафика независимо от другого спецификацией протокола вводится понятие сеанса связи RTP (см. список используемых сокращений и терминов). Сеанс определяется конкретной парой транспортных адресов назначения (один сетевой адрес плюс пара портов для RTP и RTCP). Пакеты для каждого типа трафика передаются с использованием двух различных пар портов UDP и/или групповых адресов. Никакого непосредственного соединения на уровне RTP между аудио- и видеосеансами связи не имеется, за исключением того, что пользователь, участвующий в обоих сеансах, должен использовать одно и то же каноническое имя в RTCP-пакетах для обоих сеансов так, чтобы сеансы могли быть связаны.

Одна из причин такого разделения состоит в том, что некоторым участникам конференции необходимо позволить получать только один тип трафика, если они этого желают. Несмотря на разделение, синхронное воспроизведение мультимедийных данных источника (звука и видео) может быть достигнуто при использовании информации таймирования, которая переносится в пакетах RTCP для обоих сеансов.

2.3. Понятие о микшерах и трансляторах

Не всегда все сайты имеют возможность получать мультимедийные данные в одинаковом формате. Рассмотрим случай, когда участники из одной местности соединены через низкоскоростную линию связи с большинством других участников конференции, которые обладают широкополосным доступом к сети. Вместо того, чтобы вынуждать каждого использовать более узкую полосу пропускания и звуковое кодирование с пониженным качеством, средство связи уровня RTP, называемое микшером, может быть размещено в области с узкой полосой пропускания. Этот микшер повторно синхронизирует входящие звуковые пакеты для восстановления исходных 20-миллисекундных интервалов, микширует эти восстановленные звуковые потоки в один поток, производит кодирование звукового сигнала для узкой полосы пропускания и передает поток пакетов через низкоскоростную линию связи. При этом пакеты могут быть адресованы одному получателю или группе получателей с различными адресами. Чтобы в приемных оконечных точках можно было обеспечивать правильную индикацию источника сообщений, заголовок RTP включает для микшеров средства опознавания источников, участвовавших в формировании смешанного пакета.

Некоторые из участников аудиоконференции могут быть соединены широкополосными линиями связи, но могут быть недостижимы посредством групповой конференцсвязи с использованием протокола IP (IPM - IP multicast). Например, они могут находиться за брандмауэром прикладного уровня, который не будет допускать никакой передачи IP-пакетов. Для таких случаев нужны не микшеры, а средства связи уровня RTP другого типа, называемые трансляторами. Из двух трансляторов один устанавливается вне брандмауэра и снаружи передает все групповые пакеты, полученные через безопасное соединение, другому транслятору, установленному за брандмауэром. Транслятор за брандмауэром передает их снова как мультивещательные пакеты многопользовательской группе, ограниченной внутренней сетью сайта.

Микшеры и трансляторы могут быть разработаны для ряда целей. Пример: микшер видеосигнала, который масштабирует видеоизображения отдельных людей в независимых потоках видеосигнала и выполняет их композицию в один поток видеосигнала, моделируя групповую сцену. Примеры трансляции: соединение группы хостов, использующих только протоколы IP/UDP с группой хостов, которые воспринимают только ST-II, или перекодирование видеосигнала пакет за пакетом из индивидуальных источников без пересинхронизации или микширования. Детали работы микшеров и трансляторов рассмотрены в разделе 5.

2.4. Порядок байтов, выравнивание и формат меток времени

Все поля пакетов RTP/RTCP передаются по сети байтами (октетами); при этом наиболее значащий байт передается первым. Все данные полей заголовка выравниваются в соответствии с их длиной. Октеты, обозначенные как дополнительные, имеют нулевое значение.

Абсолютное время (время Wallclock) в RTP представлено с использованием формата временной метки сетевого протокола времени NTP (Network Time Protocol), который является отсчетом времени в секундах относительно нуля часов 1 января 1900 года. Полный формат временной метки NTP - 64-разрядное число без знака с фиксированной запятой с целой частью в первых 32 битах и дробной - в последних 32 битах. В некоторых полях с более компактным представлением используются только средние 32 бита - младшие 16 битов целой части и старшие 16 битов дробной части.

В следующих двух разделах данной статьи (3 и 4) рассматриваются форматы пакетов и особенности функционирования протоколов RTP и RTCP соответственно.

3. Протокол передачи данных RTP

3.1. Поля фиксированного заголовка RTP

Как было отмечено выше, пакет RTP включает в свой состав фиксированный заголовок, необязательное расширение заголовка с переменной длиной и поле данных. Фиксированный заголовок пакетов протокола RTP имеет следующий формат: .

Первые двенадцать октетов присутствуют в каждом пакете RTP, в то время как поле идентификаторов включаемых источников CSRC (сontributing source) присутствует только тогда, когда оно вставлено микшером. Поля имеют следующие назначения.

Версия (V): 2 бита. Это поле идентифицирует версию RTP. В данной статье рассматривается версия 2 протокола RTP (величина 1 использовалась в первой черновой версии RTP).

Дополнение (P): 1 бит. Если бит дополнения установлен в единицу, то пакет в конце содержит один или более октетов дополнения, которые не являются частью трафика. Последний октет дополнения содержит указание на число таких октетов, которые должны впоследствии игнорироваться. Дополнение может требоваться некоторым алгоритмам шифрования с фиксированными размерами блока или для переноса нескольких пакетов RTP в одном блоке данных протокола нижележащего уровня.

Расширение (X): 1 бит. Если бит расширения установлен, то за фиксированным заголовком следует расширение заголовка с форматом, определенным в .

Счетчик CSRC (CC): 4 бита. Счетчик CSRC содержит число идентификаторов включаемых источников CSRC (см. список используемых сокращений и терминов), которые следуют за фиксированным заголовком.

Маркер (M): 1 бит. Интерпретация маркера определяется профилем. Он предназначен для того, чтобы позволить маркировать в потоке пакетов значительные события (например, границы видеокадра). Профиль может вводить дополнительные биты маркера или определять, что никакого бита маркера не имеется, изменяя число битов в поле типа трафика (см. ).

Тип трафика (PT): 7 бит. Это поле идентифицирует формат трафика RTP и определяет его интерпретацию приложением. Профиль определяет заданное по умолчанию статическое соответствие значений РТ и форматов трафика. Дополнительные коды типа трафика могут быть определены динамически через не-RTP средства. Отправитель пакета RTP в любой момент времени выдает единственное значение типа трафика RTP; это поле не предназначено для мультиплексирования отдельных мультимедийных потоков (см. ).

Порядковый номер: 16 бит. Значение порядкового номера увеличивается на единицу с каждым посланным информационным пакетом RTP и может использоваться получателем для обнаружения потерь пакетов и восстановления их исходной последовательности. Начальная величина порядкового номера выбирается случайным образом, чтобы усложнить попытки взлома ключа с опорой на известные значения данного поля (даже если шифрование не используется источником, так как пакеты могут проходить через транслятор, который применяет шифрование). Временная метка: 32 бита. Временная метка отражает момент дискретизации для первого октета в информационном пакете RTP. Момент дискретизации должен быть получен от таймера, который увеличивает свои значения монотонно и линейно во времени, для обеспечения синхронизации и определения джиттера (см. раздел 4.3.1). Разрешение таймера должно быть достаточным для желательной точности синхронизации и измерения джиттера поступления пакетов (одного отчета таймера на видеокадр обычно бывает недостаточно). Частота таймирования зависит от формата передаваемого трафика и задается статически в профиле или спецификации формата трафика или может задаваться динамически для форматов трафика, определенных через «не-RTP средства». Если пакеты RTP генерируются периодически, то должны использоваться номинальные моменты дискретизации, определяемые таймером дискретизации, а не значения системного таймера. Например, для звукового сигнала с фиксированной скоростью желательно, чтобы датчик временной метки увеличивался на единицу для каждого периода дискретизации. Если звуковое приложение из устройства ввода читает блоки, содержащие 160 отсчетов, то временная метка при этом должна увеличиваться на 160 для каждого такого блока, независимо от того, передан ли блок в пакете или сброшен, как пауза. Начальное значение временной метки, так же, как и начальное значение порядкового номера, является случайной величиной. Несколько последовательных пакетов RTP могут иметь равные временные метки, если они логически генерируются одновременно, например, принадлежат одному и тому же видеокадру. Последовательные пакеты RTP могут содержать немонотонные временные метки, если данные не передаются в порядке дискретизации, как в случае интерполируемых видеокадров MPEG (однако порядковые номера пакетов при передаче все же будут монотонными).

SSRC: 32 бита. Поле SSRC (synchronization source) идентифицирует источник синхронизации (см. список используемых сокращений и терминов). Этот идентификатор выбирается случайным образом так, чтобы никакие два источника синхронизации в рамках одного и того же сеанса связи RTP не имели одинаковых идентификаторов SSRC. Хотя вероятность того, что несколько источников выберут один и тот же идентификатор, низка, все же все реализации RTP должны быть готовы обнаруживать и разрешать подобные коллизии. В разделе 6 рассмотрена вероятность коллизий вместе с механизмом для их разрешения и обнаружения зацикливаний уровня RTP, основанным на уникальности идентификатора SSRC. Если источник изменяет свой исходный транспортный адрес, то он должен также выбрать новый идентификатор SSRC, чтобы его не интерпретировали как зацикленный источник.

Список CSRC: от 0 до 15 пунктов, 32 бита каждый. Список CSRC (сontributing source) идентифицирует включаемые источники трафика, содержащегося в пакете. Число идентификаторов задается полем CC. Если имеется более пятнадцати включаемых источников, то только 15 из них могут быть идентифицированы. Идентификаторы CSRC вставляются микшерами при использовании идентификаторов SSRC для включаемых источников. Например, для звуковых пакетов идентификаторы SSRC всех источников, которые были смешаны при создании пакета, перечисляются в списке CSRC, обеспечивая корректную индикацию источников сообщений для получателя.

3.2. Сеансы связи RTP

Как было упомянуто выше, в соответствии с протоколом RTP трафик различных типов должен передаваться отдельно, в разных сеансах связи RTP. Сеанс определяется конкретной парой транспортных адресов назначения (один сетевой адрес плюс пара портов для RTP и RTCP). Например, в телеконференции, составленной из звукового и видеосигнала, кодированных отдельно, трафик каждого типа нужно передавать в отдельном сеансе RTP со своим собственным транспортным адресом назначения. Не предполагается, что звуковой и видеосигнал будут передаваться в одном сеансе RTP и разделяться на основе типа трафика или полей SSRC. Перемежение пакетов, имеющих различные типы трафика, но использующих один и тот же SSRC, вызвало бы некоторые проблемы:

1. Если в течение сеанса один из типов трафика изменится, то не будет никаких общих средств, чтобы определить, какая из старых величин была заменена новой.
2. SSRC идентифицирует единственное значение интервала таймирования и пространство порядкового номера. Перемежение множества типов трафика потребовало бы различных интервалов синхронизации, если тактовые частоты разных потоков различаются, и различных пространств порядковых номеров для индикации типа трафика, к которому относится потеря пакета.
3. Сообщения отправителя и получателя протокола RTCP (см. раздел 4.3) описывают только одно значение интервала таймирования и пространство порядковых номеров для SSRC и не передают поле типа трафика.
4. Микшер RTP не способен объединять перемеженные потоки различных типов трафика в один поток.
5. Передаче множества типов трафика в одном сеансе RTP препятствуют следующие факторы: использование различных сетевых путей или распределение сетевых ресурсов; прием подмножества мультимедийных данных, когда это требуется, например, только звука, если видеосигнал превысил доступную полосу пропускания; реализации приемника, которые используют отдельные процессы для различных типов трафика, в то время как использование отдельных сеансов RTP допускает реализации как с одним, так и со множеством процессов.

При использовании для каждого типа трафика различных SSRC, но при передаче их в одном и том же сеансе RTP, можно избежать первых трех проблем, но двух последних избежать не удастся. Поэтому спецификация протокола RTP предписывает для каждого типа трафика использовать свой сеанс RTP.

3.3. Определяемые профилем изменения заголовка RTP

Существующий заголовок информационного пакета RTP является полным для набора функций, требуемых в общем случае для всех классов приложений, которые могли бы поддерживать RTP. Однако, для лучшего приспособления к конкретным задачам заголовок может быть видоизменен посредством модификаций или дополнений, определенных в спецификации профиля.

Бит маркера и поле типа трафика несут информацию, зависящую от профиля, но они расположены в фиксированном заголовке, так как ожидается, что в них будут нуждаться много приложений. Октет, содержащий эти поля, может быть переопределен профилем для удовлетворения различным требованиям, например, с большим или меньшим количеством битов маркера. Если имеются какие-либо биты маркера, они должны размещаться в старших битах октета, так как независимые от профиля мониторы могут быть способны наблюдать корреляцию между характером потерь пакетов и битом маркера.

Дополнительная информация, которая требуется для конкретного формата трафика (например, тип кодирования видеосигнала), должна передаваться в поле данных пакета. Она может размещаться на определенном месте в начале или внутри массива данных.

Если конкретный класс приложений нуждается в дополнительных функциональных возможностях, не зависящих от формата трафика, то профиль, с которым функционируют эти приложения, должен определить дополнительные фиксированные поля, располагаемые сразу после поля SSRC существующего фиксированного заголовка. Эти приложения будут способны быстро напрямую обращаться к дополнительным полям, в то время как профиль-независимые мониторы или регистраторы все еще будут способны обрабатывать пакеты RTP, интерпретируя только первые двенадцать октетов.

Если считается, что дополнительные функциональные возможности необходимы в общем для всех профилей, то должна быть определена новая версия RTP, чтобы сделать постоянное изменение фиксированного заголовка.

3.4. Расширение заголовка RTP

Для обеспечения возможности отдельным реализациям экспериментировать с новыми функциями, независимыми от формата трафика, которые требуют, чтобы в заголовке информационного пакета передавалась дополнительная информация, протоколом RTP предусмотрен механизм расширения заголовка пакета. Этот механизм разработан так, чтобы расширение заголовка могло игнорироваться другими взаимодействующими приложениями, которым оно не требуется.

Если бит X в заголовке RTP установлен в единицу, то к фиксированному заголовку RTP (вслед за списком CSRC, если он есть) присоединяется расширение заголовка с переменной длиной. Заметим, что это расширение заголовка предназначено только для ограниченного использования. Расширение заголовка пакета RTP имеет следующий формат:

Расширение содержит 16-разрядное поле длины, которое показывает количество 32-разрядных слов в нем, исключая четырехоктетный заголовок расширения (следовательно, длина может иметь нулевое значение). Только одно расширение может быть добавлено к фиксированному заголовку информационного пакета RTP. Чтобы позволить каждому из множества взаимодействующих реализаций экспериментировать независимо с различными расширениями заголовка или позволять конкретной реализации экспериментировать более чем с одним типом расширения заголовка, использование первых 16 битов расширения не определено, оставлено для различающих идентификаторов или параметров. Формат из этих 16 битов должен быть определен спецификацией профиля, с которым работают приложения.

1999

2000