Комментарии 13
Процесс шифрования происходит по следующей схеме:
исходный файл шифруется с использованием алгоритма AES и случайно сгенерированного программой симметричного ключа длиной 256 бит;
симметричный ключ защищается шифрованием по алгоритму RSA при помощи открытого ключа пользователя длиной до 8192 бит и сохраняется в альтернативном потоке данных NTFS.
Судя по описанию оно не совместимо ни с какими сетевыми хранилищами. Включая локальную сеть.
Поэтому чтобы сделать бекап зашифрованных данных нужно будет их расшифровать либо использовать программу для бекапа, поддерживающую ADS.
+1
Если сетевой диск (microsoft sharing) на NTFS, то мы к нему в качестве надстройки добавляем ADS – в отличии от EFS мы нашли способ как это сделать. Инструкция пользователя прилагается к программе.
По поводу облачных хранилищ — любой родной клиент облачного сервиса, которым вы пользуетесь, устанавливается не в качестве доверенного, а в качестве приложения имеющего доступ к зашифрованной информации. Таким образом, на облако отправляются зашифрованные данные и в момент их отправления драйвер дописывает в начало файла служебную информацию из альтернативных потоков. Процесс расшифровки сочетает извлечение сначала служебного блока 4096 байт, а потом расшифровывается сам файл. Однако система облачного копирования находится в стадии бета тестирования и на данный момент недоступна.
По поводу облачных хранилищ — любой родной клиент облачного сервиса, которым вы пользуетесь, устанавливается не в качестве доверенного, а в качестве приложения имеющего доступ к зашифрованной информации. Таким образом, на облако отправляются зашифрованные данные и в момент их отправления драйвер дописывает в начало файла служебную информацию из альтернативных потоков. Процесс расшифровки сочетает извлечение сначала служебного блока 4096 байт, а потом расшифровывается сам файл. Однако система облачного копирования находится в стадии бета тестирования и на данный момент недоступна.
-3
Да, поддержка AES-NI есть.
По поводу Трукрипта. С его помощью можно создать лишь виртуальный криптоконтейнер. Во время работы с одним из файлов, хранящимся на криптоконтейнере все остальные хранящиеся там файлы также расшифровываются и становятся уязвимыми. Подробнее об этом писал здесь: habrahabr.ru/company/cybersafe/blog/208824/. А прозрачная система шифрования файлов без криптодиска позволяет держать файлы на локальном компьютере и на сервере в постоянно зашифрованном виде.
Кроме того, CyberSafe поддерживает как прозрачное шифрование, так и создание криптоконтейнеров как 2 разные концепции безопасности.
Во-вторых, только с помощью системы доверенных приложений можно сделать бэкап на облачные сервисы тех файлов, которые непосредственно зашифрованы на вашем на компьютере, а не через специальные клиенты этих сервисов.
Еще, Трукрипт не поддерживает асимметричную криптографию и системы публичных ключей, назначение прав доступа к папке нескольких пользователей, у которых разные ключи, поэтому не может быть использован в корпоративном пространстве.
По поводу EncFS – это отдельный криптографический продукт, мы не можем поддерживать или не поддерживать его. Мы предлагаем свой взгляд на безопасность исходя из опыта.
По поводу Трукрипта. С его помощью можно создать лишь виртуальный криптоконтейнер. Во время работы с одним из файлов, хранящимся на криптоконтейнере все остальные хранящиеся там файлы также расшифровываются и становятся уязвимыми. Подробнее об этом писал здесь: habrahabr.ru/company/cybersafe/blog/208824/. А прозрачная система шифрования файлов без криптодиска позволяет держать файлы на локальном компьютере и на сервере в постоянно зашифрованном виде.
Кроме того, CyberSafe поддерживает как прозрачное шифрование, так и создание криптоконтейнеров как 2 разные концепции безопасности.
Во-вторых, только с помощью системы доверенных приложений можно сделать бэкап на облачные сервисы тех файлов, которые непосредственно зашифрованы на вашем на компьютере, а не через специальные клиенты этих сервисов.
Еще, Трукрипт не поддерживает асимметричную криптографию и системы публичных ключей, назначение прав доступа к папке нескольких пользователей, у которых разные ключи, поэтому не может быть использован в корпоративном пространстве.
По поводу EncFS – это отдельный криптографический продукт, мы не можем поддерживать или не поддерживать его. Мы предлагаем свой взгляд на безопасность исходя из опыта.
-3
Я вот всё равно не понял о преимуществах перед трукриптом или Cryptic Disk-ом.
Чушь какая-то. Физически файлы зашифрованными и остаются. На то это и есть прозрачное шифрование. При чтении — расшифровывается. При записи зашифровывается.
А надо-ли?
Во время работы с одним из файлов, хранящимся на криптоконтейнере все остальные хранящиеся там файлы также расшифровываются и становятся уязвимыми.
Чушь какая-то. Физически файлы зашифрованными и остаются. На то это и есть прозрачное шифрование. При чтении — расшифровывается. При записи зашифровывается.
Еще, Трукрипт не поддерживает асимметричную криптографию и системы публичных ключей
А надо-ли?
0
Вам приводили ссылку на статью где указано что при подключении диска все файлы доступны для руткитов. Почитайте, умная статья.
Система ключей в трукрипте не нужна потому что он не расчитан на многопользовательское использование. А CyberSafe с успехом может применяться в LAN и на сервере терминалов.
Система ключей в трукрипте не нужна потому что он не расчитан на многопользовательское использование. А CyberSafe с успехом может применяться в LAN и на сервере терминалов.
0
Уязвимыми становятся не все файлы, а только те, с которыми вы работаете. Преимущество CyberSafe в данном случае – система доверенных приложений. Только доверенные приложения, которые вы выбираете сами, имеют доступ к вашей конфиденциальной информации. Все остальные – нет. Даже на момент работы с файлом, когда он расшифрован и уязвим, никакая другая программа, в том числе и вредоносная, не сможет получить к нему доступ.
По поводу асимметричной криптографии — если вы используете криптографию для защиты файлов только на персональном компьютере, тогда, конечно она вам не нужна. Но если вы хотите обмениваться зашифрованной информацией с другими пользователями либо использовать шифрование в корпоративном пространстве, тогда без инфраструктуры открытых ключей просто не обойтись.
По поводу асимметричной криптографии — если вы используете криптографию для защиты файлов только на персональном компьютере, тогда, конечно она вам не нужна. Но если вы хотите обмениваться зашифрованной информацией с другими пользователями либо использовать шифрование в корпоративном пространстве, тогда без инфраструктуры открытых ключей просто не обойтись.
0
Погулял по вашему сайту и забрел в центр сертификации.
Сразу есть несколько вопросов:
1. Что такое сертификат шифрования? Я встречал определение сертификата публичного ключа.
2. Симметричная пара публичный-приватный — вы часом симметричное и асимметричное шифрование не путаете?
3. Шифрование приватным, а дешифрование публичным ключем — ребят, вы серьезно? А в чем профит то тогда, если любая обезьяна, имея мой публичный ключ, сможет декриптовать шифротекст?
Ну и главный вопрос (как следствие из предыдущих): вы точно разбираетесь в вопросе? У любого спеца по ИБ после таких заявлений, могут возникнуть вполне законные вопросы о вменяемости ваших продуктов. Не говоря о том, чтобы начать с ними работать или кому-то рекомендовать. Хотя конечно, сертификат партнерства с Крипто-Про сначала подкупает :)
Не подумайте, что хочу вас обидеть, но у меня сложилось впечатление, что сайт делал авторитетный специалист, вроде Дениса Попова :)
Сертификат шифрования представляет собой симметричную пару ключей приватный – публичный, и предназначен для проведения шифрования, суть которого заключается в том, что шифрование осуществляется приватным ключом, а расшифровка публичным ключом, не являющимся секретным.
Сразу есть несколько вопросов:
1. Что такое сертификат шифрования? Я встречал определение сертификата публичного ключа.
2. Симметричная пара публичный-приватный — вы часом симметричное и асимметричное шифрование не путаете?
3. Шифрование приватным, а дешифрование публичным ключем — ребят, вы серьезно? А в чем профит то тогда, если любая обезьяна, имея мой публичный ключ, сможет декриптовать шифротекст?
Ну и главный вопрос (как следствие из предыдущих): вы точно разбираетесь в вопросе? У любого спеца по ИБ после таких заявлений, могут возникнуть вполне законные вопросы о вменяемости ваших продуктов. Не говоря о том, чтобы начать с ними работать или кому-то рекомендовать. Хотя конечно, сертификат партнерства с Крипто-Про сначала подкупает :)
Не подумайте, что хочу вас обидеть, но у меня сложилось впечатление, что сайт делал авторитетный специалист, вроде Дениса Попова :)
0
Спасибо, что указали на ошибку в тексте — мы обновили информацию на этой странице.
Сертификат шифрования включает в себя ключевую пару (открытый и закрытый ключ). Открытый ключ общедоступен — он отправляется другим пользователям и размещается на серверах открытых ключей. Получив его, пользователи смогут шифровать сообщения в наш адрес. Закрытый ключ следует держать в секрете — он используется для расшифровки полученных сообщений, а также для создания цифровых подписей.
Сертификат шифрования включает в себя ключевую пару (открытый и закрытый ключ). Открытый ключ общедоступен — он отправляется другим пользователям и размещается на серверах открытых ключей. Получив его, пользователи смогут шифровать сообщения в наш адрес. Закрытый ключ следует держать в секрете — он используется для расшифровки полученных сообщений, а также для создания цифровых подписей.
0
Тоже не совсем верно — сертификат не включает в себя ключевую пару, сами же пишете, что закрытый ключ надо хранить в секрете. Сертификат удостоверяет, что открытый ключ действительно соотносится с соответствующим закрытым ключем, а так же удостоверяет, что владелец открытого ключа действительно его владелец.
0
Согласен. Формулировку нужно точнее. При балансе между гиками и домохозяйками бывает что сложно найти вариант который бы устроил обе стороны. Например то же слово «ключ» не совсем по науке: в криптографии принято выражение ключевая информация. Сокращаем для удобства понимания. Но в любом случае в КС используется система ID, который является файлом включающим все ключи (pem), сертифкаты (cer), pfx и проч. Так как используется сразу несколько криптопровайдеров.
0
Я все написал верно. Дело в том, что персональный сертификат CyberSafe включает в себя следующие элементы:
— закрытый ключ (он защищается паролем пользователя). Пароль создается во время создания сертификата, его знаете только вы. поэтому хранение закрытого ключа в секрете по большому счету означает хранение в секрете пароля к нему;
— открытый ключ (его отправляем другим пользователям);
— сертификаты в форматах X.509 и PKCS#12.
Вы говорите о сертификатах X.509 и PKCS#12. Они используются для шифрования почты в почтовых клиентах. В состав этих сертификатов также входят ключи. X.509 содержит открытый ключ, PKCS#12 — открытый и закрытый ключи (здесь закрытый ключ также защищается паролем). Подробнее об этом написано здесь: habrahabr.ru/company/cybersafe/blog/209642/
Вы пишите: «Сертификат удостоверяет, что открытый ключ действительно соотносится с соответствующим закрытым ключем, а так же удостоверяет, что владелец открытого ключа действительно его владелец.»
Это одно и то же: если владелец открытого ключа действительно его владелец, значит его открытый ключ соотносится с его закрытым ключом.
— закрытый ключ (он защищается паролем пользователя). Пароль создается во время создания сертификата, его знаете только вы. поэтому хранение закрытого ключа в секрете по большому счету означает хранение в секрете пароля к нему;
— открытый ключ (его отправляем другим пользователям);
— сертификаты в форматах X.509 и PKCS#12.
Вы говорите о сертификатах X.509 и PKCS#12. Они используются для шифрования почты в почтовых клиентах. В состав этих сертификатов также входят ключи. X.509 содержит открытый ключ, PKCS#12 — открытый и закрытый ключи (здесь закрытый ключ также защищается паролем). Подробнее об этом написано здесь: habrahabr.ru/company/cybersafe/blog/209642/
Вы пишите: «Сертификат удостоверяет, что открытый ключ действительно соотносится с соответствующим закрытым ключем, а так же удостоверяет, что владелец открытого ключа действительно его владелец.»
Это одно и то же: если владелец открытого ключа действительно его владелец, значит его открытый ключ соотносится с его закрытым ключом.
0
Чтобы защитить базу данных, можно принять ряд мер предосторожности, например спроектировать систему безопасности, проводить шифрование конфиденциальных ресурсов и поместить серверы базы данных под защиту брандмауэра. Однако в случае с похищением физического носителя (например, диска или ленты) злоумышленник может просто восстановить или подключить базу данных и получить доступ к данным. Одним из решений может стать шифрование конфиденциальных данных в базе данных и защита ключей, используемых при шифровании, с помощью сертификата. Это не позволит ни одному человеку, не обладающему ключами, использовать данные, однако такой тип защиты следует планировать заранее.
Функция прозрачного шифрования данных (TDE) выполняет в реальном времени шифрование и дешифрование файлов данных и журналов в операциях ввода-вывода. При шифровании используется ключ шифрования базы данных (DEK), который хранится в загрузочной записи базы данных для доступности при восстановлении. Ключ шифрования базы данных является симметричным ключом, защищенным сертификатом, который хранится в базе данных master на сервере, или асимметричным ключом, защищенным модулем расширенного управления ключами. Функция прозрачного шифрования данных защищает «неактивные» данные, то есть файлы данных и журналов. Она дает возможность обеспечивать соответствие требованиям многих законов, постановлений и рекомендаций, действующих в разных отраслях. Это позволяет разработчикам программного обеспечения шифровать данные с помощью алгоритмов шифрования AES и 3DES, не меняя существующие приложения.
Функция прозрачного шифрования данных (TDE) выполняет в реальном времени шифрование и дешифрование файлов данных и журналов в операциях ввода-вывода. При шифровании используется ключ шифрования базы данных (DEK), который хранится в загрузочной записи базы данных для доступности при восстановлении. Ключ шифрования базы данных является симметричным ключом, защищенным сертификатом, который хранится в базе данных master на сервере, или асимметричным ключом, защищенным модулем расширенного управления ключами. Функция прозрачного шифрования данных защищает «неактивные» данные, то есть файлы данных и журналов. Она дает возможность обеспечивать соответствие требованиям многих законов, постановлений и рекомендаций, действующих в разных отраслях. Это позволяет разработчикам программного обеспечения шифровать данные с помощью алгоритмов шифрования AES и 3DES, не меняя существующие приложения.
0
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Прозрачное шифрование файлов на локальном компьютере при помощи CyberSafe Files Encryption