Možnosti šifrování pro notebooky

Výběrem výrobce učiní náš manažer velký krok směrem k ochraně duševního vlastnictví firmy. Během posledních...


Výběrem výrobce učiní náš manažer velký krok směrem k ochraně duševního
vlastnictví firmy.

Během posledních dvou týdnů jsem spustil projekt šifrování disků, jednu z
technologických iniciativ zařazenou do programu pro ochranu intelektuálního
majetku naší společnosti. (V příštím příspěvku se dotknu zavedení jiné
technologické aktivity, digitální správy autorských práv.)
Naším cílem je v rámci úsilí zaměřeného na šifrování disků zabránit ztrátě
duševního vlastnictví způsobené krádeží notebooku. V několika případech totiž
byly pohřešovány nebo odcizeny laptopy vedoucích pracovníků. Jeden z oněch
postrádaných notebooků ale obsahoval i část našeho intelektuálního vlastnictví
a také citlivá data zahrnující informace o ještě nedokončené akvizici,
produktové strategii či o roadmapách. Naštěstí byl znovu nalezen.
Kdyby se mělo znova stát něco takového, chceme, aby byla data na pevném disku
přenosného počítače nečitelná, což znamená, že musíme celý harddisk zašifrovat.
Shromáždil jsem tým složený ze zástupců našeho helpdesku, inženýrských skupin
pro Windows a pro webové aplikace i z mého oddělení informační bezpečnosti. Po
počátečním setkání, které každého seznámilo s rozsahem projektu a stavem
technologie, jsme začali vážně uvažovat o třech produktech, jimiž byly
Encryption File System (EFS) společnosti Microsoft, Whole Disk společnosti PGP
a Pointsec for PC od firmy Pointsec Mobile Technologies.

Microsoft EFS
EFS byl atraktivní v tom smyslu, že je nativně vestavěný ve Windows, a tudíž je
v podstatě zdarma. Navíc Microsoft je velká firma a máme s ní už určitý vztah,
takže její životaschopnost a podpora pro nás nejsou žádnou neznámou. Chtěli
jsme ale produkt, který by šifroval celý pevný disk, nikoliv pouze jednotlivé
soubory, nevyžadoval žádné změny ve způsobu, jakým uživatelé používají své
notebooky, a byl kompatibilní se všemi našimi platformami.
Jakkoliv byl tedy EFS přitažlivý, nakonec byl rychle vyřazen, a to převážně
proto, že není schopen šifrovat celý obsah disku. Vedle toho jsou zde některé
problémy ohledně sdílení souborů mezi Windows XP a Windows 2000 a je dosti
pravděpodobné, že by soubory mohly skončit v těch oblastech disku, jež
šifrovány nejsou. Pravdou je, že poslední problém bychom mohli obejít použitím
skupinových politik pro kontrolu konfigurací notebooků uživatelů, ale
projektový tým se rozhodnul skupinové politiky neaplikovat. A konečně, EFS
nepodporuje Linux, díky čemuž by byli mnozí z našich inženýrů vynecháni.
A co PGP? Mě osobně se PGP líbí, využíváme jej koneckonců pro šifrování
e-mailů. Téměř každý bezpečnostní profesionál, kterého znám, má PGP klíč a
myslel jsem si, že bychom tuto technologii mohli integrovat se šifrováním
celého disku. Bohužel systém PGP pro šifrování celého disku je relativně nový a
projektový tým se více přikláněl k možnosti zvolit takový produkt, který už je
na trhu nějakou dobu a má za sebou nějakou historii na poli rozsáhlých nasazení.

Nejlepší volba
Tak jsme nakonec skončili u řešení Pointsec for PC, které de facto splňuje
všechny naše požadavky. Nabízí také alternativy pro operační systémy Palm OS a
Pocket PC a pro některé z našich smartphonů. Pointsec for PC používá
předkonfigurovaného agenta, který když je instalován na uživatelově notebooku,
transparentním způsobem zašifruje celý pevný disk a poté modifikuje Master Boot
Record (MBR), takže se uživatel musí autentizovat vůči softwaru vloženém v MBR
ještě předtím, než je mu umožněn přístup k PC.
Jak patrně víte, MBR je informace v prvním sektoru pevného disku, která
identifikuje, kde je umístěn operační systém, aby mohl být nabootován do
paměti. Modifikace MBR je ale značně riskantní jestliže je harddisk zašifrován
a MBR bude porušen, data na disku jsou v podstatě ztracena. To je riziko, s
nímž bude potřeba se vypořádat prostřednictvím náležitého zálohování.
Uživatelé budou nicméně nadále používat své podniková oprávnění a autentizovat
se pouze jedenkrát. Software v MBR předá autentizační údaje pro přihlášení do
operačního systému. Jakmile je uživatel autentizován, neměl by se setkat s
žádnými omezeními v obsluze počítače. Myšlenkou je, že nakonfigurujeme agenta a
umístíme jej na jednu z našich intranetových webových stránek. Uživatelé, kteří
potřebují nebo jednoduše chtějí používat šifrování celého disku, budou muset
kontaktovat IT oddělení, a zde obdrží software i patřičné instrukce.
Stejně jako u každého nasazení globálního charakteru musíme předem definovat
model podpory helpdesku. Pointsec ji provádí prostřednictvím webového nástroje,
který administrátorům helpdesku, aby mohli pomoci uživatelům v případech, že se
nemohou dostat do svého přenosného zařízení, umožňuje přistupovat k jedinému
správnímu systému.

Úschova klíčů
Jednou ze znepokojivých otázek ale bylo, co dělat, když zaměstnanci opustí
firmu nebo když bude notebook potřeba vyhodnotit jako součást nějakého šetření
nebo jiné záležitosti týkající se legislativy či lidských zdrojů. Pointsec
(stejně jako ostatní výše zmíněné produkty) nabízí funkcionalitu key-escrow
(úschova klíče). Ta umožňuje, aby byl zakódovaný notebook rozšifrován
důvěryhodnou autoritou v naší společnosti budu touto důvěryhodnou autoritou
nejspíš já.
Následujícím krokem v rámci projektu je začít se zkoušením konceptu, aby měl
tým možnost se ztotožnit s novou technologií a abychom měli příležitost
otestovat software proti našemu extrémně dynamickému prostředí. Na rozdíl od
finančních služeb, zdravotnictví a některých regulovaných odvětví mají naši
uživatelé na svých noteboocích nainstalovány všechny možné druhy aplikací,
které rád označuji jako "plesnivé". Někteří inženýři a vývojáři například mají
různé druhy ladicích nástrojů a využívají prostředí s podporou více bootování,
přičemž všechna z nich musejí být obšírně otestována. Navíc jsme globální
firmou, takže se musíme ujistit, že může být produkt používán i na notebooky s
operačními systémy a aplikacemi v jiném jazyce.
Jsem si však docela jistý, že nasazení proběhne úspěšně a že brzy budeme moci,
abychom vyřešili současné i budoucí potřeby společnosti, poskytnout našim
uživatelům software pro šifrování disků.
Informace o úskalích šifrování harddisků naleznete například v příspěvcích
Rizikové harddisky a Antiforenzní nástroje, uveřejněné v BusinessWorldu 5/2006,
respektive 6/2006.

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.