Comments 13
Кроме списка доверенных приложений какие есть киллер фичи по сравнению с трукриптом? Или может у ваших зашифрованных папок есть совместимость с EncFS как у тоже платного BםxCryptor?
AES-NI хотя бы поддерживаете?
AES-NI хотя бы поддерживаете?
Процесс шифрования происходит по следующей схеме:
исходный файл шифруется с использованием алгоритма AES и случайно сгенерированного программой симметричного ключа длиной 256 бит;
симметричный ключ защищается шифрованием по алгоритму RSA при помощи открытого ключа пользователя длиной до 8192 бит и сохраняется в альтернативном потоке данных NTFS.
Судя по описанию оно не совместимо ни с какими сетевыми хранилищами. Включая локальную сеть.
Поэтому чтобы сделать бекап зашифрованных данных нужно будет их расшифровать либо использовать программу для бекапа, поддерживающую ADS.
Если сетевой диск (microsoft sharing) на NTFS, то мы к нему в качестве надстройки добавляем ADS – в отличии от EFS мы нашли способ как это сделать. Инструкция пользователя прилагается к программе.
По поводу облачных хранилищ — любой родной клиент облачного сервиса, которым вы пользуетесь, устанавливается не в качестве доверенного, а в качестве приложения имеющего доступ к зашифрованной информации. Таким образом, на облако отправляются зашифрованные данные и в момент их отправления драйвер дописывает в начало файла служебную информацию из альтернативных потоков. Процесс расшифровки сочетает извлечение сначала служебного блока 4096 байт, а потом расшифровывается сам файл. Однако система облачного копирования находится в стадии бета тестирования и на данный момент недоступна.
По поводу облачных хранилищ — любой родной клиент облачного сервиса, которым вы пользуетесь, устанавливается не в качестве доверенного, а в качестве приложения имеющего доступ к зашифрованной информации. Таким образом, на облако отправляются зашифрованные данные и в момент их отправления драйвер дописывает в начало файла служебную информацию из альтернативных потоков. Процесс расшифровки сочетает извлечение сначала служебного блока 4096 байт, а потом расшифровывается сам файл. Однако система облачного копирования находится в стадии бета тестирования и на данный момент недоступна.
Да, поддержка AES-NI есть.
По поводу Трукрипта. С его помощью можно создать лишь виртуальный криптоконтейнер. Во время работы с одним из файлов, хранящимся на криптоконтейнере все остальные хранящиеся там файлы также расшифровываются и становятся уязвимыми. Подробнее об этом писал здесь: habrahabr.ru/company/cybersafe/blog/208824/. А прозрачная система шифрования файлов без криптодиска позволяет держать файлы на локальном компьютере и на сервере в постоянно зашифрованном виде.
Кроме того, CyberSafe поддерживает как прозрачное шифрование, так и создание криптоконтейнеров как 2 разные концепции безопасности.
Во-вторых, только с помощью системы доверенных приложений можно сделать бэкап на облачные сервисы тех файлов, которые непосредственно зашифрованы на вашем на компьютере, а не через специальные клиенты этих сервисов.
Еще, Трукрипт не поддерживает асимметричную криптографию и системы публичных ключей, назначение прав доступа к папке нескольких пользователей, у которых разные ключи, поэтому не может быть использован в корпоративном пространстве.
По поводу EncFS – это отдельный криптографический продукт, мы не можем поддерживать или не поддерживать его. Мы предлагаем свой взгляд на безопасность исходя из опыта.
По поводу Трукрипта. С его помощью можно создать лишь виртуальный криптоконтейнер. Во время работы с одним из файлов, хранящимся на криптоконтейнере все остальные хранящиеся там файлы также расшифровываются и становятся уязвимыми. Подробнее об этом писал здесь: habrahabr.ru/company/cybersafe/blog/208824/. А прозрачная система шифрования файлов без криптодиска позволяет держать файлы на локальном компьютере и на сервере в постоянно зашифрованном виде.
Кроме того, CyberSafe поддерживает как прозрачное шифрование, так и создание криптоконтейнеров как 2 разные концепции безопасности.
Во-вторых, только с помощью системы доверенных приложений можно сделать бэкап на облачные сервисы тех файлов, которые непосредственно зашифрованы на вашем на компьютере, а не через специальные клиенты этих сервисов.
Еще, Трукрипт не поддерживает асимметричную криптографию и системы публичных ключей, назначение прав доступа к папке нескольких пользователей, у которых разные ключи, поэтому не может быть использован в корпоративном пространстве.
По поводу EncFS – это отдельный криптографический продукт, мы не можем поддерживать или не поддерживать его. Мы предлагаем свой взгляд на безопасность исходя из опыта.
Я вот всё равно не понял о преимуществах перед трукриптом или Cryptic Disk-ом.
Чушь какая-то. Физически файлы зашифрованными и остаются. На то это и есть прозрачное шифрование. При чтении — расшифровывается. При записи зашифровывается.
А надо-ли?
Во время работы с одним из файлов, хранящимся на криптоконтейнере все остальные хранящиеся там файлы также расшифровываются и становятся уязвимыми.
Чушь какая-то. Физически файлы зашифрованными и остаются. На то это и есть прозрачное шифрование. При чтении — расшифровывается. При записи зашифровывается.
Еще, Трукрипт не поддерживает асимметричную криптографию и системы публичных ключей
А надо-ли?
Вам приводили ссылку на статью где указано что при подключении диска все файлы доступны для руткитов. Почитайте, умная статья.
Система ключей в трукрипте не нужна потому что он не расчитан на многопользовательское использование. А CyberSafe с успехом может применяться в LAN и на сервере терминалов.
Система ключей в трукрипте не нужна потому что он не расчитан на многопользовательское использование. А CyberSafe с успехом может применяться в LAN и на сервере терминалов.
Уязвимыми становятся не все файлы, а только те, с которыми вы работаете. Преимущество CyberSafe в данном случае – система доверенных приложений. Только доверенные приложения, которые вы выбираете сами, имеют доступ к вашей конфиденциальной информации. Все остальные – нет. Даже на момент работы с файлом, когда он расшифрован и уязвим, никакая другая программа, в том числе и вредоносная, не сможет получить к нему доступ.
По поводу асимметричной криптографии — если вы используете криптографию для защиты файлов только на персональном компьютере, тогда, конечно она вам не нужна. Но если вы хотите обмениваться зашифрованной информацией с другими пользователями либо использовать шифрование в корпоративном пространстве, тогда без инфраструктуры открытых ключей просто не обойтись.
По поводу асимметричной криптографии — если вы используете криптографию для защиты файлов только на персональном компьютере, тогда, конечно она вам не нужна. Но если вы хотите обмениваться зашифрованной информацией с другими пользователями либо использовать шифрование в корпоративном пространстве, тогда без инфраструктуры открытых ключей просто не обойтись.
Погулял по вашему сайту и забрел в центр сертификации.
Сразу есть несколько вопросов:
1. Что такое сертификат шифрования? Я встречал определение сертификата публичного ключа.
2. Симметричная пара публичный-приватный — вы часом симметричное и асимметричное шифрование не путаете?
3. Шифрование приватным, а дешифрование публичным ключем — ребят, вы серьезно? А в чем профит то тогда, если любая обезьяна, имея мой публичный ключ, сможет декриптовать шифротекст?
Ну и главный вопрос (как следствие из предыдущих): вы точно разбираетесь в вопросе? У любого спеца по ИБ после таких заявлений, могут возникнуть вполне законные вопросы о вменяемости ваших продуктов. Не говоря о том, чтобы начать с ними работать или кому-то рекомендовать. Хотя конечно, сертификат партнерства с Крипто-Про сначала подкупает :)
Не подумайте, что хочу вас обидеть, но у меня сложилось впечатление, что сайт делал авторитетный специалист, вроде Дениса Попова :)
Сертификат шифрования представляет собой симметричную пару ключей приватный – публичный, и предназначен для проведения шифрования, суть которого заключается в том, что шифрование осуществляется приватным ключом, а расшифровка публичным ключом, не являющимся секретным.
Сразу есть несколько вопросов:
1. Что такое сертификат шифрования? Я встречал определение сертификата публичного ключа.
2. Симметричная пара публичный-приватный — вы часом симметричное и асимметричное шифрование не путаете?
3. Шифрование приватным, а дешифрование публичным ключем — ребят, вы серьезно? А в чем профит то тогда, если любая обезьяна, имея мой публичный ключ, сможет декриптовать шифротекст?
Ну и главный вопрос (как следствие из предыдущих): вы точно разбираетесь в вопросе? У любого спеца по ИБ после таких заявлений, могут возникнуть вполне законные вопросы о вменяемости ваших продуктов. Не говоря о том, чтобы начать с ними работать или кому-то рекомендовать. Хотя конечно, сертификат партнерства с Крипто-Про сначала подкупает :)
Не подумайте, что хочу вас обидеть, но у меня сложилось впечатление, что сайт делал авторитетный специалист, вроде Дениса Попова :)
Спасибо, что указали на ошибку в тексте — мы обновили информацию на этой странице.
Сертификат шифрования включает в себя ключевую пару (открытый и закрытый ключ). Открытый ключ общедоступен — он отправляется другим пользователям и размещается на серверах открытых ключей. Получив его, пользователи смогут шифровать сообщения в наш адрес. Закрытый ключ следует держать в секрете — он используется для расшифровки полученных сообщений, а также для создания цифровых подписей.
Сертификат шифрования включает в себя ключевую пару (открытый и закрытый ключ). Открытый ключ общедоступен — он отправляется другим пользователям и размещается на серверах открытых ключей. Получив его, пользователи смогут шифровать сообщения в наш адрес. Закрытый ключ следует держать в секрете — он используется для расшифровки полученных сообщений, а также для создания цифровых подписей.
Тоже не совсем верно — сертификат не включает в себя ключевую пару, сами же пишете, что закрытый ключ надо хранить в секрете. Сертификат удостоверяет, что открытый ключ действительно соотносится с соответствующим закрытым ключем, а так же удостоверяет, что владелец открытого ключа действительно его владелец.
Согласен. Формулировку нужно точнее. При балансе между гиками и домохозяйками бывает что сложно найти вариант который бы устроил обе стороны. Например то же слово «ключ» не совсем по науке: в криптографии принято выражение ключевая информация. Сокращаем для удобства понимания. Но в любом случае в КС используется система ID, который является файлом включающим все ключи (pem), сертифкаты (cer), pfx и проч. Так как используется сразу несколько криптопровайдеров.
Я все написал верно. Дело в том, что персональный сертификат CyberSafe включает в себя следующие элементы:
— закрытый ключ (он защищается паролем пользователя). Пароль создается во время создания сертификата, его знаете только вы. поэтому хранение закрытого ключа в секрете по большому счету означает хранение в секрете пароля к нему;
— открытый ключ (его отправляем другим пользователям);
— сертификаты в форматах X.509 и PKCS#12.
Вы говорите о сертификатах X.509 и PKCS#12. Они используются для шифрования почты в почтовых клиентах. В состав этих сертификатов также входят ключи. X.509 содержит открытый ключ, PKCS#12 — открытый и закрытый ключи (здесь закрытый ключ также защищается паролем). Подробнее об этом написано здесь: habrahabr.ru/company/cybersafe/blog/209642/
Вы пишите: «Сертификат удостоверяет, что открытый ключ действительно соотносится с соответствующим закрытым ключем, а так же удостоверяет, что владелец открытого ключа действительно его владелец.»
Это одно и то же: если владелец открытого ключа действительно его владелец, значит его открытый ключ соотносится с его закрытым ключом.
— закрытый ключ (он защищается паролем пользователя). Пароль создается во время создания сертификата, его знаете только вы. поэтому хранение закрытого ключа в секрете по большому счету означает хранение в секрете пароля к нему;
— открытый ключ (его отправляем другим пользователям);
— сертификаты в форматах X.509 и PKCS#12.
Вы говорите о сертификатах X.509 и PKCS#12. Они используются для шифрования почты в почтовых клиентах. В состав этих сертификатов также входят ключи. X.509 содержит открытый ключ, PKCS#12 — открытый и закрытый ключи (здесь закрытый ключ также защищается паролем). Подробнее об этом написано здесь: habrahabr.ru/company/cybersafe/blog/209642/
Вы пишите: «Сертификат удостоверяет, что открытый ключ действительно соотносится с соответствующим закрытым ключем, а так же удостоверяет, что владелец открытого ключа действительно его владелец.»
Это одно и то же: если владелец открытого ключа действительно его владелец, значит его открытый ключ соотносится с его закрытым ключом.
Чтобы защитить базу данных, можно принять ряд мер предосторожности, например спроектировать систему безопасности, проводить шифрование конфиденциальных ресурсов и поместить серверы базы данных под защиту брандмауэра. Однако в случае с похищением физического носителя (например, диска или ленты) злоумышленник может просто восстановить или подключить базу данных и получить доступ к данным. Одним из решений может стать шифрование конфиденциальных данных в базе данных и защита ключей, используемых при шифровании, с помощью сертификата. Это не позволит ни одному человеку, не обладающему ключами, использовать данные, однако такой тип защиты следует планировать заранее.
Функция прозрачного шифрования данных (TDE) выполняет в реальном времени шифрование и дешифрование файлов данных и журналов в операциях ввода-вывода. При шифровании используется ключ шифрования базы данных (DEK), который хранится в загрузочной записи базы данных для доступности при восстановлении. Ключ шифрования базы данных является симметричным ключом, защищенным сертификатом, который хранится в базе данных master на сервере, или асимметричным ключом, защищенным модулем расширенного управления ключами. Функция прозрачного шифрования данных защищает «неактивные» данные, то есть файлы данных и журналов. Она дает возможность обеспечивать соответствие требованиям многих законов, постановлений и рекомендаций, действующих в разных отраслях. Это позволяет разработчикам программного обеспечения шифровать данные с помощью алгоритмов шифрования AES и 3DES, не меняя существующие приложения.
Функция прозрачного шифрования данных (TDE) выполняет в реальном времени шифрование и дешифрование файлов данных и журналов в операциях ввода-вывода. При шифровании используется ключ шифрования базы данных (DEK), который хранится в загрузочной записи базы данных для доступности при восстановлении. Ключ шифрования базы данных является симметричным ключом, защищенным сертификатом, который хранится в базе данных master на сервере, или асимметричным ключом, защищенным модулем расширенного управления ключами. Функция прозрачного шифрования данных защищает «неактивные» данные, то есть файлы данных и журналов. Она дает возможность обеспечивать соответствие требованиям многих законов, постановлений и рекомендаций, действующих в разных отраслях. Это позволяет разработчикам программного обеспечения шифровать данные с помощью алгоритмов шифрования AES и 3DES, не меняя существующие приложения.
Sign up to leave a comment.
Прозрачное шифрование файлов на локальном компьютере при помощи CyberSafe Files Encryption