Сотрудники корпораций, в чьи обязанности входит обработка таких секретных данных, как финансовые документы компании, отчеты по продажам, патентная информация или конструкторские разработки, по большей части удовлетворены уровнем безопасности, который обеспечен им при работе внутри офиса.
Но, отправляясь со своими ноутбуками в командировку, большинство из них не имеет защиты от вполне реального происшествия - потери или кражи компьютера, в результате чего ценная информация может попасть в руки конкурента или диверсанта.
Желая повысить уровень компьютерной безопасности в офисах, а также ведя борьбу с пропажей данных везде и всюду, фирма RSA Data Security (Редвуд-Сити, шт. Калифорния) начала продажи своей первой утилиты шифрования для рабочих станций.
Функция Autocrypt Feature RSA Secure автоматически шифрует файлы
по окончании сеанса работы в Windows
Новый продукт, названный RSA Secure for Windows 1.0, использует тот же алгоритм шифрования, что и ранее разработанная этой фирмой схема RC4 Symmetric Stream Cipher. Основываясь на результатах испытаний, проведенных в Тестовом центре PC Week Labs, мы пришли к выводу, что пакет RSA Secure for Windows обеспечивает превосходный уровень безопасности, имеет хорошую производительность и ненавязчивый дизайн интерфейса пользователя, благодаря которому программу легко эксплуатировать как на автономных машинах, так и на сетевых рабочих станциях.
Недостает совсем немного: проверки паролей, шифрования данных в реальном масштабе времени и составления отчетов проверки, чтобы эта программа шифрования файлов превратилась в функционально законченную систему безопасности для рабочих станций под Windows.
Цена на RSA Secure for Windows варьируется в пределах от $129 за установку на одной рабочей станции до $40 за установку на 500 и более местах. В настоящее время предлагается только версия для Windows; версии для платформ Macintosh и Unix появятся позже.
БЕЗОПАСНОСТЬ
Тестирование показало, что RSA Secure for Windows обеспечивает прекрасное шифрование и имеет достаточно сложные опции для аварийного доступа к данным. Тем не менее мы предпочли бы более строгое управление доступом и проверку пароля. Поясним: хотя программа требовала от нас ввода пароля каждый раз, когда мы обращались к зашифрованному файлу, она совсем не контролировала доступ со стороны Windows и ее приложений.
RSA Secure не предлагает никаких других базовых средств защиты паролей, кроме запроса пароля из шести символов: она не проводит проверок на повторное использование пароля, истечение срока его действия и др.
Текущая версия не поддерживает также каких-либо серверных систем проверки подлинности, хотя и обладает очень эффективными схемами шифрования данных.
Примененная в программе 80-битовая схема шифровки RC4 аналогична технологии, принятой корпорацией Microsoft и фирмами Apple и Novell в их операционных системах. По оценке фирмы RSA Data Security, для взлома этой схемы потребуется около 70 триллионов MIPS компьютерного времени.
Во время испытаний было проведено шифрование файлов, каталогов и дисков (локальных и сетевых) как с запуском процедуры оператором, так и автоматически (по окончании сеанса работы в Windows). Мы также проводили расшифровку данных и из менеджера файлов Windows, и используя предлагаемую факультативно автоматическую расшифровку при загрузке Windows.
Очень удобной показалась нам возможность задания промежутка времени действия пароля в течение сессии, что позволяет быстро открывать зашифрованные файлы без необходимости постоянного ввода пароля.
Чтобы проверить поведение пакета при обработке активных файлов, подлежащих автоматическому шифрованию, мы смоделировали аварию питания и некорректный выход из Windows. Все расшифрованные во время работы файлы остались расшифрованными и были доступны после восстановления питания системы.
Более того, хотя RSA Secure и позволяет автоматически зашифровывать файлы в момент выхода из Windows, мы не смогли задать интервал времени, по истечении которого указанные каталоги и файлы должны быть автоматически зашифрованы. Другими словами, если производится некорректный выход из Windows, то активные файлы остаются незащищенными.
Всего нескольких мелочей не хватает пакету RSA Secure для того, чтобы стать законченным решением проблемы безопасности для рабочих станций Windows, а именно: проверки паролей, шифрования данных в реальном масштабе времени и составления отчетов проверки |
Далее мы выяснили, что, хотя RSA Secure и защищает от неправомочного просмотра секретных данных, отсутствие поддержки изменения файловых атрибутов DOS влечет за собой отсутствие защиты от преднамеренной порчи файла или его удаления.
В процессе инсталляции RSA Secure for Windows автоматически создается резервный диск с идентификационной информацией пользователя и дополнительными данными для аварийного доступа, Мы сочли такое решение проблемы получения доступа в случае утраты пароля или пользовательских настроек достаточно эффективным и не приводящим к снижению уровня безопасности системы.
При настройке аварийного доступа можно либо задать единственный пароль для системного администратора, либо установить режим доступа в систему одновременно несколькими доверенными лицами. Используя первый подход, можно было запрещать доступ любой рабочей станции, просто вводя этот пароль. Этот путь очень прост, но он неприемлем для крупных систем. В режиме раздельно-доверительного доступа мы чувствовали себя в полной безопасности, так как для запрещения доступа рабочей станции требовалось одновременно установить несколько уникальных ключевых дисков.
УПРАВЛЕНИЕ
Поскольку пакет RSA Secure был разработан для шифрования данных на рабочих станциях, он не имеет функций централизованного управления и ведения баз данных пользовательских настроек. Нас разочаровало, что в продукте отсутствует и возможность составления отчетов проверок, столь необходимых для отслеживания неудачных попыток доступа к защищенным данным.
Избыточность информации обеспечивается тем, что каждая рабочая станция сохраняет данные о пользователях и на системном, и на рабочих дисках. Хотя аварийный доступ проводится отдельно на каждой рабочей станции, можно назначать пароль администратора или конфигурацию ключевых дисков, общую для всех станций сети.
ПРОИЗВОДИТЕЛЬНОСТЬ
Скорость процесса шифрования и дешифрования весьма высока, хотя она сильно зависит от быстродействия и состояния жесткого диска. В тестах на шифрование средняя скорость составила 7 с на обработку 1 Мб данных. На дешифрование тех же данных ушло чуть больше половины этого времени - 3,7 с.
Мы не заметили существенного изменения производительности при обработке данных разного типа - текстов, графики или сжатых архивов.
Средств проверки подлинности сервера пакет RSA Secure for Windows не имеет.
СОВМЕСТИМОСТЬ КЛИЕНТ-СЕРВЕР
Мы считаем, что RSA Secure обеспечивает очень хорошую поддержку среды Windows. Вместе с тем необходимо отметить, что поддержки DOS не существует вообще, а версии для платформ Macintosh и Unix будут предложены позже.
В настоящее время также отсутствует поддержка ОС Windows 95 и Windows NT корпорации Microsoft.
На нас произвела сильное впечатление невзыскательность пакета к объему свободного ОЗУ рабочей станции (минимум 55 Кб) и еще большее - ничтожно малое увеличение размера файла при его шифровании. В проведенных тестах размер зашифрованного файла увеличивался всего лишь на 0,15%.
RSA Secure предоставляет хорошую сетевую поддержку, позволяя шифровать не только файлы, каталоги и диски на рабочей станции, но и все каталоги и файлы, доступные на нашем файл-сервере NetWare.
ПРОСТОТА УСТАНОВКИ И ИСПОЛЬЗОВАНИЯ
В отличие от других устройств безопасности на основе ключей-жетонов (token-based), испытанных в Тестовом центре PC Week Labs, система защиты RSA Secure for Windows реализована исключительно программными средствами.
Установка пакета состоит из загрузки одного программного диска и поставляемого факультативно диска аварийного доступа. В процессе начальной установки программа в зависимости от нажатия клавиш и движений "мыши" случайным образом генерирует ключи доступа.
После установки на рабочую станцию программа встраивается в систему менеджера файлов Windows. Затем процесс шифрования файлов и подкаталогов осуществляется простым выбором выпадающего меню RSA в файл-менеджере Windows и указанием нужных файлов или даже дисков.
Столь же прост и процесс дешифрования, требующий всего лишь двойного щелчка мышью на зашифрованном файле в файл-менеджере после ввода пароля. Однако для тех пользователей, которые привыкли выбирать свои файлы из текстовых процессоров или электронных таблиц, будет довольно обременительно каждый раз для расшифровки файлов переходить к файл-менеджеру Windows.
Кроме того, такая зависимость от файл-менеджера делает невозможным использование пакета теми, кто заменил файл-менеджер, скажем, на Norton Desktop корпорации Symantec.
Смена пароля проводится легко и быстро, надо просто ввести старый и новый пароли.
Не вызвала затруднений и настройка аварийного доступа. Поскольку пакет RSA Secure позволяет создавать пользовательские диски с заранее определенной схемой аварийного доступа, процесс его установки на нескольких рабочих станциях не занял много времени.
В комплект поставки пакета RSA Secure for Windows входит простое для понимания руководство пользователя, имеется и встроенная система оперативной помощи по функциям шифрования, дешифрования и аварийным приложениям.
ТЕРРИ ТЭМ