Sakaru Pasaule - Žurnāls par
modernām komunikācijām

  
  


Atpakaļ Jaunais numurs Arhīvs Par mums Meklēšana

Klienta drošības risinājumi

   

1586

 

1586. gadā Tomasam Fellipsam (Thomas Phellips) izdevās atminēt Marijas Stjuartes šifrētās sarakstes kodu, un tas kļuva par iemeslu skotu karalienes nāvei uz ešafota. Kopš tiem tālajiem gadiem informācijas drošības tehnoloģijas ir attīstījušās, un ir grūti salīdzināt Marijas Stjuartes primitīvo kodu ar tādiem mūsdienu līdzekļiem kā trīskāršais DES algoritms, kura dekodēšanai, lietojot vismodernāko skaitļošanas tehniku, būtu jāpatērē 64 kvadriljonu gadu. Viens gan nav mainījies – konfidenciālās informācijas slepenība un drošība nereti ir dzīvības un nāves jautājums.

 

Tehnoloģiju attīstība pati par sevi nenodrošina informācijas drošumu. Kamēr vien cilvēki nav apzinājušies informācijas drošības nozīmīgumu, nekādi tehnoloģiski risinājumi neglābs. Piemēram, 1999. gadā kāds ASV prezidenta padomnieks, kura mājas dators bija pielādēts ar Top Secret dokumentiem, neievērojot nekādus drošības pasākumus, pieslēdzās savam AOL e-pasta klientam. Būdams tiešsaistē, viņš sarakstījās ar kādu Krievijas zinātnieku, tādējādi potenciāli izveidoja saikni ar pusi, kas kāroja šo slepeno informāciju iegūt. Pēc tam viņš (vai kāds viņa ģimenes loceklis) apmeklēja pornogrāfiska satura lapas, kuras nereti darbina cilvēki, kas ir tiešā saistībā ar kriminālām aprindām.

Šādi stāsti par katastrofāliem konfidenciālas informācijas zudumiem, digitālās identitātes zādzībam un iefiltrēšanos dažādās paaugstinātas slepenības sistēmās šausmina, tomēr neatstāj sevišķu iespaidu uz vidusmēra lietotāju. 1999. gadā IT analītiķu kompānija IDC  pētījumā par informācijas drošumu konstatēja paradoksālus datus. Tikai 30 procenti lielu un vidēji lielu kompāniju IT administratoru uzskatīja informācijas drošību par sava darba prioritāti. Vienlaikus korporāciju vadītāji apgalvoja, ka viņu biznesa galvenā vērtība ir tieši informācija par tirgu, finansēm, cilvēku resursiem un ražošanas tehnoloģiju procesiem.

Savukārt kompānijas, kuras ievēroja drošību, galvenokārt koncentrējās uz tādiem pasākumiem kā fiziskās pieejas kontrole serveriem, datortīklu aizsardzība ar ugunsmūri un datu bāzu aizsardzība, izmantojot to šifrēšanu ar programmatūras līdzekļiem. Klienta PC aizsardzība parasti aprobežojās ar OS paroli un antivirusa programmatūru. Korporatīvo informācijas sistēmu drošuma vājākais punkts izrādījās klientu datora aizsardzība.

Kāpēc šobrīd tieši klienta drošumam būtu jāpievērš lielāka uzmanība nekā, teiksim, pirms pieciem gadiem? Galvenie cēloņi ir šādi:

  1. saistībā ar e-komercijas attīstību ir strauji pieaugusi datu apmaiņas intensitāte ar klienta datoru,
  2. sakarā ar personāldatoru jaudu un iespēju pieaugumu aizvien vairāk nozīmīgas informācijas glabājas uz klienta PC,
  3. klienta PC pieslēdzas ne tikai korporācijas tīklam, bet arī internetam, kur tie ir pakļauti hakeru uzbrukumiem,
  4. strauji ir attīstījušies mobilie klienti, kuri lieto piezīmjdatorus, plaukstdatorus u. c.; tiek izmantota datu bezvadu pārraide, kad informācijas drošība ir pakļauta paaugstinātam riskam.

Drošākais veids, kā pasargāt klienta datoru, ir lietot algoritmus, kas šifrē visu konfidenciālo informāciju, kura atrodas uz PC. Tādējādi informācija ir pasargāta pat datora pazušanas vai zādzības gadījumā. Pieslēdzoties korporatīvajam tīklam, koda atslēga noder arī lietotāja autentifikācijai. Drošākais un efektīvākais informācijas šifrēšanas veids ir jau iepriekš minētais trīskāršais DES algoritms. Tomēr to ne vienmēr var izmantot, jo DES izmanto simetrisko kodēšanas principu. Tas nozīmē, ka informācijas kodēšanu un dekodēšanu vaic ar vienu un to pašu koda atslēgu, kas ir vienāda ziņojuma saņēmējam un nosūtītājam. Šādas slepenas atslēgas slepena nodošana korespondentam ir galvenais riska avots.

 

Tāpēc drošāks risinājums ir t. s. asimetriskā šifrēšana, kas balstās uz publisko un privāto atslēgu pāri. Ja ziņojumu šifrē ar publisko atslēgu, tad to dekodēt var tikai ar saistīto privāto atslēgu un otrādi. Publiskās atslēgas zināšana nedod nekādu iespēju piekļūt informācijai, kas glabājas pie klienta, privātās atslēgas īpašnieka. Publisko atslēgu var uzticēt ikvienam, ja vien privāto atslēgu glabā slepenībā. Asimetriskajai šifrēšanai vajag lielas skaitļošanas jaudas, kas ir šīs metodes galvenais trūkums, tāpēc parasti praksē tiek lietota abu iepriekš minēto metožu kombinācija. Asimetrisko šifru lieto, lai kodētu simetriskās, piemēram, DES atslēgas. Rezultātā simetriskā atslēga glabājas asimetriskās publiskās atslēgas digitālā aploksnē. Šo procesu sauc par PKI atslēgu apmaiņu. PKI  arī nodrošina sūtītāja identificēšanu un autentifikāciju, jo tikai privātās atslēgas turētājs varēs dekodēt nosūtīto informāciju.

 

PKI procesu ir iespējams realizēt gan ar programmatūru, gan aparātiem, kā arī kombinējot abus. Rsinājums, kas veidots ar programmatūru, nav pilnīgi drošs, jo šifrēšanas programmai, nosūtāmajiem datiem un privātajai atslēgai ir jāatrodas datora atmiņā vienlaikus. 2000. gadā Kembridžā tika demonstrēts nCipher atmiņas analīzes algoritms, kas atrod datora atmiņā privāto atslēgu. Ar nCipher palīdzību tika dekodēta ar 1024 bitu atslēgu aizsargāta informācija. Ja nCipher lieto kombinācijā ar Trojan horse tipa datortārpu, piemēram, Back Orifice, tad ir iespējams atrast un iegūt atmiņā esošo privāto atslēgu.  Rezultātā hakeris iegūst klienta digitālo identitāti un reizē ar to tiesības veikt jebkuras tā e-biznesa operācijas.

 

Viens no aparātiskiem līdzekļiem ir glabāt privāto atslēgu viedkartē iebūvētajā mikroshēmā, bet arī šim risinājumam ir trūkumi. Viedkaršu atmiņas apjoms ir ierobežots, kas var būt nepietiekams, ja ir jāglabā lielāks daudzums privāto atslēgu. Turklāt viedkartēm ir nepieciešama neērta un dārga iekārta – nolasītājs.

 

Veiksmīgs PKI risinājums ir IBM izstrādātā drošības sistēma ESS, kas ir vienkārši lietojama, droša un nav dārga. ESS uzbūves pamatā ir mikroshēma ar kriptēšanas procesoru, kas ir izvietota uz datora sistēmplates. ESS atbalsta PKI operācijas un lieto EEPROM atmiņu, kur glabā privātās atslēgas. Mikroshēma vēršas pie procesora, izmantojot sistēmas datu kopni, un tai ir saikne ar BIOS datora ielādes laikā. API saskarnes (Microsoft CAPI/CSP un Netscape PKCS#11) novada šifrēšanas operācijas uz mikroshēmu. ESS atbalsta 512 un 1024 bitu privāto atslēgu ģenerēšanu, šifrēšanu, digitālā paraksta operācijas, kā arī 256 bitu simetriskās kodēšanas atslēgu operācijas. Visas operācijas ar privāto atslēgu notiek mikroshēmā aizsargātā vidē.

 

Tikpat svarīga risinājuma daļa ir ESS programmatūra. Tā ne tikai nodrošina PKI procesu, bet ļauj īstenot datu drošības politiku, administrējot lietotāju piekļuves tiesības konfidenciālai informācijai. Programmatūras kodols ir UVM modulis, ar kura palīdzību OS paroli var aizvietot ar citiem autentifikācijas līdzeļiem, piemēram, Targus DEFCON PC Card Fingerprint Reader pirkstu nospiedumu nolasītāju. Tādējādi piekļuve klienta PC ir daudz drošāka. Tāpat UVM pārvalda piekļuvi PKI atbalstošām aplikācijām (e-pasts, e-bizness), izmantojot digitālus sertifikātus. UVM nodrošina pieļuves hierarhiju atbilstoši korporatīvai informācijas drošības politikai, ļaujot noteikt un dinamiski mainīt drošību attiecībā pret jebkurur lietotāju un klientu.

 

Būtiska ESS īpašība ir spēja glabāt failus un folderus šifrētā formā, izmantojot simetrisko koda atlsēgu. Šādi šifrētus datus var droši glabāt, piemēram, uz firmas failu servera, bet piekļūt tiem ir iespējams vienīgi no datora, uz kura tas ir šifrēts.

 

ESS atbalsta IT standartus, un to var lietot darbā ar visām populārākajām e-pasta sistēmām, piemēram, Microsoft Outlook vai Lotus Notes. ESS ir savietojams un stiprina 802.1x bezvadu drošības standartu, jo aizsargā EAP protokola autentifikācijas atslēgas. ESS programmatūra ir saņēmusi RSA Secured SecurID gatavības sertifikāciju. Tas nozīmē, ka šī sistēma ir savietojama ar VPN risinājumiem un ESS var  izmantot kā RSA Secured SecurID autentifikācijas ierīci. Lielās organizācijās, kur ir jāadministrē vairāki simti vai pat tūkstoši lietotāju, ESS var pārvaldīt, izmantojot TAM programmatūru. Tas ļauj drošības administratoram attālināti modificēt klientu drošības sistēmas un nodrošināt ESS glabāto atslēgu arhivēšanu vai atjaunošanu pēc nepieciešamības.

 

Protams, ne jau visiem klientiem ir vajadzīga paaugstināta drošuma sistēma. Ja runā par stacionāro galda datoru lietotājiem, tad šāda nepieciešamība varētu būt organizāciju vadītājiem, finansistiem un, protams, juristiem. Daudz vairāk ir apdraudēti piezīmjdatoru lietotāji, bet, ja lieto 802.11b bezvadu  pieslēgumu, tad bez drošības risinājuma labi var justies tikai tie, kuru datoros glabātajai informācijai nav nekādas komerciālas vai citas vērtības. Tieši tāpēc praktiski visos IBM ThinkPad piezīmjdatoros, kuros ir integrēts bezvadu 802.11b adapteris, atradīsiet arī integrētu ESS. Galda datoriem ESS ir iebūvēts tikai nedaudzos IBM NetVista modeļos.

 

Pēc datora ar ESS iegādāšanās ir jāaktivizē BIOS drošības mikroshēma, tad jāveic ESS programmatūras un instrukciju lejupielāde no www.ibm.com/pc/security un jāinstalē atbilstoši tām. Ja ir kādas grūtības, palīdzību ir iespējams saņemt IBM Latvija birojā, Rīgā, Vesetas ielā 9, vai pie IBM parnerfirmas, kas ir piegādājusi datoru.    

 

Pēc IBM materiāliem sagatavoja

Mārtiņš GRANTS

IBM Latvija, Personālo sistēmu grupa

 

Saīsinājumi

AOL – America Online – interneta servisa piegādātājs

API  - application program interface – programmatūras saskarne

BIOS – Basic Input/Output System – datora bāzes i/i sistēma

DES - Data Encryption Standard – sinhronās kodēšanas stanrdarts, kuru 1970. gadā izstrādāja IBM

EAP - Enhanced Authentication Protocol – 802.1x elements

EEPROM - electronically erasable programmable read only memory – programmējama datu nolasīšanas ierīce

ESS – Embedded Security System – integrēta datu drošības sistēma

IBM – International Business Machines – lielākā pasaules informācijas tehnoloģiju kompānija

OS – operāciju sistēma

PC – personal computer – personāldators

PKI – Public Key Infrastructure – asinhronās kodēšanas metode, kas izmanto 1970. gadā Masačūsetas Tehnoloģiskajā institūtā izstrādāto algoritmu

TAM - Tivoli Access Manager – IT sistēmas piekļuves kontroles programmatūra

Top Secret – pilnīgi slepeni,

UVM - User Verification Manager – lietotāja identifikācijas programmatūra

VPN – Virtual Private Network – lietotāja attālinātas pieslēgšanās korporatīvajam tīklam, izmantojot interneta pieslēgumu

 

 

 

IBM Latvija SIA

Vesetas ielā 9

Rīgā, LV 1010

Tālr. 7070300

www.ibm.com/lv

 

 
Design and programming by Anton Alexandrov - 2001