Tähelepanu! Artikkel on enam kui 5 aastat vana ning kuulub väljaande digitaalsesse arhiivi. Väljaanne ei uuenda ega kaasajasta arhiveeritud sisu, mistõttu võib olla vajalik kaasaegsete allikatega tutvumine.
Konfidentsiaalsed andmed on kaitstud ka võrguketastel
Kõige turvalisem lahendus on muidugi konfidentsiaalseid andmeid võrguketastel mitte hoida, kuid paljudel juhtudel hakkab see häirima ettevõtte normaalset tööd.
Ka võrku ühendamata arvuti võib olla ründe objektiks, näiteks volitamata juurdepääs, konfidentsiaalsete andmete või arvuti vargus.
Tavaliselt on konfidentsiaalsetele andmetele juurdepääsu vajadus vaid piiratud hulgal töötajatel, töötajatest omakorda võivad moodustuda erinevate õigustega grupid.
Andmete kõrvaliste isikute eest kaitsmiseks minnakse tavaliselt seda teed, et ligipääsu piiramiseks omistab serveri administraator kasutajatele erinevaid pääsuõigusi ja on üldlevinud arvamus, et sellest piisab küll. Samas ei pöörata tähelepanu sellele, et andmeid edastatakse sisevõrgus lahtisel kujul, neid on võimalik pealt kuulata ja nendele andmetele on juurdepääs ka administraatoril, kellel töö ei seondu kuidagi andmete sisuga, samas peab tal andmete varundamiseks juurdepääs olema.
Et edastatavad andmed oleks transportimisel kaitstud kõrvaliste isikute eest ja administraatoril oleks juurdepääs andmetele aga mitte nende sisule, tuleb andmeid krüpteerida ja dekrüteerida töötaja arvutis. Sel juhul läbivad andmed sisevõrgu krüpteeritud kujul ja ka võrgukettale salvestatakse krüpteeritud andmed. See võimaldab administraatoril teostada varundamist ja samas tagab andmete kaitstuse.
Ka varundatud andmed on krüpteeritud ja kaitstud nii administraatori kui ka kõrvaliste isikute eest. Lahendus tagab kaitse ka välisvõrgust tuleva ründe eest, ründaja pääseb küll serveris olevatele failidele ligi kuid kasutada ta neid ei saa.
Selleks, et tagada kasutajatele erinevaid pääsuõigusi, tuleb omistada erinevatele kasutajatele ja kasutajagruppidele erinevad krüptovõtmed. Administraatorile ja kasutajatele luuakse RSA võtmepaarid ning väljastatakse X.509 v.3 sertifikaadid.
Krüptovõtmete ja nendega seonduvate kataloogide loendi edastamiseks luuakse iga kasutaja jaoks eraldi konteinerfail. Et kaitsta faili kõrvaliste isikute eest on fail krüpteeritud sümmeetrilise krüptovõtmega, see omakorda on krüpteeritud kasutades töötaja avalikku võtit.
Kuna konteinerfail on hästi kaitstud võib selle paigutada kõikidele vabalt kättesaadavasse kohta, näiteks võrgukettale krüpteerimata kataloogi.
Kas turvaadministraatori sertifikaat peab olema kõikidele kasutajatele vabalt kättesaadav, kuna see on vajalik konteinerfaili autentsuse kontrolliks. Kõige turvalisem on genereerida ja hoida RSA võtmeid kiipkaardil vms. riistvaralises võtmehoidlas.
Selline lahendus tagab, et juhul kui jõu meetodil leitakse konkreetse faili krüpteerimiseks kasutatav sümmeetriline krüptovõti, ei ole seda võimalik kasutada teiste failide dekrüpteerimiseks.
Ühe reaalselt eksisteeriva lahendusena, kus sellist tehnoloogiat kasutatakse, võib välja tuua Utimaco SafeGuard Lancrypt nimelise toote. Nimetatud lahenduse poolt on toetatud kliendi operatsioonisüsteemina MS Windows 2000 ja XP, kliendi autentimine peab toimuma kas siis MS Active Directory või Novell Directory Server-i poolt.
Autor: Hardy Viilup