Программы для криптозащиты информации на Windows сервере?

Question

[Михаил Лялин]

Не подскажите программы для работы на Windows сервере со следующими характеристиками:

- в штатном режиме "прозрачная" работа для пользователей;
- в случае опасности - сокрытие информации с возможностью подмены информации в режиме принуждения?

Comments

[Михаил Лялин]

дополнение: прозрачное шифрование данных, RAID, базы 1С и данные пользователей (25-50 человек), единое отключение всех данных по тревоге, отсутствие встроенных лазеек и возможности дешифровки сторонними лицами

Answer 1

[landergate]

VeraCrypt умеет шифровать разделы диска (и не только), а также создавать скрытые разделы внутри зашифрованных разделов (в случае принуждения, вы покажете подставной).

Отмонтировать разделы можно из GUI или командной строкой:
veracrypt /dismount /force
https://veracrypt.codeplex.com/wikipage?title=Comm...
Можно создать такой ярлык или придумать, как выполнять эту команду от имени администратора по сети.

Предстоит разрешить три проблемы:

1. Найти для принуждающего объяснение, зачем вы используете зашифрованный раздел на сервере. Например, от утечки данных в случае физического проникновения.
   
2. Алгоритм монтирования скрытого раздела.
   По умолчанию, разделы монтируются вручную. Иными словами, ОС загружается, администратор подключается к серверу и вручную вводит сначала пароль к зашифрованному разделу, затем пароль к скрытому разделу, и только после этого пользователям станут доступны эти файлы. Авто-монтирование с паролем можно автоматизировать, но при изъятии сервера, ведь понимаете, авто-монтирование произойдёт и у принуждателей.
   
3. Корректное сохранение данных пользователей в случае такого аварийного отмонтирования. Хотя, при появлении принуждателей, возможно это и не так приоритетно.
   

Comments

[Михаил Лялин]

При всём уважении к VeraCrypt, решение явно ниже уровня серверных технологий

[landergate]

Михаил Лялин: Определите уровень серверных технологий?

Возможно у задачи есть какой-то неизвестный Тостеру контекст.
Расскажете в тексте вопроса подробнее, какое решение вы ищете? Можно отталкиваться от сравнения с VeraCrypt и перечислять, чем именно оно не подходит.

Потому, что VeraCrypt, например, работает одинаково как в серверном, так и десктопном окружении. Разницы нет. Более того: у многих нынешних серверных CPU есть поддержка AES-NI (аппаратное ускорение AES), и VeraCrypt его использует: https://veracrypt.codeplex.com/wikipage?title=Hard...

[Михаил Лялин]

landergate: RAID, базы 1С и данные пользователей (25-50 человек), единое отключение всех данных по тревоге, отсутствие встроенных лазеек и возможности дешифровки сторонними лицами

[landergate]

Михаил Лялин: Если рассматривать перечисленные требования в стезе VeraCrypt:
- Если рейд не софтовый и не виндовый, то VeraCrypt безразлично его наличие.
- На CPU с поддержкой AES-NI у VeraCrypt замечательные показатели по скорости работы с зашифрованными дисками в AES. Да и без него другие шифры работают не так уж медленно. У неё прямо во время настройки появляется бенчмарк. Можно замерить самые быстрые на вашей системе алгоритмы и выбрать подходящий, а также смешивать их.
- Прецедентов о дешифровке VeraCrypt госорганами нет. Есть упоминания от 2012 года, что АНБ успешно брутфорсит AES 128-bit, но вряд ли вы находитесь в США и занимаетесь террористической деятельностью.
- У VeraCrypt не нашли закладок. У неё открытый код и сообщество фиксит потенциальные security issues, если находит.
- У любого проприетарного решения вероятность наличия закладки априори выше.
- Какого формата "единое отключение всех данных" вы ожидаете? Если демонтировать и сбросить кеш зашифрованного раздела можно командой в cmd, то автоматизировать исполнение такой команды можно чем угодно - от сетевого пакетика, до смс-ки на сервер с модемом.

[Михаил Лялин]

landergate: в отличие от TrueCrypt, где криптоконтейнер как файл был защищён от удаления и т.п., в VeraCrypt созданный по умолчанию файл легко был удалён CCleaner при зачистке свободного места ;-(

[landergate]

Михаил Лялин: VeraCrypt - это форк TrueCrypt. В этом не должно быть отличий, наоборот - только улучшения.
Зачем вы зачищаете CCleaner-ом зашифрованные контейнеры? Размещайте их в местах, которые CCleaner просто так не чистит. Не пускайте никого абы как чистить сервера CCleaner-ом. Не чистите сервера CCleaner-ом в принципе.

[Михаил Лялин]

landergate: truecrypt.ch тоже форк

[Михаил Лялин]

landergate: также хотелось бы какой-то минимальной защиты криптоконтейнеров от "дураков"

[landergate]

Михаил Лялин: Вам не понадобится защита криптоконтейнера от дураков, если вы будете шифровать логический раздел, а не контейнер.

Даже если вы хотите контейнер, управление сервером - это в принципе ответственное занятие, и если этим занимаются несколько человек одновременно, мне кажется обязательным оповестить друг друга о важности сохранении тех или иных файлов для корректного функционирования сервера. Я не думаю, что это проблема программного решения. Скорее инфраструктуры и ответственности.

Ограничьте "дураков" правами, в конце-концов, а то с таким подходом "дурак" может и раздел удалить, решив, что он лишний.

[landergate]

Михаил Лялин: Если, конечно, под защитой от дурака вы имеете ввиду случайное удаление кем-либо.
Если что-то другое - перефразируйте, пожалуйста, и добавьте обновление в первый пост с вопросом.

[landergate]

Михаил Лялин: Получилось найти решение?

[Михаил Лялин]

landergate: остановились на правильно приготовленном крипторазделе VeraCrypt

[landergate]

Михаил Лялин: Ура! =)
Пусть служит Verой и правдой.