Levyjen ja tiedostojen salaus

Kaspersky Endpoint Security (Business) -ohjelman käyttäjien suojaus

Kaspersky Endpoint Security for Windows -ohjelmassa on integroidut työkalut tietojen salaukseen. Niiden toiminta perustuu käytäntöihin, jotka jakaa Kaspersky Security Center, järjestelmänvalvojan sovellus, jolla hallitaan Kasperskyn suojaustuotteilla suojattua yrityksen infrastruktuuria.

Kaikkien levyjen salaus (FDE) estää tietovuodot, jos kannettava tietokone tai siirrettävä kiintolevy katoaa. Kun levy on salattu, luvattomat käyttäjät eivät voi käynnistää levyltä eikä lukea sen tietoja.

Tiedostotason salaus (FLE) suojaa liikkeellä olevia tiedostoja, kun niitä siirretään muissa kuin luotetuissa kanavissa. Käyttäjät, jotka saavat käyttää suojattuja tiedostoja salauskäytäntöjen mukaisesti, näkevät ne salaamattomina.

Salauskäytännöt

Kaspersky Security Centerin järjestelmänvalvojat voivat määrittää salauskäytäntöjä, joilla voidaan käyttää salausta Kaspersky Endpoint Securityn suojaamissa yrityksen tietokoneissa. Isäntäkoneilla voi olla erilaisia käytäntöjä, ja käytäntöjen noudattamista koskevat tiedot koostetaan yhteiseen raporttisyötteeseen, joka näkyy järjestelmänvalvojille.

Käytäntöjä voi määrittää myös irrotettaville laitteille (muistitikuille, siirrettäville levyille jne.), jotka liitetään tietokoneeseen. Laite voidaan esimerkiksi estää, kunnes käyttäjä hyväksyy, että laite tai siinä olevat tietyntyyppiset tiedostot salataan.

Tiedostotason salauksessa käytännöillä voidaan määrittää, mitkä tiedostot salataan tiedostotunnisteen tai levysijainnin perusteella. Kun tietokoneessa havaitaan vastaava tiedosto, se salataan.

Näkymätön salaus

Salaus ei häiritse tyypillisen käyttäjän työnkulkua: se ei lisää uusia sovelluksia eikä tuo muutoksia olemassa olevien sovellusten asetuksiin. Käytäntöjä sovelletaan automaattisesti.

Salaus toimii sovellusten kannalta näkymättömästi: kun käyttäjä todennetaan käyttöjärjestelmässä, sovelluksille levyllä olevat tiedot eivät näytä salatuilta, vaikka ne onkin salattu. Salaussuodatin siirtää tietoja sovellusten ja levyjen välillä (FDE:n levysuodatin ja FLE:n tiedostosuodatin). Se purkaa levyiltä sovelluksiin tulevien tietojen salauksen ja salaa takaisin tulevat tiedot. Tiedot salataan välittömästi luku- ja kirjoitustoimintojen aikana, eikä tietoja tallenneta levylle salaamattomina edes väliaikaisesti.

Joillekin sovelluksille salauksen ei pidä olla näin huomaamatonta. Esimerkiksi varmuuskopiointiprosessien, jotka tallentavat salatun levyn kopion muualla säilytettäväksi, ei pitäisi tallentaa varmuuskopion tietoja salaamattomina. Tästä syystä varmuuskopiointisovelluksen pitäisi kopioida levy salatussa tilassa. Tässä ja muissa vastaavissa tapauksissa järjestelmänvalvoja voi poistaa näkymättömän salauksen keskitetysti käytöstä tietyiltä sovelluksilta.

Levyn salauksen mekanismi (FDE)

FDE:n mekanismi salaa kokonaisia tietokoneen levyjä. FDE tukee seuraavia:

• Kaikkien levytyyppien salaus: HDD, SSD, muistitikut jne. SSD-laitteissa FDE vähentää ylimääräisten luku- ja kirjoitusjaksojen määrää ja pidentää levyn käyttöikää.
• Salauksen laitteistokiihdytys (jos tietokoneen suorittimessa on AES-NI-tuki).
• UEFI:n suojattu käynnistys, tekniikka, joka suojaa tietokoneita käynnistyksen aikana ja takaa, että vain luotettuja ohjelmistoja ladataan ja että käyttöjärjestelmä ja ohjelmistot käynnistyvät oikein ilman muiden prosessien aiheuttamia häiriöitä.

Salausavaimet. Levysalauksen suodatin salaa tiedot ja purkaa niiden salauksen levyn avaimella. Kullekin levylle luodaan erillinen avain, joka tallennetaan levylle kolmena salattuna kopiona. Vaikka levy olisi vioittunut ja yksi kopioista olisi tuhoutunut, levyä voi käyttää toisella kopiolla. Jos kaikki kolme levyllä olevaa kopiota ovat vioittuneet, levyn voi palauttaa käyttöön Kaspersky Security Centeriin tallennetun kopion avulla. Tästä syystä avaimen luonnin yhteydessä kopio avaimesta lähetetään suojatusti Kaspersky Security Centeriin. Avaimia ei koskaan tallenneta salaamattomina levylle.

Käyttäjän todennus ja käyttöjärjestelmän lataus salatulta levyltä. Levylle tallennettu levyn avain tulee salaussuodattimen saataville käyttäjän todennuksen jälkeen. Käyttäjä voi käyttää todennukseen salasanaa, USB-tunnistetta tai älykorttia. Onnistuneen todennuksen jälkeen käyttöjärjestelmä voi käynnistyä salatulta levyltä.

Salauskäytäntöjen toteuttaminen tietokoneella. Kun tietokoneeseen sovelletaan salauskäytäntöä, tämä käynnistää kaksi prosessia:

• Välitön salaus otetaan pysyvästi käyttöön. Tämä takaa, että kaikki levylle kirjoitetut tiedot salataan siitä hetkestä lähtien. Tätä varten salaussuodatin sieppaa kaikki luvun ja levylle kirjoittamisen prosessit.
• Levyn salausprosessi käynnistyy ja aloittaa tietokoneen levyjen täydellisen salauksen. Kun se valmistuu, levyjen salauskäytäntö on käytössä tietokoneessa. Levyjen salaus voi kestää useita tunteja.

Levyjen salauksen aikana käyttäjät voivat työskennellä tavalliseen tapaan, siirtää tietokoneen lepotilaan tai sammuttaa sen. Kun käynnistetään uudelleen, salaus jatkuu. Prosessi kestää myös virheet (esim. sähkökatkoksen, käyttöjärjestelmän virheen). Viankestävä salaus takaa sen, että kaikki tiedot saadaan salattua.

Salattujen tiedostojen käyttö (FLE)

Käyttö Kaspersky Endpoint Securityn avulla. Kun käyttäjä todentaa itsensä käyttöjärjestelmässä, käyttäjän puolesta tietokoneessa suoritettavat sovellukset saavat pääsyn salattuihin tiedostoihin salauskäytäntöjen mukaisesti.

Jos halutaan käyttää muiden käyttäjien salaamia tiedostoja, Kaspersky Endpoint Securityn isäntäkoneen agentti pyytää vaaditut purkuavaimet Kaspersky Security Centeristä. Jos esimerkiksi sähköpostitse lähetetty tiedosto on toisen käyttäjän salaama, vastaanottajan kone pyytää ja vastaanottaa avaimen Kaspersky Security Centeristä (jos käytännöt sallivat käytön). Tällä avaimella voi käyttää tätä tiedostoa ja muita kyseisen käyttäjän samalla loogisella levyllä salattuja tiedostoja. Avain tallennetaan välimuistiin, joten uutta avainta ei tarvitse pyytää joka kerta, kun vastaanotetaan tiedosto, joka salattiin saman käyttäjän samalla levyllä.

Jos Internet-yhteyttä ei ole, vastaanottaja voi saada avaimen Kaspersky Security Centeristä haaste-vaste-tyyppisellä suojatulla avainten vaihdolla avoimen kanavan kautta (esim. puhelimella). Lähetä luotu haastekoodi, ja vastaanotat vastekoodin.

Käyttö ilman Kaspersky Endpoint Securitya. Jos salauskäytännöt sallivat tämän, käyttäjät voivat määrittää laitteensa niin, että näissä laitteissa olevia salattuja tiedostoja voi käyttää tietokoneilla ilman Kaspersky Endpoint Securitya käyttämällä salasanatodennusta. Kun käyttäjät määrittävät tällaisen laitteen Kaspersky Endpoint Securitylla:

• Kaspersky Portable File Manager -sovellus kopioidaan laitteeseen. Se tallentaa avaimet suojatusti tiedostojen käyttöä varten, salaa tiedostot ja purkaa niiden salauksen.
• Käyttäjä luo salasanan tässä laitteessa olevien tiedostojen käyttämiseen.

Kun käyttäjä muodostaa yhteyden ja todentaa itsensä Portable File Manager -sovelluksessa, salatut tiedostot tulevat saataville lukua ja kirjoitusta varten. Käyttäjät voivat myös salata uusia tiedostoja laitteella.

Kaspersky Total Security (Consumer) -ohjelman käyttäjien suojaus

Crypto Disk on Kaspersky Total Securityn alijärjestelmä, joka suojaa käyttäjän tallentamat tiedot salauksella.

Crypto Diskin avulla käyttäjät luovat virtuaalisen salatun levyn, joka tallennetaan erillisenä tiedostona. Levyä käytetään salasanalla, joka määritetään levyn luonnin yhteydessä. Todennuksen jälkeen levy otetaan käyttöön paikallisena levynä (esim. E:\). Käyttäjä voi siirtää salatun levyn sisältävän tiedoston muille käyttäjille laitteilla, sähköpostitse, jaetuissa ja pilvipalvelun tietovarastoissa ja antaa muille käyttäjille sen käyttöoikeiden antamalla heille salasanan.

Levyä ei salata itse salasanalla vaan automaattisesti luodulla avaimella, joka on saatavilla, kun käyttäjä todennetaan. Näin käyttäjä voi vaihtaa salasanan joutumatta salaamaan koko virtuaalilevyä uudelleen.

Salausmoduuli

FDE, FLE ja Crypto Disk käyttävät salausmoduulia, jossa käytetään AES-256-salausalgoritmia XTS-tilassa. Salauskirjastolla on seuraavat sertifioinnit:

• FIPS 140-2
• Common Criteria