Protect BOOT

ICZ Protect Boot
zabezpečený boot OS a šifrování disku
FDE (Full Disk Encryption)
S.ICZ a. s.
18. dubna 2013
ICZ Protect Boot
www.i.cz
1
Realita
► Na firemních přenosných počítačích obecně
bývá uloženo zhruba 3/4 všech citlivých dat
organizace
► Cena dat představuje obvykle několika násobek
ceny notebooku
ICZ Protect Boot
www.i.cz
2
► v ČR existuje několik desítek typů citlivých
informací, zejména:
• zvláštní skutečnosti
240/2010, 430/2010 (Krizové řízení)
• vnitřní informace
246/2004 (O podnikání na kapitálovém trhu)
• osobní údaje
101/2000 (O Ochraně osobních údajů)
• …
„…pokud někdo odcizí náš hardware,
nemusí mít přece ještě všechna naše
data…“
ICZ Protect Boot
www.i.cz
3
Obrana
► Šifrování je z hlediska dobrého zabezpečení
podmínka nutná, nikoli však postačující
► Neexistuje žádné bezpečnostní řešení, které
ochrání data, když je v počítači instalován
zákeřný software běžící s právy administrátora.
ICZ Protect Boot
www.i.cz
4
ICZ Protect Boot
www.i.cz
5
► jak vypadá uvnitř
► co obsahuje
• vlastní HW a firmware
• modifikovaný zavaděč OS www.truecrypt.org
• silné heslo pro zpřístupnění zašifrovaného obsahu celého
disku pracovní stanice
• silné heslo má v TC funkci klíče, kterým se dešifrují pracovní
klíče, které jsou uloženy na disku pracovní stanice.
• symetrická kryptografie AES, 256 bitů, metoda XTS
• vysoká rychlost šifrování a odolnost.
ICZ Protect Boot
www.i.cz
6
ICZ Protect Boot
www.i.cz
7
► Pracovní stanice
ICZ Protect Boot
•
standardní instalace nemodifikovaného SW www.truecrypt.org
•
spuštění je možné až po zasunutí USB předmětu a zadání PIN
•
silné heslo vyčtené z Protect Boot je předáno TC a disk je průběžně
dešifrován dešifrovacími pracovními klíči
•
totéž se děje po probuzení z hibernace.
www.i.cz
8
…potřebuje
► počítač s datovým rozhraním
USB 1.1, 2.0, 3.0
► BIOS, EFI/UEFI umožňující boot z USB
► OS Microsoft (W XP), W7, W8
(komunita TrueCrypt pokračuje ve vývoji pro W8)
ICZ Protect Boot
www.i.cz
9
na klíči od auta
obvykle
nezapomenete
► „imobilizér“ celého disku
• desktopu
• notebooku
• netbooku
• ultrabooku
► projektově
• centrální správa
• recovery
• …individuální požadavky zákazníka
ICZ Protect Boot
www.i.cz
10
…znalecký posudek
► definuje disk jako datově nezkoumatelný
ICZ Protect Boot
www.i.cz
11
…přínosy
►
ověření uživatele HW nástrojem je věrohodnější než ověření pouze SW
►
ztracený nebo odcizený počítač je jen standardní škodní událostí
►
silné heslo uživatel nezná, není vkládáno z klávesnice
►
vygenerované silné heslo 64 B je odolné proti útoku hrubou silou i slovník. útoku
►
není třeba bezpečnostního HW typu Trusted Platform Module v počítači
►
nebo pevný disk s individuální a nativní funkcí šifrování obsahu
►
open source TrueCrypt je komunitou ověřený kód
►
konstrukce ICZ Protect Boot je odolná proti změně obsahu a kompromitaci hesla
►
neumožňuje uživateli nebo případné infiltraci modifikovat zavaděč OS
►
Pre-Boot autentifikace je realizována před náběhem OS
►
zavaděč OS je vždy načítán z ICZ Protect Boot (zajištění integrity zavaděče OS)
►
přizpůsobení centrální správy, obalu nebo některých vlastností ICZ Protect Boot.
ICZ Protect Boot
www.i.cz
12
ICZ Protect Boot
www.i.cz
13