White paper Protect Boot

ICZ Protect Boot – W7 desktop security – White paper
zabezpečení koncového zařízení šifrováním disku FDE (Full Disk Encryption) – White paper
Obsah
1.
1.
Úvod............................................................................................................... 1
2.
Popis ICZ Protect Boot ...................................................................................... 2
3.
Heslo – ochrana proti BF útoku a slovníkovému útoku ........................................... 2
4.
HW požadavky ................................................................................................. 3
5.
SW požadavky ................................................................................................. 3
6.
Uživatelské činnosti .......................................................................................... 3
7.
Výkon ............................................................................................................. 3
8.
Zálohování, disaster recovery ............................................................................ 4
9.
Odinstalování ................................................................................................... 4
10.
Centrální správa ............................................................................................... 4
11.
Přínos ICZ Protect Boot ..................................................................................... 4
12.
Hodnocení bezpečnosti ...................................................................................... 5
13.
Implementace - bezpečnostní politika ................................................................. 6
14.
O výrobci ICZ Protect Boot ................................................................................ 6
Úvod
S rostoucími možnostmi mobility počítačových zařízení stoupá i zranitelnost dat. Škoda vzniklá
ztrátou nebo odcizením notebooku, netbooku nebo ultrabooku představuje podle některých
odhadů v průměru jen šestinu až sedminu celkově odhadované finanční ztráty, která spočívá
zejména v ceně ztracených nebo zneužitých dat. V některých případech může být hodnota reálně
uniklých dat zcela zásadního charakteru.
Manažeři ICT a bezpečnosti si uvědomují, že zabezpečení mobilních počítačů je důležité. Přibližně
10% notebooků je ukradeno. Z toho jen menší část je ukradena s cílem získat citlivá data.
Nicméně podle příkladu mobilních telefonů
Podle Symantec Smartphone Honey Stick Project, ve kterém bylo „zatraceno“ 50 chytrých
telefonů, celých 96% nálezců prozkoumalo obsah telefonu a pouze 50% nálezců kontaktovalo
majitele telefonu.
http://www.symantec.com/content/en/us/about/presskits/b-symantec-smartphone-honey-stick-project.en-us.pdf
I když je statisticky patrný pokles počtu krádeží nebo ztráty, kapacita disků roste. Ve statistice
www.goCSI.com hraje svou úlohu také skutečnost, že nejméně polovina postižených podniků se
obává zveřejnění a negativní publicity, třetina podniků se obává zneužití takové informace
konkurencí.
http://www.event-promotion.cz/aktualita/468-pri-kradezi-notebooku-jsou-firemni-data-cennou-koristi/
ICZ Protect Boot umožňuje předcházet takovým rizikům zabezpečením počítače šifrováním celého
disku s dalšími bezpečnostními prvky.
keylogerům a příliš snadným heslům k ochraně dat
www.i.cz | Czech Republic
1
ICZ Protect Boot – W7 desktop security – White paper
2.
Popis ICZ Protect Boot
ICZ Protect Boot představuje ochranu operačního systému, aplikací a dat pracovní stanice před
neautorizovaným přístupem šifrováním disku. Šifrování všech dat celého disku (operačního
systému, skrytých souborů, aplikací, swap souborů a dat) poskytuje silnou ochranu podnikových
dat, dat partnerů a intelektuálního vlastnictví.
Po zapnutí počítače se z USB předmětu ICZ Protect Boot spustí speciální zavaděč operačního
systému, který se zeptá uživatele na PIN. Následně se po správném zadání PINu z předmětu
vyčte silné heslo, které se předá standardní edici programu TrueCrypt a spustí se program
TrueCrypt. Následně se průběžně dešifruje disk a zavedou se Windows. Totéž se děje po
probuzení z hibernace.
USB zařízení ICZ Protect Boot:
3.

je HW předmět s jedinečným identifikátorem a vlastním procesorem pro zabezpečení
počítače typu desktop, notebook, netbook a ultrabook v podnikovém prostředí bez
zvýšených nároků na uživatele a správu ICT

umožňuje aplikovat jednoduchou a účinnou ochranu dat šifrováním celého disku počítače,
počítač spustí pouze oprávněný vlastník předmětu ICZ Protect Boot

je standardně dodáván v odolném provedení pro nošení na svazku klíčů

uživatel si může zvolit jednoduchý pro něj zapamatovatelný alfanumerický PIN

uživatel nemůže zadat jednoduché heslo pro šifrování, silné heslo 64 znaků je generováno
nezávisle na uživateli

zavaděč operačního systému v ICZ Protect Bootu nelze modifikovat

umožňuje kontrolu MBR disku na existenci root kitu

kontroluje úplnost zašifrování disku, zobrazí varování, pokud disk není zcela zašifrován.
Heslo – ochrana proti BF útoku a slovníkovému
útoku
Jednoduché zapamatovatelné heslo zvolené uživatelem:
Běžná hesla vybraná uživatelem jsou vesměs velmi málo bezpečná. Díky nutnosti heslo si
pamatovat a zadávat jsou často poměrně krátká, většinou 8-15 znaků, a často nějakým
způsobem odvozená od běžného jazyka. Tím umožňuje využívat slovníkové útoky, jelikož
reálná míra entropie neodpovídá velikosti teoretického prostoru klíčů. I optimistické
odhady (např. NIST 800-63) uvádějí pro 20 znakové heslo vytvořené uživatelem, reálné
množství entropie jen zhruba 42 bitů.
Silné heslo, které vygeneruje ICZ Protect Boot:
Heslo generované v ICZ Protect Boot má délku 64 znaků a je generované
pseudonáhodným generátorem. Jelikož si jej uživatel nemusí pamatovat a nemá možnost
ani zájem jeho generování nijak ovlivnit, má opravdu entropii přesahující potřebných 256
bitů pro algoritmus AES. Brute force útok na klíč s tímto množstvím entropie, je v
současné době za použití běžných super počítačů mimo technické možnosti lidstva. Jen
množství energie potřebné k vyčíslení všech klíčů je rovno zhruba 1035-násobku
celosvětové roční produkce.
www.i.cz | Czech Republic
2
ICZ Protect Boot – W7 desktop security – White paper
4.
HW požadavky
ICZ Protect Boot řešení nevyžaduje v počítači TPM nebo jiný vestavěný a nedokumentovaný HW
k zabezpečení dat na disku. Metoda šifrování pomocí programu TrueCrypt je podrobena veřejné
analýze díky zveřejněným zdrojovým kódům. Minimálními HW požadavky:
Procesor
Pentium Dual Core a výkonnější, 32-bit (x86) / 64-bit (x64), AMD®, Intel® či 100%
kompatibilní, hodinový kmitočet alespoň 1,8 GHz.
Na počítačích s procesory i5, i7 s možností Intel AES-NI není při výkonu běžných
uživatelských činností patrný úbytek výkonu počítače.
USB
1.1, 2.0, 3.0
BIOS (EFI/UEFI)
BIOS počítače musí umožňovat boot z USB zařízení.
Pokud BIOS umožňuje, tak je doporučeno:
- přístup do SETUPu počítače chránit heslem BIOSu
- primárně bootovat z USB
RAM Minimálně 1 GB
Zvažte jak velkou operační paměť skutečně vaše aplikace potřebují, čím větší operační paměť váš
počítač obsahuje, tím delší bude potřebný čas pro probuzení z hibernace. Rozumným
kompromisem bývá paměť o velikosti 4 GB. Uspání počítače místo hibernace lze doporučit pouze
na krátké časové úseky v bezpečném prostředí, kdy počítač není vystaven riziku krádeže.
http://www.zdnet.com/blog/security/cryogenically-frozen-ram-bypasses-all-disk-encryption-methods/900
Disk
Maximální velikost disku závisí na možnostech operačního systému.
5.
SW požadavky
Podporované operační systémy (licence operačního systému MS Windows nemusí obsahovat BitLocker).
 32/64 bitové operační systémy Microsoft Windows 7 (SP1), Windows 8
Další SW součásti

Volně šiřitelný SW TrueCrypt 7.1a,

6.
www.truecrypt.org
ICZ Protect Boot využívá standardní funkce aplikace TrueCrypt v souladu s licenční
politikou TrueCrypt
Uživatelské činnosti
Po instalaci na uživateli nejsou požadovány žádné speciální aktivity než zasunutí ICZ Protect Boot
do USB rozhraní počítače, spuštění počítače, zadání PIN, vyjmutí ICZ Protect Boot z počítače. Je
předpokládáno oddělené nošení ICZ Protect Boot od počítače a povinnost oznámit ztrátu ICZ
Protect Boot nebo počítače.
Interakce uživatele s aplikací TrueCrypt není potřeba. Není vyžadována a standardně není ani
žádoucí, obdobně jako například v případě instalovaného antiviru.
7.
Výkon
Při šifrování disku lze provozovat standardní pracovní činnosti. Uspávání počítače je
z bezpečnostních důvodů doporučeno nahradit v prostorách mimo podnikové prostředí
hibernováním. Rychlost hibernování se v důsledku šifrování a v závislosti na velikosti alokování
RAM a výkonnosti procesoru zpomalí cca o třetinu.
www.i.cz | Czech Republic
3
ICZ Protect Boot – W7 desktop security – White paper
8.
Zálohování, disaster recovery
Zálohování uživatelských dat není závislé na šifrování disku. Ve firemním zálohovacím schématu
není potřeba v důsledku zavedení produktu ICZ Protect Boot dělat změny.
V případě poškození disku a pokusu o obnovu dat v případě, že již není možné z disku zavést
operační systém, je nezbytné poškozený disk z počítače vyjmout a připojit ho k počítači
s nainstalovaným SW TrueCrypt nebo disk dešifrovat pomocí záchranného CD aplikace TrueCrypt.
V případě ztráty/poškození předmětu ICZ Protect Boot lze pomocí dodávané aplikace centrální
správy předmětů vytvořit jeho duplikát.
9.
Odinstalování
Konfiguračním programem TrueCrypt lze disk počítače standardně dešifrovat a poté není použití
předmětu ICZ Protect Boot vyžadováno.
10. Centrální správa
Centrální správu lze vykonávat různými způsoby. Zakoupení, nastavení a uložení duplikátů ICZ
Protect Boot (obdoba záložních klíčů dodávaných k vozidlu), je optimální pro individuální řešení a
pro malé podniky do 20ti uživatelů. Pro větší podniky je vhodnější vést centrální správu
individuální aplikací, která zabezpečeným způsobem využívá řídící databázi identit pracovníků
podniku, inventurní seznam výpočetních prostředků a evidenci předmětů ICZ Protect Boot.
Taková aplikace pak umožnuje vlastní zabezpečenou evidenci a výrobu duplikátů USB předmětů
ICZ Protect Boot, činností správce z administrátorské konzole bez možnosti chybného zápisu
identifikačních nebo evidenčních údajů.
Centrální správa umožnuje nastavení používání ICZ Protect Boot :
1 ICZ Protect Boot 1 uživatel
1 počítač (nejčastěji)
1 ICZ Protect Boot 1 uživatel
x počítačů
y ICZ Protect Boot y uživatelů
1 počítač
Server může disponovat standardním procesorem 32/64 bit AMD®, Intel® či 100% kompatibilní,
minimální rychlost procesoru 2GHz s nejméně 2GB RAM (doporučeno 4 GB). Na disku cca 10 GB
místa (dle zvolené edice SQL serveru a dalších součástí). Operační systém GNU/Linux. Standardní
TCP/IP protokol, se službou DNS v síti, pevná IP adresa, stálý DNS název serveru.
Administrátorské rozhraní lze spustit na standardním uživatelském počítači z dedikovaného účtu.
11. Přínos ICZ Protect Boot
Bezpečnostní implementace ICZ Protect Boot má svůj význam v portfoliu zabezpečení ICT, pokud
je doplněna podnikovými pravidly včetně poučení uživateli pro provoz a nestandardní situace.
Hlavní přínos:

ztracený nebo odcizený počítač bez USB předmětu ICZ Protect Boot a PIN představuje po
nasazení prostředku ICZ Protect Boot jen standardní škodní událost

žádné speciální požadavky na uživatele (pro ověření identity oprávněného uživatele je HW
nástroj považován za věrohodnější než ověření pouze prostřednictvím SW (heslo),
biometrie a podobně)

postačuje standardní rozhraní USB, které je dnes k dispozici na všech počítačích typu
notebook, netbook bebo ultrabook

běžný HDD nebo SSD je šifrován pomocí XTS-AES 256-bit
www.i.cz | Czech Republic
4
ICZ Protect Boot – W7 desktop security – White paper

homogenní podniková implementace není omezena na přítomnosti bezpečnostního HW
typu TPM v počítači nebo HDD s individuální a nativní funkcí šifrování obsahu

nezávislé na vývoji TCG,

veřejný open source TC, komunitou ověřený kód, do kterého nelze implantovat back door

HW konstrukce USB předmětu ICZ Protect Boot je odolná proti změně obsahu a
kompromitaci hesla

neumožňuje uživateli nebo případné infiltraci modifikovat zavaděč OS

Pre-Boot autentifikace - zabezpečení je realizováno před náběhem operačního systému

zavaděč operačního systému je vždy načítán z předmětu ICZ Protect Boot (zajištění
integrity zavaděče operačního systému)

silné heslo uživatel nezná, není vkládáno z klávesnice (ochrana před SW i HW keyloggery)

silné heslo 64 vygenerovaných znaků je dle Mandylionlabs „Brute Force Attack Estimator“
odolný proti BF útoku a slovníkovému útoku

možnost výběru šifrovat celý disk (doporučeno) nebo jen systémovou partition

při časově náročném prvotním šifrování disku lze provozovat standardní pracovní činnosti

minimální spotřeba systémových zdrojů (procesory s podporou akcelerace AES nejsou
zatíženy šifrováním)

vhodné pro projektové nasazení

možnost rozšíření DVZ®

jednoduchá správa předmětů ICZ Protect Boot vystačí obvykle s výpočetním prostředím,
kterým již podnik disponuje

možnost dalšího přizpůsobení centrální správy, obalu ICZ Protect Boot nebo některých
vlastností předmětu ICZ Protect Boot podle potřeb zákazníka, například:
http://www.trustedcomputinggroup.org/about_tcg
https://www.i.cz/co-delame/bezpecnost/duveryhodna-vypocetni-zakladna/
o
volitelný počet neplatných pokusů zadání PIN
o
volitelná minimální délka PIN
o
volitelná složitost hesla (všechny znaky/čitelné znaky), možnost OTP
o
napojení centrální správy na evidenci zaměstnanců
o
…
Další vlastnosti ICZ Protect Boot
 může být použit také pro zašifrování disku serveru nebo externího disku počítače, který je
určen pro zálohování

není určen pro ochranu počítačů s OS Linux a Mac OS, tabletů a mobilních telefonů
Podporuje sice multiboot, ale uvedené operační systémy nechrání.

některé počítače s instalovaným operačním systémem MS Windows 8 mohou hlásit
problém při instalaci Truecrypt (alokace TrueCrypt v RAM), kolizi způsobuje nekorektní
implementace zavaděče W8, kolize není způsobena zařízením ICZ Protect Boot,
http://www.truecrypt.org/future

síťová komunikace není šifrovaná

při rozsáhlých diskových operacích může docházet ke snížení rychlosti disku v řádu
jednotek procent

útočník může způsobit nedostupnost dat bootováním z jiného zařízení.
12. Hodnocení bezpečnosti
ICZ Protect Boot je vyvinut a dokumentován tak, aby vyhověl potřebám definovaných sadou
bezpečnostních norem ISO/IEC 27000, není certifikován FIPS, Common Criteria, NIST.
Produkt ICZ Protect Boot není certifikován pro zpracovávající utajovaných informace podle zákona
č. 412/2005 Sb.
Implementace ICZ Protect Boot na pracovní stanice v certifikovaných systémech pro zpracovávání
utajovaných informací může zvýšit dosažený stupeň zabezpečení. Každá taková implementace
www.i.cz | Czech Republic
5
ICZ Protect Boot – W7 desktop security – White paper
však vyžaduje individuální posouzení v rámci certifikace IS nebo v rámci postupu schvalování
změn, které ovlivňují bezpečnost v již certifikovaných IS.
13. Implementace - bezpečnostní politika
V informačních systémech lze vhodnou technickou a organizační implementací ICZ Protect Boot
zabezpečit zejména obsah disku šifrováním v případě ztráty nebo krádeže počítače, zabezpečit
počítač proti použití neoprávněnou osobou vícefaktorovou autentizací a zajistit integritu zavaděče
operačního systému.
14. O výrobci ICZ Protect Boot
S.ICZ a. s., dceřiná společnost ICZ a.s., zabezpečuje komerční ICT i systémy nakládající
s utajovanými informacemi. Je prověřena Národním bezpečnostním úřadem ČR (NBÚ) pro styk s
utajovanými informacemi do stupně utajení „TAJNÉ“ včetně. S.ICZ a.s. vyvíjí a vyrábí, ve
spolupráci s NBÚ, národní kryptografické hardwarové a softwarové prostředky, které následně
implementuje. Navrhuje architektury zabezpečených informačních systémů pro zpracování
utajovaných informací, zajišťuje jejich technická řešení, nasazení, konfiguraci, bezpečnostní
dokumentaci, systémovou podporu i servisní práce.
www.i.cz | Czech Republic
6