Andmete kaitsmine
Mõningaid andmeid on vaja kaitsta, et need ei muutuks avalikuks. Niisuguste andmete hulka kuuluvad ärisaladused, meditsiiniline info, riigisaladused, privaatne info, jne. Andmete kaitsmine peaks tagama selle, et kolmandad osapooled ei saa kaitstavaid andmeid kopeerida ega lugeda. Selle eesmärgi saavutamiseks saab kasutada erinevaid võtteid, näiteks üheks lahenduseks on seifi kasutamine. Digitaalseid andmeid saab samuti hoida seifis, aga mõnikord on neid vaja seifist välja võtta ja arvutis lugeda ja sellisel juhul võib arvutis olev pahavara saada juurdepääsu loetavatele andmetele. Niisugust info lekkimist on väga raske takistada, enam-vähem kindlaks lahenduseks on Internetist eraldatud arvuti kasutamine juhul kui seda tehakse õigesti. Eelmine näide on veidi ekstreemne ja tavainimesel ei lähe tavaliselt niisugust turvataset vaja ning seetõttu keskendume järgnevalt tavainimesele vajalike turvameetmete kirjeldamisele.
Krüpteerimine
Kõige lihtsam viis digitaalsete andmete turvamiseks on nende andmete krüpteerimine. Krüpteerimine muudav andmeid nii, et neist poleks võimalik enam infot kätte saada. Seega muudab krüpteerimine andmed võõraste jaoks kättesaamatuks. Krüpteeritud andmetele on võimalik juurde pääseda ainult vastavat võtit kasutades. Selleks, et krüpteeritud andmetest vajalikku infot kätte saada tuleb kasutada krüpteerimise pöördprotsessi mida nimetatakse dekrüpteerimiseks. Dekrüpteerimiseks nimetatakse protsessi, mille käigus krüpteeritud andmetest taastatakse originaalsed andmed. Selleks, et andmeid õigesti dekrüpteerida tuleb omada dekrüpteerimise võtit.
Me oleme kirjutanud krüpteerimiseks ja dekrüpteerimiseks kasutatavatest võtmetest, aga pole veel täpsustanud, mis need võtmed ikkagi on. Võtmeteks on krüptograafias bittide jadad ehk lihtsalt nullide ja ühtede jadad. Oluline on see, et niisugused võtmed oleksid juhuslikud, sest muidu ei pakuks krüpteerimiseks kasutatavad algoritmid piisavalt turvataset. Krüpteerimiseks kasutatav võti on analoogne tavalise võtmega - võtit tuleb valvata, et sellest koopiat ei tehtaks ja võtit tuleb kaitsta kadumise eest, et võõrad võtit kasutada ei saaks. Lisaks sellele tuleb võtit enda jaoks säilitada, et tagada juurdepääs võtmega suletud esemetele (digitaalsel juhul failidele).
Üldistatult võib jagada krüpteerise kaheks, ühel juhul kasutatakse krüpteerimiseks ja dekrüpteerimiseks ühte võtit ja teisel juhul kasutatakse krüpeerimiseks ja dekrüpteerimiseks erinevaid võtmeid. Andmete kaitsmiseks kasutatakse enamast esimest varianti. Kui andmeid krüpteeritakse ja dekrüpteeritakse sama võtmega, siis on tegemist sümmeetrilise krüptogaafiaga. Järgmiseks alamosas kirjeldame, mis on sümmeetriline krüptograafia, kus seda kasutatakse ja kuidas teie seda kasutada saate.
Kui teile pakub huvi krüpteerimine kus kasutatakse kahte erinevat võtit, siis soovitame lugeda järgmisi materjale: Infoturbe kursuse materjalid ja Wikipedia artikkel.
Sümmeetriline krüptograafia
Nagu eelnevalt öeldud, nimetatakse sümmeetriliseks krüptograafiaks seda kui nii krüpteerimiseks kui dekrüpteerimiseks kasutatakse sama võtit.
Kuna võtmeks on juhuslik bittide jada ja seda bittide jada tuleb hoida saladuses, siis peaks krüpteerimistarkvara kasutaja selle jada meelde jätma. See pole kahjuks enamasti võimalik, sest sümmeetrilised krüpteerimisvõtmed on päris pikad, näiteks on väga levinud 128 biti pikkused võtmed. Suurem osa inimesi ei suuda meelde jätta sadu või tuhandeid bitte ning seetõttu krüpteeritakse võti (peavõti) parooliga, mida on inimesel lihtsam meelde jätta. Krüpteeritud peavõti salvestatakse mingile meediumile (eraldi failina, krüpteeritud faili päisesse, ID-kaardi kiipi, TPM-i).
Kus kasutatakse sümmeetrilist krüptograafiat?
Sümmeetrilist krüptograafiat kasutatakse suurte andmehulkade krüpteerimiseks, sest see on kiirem kui asümmeetriline ehk avaliku võtme krüptograafia.
Näited sümmeetrilise krüpeerimise kasutamisest:
- mobiilside
- Skype's rääkimine
- lukustatud telekanalid
- WiFi ruuteri ja arvuti vaheline andmeside (juhul kui tegu pole avatud wifi võrguga)
- andmeside HTTPS protokolli kasutavate veebilehtedega (näiteks Facebooki sisselogimine)
- ID-kaardi abil failide krüpteerimine
- DRM kaitse DVD plaatidel
Probleemid
- Kuidas hallata võtmeid?
- Kuidas saata krüpteeritud sõnumeid mitmele inimesele?
- Kuidas saata krüpteeritud sõnumeid võõrastele?
- Kuidas turvaliselt jagada võtit enda sõbraga?
Tarkvara TrueCrypt
TrueCrypt on populaarne vabavaraline tarkvara, mis võimaldab luua krüpteeritud kaustu ja ka terveid andmekandjaid (USB mälupulk, kõvaketas) ning pakub võimalust andmete krüpteerimiseks nende kasutamise ajal. Nagu ka teised siin mainitud lahendused, kasutab TrueCrypt andmete kaitsmiseks sümmeetrilist krüptograafiat.
TrueCrypt eeliseks on avatud lähtekood (st läbipaistvus) ning et see on toetatud kõigil enamlevinud platvormidel: Windows, Linux, Mac OS X. Tänu sellele on TrueCryptiga krüpteeritud faile erinevate arvutite ja platvormide vahel lihtne jagada.
1. Programmi TrueCrypt paigaldamine
Viimane TrueCrypt-i töötav täisversioon on 7.1a, seetõttu soovitame seda kasutada. Truecrypt kodulehel pakutakse ka uuemat versiooni (7.2), aga see võimaldab vaid andmeid dekrüpteerida, et üle minna mõnele teisele tarkvarale.
Kuna TrueCrypt arendus on ametlikult lõppenud, siis tuleb see alla laadida teiselt veebisaidilt: TrueCrypt Setup 7.1a.exe.
Käivitage allalaetud fail ja
- nõustuge pakutud litsentsige ja vajutage “Accept”
- vajutage “Continue”
- vajadusel muutke installatsiooni asukohta ja vajutage “Install”
- lõpetage installeerimine ja avage programm TrueCrypt
2. Faili kasutamine krüpteeritud andmete hoidmiseks
Kõige lihtsam viis väikest kogust salajasi andmeid kaitsta on need panna kokku ühte krüpteeritud faili (konteinerisse). See võimaldab vajadusel krüpteeritud andmeid hõlpsasti varundada ning näiteks arvuti vahetusel uude arvutisse üle viia. Piisavalt tugeva parooli korral ei juhtu midagi kui ka krüpteeritud fail lekib või kaotsi läheb, sest ilma paroolita paistab see lihtsalt juhusliku bitijadana.
Konteineri loomine:
- Vajuta “Create Volume”
- Vali “Create an encrypted file container”
- Vali “Standard TrueCrypt volume”
- Vajuta “Select File” ning salvesta failina konteiner.tc ja vajuta "Next"
- Valjuta “Next”
- Suuruseks määrame 10 MB
- Määrake parool ja jätke see meelde. Mida keerulisem parool, seda parem, aga praktikumi jaoks võib kasutada ka midagi lihtsat (sel juhul saate hoiatuse, mida on võimalik ignoreerida)
- Format
Konteineri kasutamine:
- Vajuta “Select File” ning sirvi fail konteiner.tc
- Vali mingi ketas, näiteks Z
- Vajuta “Mount”
- Proovi alguses vale parooli, seejärel kasuta õiget parooli
- Tee varem valitud kettal parem klõps ning vali “Open”
- Kopeeri kettale mõni fail
- Sulge ketta aken
- TrueCrypt aknas vajuta “Dismount”
- Korda samme 1-5 veendumaks, et kettal on kopeeritud fail olemas. Seejärel ära unusta teha samme 7-8
3. USB mälupulga krüpteerimine
Üks võimalus andmeid turvaliselt transportida on luua krüpteeritud konteiner nii nagu eelmises punktis kirjeldatud ja siis seda USB mälupulgal kaasas kanda. TrueCrypt võimaldab aga ka terve mälupulga krüpteerida.
Tavaliselt koosneb modifitseerimata mälupulk ühest partitsioonist, aga vajadusel saab partitsioone lisada või formaatida. Terve partitsiooni krüpteerimisel formaaditakse vastav partitsioon, mille käigus kustutatakse partitsioonil olevad andmed. Seega, selleks, et tervet USB mälupulka krüpteerida, peaks kõigepealt mälupulgal olevad andmed teisele andmekandjale dubleerima, et vältida nende kustutamist.
- Vajuta “Create Volume”
- Vajuta “Create a volume within a partition drive”
- Vajuta “Standard TrueCrypt volume”
- Valige partitsioon, mida te tahate krüpteerida. Selleks valige “Select Device” ja valige vastav partitsioon. Hoiatus: valitud partitsioonil olevad andmed kustutatakse formaatimise käigus. USB pulga saab jagada mitmeks partitsiooniks nii, et üks partitsioon on krüpteeritud. Ka partitsioonide lisamisel kustutatakse mälupulgal olevad andmed.
- Vajutage “Next” ja “Next”
- Sisestage vähemalt 20 kohaline parool või looge võtmefail. Võtmefaili luues peab seda mälupulgast eraldi hoidma, kaitsma võõraste eest ja valvama, et see kaduma ei läheks. Kui vastavalt kas parool või võtmefail läheb kaduma, siis ei ole võimalik krüpteeritud andmeid enam taastada.
- Vajutage “Next”, märkige ära “Quick format” ja vajutage “Next”
- Liigutage juhuslikult hiirt, et krüpteerimisvõtme juhuslikkust suurendada ja siis vajutage “Format” ja “Yes”
- Vajutage “Next”
- Krüpteeritud partitsiooni saate kasutada samamoodi nagu eelnevalt kirjeldati krüpteeritud konteineri kasutamist
Lisamaterjalid ja viited
- Krüptograafia
- Encrypting File System (EFS)
- Bitlocker
- Bitlocker
- Wikipedia: Bitlocker
- Dislocker - Bitlockeriga krüpteeritud ketta lugemiseks ja kirjutamiseks Linux ja Mac OS X keskkonnas
- TrueCrypt