Šifrování dat a disků

Z HelpDesk
Vždy existuje možnost, jak zabezpečení obejít... (Zdroj: http://xkcd.com/538/)

Ochrana dat, především těch citlivých, je důležitou doménou IT bezpečnosti. Různé formy šifrování dat jsou určeny k tomu, aby tato data ochránily před přístupem neoprávněných osob při odcizení datového nosiče nebo celého zařízení. Dokonalé zabezpečení dat je ideálem, jehož dosažení je zpravidla prakticky nemožné, nebo alespoň velmi nákladné a složité.

Nicméně i relativně jednoduchá a levná řešení, která nekladou na uživatele velké nároky, jsou schopna předejít velké části problémů, plynoucích z kompromitace či odcizení dat. Jinak řečeno, nemusí být dostatečné pro ochranu v extrémních případech, jako například pokus o získání dat ze strany některé vládní agentury, nicméně jsou dostatečné pro ochranu dat při odcizení či ztrátě zařízení/přenosného média, napadení systémů hackery, chybném předání či zaslání dat neautorizovaným subjektům a dalších podobných situacích, se kterými se, na rozdíl od těch extrémních, může setkat prakticky každý uživatel.

Šifrování pro ZČU

CIV se v současné době nachází ve fázi hledání a testování ideálního řešení pro šifrování. Kromě komplexního centrálního řešení, které bude v budoucnu k dispozici, mají uživatelé hned několik dalších možností, jak svoje data šifrovat lokálně.


Šifrování dokumentů Microsoft Office

Kancelářské aplikace z balíku Microsoft Office nabízejí možnost uzamčení dokumentu pomocí hesla. Uzamčený dokument je pak zašifrován, přičemž od verze 2007 je používán šifrovací algoritmus AES, který lze v dnešní době považovat za dostatečně silný a bezpečný i pro ochranu citlivých dat. Získání obsahu takto zabezpečeného dokumentu bez znalosti či "uhodnutí" hesla, tedy tzv. hrubou silou, není se současnými prostředky reálně možné. Slabým místem samozřejmě může být heslo, kdy při špatné volbě hesla či špatném zacházení s heslem může být toto získáno tzv. slovníkovým útokem nebo např. pomocí phishingu. Klasickou chybou je rovněž uložení hesla do dalšího souboru, přiloženého k dokumentu či jeho vepsání do textu e-mailu, ve kterém je dokument zasílán - v tomto případě je zabezpečení samozřejmě prakticky neúčinné. Bezpečné předání hesla je možné samozřejmě osobně, kdy je heslo dohodnuté předem, nebo pomocí telefonátu či SMS.

Šifrování e-mailů

K šifrování citlivé e-mailové komunikace se v současnosti používají dvě hlavní technologie - S/MIME, které je ze strany CIV doporučováno (e-maily lze podepisovat a šifrovat osobním TCS certifikátem) a PGP, které je návrhem jednodušší a nevyužívá infrastrukturu veřejných klíčů, nicméně pro použití uživatelem je ve srovnání s S/MIME komplikovanější a podpora v e-mailových klientech je menší.

Zabezpečení disků

Zabezpečení disků (pevných i přenosných) je nezbytné především v případech, že dané médium (flashdisk, externí disk...) či zařízení (notebook...) je běžně přenášeno a transportováno a tedy hrozí jeho ztráta či odcizení. Samozřejmě je ideální zabezpečit veškerá data, nicméně zde je třeba brát v potaz náklady, které mohou mít podobu snížení uživatelského pohodlí a především rizika, spočívajícího v tom, že ztráta či zapomenutí hesla může znamenat ztrátu dat bez možnosti obnovy.

K šifrování disků mohou uživatelé OS Windows, jejichž počítač je vybaven čipem TPM, použít BitLocker, který je nativní součástí systému a poskytuje vyhovující úroveň ochrany.

Uzamčení pevného disku

Většina notebooků nabízí možnost "zamčení" pevného disku pomocí hesla, které je nezávislé na nainstalovaném operačním systému a bez hesla znemožní přístup k danému pevnému disku. Toto řešení lze doporučit jako nejzákladnější linii obrany, především pro případ odcizení notebooku. Konkrétní forma se liší dle typu zařízení, návod na nastavení tohoto zabezpečení u vašeho zařízení lze zpravidla nalézt v uživatelském manuálu či vyhledat na internetu.