Jarno Rikama:

Tiedoston, levyosion tai levyn salaus

Johdanto

Otetaan selvää miksi ja miten tiedostoja, levyosioita ja levyjä voidaan salata. Tarkastellaan ja testataan lähemmin paria melko yleisesti käytettyä ilmaista ohjelmaa, niiden perusperiaatteita sekä käyttökohteita. Erityisesti katsotaan mitä testatuilla ohjelmilla voidaan tehdä, kuinka käytettäviä ne ovat ja käydään lyhyesti läpi niiden käyttämät salausmekanismit.

Mainitaan testattujen ohjelmien lisäksi myös useista muista Windows ja Linux ympäristöissä toimivista salausohjelmista. Näistä ohjelmista annetaan vain lyhyehkö kuvaus niitä kuitenkaan testaamatta ja niihin muutenkaan syvällisemmin perehtymättä. Tämä siksi, koska se maksaisi liikaa aikaa ja vaivaa. Tämän työn tarkoituksena on kaiken kaikkiaan antaa yleiskuva aiheesta, eikä ole tarkoituksenmukaista rajata aihetta liian laajalle alueelle. Jotkut ohjelmat ovat myös maksullisia, joten niiden testaaminen tulisi myös kovin tyyriiksi.

Yleistä

Miksi tiedostoja, levyjä tai levyosioita salataan? Tähän varmasti lähes jokainen tallaaja keksii joitain syitä. Yleisesti voidaan sanoa, että tiedoston salaamisen tarkoituksena on suojata tiedoston arkaluontoista tai muuten merkittävää tietoa ulkopuolisilta. Tiedostoja voidaan salata myös siksi, että halutaan suojella ihmisiä tiedolta. Sillä joissain tapauksissahan pätee vanha sanonta ´tieto lisää tuskaa´. Tällaiset asiat ovat tuttuja kaikille varmasti jo tietoturvallisuuden perusteiden kurssilta. Samat perussäännöt pätevät yhtä lailla myös kokonaisten levyjen ja levyosioiden salauksessa.

Kokonaisen levyn salaus estää tietovälineen käytön kokonaan ja tällöin kukaan muu ei pääse näkemään edes millaisia tiedostoja sille yleensäkään on tallennettu. Tällainen levyn salaus voidaan tehdä normaaleille levykkeille, mutta miksei myös tietokoneen kiintolevylle. Tämä on erittäin hyödyllinen ja tehokas tapa estää ulkopuolisten pääsy tietoihin ja niiden väärinkäyttöön ja on erityisen hyvä esimerkiksi kannettavien tietokoneiden kohdalla. Salaus suojaa koneella olevan tiedostot ja niissä olevan tiedon, jos yrityksen tietokone esimerkiksi varastetaan, mikä uhkaa juuri kannettavien tietokoneiden käyttäjiä matkoilla. Salaus tekee tiedoista lukukelvottomia muille kuin niille käyttäjille, joiden tietokoneeseen on asennettu vaadittava ´avain´. Jos kannettavan tietokoneen kiintolevy kryptataan käyttäen luotettavaa menetelmää, ei kukaan ulkopuolinen siis pääse tietoihin käsiksi ilman asianmukaista salasanaa ja/tai avaintiedostoa, jonka salausohjelma tarvitsee ennen kuin edes käyttöjärjestelmää aletaan ladata. Kaikki tiedot levyllä ovat tällöin siis kryptattu. Samoista edellä mainituista syistä myös esimerkiksi CD-levyllä tai muulla siirrettävällä medialla kuljetettavat salaiset tiedot kannattaa suojata.

Levyosion salaus on taas tehokas tapa suojata tiedostoja esimerkiksi yhteiskäytössä olevalla koneella, jolloin ei ole tarpeellista salata kaikkia tiedostoja. Salaamattomilla levyosioilla oleville tiedostoille pääsee tällöin normaalisti kaikki käsiksi. Seuraavaksi luodaan katsausta edellä mainittujen toimenpiteiden mahdollistaviin ohjelmiin.

Testatut ohjelmat

Valitaan testipenkkiin TrueCryptin Windows versio ja AxCrypt, josta ei toistaiseksi muuta olekaan kuin Windows versio. Päädyin kyseisiin ohjelmiin, sillä ne ovat vapaaseen lähdekoodiin perustuvia ohjelmia, jotka ovat ilmaiseksi minun ja kaikkien muidenkin saatavilla. Nämä ohjelmat ovat myös yleisesti paljon käytettyjä. Joidenkin mielestä TrueCrypt on ilmaisista ohjelmista kategoriassaan paras ja luotettavin Windows ja Linux ympäristöön tarkoitettu työkalu. AxCrypt on taas vallan mainio ohjelma sellaiselle henkilölle, joka haluaa yksinkertaisen, nopeasti omaksuttavan ja helpon käytettävyyden omaavan tiedostonsalausohjelman jokapäiväiseen käyttöön.

AxCryptin esittely, ensivaikutelma ja testaus

TrueCryptin esittely, ensivaikutelma ja testaus

Yhteenveto

Heti ensivaikutelman perusteella AxCrypt vaikuttaa todella helppokäyttöiseltä ohjelmalta, jollaiseksi se on tarkoitettukkin. Sen ominaisuudet ovat tosin melko suppeat ja se poikkeaa esimerkiksi TrueCryptistä kaikin puolin. AxCrypt on kuitenkin ohjelma, joka tulee olemaan jatkossa minun käytössä olevien ohjelmien listalla, sillä tiedostojen salaamiselle on käyttöä ja tällä ohjelmalla se käy todellakin helposti ja vaivatta. Ohjelma toimi joka tilanteessa odotetusti ja mitään bugeja ei ilmennyt. AxCrypt on erinomainen ohjelma ja palvelee täydellisesti siinä mihin se on tarkoitettu.

TrueCryptin toiminnalliset ominaisuudet poikkeavat siis Axcryptistä täysin, ja nämä kaksi ohjelmaa täydentävätkin erittäin hyvin toisiaan. TrueCrypt toimii oman paikallisen koneen levyosioiden ja virtuaaliosioiden salaamisessa ja AxCryptillä taas voidaan salata esimerkiksi sähköpostissa lähetettäviä liitetiedostoja ja muita yksittäisiä tiedostoja, jotka ovat salattujen levyosioiden ulkopuolella. Molemmista ohjelmista jäi erinomaisen hyvä maku suuhun ja myös TrueCrypt tulee ehdottomasti jäämään minun omaan vakituiseen käyttööni.

Muita ohjelmistoja

Tiedostojen, levyosioiden tai levyjen salauksessa voitaisiin käyttää hyvin myös kaupallisia Utimaco Safeware Oy:n SafeGuard Easy, PrivateDisk sekä PrivateCrypto ohjelmia. Windows XP professionaalista löytyy vakiona EFS-tiedostojärjestelmä ja PGP (Prettu Good Privacy) taas on laajalti vakiintunut sähköpostien salauksessa käytetty menetelmä. Esitellään pintapuolisesti myös sen johdannaisista mm PGPDisk, ctk-versio ja GnuPG. Windows Vista Ultimate ja 7 ultimate sek Server 2008 käyttöjärjestelmissä tulee mukana myös BitLocker salausohjelmisto.

PGP, PGPDisk, ctk-versio ja GnuPG

PGP (Pretty Good Privacy) käyttää julkisen avaimen RSA-salausmenetelmää. Kullakin käyttäjällä on julkinen avain, jota käytetään viestien salaamiseen. Käyttäjä saa purettua julkisella avaimellaan salatun viestin omalla yksityisellä avaimellaan ja salasanalla. PGP on vakiintunut menetelmä sähköpostin salaamisessa. Tätä aihetta käsitellään tarkemmin Feetu Nyrhisen harjoitustyössä Sähköpostin salaus (t-9).

PGPdiskillä voidaan luoda tiedostoista virtuaalinen levyasema joka on salattu PGP:n avulla. PGPdisk ohjelman avulla salattu tiedosto mountataan järjestelmään jolloin se näkyy tavallisena asemana. Mountatun osion voi poistaa ja asetuksista voi mm. määrittää ajan jonka kuluessa osio poistuu automaattisesti, jos esimerkiksi unohtaa osion auki kahvitauolle lähtiessään.

PGP:sta on olemassa ns. ckt (Cyber-Knights Templar) versio, joka on kehitetty alkuperäisestä Network Associates lähdekoodista, ckt-versioon on lisätty ominaisuuksia (esim. tuki isoille avaimille) joita ei alkuperäisessä koodissa ollut. Ckt-versiossa on mukana myös PGPdisk ja se toimii kaikissa Windows-versioissa. Ohjelma integroituu yleisimpiin sähköpostiohjelmistoihin (Eudora, Outlook, Outlook Express).

GnuPG on avoimeen lähdekoodiin perustuva PGP:n korvaava ohjelmisto. PGP:n uudemmat versiot 5.x:sta lähtien ovat OpenPGP-standardin mukaisia, joten PGP ja GnuPG ovat periaatteessa yhteensopivia.

SafeGuard Easy

SafeGuard Easy on tarkoitettu erityisesti kannettavien tietokoneiden salaamiseen. Ohjelman asennuksen jälkeen tietokoneen tietoihin ei pääse käsiksi tietämättä salasanaa, jota kysytään jo ennen kuin koneeseen asennettu käyttöjärjestelmä käynnistyy. Koko kiintolevyn sisältö on tällöin salattu. Salaus hoidetaan erittäin luotettavalla 256 bittisellä AES salauksella ja 128 bittisellä IDEA-salausalgoritmilla. Tämä ohjelma on maksullinen.

SafeGuard PrivateDisk

PrivateDisk on 128 bittistä AES-salausta käyttävä muistilaitteiden ja hakemistojen salausohjelma. Se perustuu virtuaalisen levyosion teknologiaan, jossa salattu tiedosto käyttäytyy avattuna loogisen levyosion tapaan. Tämä on siis TrueCryptin ominaisuuksia vastaava kaupallinen ohjelma.

SafeGuard PrivateCrypto

PrivateCryptolla onnistuu tiedostojen salaus joka tehdään samaan tyyliin kuin tiedostojen pakkaaminen paketiksi, paketille vaan annetaan salasana. Salaustekniikka on symmetrinen joten salaamiseen ja avaamiseen käytetään samaa avainta. PrivateCypton kaupallinen versio tarjoaa jopa 256 bittisen AES-salauksen. Ohjelmasta on saatavilla ilmainen kokeiluversio joka käyttää lyhyempää 128 bittistä AES-salausta. Tämän ohjelma vastaakin hyvin pitkälti edellä testattua ilmaista AxCryptiä, mutta on maksullinen.

Encryption File System (Win XP)

Windows XP Professionalissa on EFS-tiedostojärjestelmä (Encryption File System), jolla voit salata niin yksittäisiä tiedostoja kuin kokonaisten kansioiden sisällön. EFS-tiedostojärjestelmän ansiosta vain tiedoston salannut henkilö voi avata tiedoston ja käsitellä sitä. Sisäinen tietojenpalautustyökalu sallii kuitenkin työntekijän salaamien tietojen palauttamisen, jos työntekijän työsuhde päättyy tai jos tiedoston salausavaimet hukkuvat. Hyviä ohjeita EFS:n käytöstä löytyy netistä yllin kyllin. Yksi lyhyt pikaohje löytyy vaikkapa osoitteesta http://www.iopus.com/guides/efs.htm

BitLocker (Win Vista/7/Server 2008)

BitLocker salausohjelmisto lisättiin Windows käyttöjärjestelmiin Windows Vistan myötä. Se on myös saatavilla uudessa windows 7 käyttöjärjestelmässä, kuten myös server 2008 versiossa. BitLocker on kuitenkin mukana vain kaikkein kalleimmassa ja täten monipuolisimmassa Ultimate versiossa, sekä yrityskäyttöön tarkoitetussa Enterprise versiossa. BitLocker eroaa Windowsin mukana tulevasta EFS järjestelmästä siinä, että BitLocker:lla salataan kokonaisia osioioita. Windows 7:ssa bitlockerilla voi salata myös liikuteltavia osioita, kuten USB-muisteja.

BitLocker käyttää oletuksena 128-bittistä AES salausta yhdistettynä Elephant diffuusoriin. Elephant diffusoori luo järjestelmälle lisäturvaa. Järjestelmä tukee myös key escrow palvelua. Microsoftin mukaan järjestelmässä ei ole minkäänlaista takaaukkoa, jota esimerkiksi viranomaiset voisivat käyttää tiedonpalauttamiseen. Lisätietoa järjestelmästä löytyy esimerkiksi osoitteesta http://en.wikipedia.org/wiki/BitLocker_Drive_Encryption

Lopuksi

Kannattaa aina pitää mielessä, että olipahan tiedostojen, levyosioiden ja levyjen salauksessa käytettävä ohjelmisto ja algoritmi kuinka tahansa luotettava ja mahdoton purkaa, niin ne menettävät merkityksensä jos niitä ei käytetä oikein. Tämä tarkoittaa muun muassa sitä, että salasanat pidetään vahvoina, eli ei käytetä liian lyhyitä tai arvattavissa olevia salasanoja ja niitä EI pidetä paperilla pöytälaatikossa, muistilapulla kirjoitusalustan alla eikä avaintiedoston säilytyspaikka tulisi olla Windowsin työpöytä tai levyke, joka sijaitsee tietokoneen korppuasemassa tai muualla ulkopuolisen ulottuvilla.

Työtä tehdessä tuli kaiken kaikkiaan hyödyllistä ja tietoturvallisuuden kannalta oleellista tietoa. Työn aihe tulikin alun perin valittua siksi, koska tarvetta tiedostojen ja osioiden salaamiselle on aikaisemmin ollut, ja näin ollen aiheeseen tuli perehdyttyä hyvässä yhteydessä. Näissä puitteissa kaikkia ohjelmia ei kuitenkaan voitu tarkemmin käydä läpi, mutta tässä luotiin kuitenkin mahdollisimman hyvä yleiskatsaus tiedostojen, levyosioiden ja levyjen salauksessa hyödyllisistä työkaluista etenkin Windows järjestelmille.

Lähteet

Testattujen ohjelmistojen kotisivut/latauspaikat

Muut lähteet

Print version |  PDF  | History: r6 < r5 < r4 < r3 | 
Topic revision: r6 - 06 Sep 2010 - 11:34:01 - MarkoHelenius
 

TUTWiki

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback