Безопасность всех личных данных на USB флэш-диске без лазеек в системе защиты.
Не стоит недооценивать безопасность ваших данных. Кражи данных и полностью всех компьютеров остаются ежедневной делеммой человека в мире Новых Технологий. И отдельные лица и предприятия теряют cверх-секретные финансовые данные, а некоторым это стоит даже репутации. Недавние же новости из США говорят о том, что ФБР требует, чтобы им дали доступ ко всем зашифрованным системам связи, что в действительности подрывает право на неприкосновенность частной жизни. В последнее время о конфиденциальности и безопасности очень много говорили и мы будем надеятся, что все это будет принято во внимание.
Отсутствие бреши в системе защиты.
Недавно нас спросили, если в программах шифрования Rohos Mini Drive (бесплатная программа) и Rohos Disk Encryption (пробная версия) есть бреши в системе защиты. Наш ответ НЕТ. Разработчики Rohos заявляют, что в их программах шифрования нет бреши. Так что, вы можете спокойно спать, зная, что ваши данные находятся в целости и сохранности, и, что никто не сможет получить доступ к зашифрованным личным данным, если вы сами не дадите им пароль к ним.
Нас также спросили, как мы могли бы доказать это. Единственным способом доказать это является открыть исходный код, что мы и сделаем, но позже, и только для нашей бесплатной утилиты Rohos Mini Drive .
Программа Rohos Mini Drive совершенно бесплатна для некоммерческого использования, и является лучшей бесплатной утилитой шифрования, которая использует стандарт шифрования утвержденный NIST. Другими словами, в ней есть все, что необходимо домашнему пользователю для хорошего уровня защиты конфиденциальности информации на своём компьютере.
Открытый исходный код по сравнению с закрытыми кодом шифрования диска
Конечно же, некоторые люди могут сказать, что наличие программного обеспечения с открытым кодом шифрования дает вам возможность знать, ЧТО вы используете и НАСКОЛЬКО сильно шифрование и протоколы безопасности. Но у нас есть некоторые сомнения на этот счет.
Глядя на самую популярную программу шифрования с открытым кодом Truecrypt, возникают некоторые серьезные вопросы: почему его разработчики являются анонимными, и почему кто-то проделав так много работы (и поверьте, шифрование является не простой областью разработки), отдаёт её бесплатно, и т.д.. Похоже, не только я, но другие люди задумываются, когда речь заходит о бреши в защите системы данных в TrueCrypt. Автор одного блога действительно приоткрыл эту завесу в своей статье «Анализ: Есть ли «брешь» в TrueCrypt? Является ли Truecrypt ловушкой ЦРУ? «. Эта статья стоит вашего внимания (на английском языке). В кратце из этой статьи выходит, что
- Разработчики TrueCrypt полностью анонимны и никогда нигде не указывают своих имен
- Компания TrueCrypt тоже является инкогнито
- Лицензия на использование TrueCrypt очень строгая. Из нее выходит, что вас (пользователя TrueCrypt) могу даже засудить.
- Непонятно на какие деньги существует команда TrueCrypt. Обычно над разработкой такого продукта (Система Шифрования для Windows, Mac, Linux) работают целые команды программистов за большие деньги.
- Цензура на форуме TrueCrypt очень строгая. Любая критика недопустима.
- В сети нет данных о том, что криптографы проверяли исходный код TrueCrypt на предмет ошибок и уязвимости.
С другой стороны, мы должны признать, что ещё одна программа шифрования с открытым исходным кодом, OTFE, позиционирует себя как очень открытое для сообщества, и имя разработчика публично опубликовано. И в сравнении с TrueCrypt, программа никоим образом не отстает в разнообразии алгоритмов шифрования (AES, Twofish и Serpent) или в какой-либо другой функции, которая так популярна среди пользователей бесплатных программ шифрования.
Сертифицированные решения шифрования
У многих USB flash drive с функциями аппаратного шифрования есть сертификат FIPS 140-2 Level 2, выданный американским Национальным институтом стандартов и технологии США (NIST). FIPS сертификация означает: Проверка криптографического модуля одной из утвержденных лаборатории NIST:
- Лаборатория принимает криптографический модуль (это может быть только часть всей программы безопасности) и проводит ряд тестов. Шифрование предопределенных блоков данных с использованием заданных ключей шифрования, проверка выхода шифрования.
- Лаборатория может также проверить исходный код криптографического модуля.
Для упрощения процесса сертификации поставщики часто собирают весь код шифрование из всего исходного кода в один модуль и сертифицируют только этот модуль. В будущем, когда выходит новая версия продукта уже нет необходимости сертифицировать его снова.
Так что, когда говорят, что Продукты / Программы шифрования Сертифицированны, это означает: «Когда-то в прошлом мы сертифицировали только код шифрования в нашем продукте». Но вцелом программа или продукт могут содержать ошибки / уязвимости в протоколах безопасности.
- Посмотрите на список сертификатов — там только сертификация «Криптографических модулей», но не продуктов.
- Прочтите о Дырах в безопасности в USB флэш-дисках с сертифицированным шифрованием.
Еще одним из примеров возможной уязвимости является русский стандарт шифрования ГОСТ 28147-89. Хотя он и был разработан в КГБ, некоторые утверждают, что для отдела национальной безопасности он остаётся прозрачным. Этот стандарт шифрования подвергся резкой критике в связи с тем, что стойкость шифра может зависеть от качества S-блоков. А сертифицированный разработчик шифрования должен использовать S-блоки предоставленные ФСБ. Русские страницы Wiki лучше описывают этот вопрос: критика ГОСТ(а). Ещё одна отличная статья об этом стандарте и многом другом, которой нам хотелось бы поделиться с вами называется «Слабость Криптосистемы«.
Надо сказать, что ни один из существующих криптографических алгоритмов не дает 100% защиту данных. Он лишь увеличивает время, необходимое для третьей стороны, чтобы прочитать информацию. Обычно это занимает довольно таки долгое время, так что ваша информация к этому времени уже теряет свою ценность. Но если посмотреть пристальнее на тот факт, что большинство протоколов шифрования и криптографические алгоритмов разработаны в США, то это должно насторожить нас.
Так что решать вам, что использовать. И только время может доказать, какая из программ шифрования по-настоящему безопасна и надежна.