Disk- og filkryptering

Beskyttelse for brukere av Kaspersky Endpoint Security (bedrift)

Kaspersky Endpoint Security for Windows har integrerte verktøy for kryptering av data. De fungerer i henhold til policyer som distribueres fra Kaspersky Security Center, administratorprogrammet for administrering av infrastrukturen som beskyttes med Kaspersky-sikkerhetsprodukter.

Full diskkryptering (FDE)forhindrer datalekkasje ved tap av en bærbar datamaskin eller harddisk. Når en disk er kryptert, kan ikke uautoriserte brukere starte fra den eller lese dataene på den.

Kryptering på filnivå (FLE)beskytter filer mens de overføres gjennom kanaler som ikke er klarert. Brukere som har tilgang til beskyttede filer i henhold til krypteringspolicyene, ser dem uten kryptering.

Krypteringspolicyer

Administratorene for Kaspersky Security Center kan konfigurere krypteringspolicyer for å muliggjøre kryptering på bedriftsdatamaskiner som er beskyttet med Kaspersky Endpoint Security. Policyene kan være forskjellige for ulike verter, og data om overholdelse av policyene aggregeres i en felles rapportfeed som er synlig for administratorer.

Det kan også konfigureres policyer for flyttbare enheter (flash-stasjoner, bærbare disker osv.) som er koblet til en datamaskin. Enheten kan for eksempel blokkeres frem til brukeren samtykker til kryptering av enheten eller den spesifikke filtypen den inneholder.

Ved kryptering på filnivå kan policyene definere hvilke filer som skal krypteres, basert på filtypen eller plasseringen på en disk. Når det oppdages en samsvarende fil på datamaskinen, blir den kryptert.

Transparent kryptering

Kryptering forstyrrer ikke arbeidsflyten til en typisk bruker: Det introduserer ikke nye programmer eller endringer i konfigurasjonen av eksisterende programmer. Policyene tas i bruk automatisk.

Krypteringen er transparent for programmer: Når en bruker er autentisert i operativsystemet, ser programmer data på diskene som om de ikke er kryptert, selv om de er det. Krypteringsfilteretoverfører data mellom programmer og disker (et diskfilter for FDE og et filfilter for FLE). Det krypterer data som sendes fra disker til programmer, og krypterer data som sendes tilbake. Data krypteres direkte, umiddelbart ved lese-/skriveoperasjoner, og ingen data lagres på disken uten kryptering, selv ikke midlertidig.

For enkelte programmer bør ikke kryptering være så transparent. Sikkerhetskopiprosedyrer som lagrer en kopi av en kryptert disk for å oppbevare den et annet sted, bør for eksempel ikke lagre dataene uten kryptering. Derfor bør sikkerhetskopiprogrammet kopiere disken i kryptert tilstand. I slike tilfeller kan transparent kryptering deaktiveres sentralt av administratoren for bestemte programmer.

Mekanisme for diskkryptering (FDE)

FDE-mekanismen krypterer hele disker på en datamaskin. FDE støtter følgende:

• Kryptering på alle disktyper: HDD, SSD, flash-stasjoner osv. For SSD-enheter reduserer FDE antallet ekstra lese-/skrivesykluser for å forlenge diskens levetid.
• Maskinvareakselerasjon av kryptering (hvis datamaskinens prosessor støtter AES-NI).
• UEFI Secure Boot, en teknologi som beskytter datamaskiner ved oppstart og garanterer at bare klarert programvare lastes, og at operativsystemet og programvare startes på riktig måte uten forstyrrelser fra andre prosesser.

Krypteringsnøkler.Diskkrypteringsfilteret krypterer og dekrypterer data med en disknøkkel. Det opprettes en egen nøkkel for hver disk, som lagres på disken som tre krypterte kopier. Selv om disken blir skadet og én nøkkelkopi blir ødelagt, er det mulig å få tilgang til disken med en av de andre kopiene. Hvis alle de tre kopiene av nøkkelen på disken blir ødelagt, kan disktilgangen gjenopprettes med kopien som er lagret i Kaspersky Security Center. Når det opprettes en disknøkkel sendes det en kopi på en sikker måte til Kaspersky Security Center for dette formålet. Nøkler blir aldri lagret på disken uten kryptering.

Brukerautentisering og OS-lasting fra en kryptert disk.Disknøkkelen som er lagret på disken, blir tilgjengelig for krypteringsfilteret når en bruker er autentisert. Brukeren kan autentiseres med et passord, et USB-token eller et smartkort. Hvis autentiseringen var vellykket, kan operativsystemet startes fra den krypterte disken.

Håndheving av krypteringspolicyer på en datamaskin.Når en krypteringspolicy tas i bruk på en datamaskin, startes to prosesser:

• Direkte krypteringaktiveres permanent. Dette garanterer at alle data som skrives til disken, krypteres fra og med nå. Til dette formålet fanger diskkrypteringsfilteret opp alle prosesser for lesing/skriving til disk.
• Diskkrypteringsprosessenstartes for å begynne den fullstendige krypteringen av datamaskinens disker. Nå den er fullført, er diskkrypteringspolicyen håndhevet i sin helhet på datamaskinen. Det kan ta flere timer å kryptere diskene.

Mens diskene krypteres, kan brukerne arbeide som normalt, sette datamaskinen i hvilemodus eller slå den av. Når den slås på igjen, gjenopptas krypteringen. Prosessen er også motstandsdyktig overfor svikt (f.eks. strømbrudd, OS-svikt). Den feilsikre krypteringsdesignen garanterer at alle dataene blir kryptert til slutt.

Tilgang til krypterte filer (FLE)

Tilgang med Kaspersky Endpoint Security.Når en bruker autentiseres i operativsystemet, får programmer på datamaskinen som kjører på vegne av brukeren, tilgang til de krypterte filene i henhold til krypteringspolicyene.

For å få tilgang til filer som er kryptert av andre brukere, ber Kaspersky Endpoint Security-vertsagenten om de nødvendige dekrypteringsnøklene fra Kaspersky Security Center. Hvis for eksempel en fil som ble sendt via e-post, ble kryptert av en annen bruker, vil mottakerens vert be om og motta en nøkkel fra Kaspersky Security Center (hvis policyene tillater tilgang). Denne nøkkelen gir tilgang til denne filen og andre filer som er kryptert på den samme logiske disken for den brukeren. Nøkkelen lagres i hurtigbufferen, slik at man ikke trenger å be om en ny nøkkel hver gang man mottar en fil som ble kryptert på den samme disken av den samme brukeren.

Hvis det ikke finnes noen Internett-tilkobling, kan mottakeren få en nøkkel fra Kaspersky Security Center via spørsmål/svar-standardmekanismen for sikker nøkkelutveksling via åpne kanaler (f.eks. en telefon). Send ganske enkelt en generert spørsmålskode for å motta svarkoden.

Tilgang uten Kaspersky Endpoint Security.Hvis det er tillatt i henhold til krypteringspolicyene, kan brukerne konfigurere enhetene sine slik at de krypterte filene på disse enhetene kan åpnes på datamaskiner uten Kaspersky Endpoint Security ved å angi et passord. Når brukeren konfigurerer en slik enhet med Kaspersky Endpoint Security:

• Kaspersky Portable File Manager-programmet blir kopiert til enheten. Det lagrer nøkler for filtilgang på en trygg måte og krypterer/dekrypterer filer.
• Brukeren oppretter et passord for å få tilgang til filer på denne enheten.

Når en bruker kobler til en enhet og godkjenner den i Portable File Manager, blir krypterte filer tilgjengelige for lesing og redigering. Brukere kan også kryptere nye filer til enheten.

Beskyttelse for brukere av Kaspersky Total Security (forbruker)

Crypto Disk er et undersystem i Kaspersky Total Security som beskytter brukerens lagrede data med kryptering.

Med Crypto Disk oppretter brukeren en virtuell kryptert disk som lagres som en egen fil. Brukere kan få tilgang til disken med et passord som tilordnes når disken opprettes. Etter godkjenning blir disken montert som en lokal disk (f.eks. «E:\»). Brukeren kan overføre en fil med den krypterte disken til andre brukere via enheter, e-post og delte og skybaserte repositorier og gi andre brukere tilgang ved å gi dem passordet.

Disken krypteres ikke på selve passordet, men på en nøkkel som genereres automatisk, og som blir tilgjengelig når brukeren er godkjent. Dette gjør at brukeren kan endre passordet uten å måtte kryptere hele den virtuelle disken på nytt.

Krypteringsmodul

FDE, FLE og Crypto Disk bruker krypteringsmodulen som benytter AES-256-krypteringsalgoritmen i XTS-modus. Krypteringsbiblioteket er sertifisert i henhold til:

• FIPS 140-2
• Common Criteria