Интернет - грамотный подход 028

Дистанционный курс

Учебник для начинающих

Inet on CD

Рассылка: Интернет - грамотный подход

Выпуск 028

Шифрование

Наверное, у каждого пользователя компьютера есть файлы, содержимое которых не предназначено для посторонних глаз - переписка, фотографии, какие-то документы или разработки, а может быть просто стихи. Если подобные данные расположены на компьютере, который подключен к интернету, то всегда есть вероятность их кражи.

Представим себе другую ситуацию: Иванов переписывается с Петровым по электронной почте - секретничают, пересылают друг другу конфиденциальные файлы. А некто Сидоров спокойно может прочесть любое письмо из этой переписки. В качестве такого Сидорова может выступать сотрудник провайдера или бесплатной почтовой службы, которая используется для переписки. Если подумать, то становится ясно, что содержание любого электронного письма может стать известно достаточно большому количеству людей.

В обоих рассмотренных примерах применение шифрования решает проблему. По крайней мере, даже если данные и будут украдены, а переписка просмотрена посторонним, то злоумышленнику еще придется очень постараться чтобы все-таки узнать содержимое зашифрованных файлов. А так как эта задачка не из легких, то в большинстве случаев данные так и останутся нерасшифрованными.

Если ты, мой дорогой читатель, никакими секретами не обладаешь и скрывать тебе нечего, или если на 100% уверен в сохранности своих конфиденциальных данных, то, значит, заниматься шифрованием тебе не зачем. Ну а если это не так, то читай дальше.

Насколько мне известно, лучшая программа для шифрования называется PGP. Скачать бесплатную версию (19 Мб) и купить платную можно здесь: http://www.pgpru.com/soft/pgp/download.shtml
Альтернативный источник здесь: http://wareznik.ru/soft/PGP.Desktop.Professional.v9.0.2.Incl.Patch.and.Keymaker-ZWT/PGP.Desktop.Professional.v9.0.2.Incl.Patch.and.Keymaker-ZWT.rar (15 Мб)
Или здесь: http://inetoncd.bloha.ru/detail.php?file_id=3281

Пока программа качается, обращу твое внимание на сайт www.pgpru.com. К нему стоит присмотреться повнимательней, т.к. он содержит много полезной информации на русском языке о программе PGP и о шифровании вообще. Ну а пока ты не погрузился в дебри криптографии, давай я быстренько расскажу, как это все примерно работает.

Для того чтобы что-то начать шифровать, необходимо создать ключи. Ключ - это набор случайных данных определенной длины. Система шифрования PGP построена на работе с двумя ключами - открытым и секретным. Открытый используется для зашифровывания, а секретный - для расшифровывания. Открытый ключ свободно распространяется, он должен быть легко доступным. А секретный ключ должен быть только у тебя, его нужно беречь и стараться сделать так, чтобы никто посторонний им не завладел.

Дальше все просто. Используя твой открытый ключ, кто угодно может отправить тебе зашифрованные файлы. Но расшифровать их сможешь только ты, т.к. секретный ключ есть только у тебя. Точно также ты можешь пересылать зашифрованные данные другим людям, используя их открытые ключи.

Теперь приступим к установке. Обращаю внимание всех, кто воспользовался альтернативными источниками - нужно делать все именно так, как описано в файле nfo. В частности там есть указание - заблокировать PGP фаерволом во время регистрации. Если ты счастливый обладатель фаервола, то так и сделай. А всем остальным придется отключиться от интернета во время установки.

Во время инсталляции укажи где хранятся твои PGP-ключи, если они у тебя уже есть. Или создай новую пару ключей (I am a new user). Для генерации новых ключей нужно будет придумать достаточно длинную фразу-пароль. Как это лучше сделать написано здесь: http://www.pgpru.com/manuals/passwords/ Во время ввода придуманной фразы индикатор будет показывать качество пароля. Желательно достичь максимального уровня качества.

После создания ключей ты можешь сразу же опубликовать свой открытый ключ на специальном сервере. В этом случае всех новых знакомых, с которыми ты собираешься вести секретную переписку, можешь просто отправлять за твоим открытым ключом на этот сервер.

А теперь приступим к изучению программы. Значок программы появляется в трее рядом с часами, с помощью которого можно развернуть программу во весь экран.

Все управление ключами находится в разделе "PGP Keys". Здесь можно импортировать, экспортировать и находить ключи других людей и свои собственные. Прежде чем заниматься шифрованием файлов, предназначенных другому человеку, нужно сначала получить его открытый ключ и поместить в раздел "PGP Keys".

Теперь можно заняться непосредственно шифрованием. Щелчок правой кнопки мыши на любом файле или папке покажет контекстное меню. В нем появился новый пункт "PGP Zip". Можно зашифровать выбранный файл (Encrypt), подписать (Sign), зашифровать и подписать (Encrypt & Sign) или безопасно удалить (Shred).

Если выбрано действие "Зашифровать", то PGP спросит, какой открытый ключ использовать. Иными словами - кто потом будет заниматься расшифровкой этого файла. С помощью своего ключа можно подписывать файлы (электронная цифровая подпись) - это бывает нужно, если другой человек жалеет точно знать, что именно этот файл и именно с таким содержимым пришел от тебя. Для этого достаточно подписать (Sign) нужный файл. Безопасно удалить (Shred) - это значит удалить файл без возможности его восстановления. Кстати, на рабочем столе после установки PGP должна появиться альтернативная корзина - "PGP Shredder". Файлы, перемещенные с эту корзину, исчезают бесследно без возможности восстановления.

Во время зашифровки применяется еще и сжатие, что приводит к уменьшению размеров зашифрованного файла. Обращу внимание, что шифрование с помощью PGP и просто архивирование с паролем - это принципиально разные вещи. Чтобы вскрыть архив с паролем нужно просто этот пароль узнать или подобрать. В интернете много программ, которые как раз этим и занимаются. Чтобы расшифровать файл PGP нужно знать не только ключевую фразу, но и иметь секретный ключ. Все это делает файлы, зашифрованные PGP, гораздо более защищенными.

Следующей возможностью PGP является создание защищенных логических дисков. В основном окне программы найди раздел "PGP Disk" - "New Virtual Disk". Здесь можно задать размеры защищенного диска, его месторасположение и присвоить букву, под которым он будет виден в системе, например, "K". Теперь на компьютере есть защищенного пространство, с которым можно работать как с обычным логическим диском. Но следует иметь в виду, что файлы на этом будут защищены только если диск отключен ("Unmount disk"). В это случае, он представляет собой просто зашифрованный файл. Когда диск подключен ("Mount disk"), то все его содержимое доступно любой программе на твоем компьютере. Это плата за удобство. Подключить и отключить созданный диск можно в соответствующем разделе PGP.

Можно зашифровать весь диск целиком "Encrypt whole disk". В этом случае доступ к данным на всем диске будет возможен только с помощью соответствующего пароля.

Раздел "PGP Messaging" предназначен для работы с зашифрованной электронной почтой. Но на самом деле можно легко обойтись и без этого раздела, при этом поддерживая секретность переписки на должном уровне. Делается это очень просто: пишешь письмо в Блокноте или Ворде, потом зашифровываешь файл открытым ключом получателя и отправляет этот файл в аттаче. Письмо приходит к адресату, который расшифровывает полученный файл, знакомится с его содержимым и тут же удаляет его без возможности восстановления (помещает в шредер). Вот такая секретная переписка. "PGP Messaging" предназначен для того, чтобы расшифровывать и зашифровывать письма на лету автоматически, не напрягая пользователя лишними действиями.

Но скажу сразу, что у меня пока добиться полного автоматизма не получилось. Удается отправить зашифрованные письма, и я их получаю примерно в таком виде:

-----BEGIN PGP MESSAGE-----
Version: PGP Desktop 9.0.2 (Build 2424)
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=
=6iZf
-----END PGP MESSAGE-----

А вот авторасшифровка пока не получается. Возможно, виновата моя почтовая программа, т.к. при получении зашифрованного письма появляется кнопка, изображающая замок, но при нажатии на нее ничего не происходит. Постараюсь к следующему выпуску решить эту проблему и рассказать как все-таки заставить работать авторасшифровку как следует.

Но даже в таком виде письмо можно легко расшифровать. Для этого нужно вызвать PGP options (правый клик на значку в трее), далее перейти на закладку "Горячие клавиши" (Hot keys), затем поставить самую последнюю галку "Расшифровывать и проверять буфер обмена" (Decrypt & Verify Clipboard) - Ctrl + Alt + D. Теперь можно скопировать зашифрованное письмо в буфер обмена, нажать указанное сочетание клавиш и появится расшифрованное письмо. Возможно, хранить письма зашифрованными - это даже более надежный способ.

Про шифрование достаточно.

Вернемся к теме прошлого выпуска, т.к. я получил ценные письма, которые тему "Восстановление данных" прекрасно дополняют.

Здравствуйте, Павел.

Прочитал очередной выпуск Вашей рассылки. Вы ввели понятие "третьего эшелона сетевой обороны" :), и рассказываете, как необходимо вести себя, в случае если "противнику" удаётся пробить два первых эшелона. :). Я хотел бы рассказать о том, как выглядит у меня этот "третий эшелон".

Но для начала небольшой комментарий по поводу первых двух. Я думаю, что уже каждый читатель данной рассылки понял, что залог здорового компьютера - это установленный и правильно настроенный firewall и антивирус с регулярно обновляющимися базами. Думаю, что с firewall-ом все определились, и, судя по письмам, выбор большинства - Agnitum Outpost. Скажу, что я тоже использую данный брэндмауэр, а до него у меня был установлен Zone Alarm. Почему я отказался от этого брэндмауэра? Причин было несколько, но главная - это то, что Outpost позволяет создавать правила доступа для приложений на основе стандартных. Для тех кто не понял, что это значит, поясню: допустим, Ваш браузер впервые пытается получить доступ к Интернету, Outpost обнаружит это и выдаст предупреждение, что какое-то приложение пытается проявлять сетевую активность. В Outpost мы можем выбрать пункт создать правило на основе стандартного и выбрать "Browser". Теперь наше приложение будет получать доступ только по тем портам, по которым должен работать браузер. Если же после созданного правила выдаётся сообщение, что браузер пытается получить доступ по какому-нибудь другому порту - это первый признак того, что Вы подцепили какую-нибудь заразу и она "ломится" в Интернет. В Zone Alarm-е нет такой возможности, и, если бы мы разрешили бы доступ, то тогда бы ему был разрешён доступ везде и всегда (т. е. к любому удалённому адресу и по любому порту).

Теперь немного про антивирус. Очень часто вижу, что другие пользователи не всегда хвалят Dr. Web. Так вот, Dr. Web в отличие, например, от того же Касперского, не "тормозит" систему. В добавок к этому, у данного антивируса, антивирусные базы "весят" меньше, чем базы других антивирусов, да и хранятся они в виде файлов с расширением .vdb, и, если у Вас накопилось много этих самых баз, можно их скопировать в какую-нибудь другую папку, и, в случае переустановки антивируса, можно их преспокойно скопировать обратно, тем самым избавив себя от повторной их загрузки.

Теперь не спеша я подошёл к новому, "третьему эшелону сетевой защиты". Хочу рассказать о том, как выглядит этот "третий эшелон" у меня. Сразу бы хотел отметить, что особо не доверяю стандартной программе из ОС Windows, которая создаёт точки восстановления. Почему? Сейчас объясню. Разочаровался в этой программе я тогда, когда мой компьютер был заражён вирусами, и эта программа, создавая контрольные точки, копировала все эти вирусы в папку System Volume Information, и, самое главное, я потом ничем не мог их оттуда удалить. Плюс ко всему эта программа использует ресурсы, что хоть и немного, но "тормозит" систему. Да и после довольно долгого времени эти папки разрастаются до невероятных размеров, если, конечно, не удалять старые точки восстановления, что, собственно говоря, я и не делал. Помимо этого, функция этих контролных точек восстановления - приводить "в чувство" Windows после её краха. Однако, я наблюдал такое чудесное воскрешение ОС только однажды!!! В большинстве случаев, стандартные точки восстановления Winidows ничем не помогали. Поэтому, как Вы наверное уже догадались, восстановление системы у меня отключено.

Теперь начёт WinTools. Как-то пользовался я этой программой, так же как и другим большинством программ похожего рода, которые вносят какие-то изменения в реестр. Вот собственно за то, что они и ковыряются в реестре, я им не доверяю! Сколько раз я уже сталкивался с проблемами, из-за того, что эти проги удаляли какой-то ключ из реестра, который они считали ненужным. Так что я (это только моё мнение, я никому его не навязываю) НЕ РЕКОМЕНДУЮ пользоваться программами подобного рода!!!

Теперь пару слов о том, как поступаю я. Есть такая утилита - Norton Ghost, которая может создавать образы любых разделов Вашего жёсткого диска. И вот однажды, я, установив ОС Windows XP, сделал с помощью этой утилиты образ абсолютно новой ОС. Потом я установил все необходимые программы, которыми я в обязательном порядке пользуюсь (например, браузер, антивирус, firewall и т. д.), и сделал повторный "снимок" Windows с уже необходимым набором Soft-а. После этого я напрочь забыл, что такое переустановка Windows напрочь и тем самым экономлю себе кучу времени. Однако, помимо Windows и программ, у меня на компьютере (как, наверное, и у каждого), есть немало ценной информации, потеря которой недопустима. Эту ценную информацию я еженедельно архивирую стандартной утилитой Windows "Архивирование данных" и, в случае внесённых изменений, я записываю полученный файл на CD- или DVD-носитель. Теперь какие бы вирусы не попали на мой компьютер, чтобы они не делали с моими данными или моим винчестером, я могу легко и быстро, а главное без лишних нервов и затрат времени, привести систему в идеальное для себя состояние.

Вот такой небольшой рассказ о том, как я защищаю свой компьютер от всяких возможных неприятностей. Но это сугубо моё мнение и я никому его не навязываю.

На этом, пожалуй, закончу. Ещё раз спасибо Вам, Павел, за Ваши рассылки. Буду с нетерпением ждать следующего выпуска, посвящённому шифрованию.

--
С уважением,
Рак Антон mailto:cheh@narod.ru

(Павел Любовин) Буду комментировать по порядку. Возможность создавать правила фильтрации на основе уже действующих - это действительно большой плюс Аутпоста. По поводу антивируса - размер баз и удобство их копирования - не самые главные достоинства антивирусных программ. Все-таки главное их предназначение - удалять вирусы.

Со стандартным восстановлением системы действительно не все так гладко, как я писал в прошлом выпуске. Но подробнее об этом в следующем письме. Не совсем согласен с советом не пользоваться WinTools и прочими программами, редактирующими реестр. Во время работы Windows реестр захламляется - это факт. Для ускорения работы этот мусор желательно вычищать. Вычищать можно автоматически программами вроде WinTools или вручную. Второй вариант явно более трудоемкий и требует от пользователя кое-каких знаний. Поэтому для многих выбор выглядит следующим образом либо вообще не чистить реестр, либо применять для этих целей максимально автоматические инструменты, вроде WinTools. И хотя есть риск удалить что-то нужное, все-таки это лучше чем не удалять ничего.

Про Norton Ghost интересно. Действительно полезная утилиты, помогающая восстанавливать систему и программы. Применение Ghosta особенно полезно, если у тебя есть постоянный и неизменный набор необходимых программ. У меня, например, такого набора нет. Как-то получается, что на моем компьютере постоянно появляются новые программы и самый лучший набор сегодня уже не будет удовлетворять меня через месяц.

Еженедельное копирование всех необходимых данных - это очень хорошая привычка, которую можно порекомендовать каждому. Времени на это нужно немного, зато позволяет себя чувствовать спокойно и уверенно при любых неприятностях, которые могут случиться с твоим компьютером.

Антон, спасибо за письмо. Вы продемонстрировали еще один из вариантов продуманного подхода к сетевой безопасности.

А теперь немного пояснений по поводу стандартных точек восстановления Windows

Доброго времени суток, Павел,

Вы, наверное меня уже запомнили, поэтому не буду тратить лишний трафик на рассказы о себе. Так вот, в последнем выпуске Вашей рассылки я обнаружил ошибку, которая заключается в том, что контрольные точки восстановления системы создаются совсем не так, как вы об этом рассказывали. В первую очередь надо сказать, что происходит это далеко не так часто, как хотелось-бы и уж тем более не так часто, как написано у Вас. Причина этого заключается в том, что при создании контрольной точки все критически важные системные файлы дествительно копируются в специально предназначенный каталог, но каждая такая точка восстановления занимает почти 200 Мб. Я думаю, что Вы понимаете, что невозможно делать такие точки каждый день :). Теперь о том, как же они все-таки создаются. На самом деле такие точки создаются всего в пяти случаях и при этом могут иметь разный приоритет. Рассмотрим их по порядку:

1. Установка (обновление) драйверов устройств - самый высокий приоритет (что значит приоритет в данном случае я напишу немного дальше);

2. Установка критического программного обеспечения (DirectX, программы-эмуляторы, утилиты, встраивающиеся в систему и т.п.) - приоритет более низкий;

3. Установка продуктов компании Microsoft (видимо Билл Гейтс настолько в себе неуверен и считат свое ПО ненадежным) - приоритет еще более низкий;

4. Точки восстановления, создающиеся периодически "на всякий пожарный" - приоритет низкий;

5. Точки востановления, создаваемые по заказу пользователя - приоритет самый высокий.

С первыми тремя, я надеюсь, все понятно, а про четвертый и пятый пункт расскажу поподробнее. Так вот, точки восстановления, создающиеся "на всякий пожарный" реально создаются с частотой в 1 месяц. Именно по этим точкам можно действительно восстановить систему. То, что про это дело написано в справке к винде соответствует действительности только с некоторыми натяжками. Дело в том, что при создании ежесуточной контрольной точки (как это описано в справке) никакие файлы никуда не копируются, а просто производится снимок реестра и перерасчет контрольных сумм критических файлов. Восстановление же происходит следующим образом: проверяется состояние реестра (критических ветвей) и системных файлов, и в случае обнаружения несоответствия производится их восстановление из той самой плановой копии, которая делается раз в месяц. Естественно в этом случае восстановление до вчерашнего дня помогает мало, хотя если система слегка "пошатнулась", то может и помочь. Если пошатнулась сильно, то восстанавливать имеет смысл только не менее, чем на две-три недели назад. И еще, в отношении борьбы с вирусами этот метод практически бесполезен. Причина этого заключается в том, что грамотно написанный вирус (точнее вирус, написанный грамотным программистом) использует максимально возможное количество мест, из которых он может запускаться, а восстановление не охватывает всех этих мест. Хотя против мелких вредителей помогает...

...Теперь про приоритеты. В данном случае от приоритета зависит продолжительность жизни созданной точки. Как я уже говорил место для этого дела строго ограничено, поэтому периодически старые точки восстановления удаляются и от приритета зависит насколько скоро они удаляться. Пользовательским точкам дан высокий приоритет поскольку считается, что раз уж пользователь сделал точку, то это неслучайно.

Напоследок добавлю, что по умолчанию на восстановление отводится 12% объема каждого логического диска, что по-моему слишком много. У меня сервис восстановления просто отключен в связи с тем, что за все время, что я работаю с XP (а это с момента ее выхода) он мне помог только однажды, и то незначительно: система все равно умерла, но удалось скопировать данные...

...---
С уважением,
Alex Nomand Onim

(Павел Любовин) Alex, спасибо за ценное дополнение. Теперь стало понятно, почему стандартные точки восстановления срабатывают не всегда как надо.

Дистанционный курс

Учебник для начинающих

Inet on CD

Все вопросы и пожелания, восхищенные отзывы и критику жду по адресам internet@bloha.ru или ezh-internet@mail.ru

Архив рассылки доступен по адресу: http://bloha.ru/articles.html

До встречи, Павел Любовин, bloha.ru