Bringing privacy back

Podobne dokumenty
Bringing privacy back

Szczegółowy opis przedmiotu zamówienia:

Podstawy Secure Sockets Layer

Bezpieczeństwo usług oraz informacje o certyfikatach

Zbuduj prywatną chmurę backupu w firmie. Xopero Backup. Centralnie zarządzane rozwiązanie do backupu serwerów i stacji roboczych

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

Zdalne logowanie do serwerów

Kryptografia. z elementami kryptografii kwantowej. Ryszard Tanaś Wykład 11

ZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ

Kielce, dnia roku. HB Technology Hubert Szczukiewicz. ul. Kujawska 26 / Kielce

Zamiana porcji informacji w taki sposób, iż jest ona niemożliwa do odczytania dla osoby postronnej. Tak zmienione dane nazywamy zaszyfrowanymi.

KAMELEON.CRT OPIS. Funkcjonalność szyfrowanie bazy danych. Wtyczka kryptograficzna do KAMELEON.ERP. Wymagania : KAMELEON.ERP wersja

BEZPIECZEOSTWO SYSTEMU OPERO

VPN dla CEPIK 2.0. Józef Gawron. (wirtualna sieć prywatna dla CEPIK 2.0) Radom, 2 lipiec 2016 r.

e-awizo SYSTEM POTWIERDZANIA DORĘCZEŃ POCZTY ELEKTRONICZNEJ

PROFESJONALNE USŁUGI BEZPIECZEŃSTWA

Korzystanie z Certyfikatów CC Signet w programie MS Outlook 98

Serwer SSH. Wprowadzenie do serwera SSH Instalacja i konfiguracja Zarządzanie kluczami

Mechanizmy dostępu do bazy danych Palladion / Ulisses. I. Uwierzytelnianie i przyznawanie uprawnień dostępu do aplikacji Palladion

Płace Optivum. Jakie czynności musi wykonać pracownik, aby otrzymywać drogą elektroniczną paski z list płac?

POLITYKA E-BEZPIECZEŃSTWA

Bezpieczeństwo systemów informatycznych

Laboratorium nr 5 Podpis elektroniczny i certyfikaty

Zarządzanie systemami informatycznymi. Bezpieczeństwo przesyłu danych

BEZPIECZEŃSTWO DANYCH. PRAKTYCZNA OCHRONA INFORMACJI DLA PRAWNIKÓW I KANCELARII.

Metody zabezpieczania transmisji w sieci Ethernet

Praca w sieci z serwerem

Praktyczne aspekty stosowania kryptografii w systemach komputerowych

VPN Virtual Private Network. Użycie certyfikatów niekwalifikowanych w sieciach VPN. wersja 1.1 UNIZETO TECHNOLOGIES SA

Sieci komputerowe. Wykład dr inż. Łukasz Graczykowski

Xopero Backup Appliance

Księgarnia PWN: Kevin Kenan - Kryptografia w bazach danych. Spis treści. Podziękowania O autorze Wprowadzenie... 15

Bezpieczeństwo Systemów Komputerowych. Wirtualne Sieci Prywatne (VPN)

Protokoły zdalnego logowania Telnet i SSH

Przewodnik użytkownika

BlackHole. Bezpieczne Repozytorium Ważnych Zasobów.

Wprowadzenie do PKI. 1. Wstęp. 2. Kryptografia symetryczna. 3. Kryptografia asymetryczna

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Dostęp zdalny

Poufność (słaba) Integralność (niekryptograficzna) Uwierzytelnienie (słabe) Brak kontroli dostępu Brak zarządzania kluczami

Seminarium Katedry Radiokomunikacji, 8 lutego 2007r.

System Użytkowników Wirtualnych

SYSTEM ARCHIWIZACJI DANYCH

PGP - Pretty Good Privacy. Użycie certyfikatów niekwalifikowanych w programie PGP

Xopero Backup Build your private cloud backup environment. Rozpoczęcie pracy

SZYBKI START. Tworzenie nowego połączenia w celu zaszyfrowania/odszyfrowania danych lub tekstu 2. Szyfrowanie/odszyfrowanie danych 4

Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych

Program szkolenia: Bezpieczny kod - podstawy

Certyfikat Certum Basic ID. Instrukcja dla użytkowników Windows Vista. wersja 1.3 UNIZETO TECHNOLOGIES SA

Instrukcja dla użytkowników Windows Vista Certyfikat Certum Basic ID

Polityka Bezpieczeństwa ochrony danych osobowych

!!!!!! FUDO% Architektura%Bezpieczeństwa! % % Warszawa,%28:04:2014%

Sieci komputerowe i bazy danych

Bezpieczna poczta i PGP

Szczegółowe informacje dotyczące przekazywania do Bankowego Funduszu Gwarancyjnego informacji kanałem teletransmisji

Ochrona o poziom wyżej. OCHRONA DIGITAL

ekopia w Chmurze bezpieczny, zdalny backup danych Instrukcja użytkownika dla klientów systemu mmedica

Usługi sieciowe systemu Linux

Oferta świadczenia pomocy prawnej dla Zdalny dostęp do dokumentów

Bezpieczeństwo w sieci I. a raczej: zabezpieczenia wiarygodnosć, uwierzytelnianie itp.

Hosting WWW Bezpieczeństwo hostingu WWW. Dr Michał Tanaś (

ZiMSK. Konsola, TELNET, SSH 1

Instrukcja wgrywania Certyfikatu Klienta do przeglądarki Mozilla Firefox. System Bankowości Internetowej KIRI BS 2012

Sieci VPN SSL czy IPSec?

PRODUKT System Cryptoline. 1. Firma

Serwery LDAP w środowisku produktów w Oracle

DESlock+ szybki start

Authenticated Encryption

Instrukcja aktywacji tokena w usłudze BPTP

Wstęp do systemów wielozadaniowych laboratorium 21 Szyfrowanie

Instrukcja obsługi certyfikatów w programie pocztowym MS Outlook Express 5.x/6.x

Trojan bankowy Emotet w wersji DGA

DOKUMENTACJA ADMINISTRATORA SYSTEMU INFORMATYCZNEGO POLSKI FADN

Uwierzytelnianie użytkowników sieci bezprzewodowej z wykorzystaniem serwera Radius (Windows 2008)

PuTTY. Systemy Operacyjne zaawansowane uŝytkowanie pakietu PuTTY, WinSCP. Inne interesujące programy pakietu PuTTY. Kryptografia symetryczna

Rozwiązania HP Pull Print

WorkshopIT Komputer narzędziem w rękach prawnika

PRACA INŻYNIERSKA IMPLEMENTACJA MOBILNEGO KLIENTA BANKU ZABEZPIECZONEGO TOKENEM

2016 Proget MDM jest częścią PROGET Sp. z o.o.

BeamYourScreen Bezpieczeństwo

Laboratorium nr 3 Podpis elektroniczny i certyfikaty

Posiada (TAK / NIE. Zrzut ekranu. Opis funkcji

Bezpieczeństwo systemów informatycznych

SPECFILE szyfrowanie bez podpisu

EPA Systemy Sp. z o.o. Przedstawiciel CTERA Networks Ltd w Polsce Tel CTERA

Systemy Operacyjne zaawansowane uŝytkowanie pakietu PuTTY, WinSCP. Marcin Pilarski

Zarządzanie dokumentacją techniczną. Wykł. 11 Zarządzania przepływem informacji w przedsiębiorstwie. Zabezpieczenia dokumentacji technicznej.

Zastosowania informatyki w gospodarce Wykład 5

Wykład 4. Metody uwierzytelniania - Bezpieczeństwo (3) wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz

SKRÓCONA INSTRUKCJA OBSŁUGI SYSTEMU ZARZĄDZANIA OBIEGIEM INFORMACJI (SZOI)

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

INFRA. System Connector. Opis systemu

ZARZĄDZENIE NR 2100/BIO/2018 PREZYDENTA MIASTA KĘDZIERZYN-KOŹLE. z dnia 22 maja 2018 r.

Opracowanie protokołu komunikacyjnego na potrzeby wymiany informacji w organizacji

Windows Serwer 2008 R2. Moduł 5. Zarządzanie plikami

INSTRUKCJA INSTALACJI I KONFIGURACJI USŁUGI

Krótka instrukcja instalacji

Bezpieczne logowanie do SAP

12. Wirtualne sieci prywatne (VPN)

Wyspecjalizowani w ochronie urządzeń mobilnych

Wyspecjalizowani w ochronie urządzeń mobilnych

Transkrypt:

Bringing privacy back

SZCZEGÓŁY TECHNICZNE Jak działa Usecrypt? DEDYKOWANA APLIKACJA DESKTOPOWA 3 W przeciwieństwie do wielu innych produktów typu Dropbox, Usecrypt to autorska aplikacja, która pozwoliła w całości wyeliminować ryzyko występujące podczas używania przeglądarki internetowej. Ponadto użytkownik ma gwarancję, że dostawca usługi nie będzie miał dostępu do jego danych. Dropbox wykorzystuje szyfrowanie w modelu at-rest. Oznacza to, że dane zostają zaszyfrowane dopiero na serwerze. W trakcie transmisji są chronione wyłącznie poprzez SSL. Nie można jednoznacznie określić, w którym momencie dane zostają zaszyfrowane, ponieważ definicja encryption-at-rest pozwala na jej szeroką interpretację. Model at-rest oznacza również brak poufności, ponieważ klucze szyfrujące dane pozostają w posiadaniu dostawcy usługi. Powoduje to, że w dowolnym momencie usługodawca może uzyskać dostęp do tych danych. Usecrypt szyfruje dane już na stacji roboczej, następnie przesyła je w wersji zaszyfrowanej bezpiecznym, autorskim kanałem komunikacji UST. Nikt nie jest w stanie ich odszyfrować i nie ma dostępu do danych klienta.

SZYFROWANY KANAŁ KOMUNIKACJI UST 4 Po pobraniu i uruchomieniu aplikacji ustanawiany jest szyfrowany kanał komunikacji UST (Usecrypt Secure Tunnel) w oparciu o algorytm uzgadniania klucza metodą Diffiego-Hellmana (określony w standardzie RFC 2631, IEEE 1363-2000 lub ANSI X9.42:2003) co gwarantuje bezpieczeństwo wymiany danych pomiędzy aplikacją a serwerem. GENEROWANIE I PODZIAŁ UNIKALNEGO KLUCZA SZYFRUJĄCEGO W momencie rejestracji generowane są dwa długie i silne prywatne, losowo przydzielane klucze RSA 2048, w wyniku kryptograficznego podziału na dwie części opisany wcześniej HVKM. Unikalna połówka użytkownika przechowywana jest na stacji roboczej, w postaci zaszyfrowanej kluczem AES256, podczas gdy druga część znajduje się na serwerze również w wersji zaszyfrowanej, która nigdy nie opuszcza serwera. Podczas pracy użytkownika z aplikacją oba klucze są zawsze odseparowane. W przypadku utraty stacji roboczej lub zapomnienia hasła użytkownik może wygenerować recovery key. Recovery key to kopia połówki klucza z urządzenia użytkownika. Wygenerowany jest w postaci pliku, który użytkownik przechowuje na oddzielnym, zewnętrznym urządzeniu, najlepiej w postaci zaszyfrowanej i w bezpiecznym miejscu (np. w sejfie). Każdy recovery key jest dodatkowo zabezpieczony jednorazowym losowo wygenerowanym hasłem, które użytkownik powinien przechowywać w oddzielnym miejscu. Taki proces zabezpiecza dodatkowo recovery key na wypadek jego przejęcia. Ponadto konfiguracja aplikacji na danym urządzeniu zawiera w sobie parametry konkretnej stacji roboczej, na której Usecrypt jest rejestrowany (autentykacja konkretnego urządzenia).

MECHANIZM KAPSUŁKOWANIA KLUCZA 5 Szyfrowanie pliku odbywa się na stacji roboczej użytkownika (stacja robocza musi być w trybie on-line) przy użyciu algorytmu AES256, który generowany jest za pomocą funkcji KDF. Odszyfrowywanie odbywa się dwuetapowo przy użyciu kluczy RSA. Pierwszy etap ma miejsce przy użyciu połówki znajdującej się na serwerze, a drugi na stacji roboczej. Dodatkowo każdy plik zaszyfrowany w Usecrypt jest zaszyfrowany oddzielnym kluczem AES256, a każdy klucz AES zaszyfrowany jest kluczem publicznym RSA. Współdzielenie zaszyfrowanego pliku polega na stworzeniu zaszyfrowanej kapsułki (KEM- Key Encapsulation Mechanism) przechowywanej na serwerze, która powstaje w momencie przesłania do serwera zaszyfrowanego klucza AES pliku. Podczas udostępniania pliku innemu użytkownikowi, plik jest szyfrowany kluczem publicznym RSA odbiorcy, a następnie w bezpieczny sposób umieszczany ponownie na serwerze jako zaszyfrowana bezpieczna kapsułka przypisana do wskazanego odbiorcy. W przypadku, gdy chcemy odebrać użytkownikowi dostęp do pliku, jego kapsułka jest usuwana z serwera i natychmiastowo przestaje on mieć dostęp do pliku, czyli nie ma możliwości jego pobrania i odszyfrowania. Jest to dodatkowa przewaga Usecrypt nad standardową pocztą, gdzie w przypadku e-maila skierowanego do błędnie wybranego odbiorcy nie mamy już możliwości cofnięcia tego procesu i krytyczny załącznik pozostaje w archiwach serwerów pocztowych.

SECURE BY DESIGN 6 System jest projektowany w ramach tzw. secure by design, czyli system w fazie projektu jest tworzony tak, aby był przestrzenią bezpieczną wykluczającą możliwość zewnętrznej ingerencji, ukrycia back-doorów umożliwiających nieautoryzowany dostęp do zasobów systemu. Zastosowane w rozwiązaniu algorytmy, mechanizmy i użyte protokoły kryptograficzne powodują według deklaracji producenta że jest ono odporne na znane metody kryptoanalizy, a sam producent nie ma technicznej możliwości dostępu do danych klientów. KORZYŚCI DLA DYREKTORÓW IT Oprogramowanie klienckie systemu można zainstalować na komputerach oraz smartfonach z systemem operacyjnym: Windows, Android, ios oraz Mac OS. System Usecrypt ma funkcjonalność pozwalającą na przyznawanie uprawnień dostępu na poziomie plików oraz folderów za pomocą mechanizmu zarządzania uprawnieniami, które przydzielane są przez właściciela danego dokumentu w ramach wdrożonej polityki. Usecrypt nie integruje się z usługami katalogowymi. Cryptomind wychodzi z założenia, że integrowanie jego rozwiązania z innym narzędziem typu active directory opartym na Lightweight Directory Access Protocol (LDAP) może być związane z propagowaniem dodatkowych podatności i wykorzystaniem tych usług do przejęcia danych. Znane są ataki oparte o podat ności Active Directory. Kolejnym etapem rozwoju systemu będzie wdrożenie Usecrypt API, które umożliwi integrację z systemami zewnętrznymi takimi jak obiegi dokumentów lub rejestratory pism kancelaryjnych i podnosząc poziom bezpieczeństwa tych systemów. System umożliwia gradację poziomów uprawnień w prosty i bezpieczny sposób można wykreować kilka poziomów dostępu użytkowników. Nadane uprawnienia mogą mieć uporządkowaną, hierarchiczną strukturę, którą można dowolnie rozbudować.

Właściciel danych znajduje się na szczycie hierarchii, a poniżej umiejscowieni są operatorzy, którzy mogą nadawać uprawnienia dotyczące konkretnych danych. Ponadto każda operacja wykonana przez użytkownika potwierdzana jest złożeniem podpisu cyfrowego, co pozwala na wyeliminowanie sytuacji, w której użytkownik zaprzecza wykonaniu określonej czynności w systemie. Wszystko to powoduje, że Usecrypt stanowi istotny nowy element konstrukcji systemów bezpieczeństwa, który przynosi korzyści zarówno dyrektorom IT, jak również całej organizacji, zapewniając znaczne bezpieczeństwo przy wymianie i przechowywaniu plików. 7 Usecrypt zmienia sytuację dyrektorów IT, szefów bezpieczeństwa i administratorów. W systemach, w których rozwiązanie to nie jest stosowane, dyrektor IT ma dostęp do wszystkich danych firmy. Zastosowanie Usecrypt powoduje, że dyrektor IT nie ma technicznej możliwości podglądu danych szyfrowanych przez pracowników. Oznacza to, że ewentualny atak na jego konto nie daje technicznej możliwości dostępu do zasobów całej firmy. Dzięki temu pracownicy działów IT przestają być głównym celem ataków skierowanych na uzyskanie dostępu do wrażliwych danych.

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres