SecureCenter 2.5 (Vista)
Download
Report
Transcript SecureCenter 2.5 (Vista)
SecureCenter 2.5 (Vista)
www.securecenter.ch
Kursziele
• Allgemeine Betrachtungen zum Thema
Datensicherheit
• Grundeinstellungen und Reinigungsfunktionen von
SecureCenter
• Verschlüsselung mit SecureCenter
• Weitere Funktionen
Die Seitenzahlen verweisen auf das Handbuch zur
Version 2.5.
Handbuch als PDF: www.securecenter.ch
ALLGEMEINE BETRACHTUNGEN ZUM
THEMA DATENSICHERHEIT
Integrale Sicherheit
S. 2-11
• Vertrauliche und geheime Daten gehören nicht auf private
Informatikmittel
• Vertrauliche und geheime Daten werden mittels SecureCenter
chiffriert
• Entfernen von vertraulichen und geheimen Daten:
mind. 7-faches Überschreiben (Wipen)
• Schlüssel müssen alle 5 Jahre gewechselt werden
• Schlüssel werden auf einem entfernbaren Datenträger
gespeichert und sind unter Verschluss zu halten
Ergänzend gelten das DSG (Datenschutzgesetz) und
DSG (Verordnung über das Datenschutzgesetz)
Sensibilisierung auf Gefahren
• Angriffe durch Viren, Spy-Ware, Hacker
• Ungeschützte Netze, Wireless-Technologien
(WLAN, Bluetooth)
• Fehlverhalten Benutzer
• Hardware wird gestohlen
– Ungeschützte vertrauliche Daten können entwendet
und…
– Personendaten missbraucht werden
Übersicht Funktionsumfang
SecureCenter…
• informiert den Benutzer über den aktuellen
Sicherheitszustand des Systems
• reinigt bzw. sichert das System nach jeder
Benutzung
• schützt Daten vor unerlaubten Zugriffen Dritter
(Chiffrieren)
• ver- und entschlüsselt Daten lokal und für den
Austausch (E-Mail, etc.)
S. 2-12
GRUNDEINSTELLUNGEN UND
REINIGUNGSFUNKTIONEN
Die «Augen»
• Hinter den «Augen» befinden sich praktisch
sämtliche Einstellungen von SecureCenter
• Der Zugriff erfolgt mit Rechtsklick
• Dabei gilt folgendes:
– Grün: guter Wert, keine Massnahmen nötig
– Gelb: Systemsicherheit weist Lücken auf, vorgeschlagene Massnahmen so schnell wie
möglich einleiten
– Rot:
kritischer Wert, unverzüglich vorgeschlagene Massnahmen umsetzen
S. 4-30
Indikatoren zur Systemsicherheit
• Letzte Reinigungen
• Service Pack installiert
• Objekte im Papierkorb
• Objekt in der
Druckerwarteschlange
• Unverschlüsselte Dateien im
Tresor
• Unsichere Daten im Ordner
Secdata\CryptsTemp
• Genügend Speicherplatz
reserviert
S. 4-30
Festplatten-Reservation
• Die lokale Festplatte wird
von SecureCenter in drei
Bereiche unterteilt:
– Belegt: Dieser Bereich ist
durch Daten (z.B.
Programme) belegt.
– Reserviert: In diesen
Bereich können keine
Daten mehr geschrieben
werden und er muss nicht
gereinigt werden
– Frei: In diesen Bereich
können neue Daten
geschrieben werden.
S. 4-33
Speicherplatz reservieren
• Rechtsklick auf das lokale Laufwerk
• «Speicherplatz reservieren» anklicken
• Gewünschte Werte auswählen
S. 4-36
System reinigen: Was geschieht?
• Arbeitsplatz:
– Inhalt des Papierkorbs wird
geleert
– Druckerwarteschlange wird
überschrieben
– Temporäre Verzeichnisse
der lokalen Datenträger
werden geleert
– Freier Festplattenplatz wird
3x überschrieben
S. 5-44
• Beim Herunterfahren:
– Inhalt des Papierkorbs wird
geleert
– Druckerwarteschlange wird
überschrieben
– Temporäre Verzeichnisse
der lokalen Datenträger
werden geleert
– Pagefile wird «gewiped»
– Schlüssel werden aus dem
Arbeitsspeicher entfernt
System reinigen: Vorgehen/Einstellungen
• Reinigen: Rechtsklick auf
zu reinigendes Objekt
(Arbeitsplatz, Festplatte)
• Einstellungen: Rechtsklick
auf die «Augen»,
Einstellungen
Wipen (=mehrfach überschreiben)
S. 10-107
• Sämtliche Datenträger (Festplatte, USB-Stick)
können gewiped werden.
• Vorgehen: Rechtklick auf die zu wipende Datei
• Einstellungen:
Rechtsklick auf
die «Augen»,
VERSCHLÜSSELUNG MIT
SECURECENTER
Grundprinzip Verschlüsselung
S. 1-10
• Es existieren zwei gebräuchliche Verschlüsselungsverfahren
– Symmetrisches Verfahren: Gleicher Schlüssel für
Ver- und Entschlüsselung
– Asymmetrisches Verfahren: Unterschiedliche
Schlüssel für Ver- und Entschlüsselung
Symmetrisches Verfahren
S. 1-11
• Gleicher Schlüssel für die Ver- und Entschlüsselung
• Jeder, der den Schlüssel hat und das Passwort
kennt, kann die Daten entschlüsseln
Asymmetrisches Verfahren
S. 1-11
• Unterschiedliche Schlüssel
• Der Private Key (das eigene Zertifikat)
– ist geheim, kann verschlüsseln und entschlüsseln,
entspricht dem symmetrischen Schlüssel
• Der Public Key (das fremde Zertifikat)
– ist öffentlich zugänglich, kann nur verschlüsseln
Wie sicher ist SecureCenter?
S. 6-52
• Daten werden symmetrisch verschlüsselt
(256-Bit AES-Schlüssel)
• Der 256 AES-Schlüssel wiederum wird mit
2048-Bit RSA asymmetrisch verschlüsselt
• Zum Vergleich: Internet und Telebanking sowie
gängige Applikationen arbeiten mit einer 128 BitVerschlüsselung
SecureCenter-Schlüssel: Vorgaben
• Bevor Daten verschlüsselt werden können, muss ein
Schlüssel (=Key) erstellt werden.
• Beim Passwort für den Schlüssel gelten folgende
Bedingungen:
–
–
–
–
mind. 20 Zeichen
mind. 1 Grossbuchstabe
mind. 1 Kleinbuchstabe
mind. 1 Sonderzeichen
SecureCenter-Schlüssel: Erstellen
• Rechtsklick auf die «Augen»,
SecureCenter Key Handling
• Schlüsseldaten definieren
• Schlüssel auf entfernbarem
Datenträger speichern
• Der Schlüssel erscheint im Fenster
Key Handling
S. 6-54
Schlüssel laden/entladen
S. 6-61
• Schlüssel laden: Im Key Handling auf die Schaltfläche «Schlüssel laden» klicken
• Gewünschten Schlüssel aktivieren
• Passwort eingeben
• Schlüssel entladen: im gleichen Dialogfenster
Schlüssel nach rechts verschieben
Schlüssel-Backup
• Für jeden Private Key sollte ein Backup-Key erzeugt
werden (Verlust Private Key = Verlust der damit
verschlüsselten Daten)
• Der Backup-Key muss auf einem leeren,
entfernbaren Datenträger gespeichert werden
• Der Backupschlüssel kann ohne Passwort geladen
werden, muss aber vor Gebrauch neu gespeichert
werden
• Der Backupschlüssel muss sicher aufbewahrt
werden (Safe)
• Die Erstellung erfolgt ebenfalls im Key Handling
Schlüsselbackup erstellen
• Private Key laden
• Diesen im Schlüsselhandling als Key-Backup
speichern
• Der Backup-Key kann elektronisch oder als
Ausdruck gespeichert werden
S. 6-58
Schlüsselbackup wieder laden
S. 6-65
• Der Backup-Key kann wie ein normaler Schlüssel
geladen werden
• Nach dem Laden muss er als Schlüssel auf einem
entfernbaren Datenträger (mit Kennwort) gespeichert
werden
• Nach dem Speichern kann der rekonstruierte
Schlüssel wieder verwendet werden.
Daten lokal verschlüsseln: Anmerkungen
• Voraussetzung: Mindestens ein Schlüssel muss
geladen sein
• Alle Dateitypen sowie Ordnerstrukturen können
verschlüsselt werden
• Ein Objekt kann mit mehreren Schlüsseln
verschlüsselt werden (Gruppenschlüssel)
für das Entschlüsseln wird nur einer der
verwendeten Schlüssel benötigt
• Objekte können lokal oder auf Wechselmedien
verschlüsselt werden
Daten lokal verschlüsseln: Vorgehen
• Rechtsklick auf Datei/Ordner
• Dateien werden verschlüsselt
S. 7-73
Daten lokal entschlüsseln: Vorgehen
• Voraussetzung: Passender Schlüssel geladen
• Rechtsklick auf Datei/Ordner
• Datei/Ordner wird entschlüsselt
S. 7-76
Verschlüsseln mit X509 Zertifikat
S.6-53
• Ab Version 2.5 unterstützt SecureCenter digitale
Zertifikate (X.509-Standard)
• X.509-Zertifikate werden von entsprechenden
Zertifizierungsstellen, beispielsweise der
SwissDefence-PKI, ausgestellt
• Die Zertifikate werden dem Zertifikatsinhaber auf
einer Smartcard abgegeben
• Zertifikate von der Smartcard werden automatisch
eingelesen, andere wie auf der folgenden Seite
gezeigt…
X.509-Zertifikate laden
• Von lokaler Quelle
• oder online
S.6-66
X.509-Zertifikate entladen
• Geladene Zertifikate markieren
• Klick auf den Rechtspfeil entlädt Zertifikat
S.6-69
Daten für Datenaustausch verschlüsseln
• Gruppenschlüssel
– Ein Schlüssel wird an mehrere Personen verteilt
• Public-Key
– Sender verschlüsselt, Empfänger kann entschlüsseln
• World Code Verfahren (WCD = World Coded Data)
• Selbstextrahierende Datei
– Empfänger braucht kein Tool
– Datei ist relativ gross
– exe-File muss zugestellt werden können
WCD-Verfahren
• Objekte werden mit dem
World Key verschlüsselt
• Der World-Key wird mit
einem mind. 20 Zeichen
langen Passwort geschützt
• Datei oder Ordner wird im
Explorer ausgewählt und
verschlüsselt
• Passwort muss dem
Empfänger separat
übermittelt werden (z.B. per
Telefon, SMS)
S. 8-80
Selbstentpackende Datei
• Erstellung einer exe-Datei
mit Passwortschutz
• Der Empfänger muss nicht
über SecureCenter verfügen
• Daten werden verschlüsselt
• Für den Mailversand
ungeeignet, da exe-Dateien
durch Firewalls oft geblockt
werden
• Lösung: exe-Datei mit Zip
komprimieren, Zip mit
Passwort versehen und
dann Endung.
S. 10-101
WEITERE FUNKTIONEN
Tresor
S. 9-87
• Verzeichnis, in dem Dokumente bei aktiviertem
Schlüssel automatisch verschlüsselt werden
• Wird für jeden Benutzer beim ersten Anmelden im
jeweiligen Benutzerprofil angelegt
• Die Eigenschaften des
Tresors können in den
Einstellungen von
SecureCenter überprüft
werden
Arbeitsidee des Tresors
• Tresor aktiviert lassen
• Zu bearbeitende Datei auf Desktop ziehen…
• … und dort entschlüsseln
• Datei bearbeiten.
• Nach der Bearbeitung kann die Datei wieder in den Tresor
gezogen werden und wird gleich wieder verschlüsselt
Verzeichnisinhalt anzeigen
S. 10-105
• Der Ordnerinhalt kann mit SecureCenter angezeigt
und ausgedruckt werden
– Welche Datei mit welchem Schlüssel verschlüsselt