Computerworld News Service: Den største trussel mod datasikkerheden er en mistet eller stjålet bærbar computer, siger Open Security Foundation.
Alligevel er disse computere blandt de dårligst beskyttede.
Prisen for et brud på datasikkerheden kan blive enorm og inkludere tab af forretningshemmeligheder, markedsføringsplaner og andre konkurrencemæssige informationer.
Det kan føre til langsigtet skade for virksomheden plus umiddelbare omkostninger forbundet med at informere folk, hvis persondata eventuelt er blevet kompromitteret på grund af sikkerhedsbruddet.
Især i en recession har ledelsen ikke råd til at undervurdere disse risici.
Der findes heldigvis en metode, som it-afdelingen kan bruge til at beskytte de bærbare computere og den fortrolige information, de indeholder: Kryptering.
Uden en kombination af kodeordsbeskyttelse og kryptering kan enhver halvvejs kompetent hacker uden besvær få adgang til harddisks indhold og bruge dette indhold til egen vinding på din bekostning.
Mange måder at kryptere på
En hovedudfordring for it-afdelingen i arbejdet med at udrulle kryptering af virksomhedens bærbare er det blotte antal af krypteringsmuligheder, der er til rådighed.
Nogle versioner af Windows Vista, ligesom den kommende Windows 7, understøtter Microsofts indbyggede BitLocker-kryptering. Og der findes adskillige krypteringsprodukter fra tredjeparter til hele viften af styresystemer fra Windows XP til Linux og Mac OS X.
Hvor stormasket, krypteringen er, varierer også meget fra at beskytte individuelle filer over kryptering af virtuelle drev til udrulning af fuldt armeret, hardwarebaseret diskkryptering. Og priserne varierer selvfølgelig også voldsomt fra gratis til meget omkostningsfuld.
Hvis du har udskudt at forbedre dine bærbares datasikkerhed på grund af forestillinger om tekniske utilstrækkeligheder eller for høje omkostninger, så har du brug for at tage endnu et kig på området - før du mister endnu en bærbar.
Trusted Platform Module
Ideelt udruller du den bærbare datasikkerheds tungt pansrede køretøj: Fuld diskkryptering ved brug af hardwareteknologien Trusted Platform Module (TPM).
Alt, der er brug for, er en bærbar med en TPM-sikkerhedschip og eventuelt en særlig krypterende harddisk fra en af de større harddiskleverandører.
Trusted Platform Module er en chip, der sidder fastloddet direkte på den bærbares motherboard og leverer hardwarebaseret enhedsautentificering og et opbevaringssted til krypteringsnøglen. Chippen kan også opdage, hvis der bliver forsøgt at pille ved systemet.
Modulet generer krypteringsnøgler og beholder selv den ene halvdel af nøgleinformationerne, hvilket gør det umuligt at genskabe data fra en krypteret harddisk uden den computer, hvorfra harddisken blev krypteret. Selv hvis en hacker havde adgang til brugerens halvdel af krypteringsnøglen eller kodeordet til drevet, så kan det TPM-beskyttede drev ikke læses, hvis det er tilsluttet en anden computer.
Derudover genererer TPM en unik digital signatur ud fra det oprindelige motherboard, hvilket ødelægger eventuelle forsøg på at flytte selve chippen til en anden maskine.
Slet alle data
Fuld diskkryptering med Trusted Platform Module, især hardwarebaserede implementeringer af samme, tilbyder en yderligere fordel for store virksomheder: Sikker sletning af data når computeren skal afvikles eller bruges til et nyt formål.
En almindeligt forekommende bummert i store virksomheder er den utilsigtede offentliggørelse af data, når tilsyneladende værdiløse, forældede bærbare smides ud, sælges eller overføres til andre ansatte.
Men det er ikke en triviel sag at få følsomme oplysninger slettet ordentligt i sådanne situationer. End ikke fysisk overlast mod en bærbars harddisk er nogen garanti for, at den er helt renset for data.
Men fordi Trusted Platform Module har absolut kontrol over krypteringsnøglerne - husk at halvdelen af nøgleinformationen ligger på selve TPM-chippen - kan man simpelthen instruere TPM-chippen til at glemme sin del af nøglen, og harddisken er øjeblikkelig omformateret, effektivt og uigenkaldeligt renset for læsbar data.
Harddiskens sektorer er ikke blevet overskrevet med nuller, men der eksisterer i dag ingen rentable metoder til at dekryptere dataresterne.
Rigtig mange bærbare i enterprise-klassen, der er produceret inden for de sidste to-tre år, har TPM-chippen indbygget. Apples Macs er en undtagelse, da ingen Macs siden 2006 har haft en TPM-chip. Men TPM-chippen skal aktiveres eksplicit for at bruge den som autentificeringsmekanisme til kryptering.
Hvis dine bærbare har en TPM-chip, så forsøg ikke at aktivere den uden omhyggeligt at følge leverandørens anvisninger - ellers kan du ved et uheld komme til at slette den bærbares harddisk. Før du aktiverer TPM-chippen i en bærbar, skal du først tage ejerskab over den, hvilket er en proces, der opretter kodeord på bruger- og administratorniveau og genererer det første sæt krypteringsnøgler.
Administratorkodeordet lader it-administrationen overvåge indholdet på TPM-aktiverede enheder, gendanne mistede brugerkodeord og overvåge brugsmønstre.
TPM-chippen arbejder sammen med den bærbares styresystem om at kryptere enten hele harddisken eller det meste af den, alt afhængig af styresystemets implementering af kryptering. (Microsofts BitLocker kræver for eksempel en lille ukrypteret partition til at initiere systemets opstart.)
Alternativt kan TPM-chippen arbejde sammen med særlige harddiske med indbygget krypteringfunktionalitet for at foretage kryptering fuldstændigt uden for - og usynligt for - styresystemet.
Stadig muligheder for tyven
TPM-teknologien er ikke perfekt, men den tilbyder en meget solid beskyttelse i den mest almindelige situation, hvor en bærbar glemmes eller stjæles, og brugeren ikke er logget ind.
Hvis den bærbare er slukket, er beskyttelsen fra TPM absolut. De fleste implementeringer benytter 256-bit AES-kryptering, som anses for at være ubrydelig i den overskuelige fremtid.
Det kræver brugeroplysninger såsom kodeord, pinkode, et smartcard, biometriske data, et engangskodeord eller en kombination af disse, før computeren i det hele taget starter styresystemet op.
Hvis den mistede bærbar stadig er tændt eller kun lige er blevet slukket, så har en hacker brug for at tage helt ekstraordinære metoder i brug for at gendanne krypteringsnøglerne fra hukommelsen.
Men hvis en mistet enhed derimod er tændt og logget ind, giver en TPM-chip ingen beskyttelse. En hacker kan frit kopiere al data fra harddisken ved brug af almindelig filkopiering.
Det er således essentielt, at TPM-beskyttede systemer har administratorindstillede login-timeout, der ikke kan omgås på brugerniveau.
For at opnå den ultimative beskyttelse ved kryptering kræves hardwarebaseret kryptering indbygget på harddiskene. Harddiskbaseret kryptering lukker alle smuthullerne ved TPM, da krypteringsnøglen her ikke er lagret i hukommelse, som styresystemet har adgang til. Hardwarebaseret fuld diskkryptering eliminerer også den ydelsesforringelse, som softwarebaseret fuld diskkryptering resulterer i, selvom softwarekrypteringens omkostninger i forhold til systemressourcer ikke vil blive bemærket af de fleste brugere med de hurtige processorer, man har i dag.
Prisen for TPM-beskyttelse starter ved nul kroner for Microsofts BitLocker, som er indbygget i Windows Vista Enterprise og Ultimate, Windows Server 2008 og den kommende Windows 7.
Større leverandører af bærbare sælger også preinstallerede softwarepakker, der giver mulighed for at udnytte TPM med enhver version af Windows såsom XP heriblandt Embassy Trust Suite fra Wave og SafeBoot fra McAfee. Fordelen ved de preinstallerede softwarepakker er support fra det samme sted og allerede testede konfigurationer.
Du kan jo også altid udrulle din egen softwarebeskyttelse ved brug af stand-alone softwarepakker såsom PGP Whole Disk Encryption.
Alle disse produkter understøtter en bred vifte af administrationsværktøjer til store virksomheder, der giver dig mulighed for at indføre ensartede politikker og centralt opbevarede krypteringsnøgler heriblandt særlige datagendannelsesnøgler, der kan løse problemet med mistede kodeord og forhindre ansatte i at låse deres arbejdsgivere ude fra deres harddiske.
Hvis TPM ikke er en mulighed, så er dette din plan B
Selvom udrulningen af TPM-baseret fuld diskkryptering er den ideelle løsning, så er det jo muligt, at prisen er for høj, især hvis du lige har opgraderet virksomhedens bærbare med modeller uden TPM-chip.
Det er en dyr omgang at udskifte samtlige af virksomhedens bærbare, og det kan det også være blot at udskifte de, der ikke har TPM-chip, hvis din virksomhed har en blanding af bærbare både med og uden TPM.
Hvis det ikke er muligt at få TPM over hele linjen, så er der en plan B, der kan give dig mange af de fordele ved kryptering, som du har brug for.
Måske går du ud fra, at plan B involverer delvis diskkryptering, som typisk benyttes ved at kryptere en specifik mappe på en bærbar: Når filer flyttes ind i denne mappe, krypteres de automatisk.
Apple og Microsoft har længe tilbudt denne form for kryptering ved hjælp af henholdsvis FileVault på Mac og Encrypted File System-værktøjer på Windows XP og Vista. Men denne tilgang har en stor brist: Den er afhængig af, at brugeren lagrer de følsomme data ordentligt i krypteret form.
Virtuel diskkryptering er en variant af kryptering på mappe-niveau. Her indeholder en enkelt krypteret fil et virtuelt disk-image, som brugeren kan mounte som et drev, der kan tilgås, når det er nødvendigt.
Dette virtuelle drev samler alle de følsomme data på et sted. Microsofts BitLocker tilbyder denne funktion i alle versioner af Vista samt i Windows Server 2008 og Windows XP. Tredjepartsprodukter såsom PGPDisk og selv gratis open source-programmer såsom TrueCrypt byder på denne funktionalitet.
Mange af disse tredjepartsværktøjer er lettere at bruge end BitLocker, så de kan spare dig for nogle implementeringsudgifter.
Kryptering af specifikke filer
En anden form for delvis diskkryptering er at kryptere specifikke filer, typisk de, der ligger på virksomhedens servere, og som brugere skal kunne åbne lokalt.
Med denne tilgang skal brugere indtaste et kodeord, hver gang de åbner en beskyttet fil. Her er it-afdelingen dog ikke blot på herrens mark i forhold til at sikre, at alle følsomme filer bliver krypteret, men har heller ingen mulighed for at afholde brugere fra simpelthen blot at gemme en ikke-krypteret kopi af filen lokalt.
Denne beskyttelse er dog bedre end ingenting og er bredt tilgængelig ved hjælp af gratis diskværktøjer. Men central styring kan være et problem, og disse værktøjer til kryptering på filniveau understøtter som regel ikke autentificering med flere faktorer.
Men det bedste alternativ til TPM-baseret fuld diskkryptering er ingen af disse nævnte delvise krypteringsmetoder.
Software-baseret fuld diskkryptering
Den bedste plan B er software-baseret fuld diskkryptering, hvor enten styresystemet eller et tredjepartsprogram udfører den samme kryptering, som Trusted Platform Module ville gøre, men bruger en anden metode til at opbevare krypteringsnøglerne, såsom et USB-drev eller et smartcard.
Den gode nyhed er, at stort set alle TPM-leverandørers produkter inklusiv BitLocker kan fungere i en ren software-funktionalitet, som bruger en flytbar hardwareenhed som nøgle, så du kan bruge denne tilgang til dine enheder uden TPM, mens du samtidig udnytter en konsistent krypteringsmetode på tværs af alle dine bærbare.
Det er sandt, at softwarebaseret fuld diskkryptering er mindre sikker, end hvis du brugte bærbare udstyret med TPM-chippen: Hele drevet i computeren kan stadig blive krypteret, men en stålsat hacker vil have flere muligheder for at opnå adgang gennem kompromitterede nøgler.
For eksempel hvis den flytbare enhed, som opbevarer nøglen, efterlades sammen med den bærbare (hvilket desværre nok er ret sandsynligt), så kan hackeren jo blot indsætte nøglen og har således adgang til computerens indhold.
Selv multifaktor-autentificering er i dette scenarium sårbar over for angreb, da nøgleenheden ikke et tæt bundet til systemets motherboard.
Men, når TPM-baseret kryptering ikke er en mulighed, så kan ren softwarebaseret fuld diskkryptering stadig give dig væsentlig bedre sindsro.
Softwarebaserede fuld diskkrypteringsløsninger har også eksisteret længe nok til, at de er tilgængelige på de fleste mobile computerplatforme, heriblandt Linux og Mac OS X.
Fremtidige ændringer i TPM-teknologi
Selvom TPM-baseret fuld diskkryptering med hardwarebaseret kryptering indbygget i harddiskene i dag er den bedste løsning for at sikre datasikkerheden, så bliver TPM konstant testet og forbedret af sikkerhedseksperter.
En potentiel sårbarhed ved løsningen er, at nøglerne bliver transporteret fra TPM-chippen over kredsløb på motherboardet til CPU'en ved softwarebaseret fuld diskkryptering eller til harddisken ved hardwarebaseret fuld diskkryptering.
Dette kunne udgøre et nedslagspunkt for en hacker. Derfor er der stor tendens blandt leverandørerne til at flytte al TPM-relateret datamanipulation ind i CPU-chipsettet i form af specielt tilpasset silicium.
Intel har introduceret sin vPro-løsning, som er en del af den kommende Danburry-processor og Eaglelake-chipsettet. Denne tilgang vil udføre al kryptering og dekryptering for SATA-drev og eSATA-drev uden at involvere hverken CPU'en, styresystemets enhedsdrivere eller selv harddiskene.
En sådan tilgang vil gøre TPM endnu mere sikkert. Men der er ingen grund til at vente til disse chip er standard i bærbare. Med de aktuelle bærbare, der har TPM-chip, og med den softwarebaserede løsning til de bærbare, der ikke har TPM-chip, får du en platform til en konsistent, håndterlig og sikker udrulningsstrategi.
Betragt dig selv som heldig, hvis du indtil videre har undgået at miste eller få stjålet en bærbar. Men lad være med at friste skæbnen - eller hackerne. Implementer en eller anden form for kryptering af dine bærbare i dag.
Oversat af Thomas Bøndergaard
