Új alkalmazás a Montana-tól - MonSafe

forrás Prim Online, 2003. június 16. 23:27
Adatvédelmi megoldással rukkolt elő ezúttal a Montana Rt. fejlesztő csapata. A fájltitkosító alkalmazás neve MonSafe. A program képes pillanatok alatt bármilyen állomány titkosítására úgy, hogy eredeti helyén a titkosítani kívánt adatnak semmi nyoma nem marad.
A MonSafe program ismertetése

A MonSafe képes az adathordozón lévő fájlokat saját könyvtárszerkezetébe befogadni. Ez a folyamat a rejtjelezés, melynek során a fájlt az eredeti helyéről eltüntetve titkosított formában saját magában tárolja tovább. A program lehetőséget biztosít könyvtárak titkosítására is, ilyenkor a kiválasztott könyvtár alkönyvtárai is rejtjeleződnek. Amennyiben egy kijelölt könyvtár a rejtjelezés során „kiürül", akkor a program ezt a könyvtárt is eltünteti. A safe-be elhelyezett fájlokhoz kapcsolódóan megőrzésre kerül a fájl eredeti könyvtárstruktúrában lévő elérési útja.

A MonSafe a rejtjelezett dokumentumokat a safe-ből az eredeti helyükre az eredeti állapotukban képes visszaállítani. Ez a folyamat a Kivétel, melynek során a fájl a hozzá eltárolt könyvtárszerkezet-struktúrába vagy a felhasználó által kiválasztott tetszőleges könyvtárba helyezi vissza a fájlt. Amennyiben egy már nem, vagy még nem létező könyvtárba kerülne a dokumentum, akkor a program a szükséges könyvtárstruktúrát létrehozza.

A rejtjelezés menete a MonSafe programban

A telepítéskor generált RSA kulcs pár és a felhasználó által a megadott jelszó birtokában a MonSafe segítségével készíthet a felhasználó egy vagy több ún. safe fájlt. A safe fájlok azok a tároló helyek, ahol a későbbiekben biztonságosan lehet tárolni a titkosítandó állományokat. Mindegyik safe fájlt a program egyedi azonosítóval lát el, amelyet az RSA-val titkosítva a safe-hez rendel. Ha egy ilyen safe fájlt egy másik telepítéskor generált RSA kulccsal próbálnánk megnyitni, akkor a program nem lenne képes az adott safe-hez hozzáférni, mert az egyedi azonosítót nem tudná kinyerni a safe-ből. Ez lehetőséget biztosít arra is, hogy egy gépen több felhasználó is használhassa bejelentkezés után a MonSafe-t, ugyanis csak a saját safe-jeiket tudják megnyitni. Amennyiben más felhasználó által készített safe file-t próbálnak megnyitni a program hibajelzést ad jelezve, hogy ez a safe nem ehhez a felhasználóhoz tartozik.

A már létrehozott – és a jelszó valamint a kulcs fájl birtokában megnyitott - safe-be drag&drop módszerrel lehet a fájlokat beletenni. A Monsafe képes különbséget tenni a különböző kiterjesztéssel rendelkező file-ok között. Beállítható, hogy melyek azok a file-ok, amelyeket nem lehet a safe-be belerakni. Ezzel akadályozható meg, hogy pl. a felhasználó véletlenül letitkosítson valamilyen fontos rendszerfájlt.

Ha a safe-be dobott fájl nem a fenti tiltott kategóriába tartozik, akkor a program először generál két darab véletlenszerű DES kulcsot. A generálást addig folytatja, amíg mind a két kulcs „erős" kulcs nem lesz (léteznek gyenge kulcsok is, pl amelyiknek ugyanaz a karakter minden eleme). A titkosítandó fájl eredeti tulajdonságait a MonSafe program megjegyzi (név, path, eredeti méret, icon, property lap – ha van), majd a fájlt tömöríti. A megjegyzett eredeti tulajdonságokból és a generált DES kulcsokból RSA-val rejtjelezett bejegyzést készít a safe tartalomjegyzékébe, a tömörített fájlt pedig a 3DES algoritmussal titkosítja.

A 3DES algoritmus úgy működik, hogy háromszor veszi kezelésbe a fájlt. Először az egyik DES kulccsal rejtjelezi a fájlt, majd a másik DES kulccsal megoldja, végül pedig az első DES kulccsal az így keletkezett fájlt rejtjelezi. A 3DES-el rejtjelezett fájlt és a tartalomjegyzéket is a safe-be helyezi. Ha a safe-be helyezés is biztonságosan megtörtént, akkor a MonSafe program az eredeti fájlt és a tömörítés közben keletkezett temporális fájlokat is „legyalulja". Nem pusztán törli – mivel az operációs rendszer csak logikailag törli a fájlokat, de a winchester-en ott marad az információ -, hanem a fájl által elfoglalt lemezterületet felülírja.

Mivel minden fájl titkosításához egyedi kulcsokat generál, ugyanazt a fájlt kétszer a safe-be dobva egymással nem egyező fájlképet kapunk. Továbbá, ha két safe-et készítünk és mindegyikbe ugyanazt a fájlt dobjuk, a két safe fájl szerkezete különböző lesz, mivel a safe létrehozásakor egy egyedi azonosítót generálunk a safe-hez. Ezekkel a trükkökkel megnehezítjük a jogosulatlan felhasználók számára a safe szerkezetének felderítését, a jogosulatlanul megszerzett safe fájlból az információk kinyerését.

A MonSafe Enterprise változata

A MonSafe fent bemutatott változata az úgynevezett „normál" verzió, amely egyéni felhasználók rejtjelezési igényeinek kielégítését célozza. Vállalati felhasználók számára viszont felmerülhet az igény arra, hogy a titkosított anyagokhoz, hogyan lehet hozzáférni sürgős esetben, ha a munkatárs éppen távol van, vagy éppenséggel távozott a cégtől. Mert a safe fájlhoz hiába férnek hozzá, nincs meg a jelszó és főleg nincs meg a kulcsfájl! Ezt a problémát a MonSafe Enterprise változata tudja kezelni.
Az Enterprise változat két önálló programból áll. Az egyik a munkahelyi MonSafe, a másik a MonSafe Master. A munkahelyi MonSafe-et a munkatársak saját jelszavukkal és saját kulcslemezükkel éppen úgy használják, mint a normál változatot. A különbség annyi, hogy a munkahelyi MonSafe telepítésekor szükség van egy speciális kulcslemezre, amelyet a MonSafe Master generált. Ezen a kulcslemezen megtalálható a MonSafe Centrum RSA publikus kulcsa, az ún. enterprise kulcs. A MonSafe munkahely ezt az enterprise kulcsot beépíti a saját kulcslemezébe.

A munkahelyi MonSafe a fájlok titkosításához generált DES kulcsokat mindkét publikus RSA kulccsal rejtjelezi. Ezért, ha nincs a közelben a munkahelyi safe birtokosa, azaz nincs meg a helyi kulcs fájl és vagy a jelszó, akkor az enterprise kulcs fájllal és annak a jelszavával is kinyitható a safe. Ebben az esetben a kinyitáshoz nem a munkahelyi MonSafe-et kell használni, hanem a MonSafe Master programot.