Encryptie van schijven en bestanden

Gebruikers van Kaspersky Endpoint Security (Business) beschermen

Kaspersky Endpoint Security for Windows heeft geïntegreerde tools voor gegevensencryptie. Deze werken volgens de beleidsregels die worden gedistribueerd vanuit Kaspersky Security Center, de applicatie voor het beheren van de infrastructuur van het bedrijf die wordt beveiligd met Kaspersky-beveiligingsproducten.

Met full disk encryptie (FDE) worden gegevenslekken voorkomen wanneer iemand een laptop of draagbare harde schijf verliest. Wanneer een schijf versleuteld is, kunnen niet-geautoriseerde gebruikers niet vanaf deze schijf opstarten en de gegevens niet lezen.

Met encryptie op bestandsniveau (FLE) worden bestanden tijdens overdracht beschermd wanneer deze via niet-vertrouwde kanalen worden overgedragen. De gebruikers die toegang hebben tot beveiligde bestanden op basis van encryptiebeleid, zien deze bestanden als niet-versleuteld.

Encryptiebeleid

De beheerders van Kaspersky Security Center kunnen een encryptiebeleid instellen. Op deze manier wordt encryptie ingeschakeld op bedrijfscomputers die beveiligd zijn met Kaspersky Endpoint Security. Beleid kan per host verschillen. Gegevens over beleidsnaleving worden samengevoegd in een gemeenschappelijke rapportfeed die zichtbaar is voor beheerders.

Er kan ook een beleid worden ingesteld voor verwisselbare apparaten (flash-stations, draagbare stations enz.) die zijn verbonden met of aangesloten op een computer. Het apparaat kan bijvoorbeeld worden geblokkeerd tot de gebruiker akkoord gaat om encryptie toe te passen op dit apparaat of op de specifieke typen bestanden die erop staan.

Bij encryptie op bestandsniveau kan met beleid worden gedefinieerd welke bestanden moeten worden versleuteld, op basis van de bestandsextensie of de locatie op een schijf. Als op de computer een bestand wordt gevonden dat aan de voorwaarden voldoet, wordt dit versleuteld.

Transparante encryptie

Encryptie vormt geen belemmering voor een gangbare gebruikersworkflow. Er worden geen nieuwe applicaties toegevoegd en de configuraties van bestaande applicaties worden niet gewijzigd. Beleid wordt automatisch toegepast.

Encryptie is transparant voor applicaties: wanneer een gebruiker wordt geverifieerd in het besturingssysteem, zien applicaties gegevens op schijven alsof deze niet versleuteld zijn, maar dat zijn ze wel. Het encryptiefilter verzendt gegevens tussen applicaties en schijven (een schijffilter voor FDE en een bestandsfilter voor FLE). Het ontsleutelt gegevens van schijven naar applicaties en versleutelt gegevens die terugkomen. Gegevens worden onmiddellijk versleuteld tijdens de lees-/schrijfbewerkingen en zonder encryptie worden er geen gegevens opgeslagen op de schijf, zelfs niet tijdelijk.

Voor sommige applicaties moet encryptie niet zo transparant zijn. Bij back-upprocedures waarin een kopie van een versleutelde schijf wordt opgeslagen om deze ergens anders te bewaren, moeten de back-upgegevens niet onversleuteld worden opgeslagen. Daarom moet de back-upapplicatie de schijf in de versleutelde toestand kopiëren. In deze en andere vergelijkbare gevallen kan de beheerder transparante encryptie centraal uitschakelen voor bepaalde applicaties.

Mechanisme voor schijfencryptie (FDE)

Het FDE-mechanisme versleutelt hele schijven op een computer. FDE ondersteunt:

• Encryptie van alle schijftypen: HDD, SSD, flash-stations enz. Voor SSD-apparaten vermindert FDE het aantal extra lees-/schrijfcycli, waardoor het station langer meegaat.
• Hardwareversnelling van encryptie (als de processor van de computer AES-NI ondersteunt).
• UEFI Secure Boot is een technologie waarmee computers tijdens het opstarten worden beveiligd en wordt gegarandeerd dat alleen vertrouwde software wordt geladen en dat het besturingssysteem en de software correct starten zonder verstoring van andere processen.

Encryptiesleutels. Het encryptiefilter van de schijf versleutelt en ontsleutelt gegevens met een schijfsleutel. Voor elke schijf wordt een aparte sleutel gemaakt en opgeslagen in drie versleutelde kopieën. Zelfs als de schijf beschadigd is en een kopie vernietigd is, is de schijf toegankelijk met een andere kopie. Als alle drie de kopieën op de schijf beschadigd zijn, kan toegang tot de schijf hersteld worden met de kopie die is opgeslagen in Kaspersky Security Center. Hiertoe wordt een kopie veilig verzonden naar Kaspersky Security Center wanneer een schijf wordt gemaakt. Sleutels worden nooit onversleuteld opgeslagen op de schijf.

Gebruikersauthenticatie en besturingssysteem laden vanaf een versleutelde schijf. De schijfsleutel die is opgeslagen op de schijf, is beschikbaar voor het encryptiefilter nadat gebruikersauthenticatie heeft plaatsgevonden. Gebruikersauthenticatie kan plaatsvinden met een wachtwoord, een USB-token of een smartcard. Na geslaagde authenticatie kan het besturingssysteem worden opgestart vanaf de versleutelde schijf.

Encryptiebeleid afdwingen op een computer. Wanneer encryptiebeleid wordt toegepast op een computer, worden er twee processen gestart:

• Directe encryptie is permanent ingeschakeld. Hiermee worden alle gegevens die naar de schijf worden geschreven vanaf dit moment versleuteld. Hiervoor onderschept het encryptiefilter voor de schijf alle lees-/schrijfprocessen naar de schijf.
• Het proces van schijfencryptie wordt gestart, waarmee de volledige encryptie van de computerschijven begint. Wanneer dit is voltooid, wordt het beleid voor schijfencryptie volledig afgedwongen op de computer. Schijfencryptie kan enkele uren duren.

Tijdens schijfencryptie kunnen gebruikers normaal werken en de computer in de slaapstand zetten of uitschakelen. Wanneer de computer weer wordt ingeschakeld, wordt de encryptie hervat. Het proces is ook bestand tegen storingen (bijvoorbeeld stroomuitval, storing van het besturingssysteem). Bij failsafe encryptie worden alle gegevens uiteindelijk versleuteld.

Toegang tot versleutelde bestanden (FLE)

Toegang met Kaspersky Endpoint Security. Wanneer in het besturingssysteem gebruikersauthenticatie plaatsvindt, krijgen applicaties op de computer die namens de gebruiker worden uitgevoerd toegang tot de versleutelde bestanden in overeenstemming met het encryptiebeleid.

Voor toegang tot bestanden die versleuteld zijn door andere gebruikers, vraagt de Kaspersky Endpoint Security-hostagent de vereiste decryptiesleutels aan Kaspersky Security Center. Als een gemaild bestand bijvoorbeeld versleuteld is door een andere gebruiker, vraagt en ontvangt de host van de ontvanger een sleutel van Kaspersky Security Center (als dit in het beleid is toegestaan). Deze sleutel biedt toegang tot dit bestand en andere bestanden die versleuteld zijn op dezelfde logische schijf van die gebruiker. De sleutel wordt opgeslagen in het cachegeheugen en daarom is het niet nodig een nieuwe sleutel aan te vragen telkens wanneer een bestand wordt ontvangen dat op dezelfde schijf van dezelfde gebruiker is versleuteld.

Als er geen internetverbinding is, kan de ontvanger een sleutel krijgen van Kaspersky Security Center via de standaarduitwisseling van beveiligde vraag-/antwoordsleutels via open kanalen (bijvoorbeeld een telefoon). U hoeft alleen een gegenereerde vraagcode te verzenden en u ontvangt vervolgens de antwoordcode.

Toegang zonder Kaspersky Endpoint Security. Als dit volgens het encryptiebeleid is toegestaan, kunnen gebruikers hun apparaten configureren, waardoor versleutelde bestanden op deze apparaten door middel van wachtwoordautorisatie toegankelijk zijn vanaf computers zonder Kaspersky Endpoint Security. Wanneer gebruikers een dergelijk apparaat configureren met Kaspersky Endpoint Security:

• De applicatie Kaspersky Portable File Manager wordt naar het apparaat gekopieerd. Deze slaat veilig sleutels op voor toegang tot bestanden en versleutelt/ontsleutelt bestanden.
• De gebruiker maakt een wachtwoord voor toegang tot bestanden op dit apparaat.

Wanneer een gebruiker een apparaat koppelt en autoriseert in Portable File Manager, zijn versleutelde bestanden beschikbaar voor lezen en bewerken. Gebruikers kunnen ook nieuwe bestanden versleutelen naar het apparaat.

Gebruikers van Kaspersky Total Security (Consumer) beschermen

Crypto Disk is een subsysteem van Kaspersky Total Security waarmee de opgeslagen gegevens van een gebruiker worden beschermd met encryptie.

Met Crypto Disk maken gebruikers een virtuele versleutelde schijf die wordt opgeslagen als een apart bestand. De schijf is toegankelijk met een wachtwoord dat wordt toegewezen wanneer de schijf wordt gemaakt. Na autorisatie is de schijf gekoppeld als lokaal station (bijvoorbeeld “E:\”). Gebruikers kunnen een bestand met de versleutelde schijf overdragen naar andere gebruikers via apparaten, e-mail, gedeelde- en cloud-opslaglocaties, en ze kunnen andere gebruikers toegang verlenen door ze het wachtwoord te geven.

De schijf is niet versleuteld met het wachtwoord zelf, maar met een automatisch gegenereerde sleutel die beschikbaar is wanneer de gebruiker wordt geverifieerd. Hierdoor kan een gebruiker een wachtwoord wijzigen zonder dat de hele virtuele schijf opnieuw moet worden versleuteld.

Encryptiemodule

FDE, FLE en Crypto Disk gebruiken de encryptiemodule die gebruikmaakt van het AES-256-encryptiealgoritme in de XTS-modus. De encryptiebibliotheek is gecertificeerd met:

• FIPS 140-2
• Algemene criteria