IT-säkerhetshandboken
http://www.susec.sunet.se
susec@sunet.se

Inledning

Ett sätt att skydda otillbörlig åtkomst av information är att göra den oläslig för alla andra än den som får läsa den. Innan man bestämmer sig för att kryptera hårddiskar eller filsystem, är det viktigt att bilda sig en uppfattning om vad som skall skyddas och varför. Varför vill man kryptera?

Förslag på parametrar att beakta:

Grovt sett kan man dela in olika krypteringslösningar i tre olika kategorier: kryptering av enstaka filer, kryptering av hela hårddiskar och kryptering av filer och filsystem.

Kryptering av enstaka filer

Man vill skydda enstaka filer för otillbörlig åtkomst, exempelvis när man skickar filen med e-post. Vissa program har inbyggd kryptering, ofta enkla att använda, men med svaga krypton. Ett starkare krypto är PGP, men har hög inlärningströskel. Om användaren glömmer bort sitt lösenord, så finns det sällan möjlighet till upplåsning med ett centralt lösenord/CD. Datan förloras för alltid.

Kryptering av partitioner eller hela hårddiskar

Användare skall av misstag inte läcka data, exempelvis när en dator blir stulen, eller när en hårddisk skall kasseras. Detta ordnas med enklare krypteringslösningar, man skyddar sig mest mot klantighet. Informationen är krypterad när datorn är avstängd, men så fort användaren angivit lösenordet är hela disken öppen för läsning. Backuper sker oftast i klartext, alternativt på hel krypterad disk eller krypterad partition, och blir ur backupsynpunkt osäkert eller dyrt. Lösningen fungerar på lokala filsystem, exempelvis en laptop-hårddisk, det är inte designat för nätverksfilsystem. Det finns produkter som stödjer cental lösenordshantering, om användaren glömmer bort sitt lösenord kan denne få hjälp av exempelvis den lokala Servicedesken.

Kryptering av filer och filsystem

Man har känslig data som måste hanteras försiktigt. Det finns risk för industrispionage. Det måste finnas rutiner, gärna en informationssäkerhetspolicy som bestämmer hur datan skall hanteras. Här är det viktigt att datan skyddas även när datorer/filsystem är igång. Om datan ligger på ett nätverksfilsystem skall filerna vara krypterade hela tiden. Backuper sker krypterat, bara på den nödvändiga datan. Ofta knyts auktorisationen ihop med existerande AD eller Kerberos, grupper kan ges rättighet att läsa krypterade filer. Det går att få en lösning som fungerar både på nätverksfilssystem och lokala diskar. Det finns produkter som stödjer cental lösenordshantering, om användaren glömmer bort sitt lösenord kan denne få hjälp av exempelvis den lokala Servicedesken.


IT-säkerhetshandboken
http://www.susec.sunet.se