Disk ve Dosya Şifreleme

Kaspersky Endpoint Security (İşletme) kullanıcılarını koruma

Kaspersky Endpoint Security for Windows, veri şifrelemeye yönelik entegre araçlara sahiptir. Bunlar, Kaspersky güvenlik ürünleriyle korunan kurumsal altyapının yönetiminde yöneticiler tarafından kullanılan Kaspersky Security Center uygulamasından dağıtılan ilkelere uygun şekilde çalışır.

Tam disk şifreleme (FDE), bir dizüstü bilgisayarın ya da taşınabilir sabit sürücünün çalınması sonucu veri sızıntısını önler. Yetkisiz kullanıcılar şifreli bir diskten önyükleme yapamaz veya diskteki verileri okuyamaz.

Dosya düzeyinde şifreleme (FLE), güvenilir olmayan kanallar üzerinden aktarılan dosyaları aktarım sırasında korur. Şifreleme ilkelerine göre korunan dosyalara erişim izni olan kullanıcılar, dosyaları şifrelenmemiş olarak görür.

Şifreleme ilkeleri

Kaspersky Security Center yöneticileri, Kaspersky Endpoint Security tarafından korunan kurumsal bilgisayarlarda şifrelemeyi etkinleştiren şifreleme ilkeleri belirleyebilir. İlkeler, ana bilgisayara göre değişiklik gösterebilir ve ilkelere uygunluk verileri, yöneticiler tarafından görülebilen ortak bir rapor akışında toplanır.

Aynı zamanda bir bilgisayara bağlı çıkarılabilir cihazlar (flash bellekler, taşınabilir sürücüler vb.) için de ilkeler belirlenebilir. Örneğin, kullanıcı cihaza ya da cihazdaki belirli dosya türlerine şifreleme uygulamayı kabul edene kadar cihaz engellenebilir.

Dosya düzeyinde şifrelemede ise ilkeler, dosya uzantısına ya da diskteki konuma bağlı olarak hangi dosyaların şifreleneceğini tanımlayabilir. Bilgisayarda belirlenen kriterlere uyan bir dosya algılandığında dosya şifrelenir.

Şeffaf şifreleme

Şifreleme, tipik bir kullanıcının iş akışına müdahalede bulunmaz; yeni uygulamalar oluşturmaz veya mevcut uygulamaların yapılandırmalarını değiştirmez. İlkeler otomatik olarak uygulanır.

Uygulamalar şeffaf bir şekilde şifrelenir: Bir kullanıcı işletim sisteminde doğrulandığı zaman uygulamalar, disklerdeki verileri şifreli oldukları halde şifrelenmemiş gibi görür. Şifreleme filtresi, uygulamalar ve diskler arasında verileri aktarır (FDE için disk filtresi ve FLE için dosya filtresi). Disklerden uygulamalara giden verilerin şifresini kaldırır ve geri gelen verileri şifreler. Veriler, okuma/yazma işlemleri gerçekleşirken anında şifrelenir ve diskte geçici olarak bile şifrelenmemiş veri bulunmaz.

Bazı uygulamalar söz konusu olduğunda şifrelemenin bu kadar şeffaf olmaması gerekir. Örneğin, başka bir konumda tutmak üzere şifrelenmiş bir diski kopyalayan yedekleme işlemleri, yedekleme verilerini şifrelenmemiş şekilde kaydetmemelidir. Bu sebeple yedekleme uygulaması, diski şifrelenmiş haliyle kopyalamalıdır. Bu durumda ve benzer durumlarda yönetici, belirli uygulamalar için şeffaf şifrelemeyi merkezi olarak devre dışı bırakabilir.

Disk şifreleme mekanizması (FDE)

FDE mekanizması, bir bilgisayardaki disklerin tamamını şifreler. FDE aşağıdakileri destekler:

• Tüm disk türleri için şifreleme: HDD, SSD, flash bellekler vb. SSD cihazlarda FDE, sürücü ömrünü uzatmak için ekstra okuma/yazma döngülerinin sayısını azaltmaya gayret eder.
• Donanım düzeyinde şifreleme hızlandırma (bilgisayarın işlemcisi AES-NI'yi destekliyorsa).
• UEFI Güvenli Önyükleme: Bilgisayarları önyükleme aşamasında koruyan ve yalnızca güvenilir yazılımların yüklendiğini, işletim sistemi ve yazılımın herhangi bir diğer işlemin müdahalesi olmaksızın düzgün şekilde başladığını garanti eden bir teknoloji.

Şifreleme anahtarları. Disk şifreleme filtresi, verileri şifrelemek ve şifrelerini kaldırmak için bir disk anahtarı kullanır. Her disk için ayrı bir anahtar oluşturulur ve disk üzerinde üç adet şifreli kopya halinde saklanır. Disk hasar görse ve anahtar kopyalarından biri yok olsa bile başka bir kopya ile diske erişilebilir. Diskteki üç anahtar kopyasının üçü de hasar gördüğünde, Kaspersky Security Center'da saklanan kopya ile diske erişim sağlanabilir. Bunun için bir disk anahtarı oluşturulduğunda, anahtarın kopyası güvenli bir şekilde Kaspersky Security Center'a gönderilir. Anahtarlar, diskte asla şifrelenmemiş olarak saklanmaz.

Şifreli diskten kullanıcı kimlik doğrulaması ve işletim sistemi yüklemesi. Diskte kayıtlı olan disk anahtarı, kullanıcı kimlik doğrulamasından sonra şifreleme filtresinin kullanımına sunulur. Kullanıcı; bir parola, USB belirteci ya da akıllı kart kullanarak kimlik doğrulaması yapabilir. Başarılı kimlik doğrulamasından sonra işletim sistemi, şifrelenmiş diskten önyükleme yapabilir.

Bir bilgisayara şifreleme ilkesi uygulama. Bir bilgisayara şifreleme ilkesi uygulandığında iki işlem başlatılır:

• Anında şifreleme kalıcı olarak etkinleştirilir. Bu, söz konusu andan itibaren diske yazılan tüm verilerin şifreleneceğini garanti eder. Bunun için disk şifreleme filtresi, tüm diske okuma/yazma işlemlerine müdahale eder.
• Disk şifreleme işlemi uygulamaya koyulur ve bilgisayar disklerinin tam şifrelemesi başlar. Bu işlem tamamlandığında, disk şifreleme ilkesi eksiksiz olarak bilgisayara uygulanır. Disk şifreleme işlemi birkaç saat sürebilir.

Disk şifreleme sırasında kullanıcılar normal şekilde çalışabilir, bilgisayarı uyku moduna alabilir veya kapatabilir: Bilgisayar tekrar açıldığında şifreleme devam eder. İşlem, aynı zamanda arızalara dayanıklıdır (ör. güç kesintisi, işletim sistemi arızası). Arızaya dayanıklı şifreleme tasarımı, tüm verilerin eninde sonunda şifreleneceğini garanti eder.

Şifreli dosyalara erişim (FLE)

Kaspersky Endpoint Security ile erişim. Kullanıcı, işletim sisteminde kimlik doğrulaması yaptığında, şifreleme ilkelerine uygun olarak, kullanıcı adına çalışan bilgisayar uygulamaları şifreli dosyalara erişim hakkı elde eder.

Kaspersky Endpoint Security ana bilgisayar aracısı, diğer kullanıcılar tarafından şifrelenen dosyalara erişmek için gerekli şifre kaldırma anahtarlarını Kaspersky Security Center'dan talep eder. Örneğin, e-posta ile gönderilen bir dosya, diğer bir kullanıcı tarafından şifrelenmişse alıcının ana bilgisayarı, Kaspersky Security Center'dan bir anahtar ister ve alır (ilkeler erişime izin veriyorsa). Bu anahtar, bu dosyaya ve söz konusu kullanıcının aynı mantıksal diski üzerinde şifrelenmiş diğer dosyalara erişim sağlar. Anahtar önbelleğe alınır ve bu sayede, aynı kullanıcının aynı diski üzerinde şifrelenmiş bir dosya alındığında her seferinde yeni bir anahtar talebinde bulunulmasına gerek kalmaz.

İnternet bağlantısı yoksa alıcı, açık kanallar (ör. bir telefon) üzerinden gerçekleştirilen standart bir sınama-yanıtlama temelli güvenli anahtar değişimi aracılığıyla Kaspersky Security Center'dan bir anahtar alabilir. Tek yapmanız gereken oluşturulan sınama kodunu gönderip yanıt kodunu almaktır.

Kaspersky Endpoint Security olmadan erişim. Şifreleme ilkeleri buna izin veriyorsa kullanıcılar, cihazlarındaki şifreli dosyalara Kaspersky Endpoint Security olmayan bilgisayarlarda parola doğrulaması aracılığıyla erişebilmek için cihazlarını yapılandırabilir. Kullanıcı, böylesine bir cihazı Kaspersky Endpoint Security ile yapılandırdığında:

• Kaspersky Portable File Manager uygulaması cihaza kopyalanır. Bu uygulama, dosya erişimi için anahtarları güvenli bir şekilde saklar ve dosyaları şifreler veya dosyaların şifrelerini kaldırır.
• Kullanıcı, bu cihazdaki dosyalara erişim için bir parola oluşturur.

Kullanıcı bir cihaz bağladığında ve cihaz Portable File Manager'da yetkilendirildiğinde şifreli dosyalar okuma ve düzenleme için kullanılabilir hale gelir. Ayrıca kullanıcılar, cihazda yeni dosyaları da şifreleyebilir.

Kaspersky Total Security (Tüketici) kullanıcılarını koruma

Kripto Disk, kullanıcının depolanmış verilerini şifrelemeyle koruyan bir Kaspersky Total Security alt sistemidir.

Kripto Disk ile kullanıcılar, ayrı bir dosya olarak depolanan sanal bir şifreli disk oluşturabilir. Diske erişim için disk oluşturulduğunda atanan bir parola kullanılır. Yetkilendirmeden sonra disk, bir yerel sürücü (ör. "E:\") olarak bağlanır. Kullanıcı, şifreli disk ile cihazlar, e-posta, paylaşımlı ve bulut ortamındaki depolar üzerinden diğer kullanıcılara dosya gönderebilir ve parolayı vererek onlara erişim sağlayabilir.

Disk, parolanın kendisi ile değil, kullanıcı kimlik doğrulaması yaptıktan sonra kullanılabilen otomatik olarak oluşturulmuş bir anahtar ile şifrelenir. Bu sayede kullanıcı, sanal diskin tamamını tekrar şifrelemek zorunda kalmadan parolayı değiştirebilir.

Şifreleme modülü

FDE, FLE ve Kripto Disk; XTS modunda AES-256 şifreleme algoritmasından faydalanan şifreleme modülünü kullanır. Şifreleme kitaplığı aşağıdakilerle onaylanır:

• FIPS 140-2
• Ortak Kriterler