Для достижения высокого уровня безопасности нужно понять, как лучше всего использовать AxCrypt с паролями и для локальной безопасностью ПК. Ниже приведены некоторые детали об алгоритмах и методах, используемых в AxCrypt.
Почему AxCrypt надежен?
AxCrypt безопасен, ведь мы стремимся использовать только общепринятые методы и алгоритмы и не пытаемся изобрести какие-либо новые алгоритмы или методы шифрования. Это также использование открытого исходного кода. Любой может открыть исходный код, проверить его на наличие ошибок, упущений или бэкдоров. Он используется и проверяется на наличие уязвимостей уже более 15 лет, также опробован более чем 30 миллионами пользователей, без обнаружения каких-либо слабых мест.
Насколько безопасен AxCrypt?
Этот вопрос сводится к эффективной длине ключа шифрования. Используемая длина ключа составляет 128 или 256 бит; подробный поиск в настоящее время не считается возможным ни в том, ни в другом случае, и он вычислительно неосуществим в криптографических терминах. Проблема заключается в используемых паролях – это слабое место. Ниже вы можете прочитать больше о том, что следует учитывать при выборе пароля.
Требования к паролю
AxCrypt использует AES-128 или AES-256 алгоритмы шифрования в версии Premium, но если вы хотите достичь такого уровня безопасности, вы должны предоставить ему 128 или 256 бит ‘случайных’ данных. Это трудно сделать, но самый простой способ - использовать генератор паролей, включенный в версию Premium.
Чтобы на самом деле получить 128 или 256 бит, вам придется сохранить этот пароль в текстовом файле.Используйте английский язык для пароля. 128 бит примерно эквивалентны 10 "случайным" словам, а 256 бит, таким образом, вдвое больше. Не используйте многозначительные предложения и абсолютно не известные или даже малоизвестные цитаты!Вводя вариации по падежу, а также не алфавитные символы, вы можете уменьшить количество необходимых слов. Не рекомендуется использовать пароль менее 5 слов. Если вы используете совершенно случайный выбор прописных и строчных букв и цифр, вам нужно 22 символа для достижения 128-битной безопасности и, таким образом, 44 символа для 256 бит. (Вышеизложенное является упрощением)Функция удаления или стирания AxCrypt позволяет стирать файлы таким образом, что невозможно восстановить их содержимое с помощью программного специального обеспечения. Однако есть некоторые предостережения:
Имя файла, а также его размер могут быть восстановлены.
Если файл был просмотрен или отредактирован с помощью приложения, создающего временные копии содержимого (например, Microsoft Office), эти временные копии все еще могут быть доступны для восстановления на жестком диске.
См. раздел о локальной безопасности ПК для получения советов, как увеличить уровень безопасности.
Локальная безопасность ПК
AxCrypt,сам по себе, не защитит ваш локальный компьютер, например, от:
Раскрытие данных по причине:
Ваши приложения поддерживают открытый текст в памяти, который впоследствии будет помещен в файл подкачки.
Ваши приложения создают временные файлы, которые нельзя правильно стереть.
Глубокое считывание перезаписанных данных с жесткого диска с помощью специального программного обеспечения и лабораторного оборудования.
Раскрытие пароля из-за:
Несвоевременное включение питания вашего компьютера и последующий криптоанализ.
Клавиатуры-снифферы, либо в аппаратном, либо в программном обеспечении.
Неправильное использование:
Надежные пароли, либо с помощью AxCrypt, либо с помощью вашего входа в систему.
Защищенные паролем скринсейверы.
Ключи учетной записи
Ключ учетной записи позволяет реализовать различные новые функции, такие как разрешение другим членам команды открывать защищенные файлы со своими собственными паролями. С технической точки зрения, ключ учетной записи AxCrypt состоит из пары открытых ключей, состоящей из публичной (открытой) и частной (секретной) частей, а также некоторых других метаданных.
Ключ учетной записи всегда защищен вашим паролем, хотя одна его часть не является секретной и используется при защите файлов для вас и вашей команды. Для вас преимущество заключается в том, что вы можете изменить пароль для всех файлов за одну операцию. Для членов вашей команды преимущество заключается в том, что вы и ваша команда можете разрешить друг другу открывать защищенные файлы без обмена паролями, просто указав адрес электронной почты другого участника.
Любой человек может использовать ваш адрес электронной почты, чтобы позволить вам открыть защищенный файл с вашей собственной парольной фразой, и вы можете позволить любому человеку с помощью его электронной почтой открыть защищенный вами файл. Все это обеспечивается публичной частью ключа учетной записи, доступной на нашем сервере.
Алгоритмы
Криптологическими примитивами являются AES-128 или AES-256 для массового шифрования, PBKDF2 с HMAC-512 для получения ключа, 4096-битный RSA для ключа учетной записи и HMAC-512 для проверки целостности.
Насколько нам известно, по мнению правительства США и интернет сообщества, используемые алгоритмы считаются безопасными. Пожалуйста, ознакомьтесь с пакетом документов и исходным кодом для получения более подробной информации.
Преобразование ключа пароля выполняется с использованием спецификации NIST для преобразования ключа AES. Ключ, полученный из пароля с помощью PBKDF2-SHA512, используется только для шифрования.
В качестве меры противодействия методу полного перебора, перенос ключей выполняется не менее чем за 5 000 итераций, что увеличивает рабочую нагрузку примерно на 12 бит. Фактическое количество итераций определяется динамически, типичное значение составляет от 25 000 до 100 000, добавляя 14-17 бит эффективной длины ключа. Чем быстрее вы устанавливаете AxCrypt на ваше устройство – тем лучше его безопасность!
AxCrypt использует расширенный стандарт шифрования со 128-битными или 256-битными ключами в режиме счетчика с "случайным" IV для шифрования данных.
Для проверки целостности AxCrypt использует HMAC-SHA512, то есть код аутентификации хэш-сообщения с использованием SHA-512 с 512-битным выводом.
Используемый генератор псевдослучайных чисел (PRNG) - это в первую очередь операционная система, в некоторых случаях, с добавленной энтропией.
В нашей реализации вполне могут быть ошибки, именно поэтому она является открытым исходным кодом, и вы или наши коллеги можете просмотреть ее и сохранить в безопасности. Это не следует воспринимать как низкий уровень доверия к нашему коду, ведь любой, кто говорит вам, что их код безупречен - либо неопытен, либо лжет.
Совместим ли AxCrypt с HIPAA?
Не существует такого понятия, как программное обеспечение, совместимое с HIPAA. Только организации и процедуры могут быть совместимы с HIPAA.
Надлежащее использование шифрования и других технических гарантий регулируется стандартами безопасности HIPAA, 45 CFR 160, 162 и 164. Соответствующий раздел 164.312 технические меры безопасности. Там также нет никаких рекомендаций или требований, касающихся конкретных технологий шифрования, специально указано, что регламент является технологически нейтральным. Каждая организация должна оценить свое положение и риски, а затем реализовать требуемые или адресуемые спецификации.
Хотя стандарт никоим образом не ссылается на него, кроме как в комментариях, политика интернет-безопасности CMS, которая является текущим представлением центров по предоставлению услуг Medicare & Medicaid для их собственного использования, действительно определяет некоторые минимальные технологические уровни для определенных случаев. AxCrypt соответствует этим требованиям для передачи данных через Интернет – но ваша организация должна самостоятельно оценить, достаточно ли использовать тот же уровень, что и центры Medicare & Medicaid Services.
Части, где AxCrypt может (и должен) быть в качестве (части) технической защиты, являются:
Контроль доступа/Шифрование и Дешифрование - AES-128/AES-256
Целостность/Аутентификация – Передача HMAC-SHA-512
Контроль Безопасности/Целостности, Шифрование AES-128/AES-256/HMAC-SHA-512
Стандарт безопасности HIPAA действительно позволяет использовать шифрование в качестве основы для контроля доступа, то есть для защиты конфиденциальности данных в состоянии покоя (хранящихся на жестком диске, а не в интернете, например). AxCrypt соответствует данным требованиям большинства организаций.