Hari ini kami akan memberi tahu Anda cara membuat otentikasi dua faktor dengan cepat dan mudah dan mengenkripsi data penting, bahkan dengan kemungkinan menggunakan biometrik. Solusinya akan relevan untuk perusahaan kecil atau hanya untuk komputer pribadi atau laptop. Sangat penting bahwa untuk ini kita tidak perlu infrastruktur kunci publik (PKI), server dengan peran otoritas sertifikat (Layanan Sertifikat), atau bahkan domain (Direktori Aktif). Semua persyaratan sistem akan direduksi menjadi sistem operasi Windows dan keberadaan kunci elektronik pengguna, dan dalam hal otentikasi biometrik, juga pembaca sidik jari, yang, misalnya, mungkin sudah ada di dalam laptop Anda.
Untuk otentikasi, kami akan menggunakan perangkat lunak pengembangan kami - JaCarta SecurLogon dan kunci elektronik JaCarta PKI sebagai autentikator. Alat enkripsi akan menjadi Windows EFS biasa, akses ke file yang dienkripsi juga akan melalui kunci JaCarta PKI (yang sama digunakan untuk otentikasi).
Ingat bahwa JaCarta SecurLogon adalah solusi perangkat lunak dan perangkat keras bersertifikasi Aladdin R.D yang disertifikasi oleh FSTEC Rusia, yang memungkinkan transisi sederhana dan cepat dari otentikasi faktor tunggal berdasarkan pasangan nama pengguna / kata sandi ke otentikasi dua faktor di OS menggunakan token USB atau kartu pintar. Inti dari solusi ini cukup sederhana - JSL menghasilkan kata sandi yang kompleks (~ 63 karakter) dan menulisnya ke memori yang dilindungi dari kunci elektronik. Dalam hal ini, kata sandi mungkin tidak diketahui oleh pengguna itu sendiri, pengguna hanya tahu kode PIN. Memasukkan kode PIN selama otentikasi, perangkat tidak dikunci, dan kata sandi dikirimkan ke sistem untuk otentikasi. Secara opsional, Anda dapat mengganti memasukkan kode PIN dengan memindai sidik jari pengguna, dan Anda juga dapat menggunakan kombinasi PIN + sidik jari.
EFS dan JSL dapat bekerja dalam mode mandiri, tanpa memerlukan apa pun selain OS itu sendiri. Di semua sistem operasi Microsoft dari keluarga NT, dimulai dengan Windows 2000 dan yang lebih baru (kecuali untuk versi rumah), ada teknologi built-in untuk mengenkripsi data EFS (Encrypting File System). Enkripsi EFS didasarkan pada kemampuan sistem file NTFS dan arsitektur CryptoAPI dan dirancang untuk dengan cepat mengenkripsi file pada hard drive komputer. Untuk enkripsi, EFS menggunakan kunci pribadi dan publik pengguna, yang dihasilkan ketika pengguna pertama kali menggunakan fungsi enkripsi. Kunci-kunci ini tetap tidak berubah selama akunnya ada. Saat mengenkripsi file, EFS secara acak menghasilkan nomor unik, yang disebut Kunci Enkripsi File 128-bit (FEK), yang dengannya file dienkripsi. Kunci FEK dienkripsi dengan kunci master, yang dienkripsi dengan kunci pengguna sistem yang memiliki akses ke file. Kunci pribadi pengguna dilindungi oleh hash kata sandi dari pengguna yang sama. Data yang dienkripsi menggunakan EFS hanya dapat didekripsi menggunakan akun Windows yang sama dengan kata sandi yang sama di mana enkripsi dilakukan. Dan jika Anda menyimpan sertifikat enkripsi dan kunci pribadi pada token USB atau kartu pintar, maka untuk mengakses file yang dienkripsi Anda juga akan memerlukan token USB atau kartu pintar ini, yang memecahkan masalah kompromi kata sandi, karena perangkat tambahan di dalam bentuk kunci elektronik.
Otentikasi
Seperti yang sudah disebutkan, Anda tidak perlu mengonfigurasi AD atau otoritas sertifikasi, Anda memerlukan Windows modern, distribusi JSL, dan lisensi. Pengaturannya mudah untuk dipermalukan.
Anda perlu menginstal file lisensi.
Tambahkan profil pengguna.
Dan mulai menggunakan otentikasi dua faktor.
Otentikasi biometrik
Dimungkinkan untuk menggunakan otentikasi sidik jari biometrik. Solusinya menggunakan teknologi Match On Card. Hash sidik jari ditulis ke kartu selama inisialisasi awal dan kemudian diverifikasi dengan aslinya. Itu tidak pergi dari mana pun dari kartu, itu tidak disimpan di beberapa database. Untuk membuka kunci tombol seperti itu, sidik jari atau kombinasi PIN + sidik jari, PIN atau sidik jari digunakan.
Untuk mulai menggunakannya, Anda hanya perlu menginisialisasi kartu dengan parameter yang diperlukan, tulis sidik jari pengguna.
Di masa depan, jendela yang sama akan muncul sebelum memasuki OS.
Dalam contoh ini, kartu diinisialisasi dengan kemungkinan otentikasi dengan sidik jari atau kode PIN, yang dilaporkan oleh jendela otentikasi.
Setelah menunjukkan sidik jari atau PIN, pengguna akan dibawa ke OS.
Enkripsi data
Mengkonfigurasi EFS juga tidak terlalu rumit, ia harus mengatur sertifikat dan mengeluarkannya ke kunci elektronik dan mengatur direktori enkripsi. Biasanya, enkripsi seluruh drive tidak diperlukan. File yang benar-benar penting, akses yang tidak disarankan kepada pihak ketiga, biasanya terletak di direktori yang terpisah, dan tidak tersebar seperti di disk.
Untuk mengeluarkan sertifikat enkripsi dan kunci pribadi, buka akun pengguna, pilih - Kelola sertifikat enkripsi file. Di wisaya yang terbuka, buat sertifikat yang ditandatangani sendiri pada kartu pintar. Karena kami terus menggunakan kartu pintar dengan applet BIO, Anda harus memberikan sidik jari atau PIN untuk merekam sertifikat enkripsi.
Pada langkah berikutnya, tentukan direktori yang akan dikaitkan dengan sertifikat baru, jika perlu, Anda dapat menentukan semua drive logis.
Selanjutnya, sistem sekali lagi meminta Anda untuk memasukkan PIN atau memberikan sidik jari, sertifikat akan dikeluarkan langsung ke kartu pintar.
Selanjutnya, Anda perlu mengkonfigurasi direktori tertentu. Dalam contoh kami, ini adalah folder Dokumen di hamster pengguna. Buka properti folder dan pilih - Enkripsi konten untuk melindungi data.
Selanjutnya, tentukan untuk menerapkan pengaturan hanya ke folder saat ini atau sertakan semua subdirektori.
Direktori terenkripsi itu sendiri dan file di dalamnya akan disorot dalam warna berbeda.
Akses ke file hanya dilakukan dengan kunci elektronik, setelah penyajian sidik jari atau kode PIN, tergantung pada apa yang dipilih.
Ini menyelesaikan pengaturan.
Anda dapat menggunakan kedua skenario (otentikasi dan enkripsi), Anda dapat fokus pada satu hal.