FI125231B - Menetelmä kannettavan muistilaitteen sisällön suojaamiseksi - Google Patents

Menetelmä kannettavan muistilaitteen sisällön suojaamiseksi Download PDF

Info

Publication number
FI125231B
FI125231B FI20070414A FI20070414A FI125231B FI 125231 B FI125231 B FI 125231B FI 20070414 A FI20070414 A FI 20070414A FI 20070414 A FI20070414 A FI 20070414A FI 125231 B FI125231 B FI 125231B
Authority
FI
Finland
Prior art keywords
information
memory device
data
driver
rmd
Prior art date
Application number
FI20070414A
Other languages
English (en)
Swedish (sv)
Other versions
FI20070414A (fi
FI20070414A0 (fi
Inventor
Harri Rautio
Ville Ollikainen
Juuso Pesola
Juhani Latvakoski
Original Assignee
Splitstreem Oy
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Splitstreem Oy filed Critical Splitstreem Oy
Priority to FI20070414A priority Critical patent/FI125231B/fi
Publication of FI20070414A0 publication Critical patent/FI20070414A0/fi
Priority to US12/125,338 priority patent/US8233624B2/en
Priority to EP08761697.5A priority patent/EP2165284B1/en
Priority to PCT/FI2008/050301 priority patent/WO2008145815A1/en
Publication of FI20070414A publication Critical patent/FI20070414A/fi
Priority to US13/535,837 priority patent/US8571220B2/en
Application granted granted Critical
Publication of FI125231B publication Critical patent/FI125231B/fi

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1416Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights
    • G06F12/1425Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights the protection being physical, e.g. cell, word, block
    • G06F12/1433Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights the protection being physical, e.g. cell, word, block for a module or a part of a module
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Storage Device Security (AREA)

Description

Menetelmä kannettavan muistilaitteen sisällön suojaamiseksi Tekniikan tausta USB-muistilaitteet ovat syrjäyttäneet entisajan levykkeet ja CD-RW -levyt irrotettavina muistilaitteina. Muitakin irrotettavia muistilaitteita (Removable Memory Device, RMD) on olemassa, esimerkiksi Compact Flash -kortit ja Secure Digital -muistitikut. RMD -laitteiden muistisolut perustuvat yleensä Flash -teknologiaan, mutta suurikapasiteettisissa laitteissa saattaa olla myös pienikokoisia kovalevyjä. Tässä terminologiassa RMD tarkoittaa sellaista muistilaitetta, joka voidaan irrottaa työkaluja käyttämättä ja joilla voidaan irrottamisen jälkeen siirtää tietoa paikasta toiseen. RMD:n käyttöönotto edellyttää asianmukaisen ajurin asentamista tietokoneen käyttöjärjestelmään. Tämä ajuri huolehtii pääsystä kaikkeen RMD:Mä olevaan tietoon. Pääsyllä tarkoitetaan tiedon lukemista RMD:Itä ja kirjoittamista sinne. Tavallisesti RMD näyttäytyy levyasemana.
Levyasemille ei voi tallentaa tietoa, ellei niitä ole asianmukaisesti formatoitu. Formatoinnin aikana luodaan levylle tiedostojärjestelmä. Windows XP:ssä tyypillisiä levyjärjestelmiä ovat NTFS ja FAT32, kun taas Linuxissa EXT2 on yleinen. Levyaseman formatoinnin jälkeen sen tiedostojärjestelmä sisältää tyhjän juurihakemiston, johon voidaan luoda viitteitä tiedostoihin ja alihakemistoihin. Lähes kaikkien tiedostojärjestelmien tieto tallennetaan lohkoihin, jotka osoittavat tiettyihin kohtiin tallennusvälineen fyysisessä muistissa. Esimerkkinä osoituksesta ovat RMD:n muistiosoitteet.
Puolijohdeteknologiaan pohjautuvat RMD:t ovat mitä käytännöllisimpiä henkilökohtaisen ja yritystiedon siirtämiseen käytettäviä välineitä. Ne ovat kevyitä ja pienikokoisia, ja lisäksi ne ovat osoittautuneet luotettavammiksi kuin edeltäjänsä levykkeet. Tyypillinen Flash -pohjaisen RMD:n kapasiteetti on tällä hetkellä 1 GB. 64 GB laitteita on jo olemassa ja niiden voidaan olettaa vakaavan markkinat muutamassa vuodessa.
Tarkastellaan tilannetta, jossa yritys on antanut työntekijänsä käyttöön RMD:n. Todennäköisesti RMD:lle tallennetaan enemmän tai vähemmän luottamuksellista sisältöä. RMD:Ile tallennetun sisällön suojaamiseksi on esitetty lukuisia kryptausmenetelmiä. Yleisin toteutus on jakaa RMD kahteen osioon, joista toinen on suojattu ja toinen suojaamaton. Suojaamattomalla osiolla on ajuri, joka asennetaan ensin, ja joka sallii suojatun osion käytön vasta salasanan syöttämisen jälkeen. Myös muita suojausmenetelmiä on käytössä, esimerkiksi sormenjälkiluki-jan integroiminen RMD:hen. Tässä tapauksessa suojattu tieto saadaan esille vasta kun oikea sormenjälki on tunnistettu.
Yksikään näistä menetelmistä ei suojaa tietoa sellaisissa tapauksissa, joissa työntekijä ole enää yrityksen palveluksessa tai on vaihtanut osastoa yrityksen sisällä. Hänellä on yhä pääsy RMD:Mä olevaan luottamukselliseen tietoon, vaikkei hänellä ole enää oikeutta käyttää sitä.
Tietoa voidaan kryptata ketjutettuna tai ketjuttamattomana. Tietoa kryptataan etukäteen määritellyllä tavalla käyttäen kryptausavainta ja puretaan vastaavasti kryptauksen purkuavaimella. Ketjuttamattomassa kryptauksessa lopputulos ei ole riippuvainen edeltäneestä datasta, kun taas ketjutetussa kryptauksessa edellisten kryptausten lopputulos määrittelee seuraavien kryptausten alkutilan. Tekniikan tasossa on runsaasti esimerkkejä ketjutta m aitomista (esimerkiksi DES, ECB) ja ketjutetuista (esimerkiksi CBC, CBF, OFB, 3DES) kryptauksista ja niiden salausmenetelmistä.
Hakemusjulkaisussa WO 03088052 A1, Tune, kuvataan informaation, erityisesti luottokorttinumeron, tallennusjärjestelmä. Se käsittää neljä komponenttia: informaatiopalvelimen, asiakasjärjestelmän, jossa on paikallinen tietokanta, hash -serverin ja transaktioserverin, jotka kaikki ovat kytketyt internet -verkkoon. Kun tallennetaan uusi tieto, joka halutaan pitää hyödyttömänä tunkeilijalle, se jaetaan kahteen osaan. Ensimmäiselle osalle ei asiakasjärjestelmä aluksi tee mitään. Se sijaan toisen osan, johon liitetään asiakasnumero, asiakaspalvelu lähettää viestinä verkon yli informaatiopalvelimelle mutta sitä ennen allekirjoittaa sen digitaalisesti ja salaa informaatiopalvelimen julkisella salausavaimelle. Informaatiopalvelin purkaa viestin, erottaa siitä mainitun toisen osan ja asiakasnumeron ja lähettää asiakasnumeron salatussa viestissä hash -serverille, joka vahvaa hash -funktiota käyttäen generoi asiakasnumerosta hash -arvon ja lähettää sen informaatiopalvelimelle. Tämä käyttää saamaansa hash- arvoa ha-kuindeksinä rekisteripaikkaan, johon alkuperäisestä informaatiosta erotettu toinen osa tallennetaan salamaamattomana. Lisäksi hash -serveri tekee hash-operaation salamaattomalle toiselle osalle ja lähettää tulokseksi saadun hash-arvon salattuna informaatiopalvelimelle, joka lähettää sen ja asiakasnumeron salattuna ja digitaalisesti allekirjoitettuna viestinä asiakaspalvelimelle.
Asiakaspalvelu purkaa viestin, liittää ensimmäiseen osaan informaatiopalvelimelta saamansa hash -arvon ja tallentaa yhdistelmän tietokantaan ja käyttää salaamatonta asiakasnumeroa hakuavaimena tallennuspaikkaan. Kun asiakas-palvelin haluaa koostaa alkuperäisen tiedon, se pyytää informaatiopalvelimelta sen tallentaman toisen osan tiedosta. Käyttäen ensin molempien osapuolten tallentamia hash- arvoja ja asiakasnumeroa tietyllä tavalla pyynnön oikeellisuuden tarkistukseen, informaatiopalvelin palauttaa tallentamansa toisen osan.
Julkaisu ei esitä ratkaisua informaation yhdistämisen ongelmaan, jossa osa informaatiosta tallennetaan jakopaikasta erilliseen tallennuspaikkaan ja toinen osa irrotettavalle muistilaitteelle, joka irrotetaan jakopaikan järjestelmästä, pannaan taskuun, viedään pois, kytketään toiseen koneeseen, jossa informaatio kootaan eheäksi ilman jakopaikan myötävaikutusta.
Hakemusjulkaisussa US 2005240749 A1, Clemo et ai., kuvataan menettely, jolla rajoitetun muistin omaava laite kuten matkapuhelin voi tallentaa turvallisesti dataa verkon yli ulkoisille tiedostopalvelimille. Puhelin analysoi datan ja tekee sille fragmentointipolitiikan, jonka mukaisesti data pilkotaan,datan luonteesta riippuen, pituudeltaan sellaisiksi paloiksi, ettei yhdestä palasta voida saada selville koko sisältöä. Kun lähetettävä data kuten tiedosto on pilkottu se, palat lähetetään matkapuhelimesta verkon yli eri tiedostopalvelimiin. Kun se on tehty, sekä fragmentointipolitiikka että jakelupolitiikka tallennetaan puhelimen muistiin. Kun data halutaan koostaa takaisin puhelimeen eri säilytyspaikoissa olevista paloistaan, haetaan muistista kyseisen datan fragmentointipolitiikka ja jakelupolitiikka. Niitä sovelletaan kääntäen, jolloin jakelupolitiikka kertoo, mistä palat haetaan ja fragmentointipolitiikka kertoo, miten palata yhdistetään alkuperäiseksi dataksi.
Julkaisu ei esitä ratkaisua informaation yhdistämisen ongelmaan, jossa osa informaatiosta tallennetaan jakopaikasta erilliseen tallennuspaikkaan ja toinen osa irrotettavalle muistilaitteelle, joka irrotetaan jakopaikan järjestelmästä, viedään pois ja kytketään toiseen koneeseen, jossa informaatio kootaan eheäksi ilman jakopaikan myötävaikutusta. Julkaisun järjestelmässä sekä informaation paloittelu että koostaminen tapahtuu yhdessä ja samassa paikassa eli puhelimessa, erillisessä tallennuspaikassa olevaa dataa ei voida yhdistää puuttuvien osien kanssa puhelimesta riippumatta.
Tekniikan taso ei esitä sellaista menetelmää, jolla voitaisiin suojata tietoa sellaisissa tapauksissa, joissa halutaan estää henkilön pääsy muistitikulla tai vastaavalla olevaan luottamukselliseen tietoon, kun hänellä ole enää oikeutta käyttää sitä.
Keksinnön yhteenveto
Keksinnössä käyttäjällä on käytettävissään RMD:n lisäksi toissijainen muistilaite (SMD). RMD on muistilaite, joka on helppo kuljettaa mukana, kun taas SMD on muistilaite, joka on saatavilla tietoliikenneverkon kautta lukuisista eri paikoista. SMD voikin olla vaikka tiedostopalvelin, johon käyttäjällä on pääsy yrityksen sisäisen tietoverkon (intranet) tai tietoturvallisen etäyhteystunnelin, kuten VPN (Virtual Private Network), kautta. Tiedostopalvelimella olevan tiedon käsittelyyn löytyy tekniikan tasosta lukuisia esimerkkejä: on esimerkiksi olemassa avoimen lähdekoodin toteutus, jonka avulla Windows-työasemat voivat käyttää Linux-pal- velimia, joihin on asennettu Linux Samba. SOAP (Service Oriented Architecture Protocol) tarjoaa myös menetelmän verkkoympäristössä tapahtuvaan tiedonsiirtoon.
Kun tietoa kirjoitetaan RMD:lle asianmukaisen ajurin kautta, Fig 1, ajuri poistaa osan alkuperäisestä tiedosta 1 ja tallentaa poistetun osan 2 SMD:Ile 4. Jäljelle jäänyt osa kirjoitetaan RMDJIe 5. Siihen, mikä osa tiedosta poistetaan, on lukuisia menetelmiä, joista alla kuvataan esimerkinomaisesti muutamia.
Eräs yksinkertainen tapa poistettavan tiedon määrittelemiseksi on generoida näennäissatunnainen bittijono (Pseudorandom Bit Stream, PBS) 8 näennäissa-tunnaisia lukuja tuottavalla satunnaislukugeneraattorilla 7, joka käyttää tiettyä siemenlukua 6. Tässä tapauksessa satunnaislukugeneraattori tuottaa bittijonon, jossa ykkösten ja nollien suhde on määrätty ennalta. Tällöin riittää, kun siemen-luku 6 tallennetaan SMD:Ile 4 poistetun tiedon 2 mukana, koska tietoa palautettaessa sama siemenluku tuottaa samalla algoritmilla täsmälleen samanlaisen bittisekvenssin.
On syytä huomioida, että siemenluvun sijaan voidaan käyttää ei-numeerisessa-kin muodossa olevaa dataa, esimerkiksi vektoria. Tässä kuvauksessa käytetään selkeyden vuoksi termiä "siemenluku" kuvaamaan mitä tahansa syötettä, jolla ohjataan satunnaislukugeneraattoria. Tätä syötettä ei tarvitse kokonaisuudessaan tallentaa SMD:Ile 4, kunhan syöte on kokonaisuudessaan saatavilla kun tietoa myöhemmin palautetaan.
Kun tietoa palautetaan, Fig 2, RMD:ltä 5, ajuri pyytää tiedosta poistettua osaa SMD:Itä 4 ja asettaa sen alkuperäiseen paikkaansa lukemalla ensin siemenluvun 6 tallennetusta datasta ja välittämällä sen satunnaislukugeneraattorille 7, joka puolestaan tuottaa saman PBS:n 8 jota käytettiin tietoa kirjoittaessa. PBS ohjaa bittijonojen yhdistäjää, joka ottaa bittejä joko SMDJtä 4 tai RMDJtä 5 luettavasta datasta sen mukaan mikä bitti PBS:ssä kulloinkin on. Tarkalleen ottaen SMDJtä ja RMDJtä luettava data sijoitetaan omiin puskureihinsa, joita kumpaakin luetaan erikseen bitti bitiltä. Jollei SMD:hen 4 ole yhteyttä, RMDJtä luettava data 5 jää epätäydelliseksi ja useimpiin käyttötarkoituksiin kelpaamattomaksi.
Toisin sanoen PBS määrittelee ne sijainnit, joista RMDJIe 5 kirjoitettavaa tietoa poistettiin. SMD:Itä 4 luettava data sijoitetaan näihin kohtiin, jolloin alkuperäinen tieto 1 saadaan palautettua.
Niiden kohtien merkitsemiseen joista tietoa poistetaan voidaan käyttää muitakin menettelyjä: Sen sijaan, että tietoa poistettaisiin näennäissatunnaislukuja käyttäen, olisi mahdollista ja laskennallisesti vähemmän raskasta poistaa aina tietty määrä tietoa kunkin lohkon alusta. Tässä nimenomaisessa tapauksessa niin satunnaislukugeneraattoria 7 kuin siemenlukuakaan 6 ei tarvita, PBS:n voidaan ajatella pysyvän aina vakiona, eikä näin ollen ole tarvetta tallentaa siemenlukua 6 SMD:Ile. Haittana on tällöin suojauksen heikkous, erityisesti jos poistettavien bittien määrä on pieni. Kompromissina turvallisuuden ja laskentatehokkuuden välillä voitaisiin käyttää hakutaulukkoa, jossa siemenluku määrittelee taulukon kohdan, jossa olevaa dataa käytettäisiin satunnaislukugeneraattorin sijaan.
Vaikka edellinen esimerkki ja seuraavatkin esimerkit kuvaavat tiedon poistamista bitti bitiltä, on syytä todeta että useimmilla laitealustoilla on laskennallisesti tehokkaampaa poistaa tietoa puolitavu puolitavulta, tavu tavulta, sana sanalta tai minkä suuruisissa vain yhtä bittiä suuremmissa osissa. Toisin sanoen pienin tietoyksikkö alkuperäisessä tiedossa 1, poistetussa tiedossa 2 ja jäljelle jäävässä tiedossa 3 on joukko bittejä yhden bitin sijaan.
Edelleen on syytä todeta, että tietoa voidaan jakaa useampaan kuin kahteen osaan, joskin selkeyden vuoksi esimerkit kuvaavat vain jakoa kahteen.
Jos RMD:n käyttäjällä ei ole oikeuksia SMD:hen tai käytössä olevaan verkkoon, kaikki SMD:Ile kohdistuvat pyynnöt epäonnistuvat, eikä tietoa voida palauttaa tälle käyttäjälle. Tämän ansiosta asiansa osaava verkon pääkäyttäjä kykenee etäkäyttöisesti poistamaan käytöstä minkä tahansa käyttäjän RMD:n tai palauttamaan sen takaisin käyttöön yksinkertaisesti muuttamalla kyseisen käyttäjän käyttöoikeuksia verkossa.
Kaikki, mitä yllä on todettu RMD:stä voidaan yleistää muihinkin muistilaitteisiin, eritoten massamuistilaitteisiin ja -taltioihin, ajatellen vaikkapa tapausta, että mikä tahansa muistilaite voi muuttua irrotettavaksi esimerkiksi murron seurauksena.
Kuvioluettelo
Seuraavassa keksintöä selostetaan yksityiskohtaisemmin oheisten kaaviollisten kuvioiden avulla, joista kuvio 1 esittää tiedon jakamista osiin ja tallentamista muistilaitteille, ja kuvio 2 jaetun tiedon yhdistämistä toisessa muistilaitteessa.
Keksinnön yksityiskohtainen selostus
Helpoin tapa keksinnön toteuttamiseksi on hankkia avoimen lähdekoodin ajuri johonkin tiedostojärjestelmään. Esimerkkinä on olemassa Windows -toteutuksia Linux EXT2 -tiedostojärjestelmälle, joka ei ole oletusarvoisesti tuettuna Windows XP:ssä. Joidenkin ajurien kääntäminen saattaa tarvita Microsotin Installable File System development kitin.
Ensisijaisessa toteutuksessa avoimen lähdekoodin ajuria muokataan siten, että jokainen lohko, jonka ajuri kirjoittaa RMD:lle (5), muokataan: Ensin sisältö salataan käyttämällä jotain ketjuttamatonta algoritmia, jonka jälkeen tallennetaan SMD:lle (4) sekä osa lohkon sisältämästä tiedosta että tieto niistä kohdista joista se oli peräisin. Kutsuttakoon tätä dataa RMD:ltä (5) poistetuksi dataksi. Poistaminen lyhentää RMD:lle kirjoitettavaa lohkoa, joten lohkon koon pitämiseksi ennallaan sen loppuun voidaan lisätä satunnaisdataa. Toinen vaihtoehto on yli-kirjoittaa satunnaisdataa poistettujen bittien kohdalle, mikä täytyy luonnollisesti ottaa huomioon alkuperäisen tiedon palauttamisessa.
Alan kirjallisuudesta on helppo löytää lukuisia näennäissatunnaislukualgoritme-ja. Algoritmin pitää olla sellainen, että se tuottaa samalla siemenluvulla aina identtisen sekvenssin. Alan ammattilaisen on helppo säädellä ykkösten ja nollien suhdetta: Jos esimerkiksi tahdotaan poistaa keskimäärin joka 16:s bitti, satunnaislukugeneraattori voisi tuottaa 4-bitin puolitavuja kutakin bittiä kohden. Aina kun puolitavu sisältää nollia, tuloksena olisi PBS:ään nollabitti. Kaikki muut kombinaatiot tuottaisivat ykkösbitin.
Lisäsuojaa saadaan siten, että satunnaislukugeneraattori tuottaa bittijonoa salaisesta avaimesta samaan tapaan kuin AES-128 CTR tuottaa XOR :attavan bittijonon yleisesti tunnetussa ISMACryp salausalgoritmissa.
Edelleen, lisäsuojaa saadaan kryptaamalla tieto (1) ennen kuin siitä poistetaan mitään. Tiedon lukeminen on huomattavasti vaikeampaa, jos poistettu data on peräisin kryptatusta tiedosta. Paras tietoturva saavutetaan erityisesti ketjutettua menetelmää käyttämällä, sillä tällöin kaikki jäljempänä tuleva informaatio riippuu poistetusta datasta.
Kun tietoa luetaan, luetaan lohko RMD:ltä 5 ja sekä poistettu data että sen sijaintia ilmoittava informaatio SMD:ltä. Alan ammattilaine kykenee tunnistamaan esimerkiksi käyttämällä levyn lohkonumeroa ja mitä tahansa levyn tunnistetta sen, mikä poistettu data kuuluu mihinkin lohkoon. PBS luodaan samalla tavalla kuin tietoa tallennettaessa, bittijonot yhdistetään yhdistäjässä (10) PBS:n mukaisesti, ja alkuperäisen tieto 1 saadaan palautettua. Satunnaisdata, joka kirjoitettaessa lisättiin lohkon loppuun, poistetaan.
Mikäli tiedon poistamisen sijaan ylikirjoitettiin satunnaisdataa tiedon päälle, SMD:ltä luettava data kirjoitetaan tämän satunnaisdatan päälle PBS:n osoittamiin kohtiin.
Jos mitä tahansa tietoa luetaan hajasaannilla (random access) lohkon keskeltä, koko on lohko syytä palauttaa puskuriin ja tieto lukea sieltä. Vastaavasti hajasaannilla kirjoittaminen koostuisi alkuperäisen datan palauttamisesta puskuriin ja päivitettävien bittien ylikirjoittamisella. Kun puskuriin ei enää kirjoiteta, tallen netaan se kuten yllä on kuvattu. Tämä kaikki on alan asiantuntijan toteutettavissa.
Keksinnön toisessa toteutuksessa käsitellään tietoa lohkojen sijasta tiedosto-1/0:n tasolla. Yleensä tiedostoja luetaan ja kirjoitetaan peräkkäisessä järjestyksessä. Tässä toteutuksessa menetelmä on yllä kuvatun lainen, mutta tiedon tallennusta edeltävän salauksen on hyvä tapahtua ketjutetulla algoritmilla. Tällöin mikä tahansa datan poistaminen korruptoisi koko myöhemmän tiedoston, vaikka salauksen purkuavain paljastuisikin. Haittapuolena on, että tiedoston haja-saanti vaikeutuisi.
Hajasaannissa tietojen haku tapahtuu siirtämällä luku- tai kirjoitusosoitin tiettyyn kohtaan tiedoston sisällä. Mikäli tiedosto on kryptattu ketjutetulla algoritmilla, pitää tieto lukea alusta alkaen, ketjutetun kryptauksen tilan palauttamiseksi ennen kyseisen lohkon käsittelyä, ellei toteuteta muutamaan lisätoimintoa: Tämän ongelman välttämiseksi on kullakin tiedostolla yksi tai useampia virstanpylväitä, joko säännöllisin tai epäsäännöllisin väliajoin. Näiden virstanpylväiden välistä dataa käsitellään samoin kuin keksinnön ensisijaisen toteutuksen lohkoja sillä erotuksella, että ketjutetun kryptauksen tila tallennetaan kunkin virstanpylvään kohdalla.
Kussakin virstanpylväässä määritellään sen sijainti tiedoston sisällä ja senhetkinen ketjutetun kryptauksen tila. Nämä virstanpylväät tallennetaan SMD:lle 4 samaan tapaan kuin ensisijaisen toteutuksen poistettu data. Kun tiedostoa kirjoitetaan hajasaantiperiaatteella, voidaan hakea kirjoituskohtaa edeltänyt virstanpylväs ja palauttaa puskuriin alkuperäinen tieto sen ja seuraavan virstanpylvään väliltä. Tällöin dataa voidaan kirjoittaa tähän puskuriin. Kun peräkkäinen luku saavuttaa seuraavan virstanpylvään, luetaan sen tila.
Turvallisuutta voidaan parantaa lisäksi kryptaamalla alkuperäinen tieto 1 ja tallentamalla uusi kryptaus-/kryptauksen purkuavain SMD:lle 4 käytettäväksi muun virstanpylvääseen liittyvän tiedon kanssa. Virstanpylväs voi sisältää myös muuta luku- ja kirjoitustoimintojen optimointiin liittyvää informaatiota sen mukaan, mitä alan ammattilainen kussakin tapauksessa katsoo tarpeelliseksi.
Muissa toteutuksissa voidaan lukunopeutta lisätä merkittävästi käyttäen alan ammattilaisen tuntemia ennakoivia luenta-algoritmeja (read ahead). Tähän saakka on esitetty tiedon käsittelymenetelmiä. Tarkastellaan seuraavaksi muutamaa käytännön seikkaa.
Kun tietoa kirjoitetaan RMD:lle 5 ja SMD:lle 4, on oleellista, että ne pysyvät keskenään synkronissa. Käytännössä tämä merkitsee sitä, että data pitäisi luotettavasti kirjoittaa samaan aikaan sekä RMD:lle 5 että SMD:lle 4. Jos kaikki toimin- not tapahtuvat aina samassa paikassa, yhteysnopeus SMD:lle 4 ei muodostuisi ongelmaksi, sillä 100 Mbps ja 1 Gbps paikallisverkot ovat tuiki tavallisia. Mutta entä jos RMD:n 5 käyttöalue onkin globaali, eikä yhteysnopeutta SMD:lle 4 voida taata? Näissä tapauksissa on hyötyä paikallisen SMD:n 4 välimuistin (SMDC) rakentamisella niihin paikkoihin, joissa RMD:tä 5 käytetään. Tämä SMDC toimisi kuten edellä kuvattu SMD ja olisi mieluiten toteutettu vikasietoisena. Järjestelyyn kuuluisi myös keskitetty SMD -palvelin, joka saisi päivityksiä SMDCJtä sitä mukaa kun kaistanleveys sen sallisi. SMDC:n sijaan tai sen lisäksi keskitettyä palvelinta voitaisiin käyttää lukuisista eri paikoista. Itse asiassa SMDC toimisi keskitetyn SMD -palvelimen laahaavana kätkömuistina.
Data luetaan SMD:n 4 sijaan keskitetyltä palvelimelta, mikäli keskitetty palvelin sisältää ajanmukaisemman datan. Ajanmukaisimman informaation määrittämiseksi on tarpeen määritellä yksilöllinen istunnon tunniste, kun viimeisin kirjoitus-operaatio RMD:lle tapahtuu. Tätä voidaan kutsua istunnon tunnisteeksi joka tallennetaan RMD:lle 5 ja myös SMDCJIe. Kun kaikki data olisi päivitetty keskitetylle palvelimelle, päivitetään lopuksi sinne myös istunnon tunniste. Jos istunnon tunnisteet RMD: llä ja SMD: llä eivät täsmää, mitään luku- tai kirjoitusoperaatiota ei pidä suorittaa. Istunnon sijaan voidaan käyttää myös tiedostokohtaista tunnistetta, esimerkiksi hyödyntäen tiedoston viimeisen kirjoituskerran aikaleimaa.
Kun SMDC sijaitsee turvallisessa paikassa, voi se toimia lisäksi RMD:llä (5) olevan datan varmuuskopiointivälineenä. Myös varmuuskopiotietoja voidaan välittää keskitetylle SMD -palvelimelle.
Tietoturvaa ja seurantaa varten SMD:t ja SMDC:t keräävät palvelimelle seuran-tahistoriaa, joka sisältää käyntitietoja, kuten käyttäjäni men, RMD: n yksilöivän tunnisteen, istunnon tunnisteen, senhetkisen ajan, käyttäjän sijainnin, käytettyjen tiedostojen nimet ja tiedosto-operaatiot (luku, kirjoitus, poistaminen, lisääminen).
Tietoturvaa voidaan lisätä edelleen asettamalla tiedolle vanhenemisaika. On ilmeistä, että tietoa ei voi palauttaa, jos pääsy SMD:Ile 4 lakkaa. Pienenä, mutta käyttökelpoisena suojauskeinona RMD:n ajurissa voi olla lisäominaisuus, joka ylikirjoittaa RMD:Itä 5 poistetun datan päälle. Alan asiantuntija voi helposti laatia mekanismit ja menettelyt, jotka poistavat datan RMDJtä 5 esimerkiksi seuraa-vissa tapauksissa:
Kun SMD 4 lähettää poistokomennon. Se voisi esimerkiksi olla sellainen sie-menluku, jota ei ikinä muulloin käytetä. RMD:llä 5 on piilotiedosto tai jokin erityinen lohko, joka sisältää vanhenemisajan (GMT-aikaleima), mieluiten kryptattuna. Jos RMD:n ajuri lukee aikapalvelimelta ajan, joka on myöhempi kuin vanhenemisaika, RMD 5 tyhjennetään. Jos aika-palvelimeen ei saada yhteyttä, käytetään paikallista kelloa. RMD:Mä 5 on piilotiedosto tai jokin erityinen lohko, joka sisältää viimeisimmän SMD:n 4 päivityksen aikaleiman. Jos ajuri saa aikapalvelimelta ajan, joka on aiempi kuin viimeisin päivitysaika, RMD 5 tyhjennetään. Jos aikapalvelimeen ei saada yhteyttä, käytetään paikallista kelloa. RMD:n 5 piilotiedosto tai jokin erityinen lohko voi myös sisältää istunnon tunnisteen, joka itse asiassa voisi olla viimeisen päivityksen aikaleima.
Vanhenemisaika voidaan yleistää kattamaan pääsyajankohdat yleisemminkin. Ajatellaanpa vaikka tilannetta, jossa pörssitiedotteelle on määritelty "saadaan julkaista" -aika (vanhenemisajan sijaan), jolloin mikä tahansa yritys lukea sisältöä voitaisiin estää tai se voisi peräti johtaa RMD:n sisällön poistamiseen välittömästi.
Aikaperustaisen käyttöoikeusvalvonnan lisäksi voidaan laatia myös paikkape-rustaisia käyttöoikeuksien rajoituksia siten, että määritellään SMD:lle luettelo niistä paikoista, joista pääsy on turvallista (tai turvatonta), esimerkiksi IP -osoitteet, joissa RMD:n on sallittu (tai kielletty) kommunikoida. Jos RMD:n pyyntö puuttuvan datan saamiseksi saapuu luvattomasta sijainnista, ei pyyntöön vastata tai peräti poistetaan RMD:n sisältö.
Alan ammattilainen voi helposti toteuttaa nämä toiminnot.

Claims (10)

1. Menetelmä irrotettavalle muistilaitteelle (5) tallennettavan tiedon (1) suojaamiseen, tunnettu siitä, että se käsittää seuraavat vaiheet: kytketään irrotettava muistilaite (5) ensimmäiseen päätelaitteeseen, jaetaan asetettua jakotapaa käyttäen ensimmäisessä päätelaitteessa alkuperäinen tieto ensimmäiseen osaan (2) ja toiseen osaan (3), siirretään päätelaitteelta ensimmäinen osa ja tieto jakotavasta tiedonsiirtoverkon yli verkkoon liitettyyn tiedostojen tallennuspaikkaan (4), johon on pääsy ainakin kahdesta eri paikasta, ja siirretään päätelaitteelta toinen osa siihen kytkettyyn irrotettavaan muistilaitteeseen (5), poistetaan irrotettava muistilaite ensimmäisestä päätelaitteesta, kytketään irrotettava muistilaite toiseen päätelaitteeseen, jossa luetaan irrotettavalta muistilaitteelta (5) toinen osa (3), lähetetään tiedonsiirtoverkon yli verkkoon liitettyyn tiedostojen tallennuspaikkaan (4) pyyntö saada sinne tallennettu ensimmäinen osa (2) ja tieto jakotavasta, vastaanotetaan, kun tiedostojen tallennuspaikka (4) on tarkistanut käyttäjän oikeuden, tiedostojen tallennuspaikasta ensimmäinen osa ja tieto jakotavasta, yhdistetään jakotietoa hyväksi käyttäen ensimmäisen osa ja toinen osa toisiinsa ja näin palautetaan alkuperäisen tieto (1).
2. Vaatimuksen 1 mukainen menetelmä, tunnettu siitä, että mainittu irrotettava muistilaite on kannettava muistilaite.
3. Vaatimuksen 1 mukainen menetelmä, tunnettu siitä, että ensimmäisessä päätelaiteessa ja toisessa päätelaitteessa suoritettavat vaiheet toteuttaa päätelaitteeseen asennettu irrotettavan muistilaitteen ajuri.
4. Vaatimuksen 1 mukainen menetelmä, tunnettu siitä, että jakotapa perustuu näennäissatunnaislukualgoritmiin (7), joka tuottaa samasta syötteestä (6) aina saman näennäissatunnaisen bittijonon (8) ja että toinen osa muodostetaan poistamalla alkuperäisestä tiedosta bittejä, jotka vastaavat näennäissatunnaisen bittijonon valittuja bittejä ja ensimmäinen osa muodostuu jäljelle jääneistä biteistä.
5. Vaatimuksen 4 mukainen menetelmä, tunnettu siitä, että näennäissatun-naislukugeneraattorin syöte (6) tallennetaan jakotietona tiedostojen tallennuspaikkaan.
6. Vaatimuksen 1 mukainen menetelmä, tunnettu siitä, että tieto kryptataan ennen jakamista.
7. Vaatimuksen 6 mukainen menetelmä, tunnettu siitä, että tieto, jolla kryptattu tieto saadaan purettua, tallennetaan tietoverkkoon liitetylle tiedostojen tallennuspaikkaan.
8. Vaatimuksen 2 toteuttava ajuri, tunnettu siitä, että ajuri voi poistaa tiedon irrotettavalta muistilaitteelta.
9. Vaatimuksen 8 mukainen ajuri, tunnettu siitä, että irrotettavalla muistilaitteella on vanhenemisaika, ja ajuri poistaa tiedon kun vanhenemisaika on kulunut umpeen.
10. Vaatimuksen 8 mukainen ajuri, tunnettu siitä, että ajuri voi poistaa tiedon, kun tietoverkkoon liitetyltä tiedostojen tallennuspaikalta saatu vastaus sisältää kehotuksen poistamisesta.
FI20070414A 2007-05-25 2007-05-25 Menetelmä kannettavan muistilaitteen sisällön suojaamiseksi FI125231B (fi)

Priority Applications (5)

Application Number Priority Date Filing Date Title
FI20070414A FI125231B (fi) 2007-05-25 2007-05-25 Menetelmä kannettavan muistilaitteen sisällön suojaamiseksi
US12/125,338 US8233624B2 (en) 2007-05-25 2008-05-22 Method and apparatus for securing data in a memory device
EP08761697.5A EP2165284B1 (en) 2007-05-25 2008-05-23 Method and apparatus for securing data in memory device
PCT/FI2008/050301 WO2008145815A1 (en) 2007-05-25 2008-05-23 Method and apparatus for securing data in memory device
US13/535,837 US8571220B2 (en) 2007-05-25 2012-06-28 Method and apparatus for securing data in a memory device

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FI20070414 2007-05-25
FI20070414A FI125231B (fi) 2007-05-25 2007-05-25 Menetelmä kannettavan muistilaitteen sisällön suojaamiseksi

Publications (3)

Publication Number Publication Date
FI20070414A0 FI20070414A0 (fi) 2007-05-25
FI20070414A FI20070414A (fi) 2008-11-26
FI125231B true FI125231B (fi) 2015-07-31

Family

ID=38069454

Family Applications (1)

Application Number Title Priority Date Filing Date
FI20070414A FI125231B (fi) 2007-05-25 2007-05-25 Menetelmä kannettavan muistilaitteen sisällön suojaamiseksi

Country Status (1)

Country Link
FI (1) FI125231B (fi)

Also Published As

Publication number Publication date
FI20070414A (fi) 2008-11-26
FI20070414A0 (fi) 2007-05-25

Similar Documents

Publication Publication Date Title
US7694134B2 (en) System and method for encrypting data without regard to application
US10380071B2 (en) Systems and methods for transformation of logical data objects for storage
US7818586B2 (en) System and method for data encryption keys and indicators
US9479616B2 (en) Systems and methods for transformation of logical data objects for storage
US7185205B2 (en) Crypto-pointers for secure data storage
US5940507A (en) Secure file archive through encryption key management
EP2165284B1 (en) Method and apparatus for securing data in memory device
US7836313B2 (en) Method and apparatus for constructing a storage system from which digital objects can be securely deleted from durable media
JP4167476B2 (ja) データ保護・保管方法/サーバ
US9749132B1 (en) System and method for secure deletion of data
WO2007120772A2 (en) Method, system, and computer-readable medium to maintain and/or purge files of a document management system
Virvilis et al. A cloud provider-agnostic secure storage protocol
FI125231B (fi) Menetelmä kannettavan muistilaitteen sisällön suojaamiseksi
Zhao Implementing a segmentation-based oblivious RAM
Kumar et al. Efficient methodology for implementation of Encrypted File System in User Space
JPH1145202A (ja) ファイル消去防止装置
JPS62119572A (ja) 暗号方式

Legal Events

Date Code Title Description
FG Patent granted

Ref document number: 125231

Country of ref document: FI

Kind code of ref document: B

MM Patent lapsed