RU2623887C2 - Full-disk encryption module update installation method - Google Patents
Full-disk encryption module update installation method Download PDFInfo
- Publication number
- RU2623887C2 RU2623887C2 RU2015141549A RU2015141549A RU2623887C2 RU 2623887 C2 RU2623887 C2 RU 2623887C2 RU 2015141549 A RU2015141549 A RU 2015141549A RU 2015141549 A RU2015141549 A RU 2015141549A RU 2623887 C2 RU2623887 C2 RU 2623887C2
- Authority
- RU
- Russia
- Prior art keywords
- disk
- full
- encryption module
- boot
- disk encryption
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
- G06F8/65—Updates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/70—Software maintenance or management
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Stored Programmes (AREA)
Abstract
Description
Область техникиTechnical field
Изобретение относится к решениям для обеспечения безопасности, конфиденциальности и сохранности информации на компьютерах, а более конкретно к способам установки обновления модуля полнодискового шифрования.The invention relates to solutions for ensuring the security, confidentiality and safety of information on computers, and more particularly to methods for installing updates to the full disk encryption module.
Уровень техникиState of the art
В настоящее время одним из популярных подходов для защиты конфиденциальной информации является шифрование этой информации. Шифрование данных - это в общем случае обратимое преобразование информации в целях ее сокрытия от неавторизованных лиц, с предоставлением, в это же время, авторизованным пользователям доступа к ней. При этом могут использоваться различные методы шифрования.Currently, one of the most popular approaches for protecting confidential information is to encrypt this information. Data encryption is generally a reversible transformation of information in order to conceal it from unauthorized persons, while at the same time providing authorized users with access to it. In this case, various encryption methods can be used.
Файловое шифрование - это шифрование, применяемое только к конкретным файлам на диске компьютера. Его легче и быстрее применить, но оно имеет свои недостатки. Так, файлы в зашифрованном виде могут быть скопированы и расшифрованы в дальнейшем методом подбора ключа шифрования, программы, которые используют зашифрованные файлы, могут сохранять расшифрованные файлы в кэше, а также исходный файл после шифрования удаляется с диска, но может быть восстановлен средствами восстановления удаленных файлов (программы семейства «undelete»).File encryption is encryption that applies only to specific files on a computer’s disk. It is easier and faster to apply, but it has its drawbacks. So, files in encrypted form can be copied and decrypted in the future by selecting an encryption key, programs that use encrypted files can save the decrypted files in the cache, and the original file after encryption is deleted from the disk, but can be restored by recovering deleted files (programs of the "undelete" family).
Полнодисковое шифрование (англ. Full Disk Encryption, FDE) - шифрование диска целиком вместе с его логической структурой (логическими разделами, основной учетной записью). Стоит отметить, что в случае полнодискового шифрования данные, которые копируются с зашифрованного диска на другой носитель информации, преобразуются в расшифрованный (начальный) вид. Однако хранение всех данных на зашифрованном диске - более безопасный подход к обеспечению конфиденциальности данных пользователя в случаях утраты устройства пользователем.Full disk encryption (Eng. Full Disk Encryption, FDE) - encryption of the entire disk together with its logical structure (logical partitions, main account). It is worth noting that in the case of full-disk encryption, data that is copied from an encrypted disk to another storage medium is converted to the decrypted (initial) form. However, storing all data on an encrypted drive is a safer approach to ensuring the confidentiality of user data in the event of a user losing the device.
Существует множество средств полнодискового шифрования. Наиболее известные специализированные программные продукты: BitLocker, TrueCrypt, PGPDisk и другие. Также в последнее время средство, выполняющее полнодисковое шифрование, стало частью популярных антивирусных корпоративных продуктов, например Kaspersky Endpoint Security DPE.There are many full disk encryption tools available. The most famous specialized software products: BitLocker, TrueCrypt, PGPDisk and others. Also, recently, a full-disk encryption tool has become part of popular anti-virus corporate products, such as Kaspersky Endpoint Security DPE.
При выполнении полнодискового шифрования загрузочных дисков на диск устанавливается средство предзагрузочной аутентификации (англ. pre-boot authentication). Это средство требует от пользователя ввода пароля, после корректного ввода которого происходит загрузка операционной системы (ОС). Антивирусные программные продукты имеют свои средства предзагрузочной аутентификации. При применении полнодискового шифрования к загрузочному диску антивирусное программное обеспечение меняет последовательность процесса загрузки, внедряя средство предзагрузочной аутентификации в обычный процесс загрузки компьютера. Это средство работает на этапе предзагрузочного выполнения и использует интерфейсы базовой системы ввода-вывода (англ. BIOS) или унифицированный расширяемый интерфейс микрокода (англ. UEFI) для работы с аппаратным обеспечением компьютера. Этап предзагрузочного выполнения - это этап, на котором завершена инициализация микрокода компьютера, но еще не началась загрузка операционной системы.When performing full-disk encryption of boot disks, a pre-boot authentication tool is installed on the disk. This tool requires the user to enter a password, after the correct entry of which the operating system (OS) is loaded. Antivirus software products have their own pre-boot authentication tools. When applying full-disk encryption to the boot disk, the anti-virus software changes the sequence of the boot process by introducing the pre-boot authentication tool into the normal boot process of the computer. This tool works at the preboot stage and uses the interfaces of the basic input / output system (BIOS) or the unified extensible microcode interface (English UEFI) to work with the computer hardware. The pre-boot execution phase is the stage at which the initialization of the microcode of the computer is completed, but the loading of the operating system has not yet begun.
На этапе предзагрузочного выполнения взаимодействие с аппаратным обеспечением компьютера возможно через интерфейсы микрокода. Микрокод имеет свои ошибки, ограничения и проблемы, касающиеся аппаратной совместимости устройств. Поэтому компоненты антивирусного программного обеспечения, работающие на данном этапе, также могут иметь различные проблемы совместимости. В случае возникновения таких проблем компьютер может не запуститься, так как средство предзагрузочной аутентификации используется для запуска ОС с зашифрованного диска, но не совместимо с аппаратным обеспечением компьютера.At the preboot stage, interaction with computer hardware is possible through microcode interfaces. The microcode has its own errors, limitations and problems regarding the hardware compatibility of devices. Therefore, the anti-virus software components that work at this stage may also have various compatibility issues. In the event of such problems, the computer may not start, since the pre-boot authentication tool is used to start the OS from an encrypted disk, but is not compatible with the computer hardware.
Кроме того, регулярно возникает необходимость обновления антивирусного приложения, а также его компонентов, выполняющих функции полнодискового шифрования. Основной проблемой при обновлении является то, что обновленная версия средства предзагрузочной аутентификации, которая доступна в обновлении, не всегда совместима с текущей (более старой) версией средства предзагрузочной аутентификации, которая уже установлена на диск. Во избежание проблем совместимости при обновлении выполняют полную расшифровку данных с диска, обновление средства предзагрузочной аутентификации и затем полное повторное шифрование данных пользователя. Такой способ обновления занимает достаточно долгое время, при этом ограничивая работу пользователя на устройстве. Кроме того, данные пользователя оказываются расшифрованными, что в некоторых случаях может иметь негативные последствия для их конфиденциальности.In addition, regularly there is a need to update the anti-virus application, as well as its components that perform the functions of full-disk encryption. The main problem with updating is that the updated version of the preboot authentication tool that is available in the update is not always compatible with the current (older) version of the preboot authentication tool that is already installed on the disk. In order to avoid compatibility problems during the upgrade, a complete decryption of the data from the disk is performed, the pre-boot authentication tool is updated, and then the entire data is encrypted again. This update method takes quite a long time, while limiting the user’s work on the device. In addition, the user's data is decrypted, which in some cases can have negative consequences for their privacy.
В настоящее время существуют публикации, которые предлагают решения для тестирования совместимости загрузочного диска с модулем шифрования, а также решения, описывающие процесс обновления различных программных продуктов (например, операционных систем).Currently, there are publications that offer solutions for testing the compatibility of a boot disk with an encryption module, as well as solutions that describe the process of updating various software products (for example, operating systems).
Так, публикация US9003176 описывает способ тестирования совместимости загрузочного диска со средством шифрования, в котором модуль предзагрузочной проверки совместимости проводит тесты совместимости загрузочного диска с модулем шифрования. После выполнения тестов анализируются результаты тестирования, происходит сравнение результатов тестирования с политиками шифрования, выносится решение о возможности применения полнодискового шифрования к диску, после чего выполняется полнодисковое шифрование загрузочного диска с помощью модуля шифрования. Способ помогает уменьшить риски потери данных при шифровании.So, publication US9003176 describes a method for testing the compatibility of a boot disk with an encryption tool, in which the pre-boot compatibility check module performs compatibility tests of the boot disk with an encryption module. After the tests are completed, the test results are analyzed, the test results are compared with the encryption policies, a decision is made on the possibility of applying full disk encryption to the disk, and then the full disk encryption of the boot disk is performed using the encryption module. The method helps to reduce the risk of data loss during encryption.
Публикация US7584467 описывает один из способов установки обновлений для операционных систем. В одном из вариантов реализации в процессе обновления могут обновляться файлы, затрагиваемые обновлением, без перезагрузки операционной системы. В другом варианте реализации операции над файлами могут быть добавлены в расписание запуска операционной системы. В еще одном варианте реализации установщик определяет, в каких случаях требуется перезагрузка операционной системы для продолжения установки обновления.Publication US7584467 describes one way to install updates for operating systems. In one embodiment, during the upgrade process, files affected by the upgrade can be updated without rebooting the operating system. In another embodiment, file operations may be added to the startup schedule of the operating system. In yet another embodiment, the installer determines in which cases a reboot of the operating system is required to continue the installation of the update.
Однако в настоящее время не известны решения, которые позволяют обновлять модуль полнодискового шифрования на загрузочном диске без расшифровки и повторного шифрования данных. Настоящее изобретение решает упомянутую задачу с использованием способа установки обновления модуля полнодискового шифрования.However, currently no solutions are known that allow updating the full disk encryption module on a boot disk without decrypting and re-encrypting the data. The present invention solves the aforementioned problem using a method for installing an update of a full disk encryption module.
Сущность изобретенияSUMMARY OF THE INVENTION
Технический результат настоящего изобретения заключается в обеспечении совместимости загрузочного диска с новой версией модуля полнодискового шифрования.The technical result of the present invention is to ensure compatibility of the boot disk with the new version of the full disk encryption module.
Еще один технический результат настоящего изобретения заключается в обеспечении сохранности данных, которая достигается проверкой совместимости загрузочного диска с новой версией модуля полнодискового шифрования.Another technical result of the present invention is to ensure data integrity, which is achieved by checking the compatibility of the boot disk with the new version of the full disk encryption module.
Согласно одному из вариантов реализации, предоставляется способ установки обновления модуля полнодискового шифрования (full disk encryption), в котором: получают с помощью средства обновления по меньшей мере одно обновление, содержащее новую версию модуля полнодискового шифрования; перед началом установки обновления блокируют с помощью средства обновления выполнение операций, выполняемых модулем полнодискового шифрования, который предназначен для выполнения операций шифрования и расшифровки данных на дисках; заменяют с помощью средства обновления модуль полнодискового шифрования на новую версию модуля, полученную из обновления; изменяют процесс загрузки компьютера с помощью средства обновления для обеспечения запуска новой версии средства предзагрузочной проверки совместимости загрузочного диска с новой версией модуля полнодискового шифрования после инициализации базовой системы ввода-вывода (BIOS) и до запуска операционной системы; с помощью средства обновления преобразовывают данные аутентификации пользователей, которые используются для последующей расшифровки данных на диске и загрузки операционной системы; выполняют предзагрузочную проверку совместимости загрузочного диска с новой версией модуля полнодискового шифрования с помощью новой версии средства предзагрузочной проверки совместимости; выполняют загрузку операционной системы, используя преобразованные данные аутентификации пользователей; с помощью средства обновления завершают установку обновления модуля полнодискового шифрования, отменяя блокировку всех операций, выполняемых модулем полнодискового шифрования.According to one embodiment, a method for installing an update of a full disk encryption module is provided in which: at least one update containing a new version of the full disk encryption module is obtained using the update tool; before starting the installation of the update, using the update tool, the operations performed by the full-disk encryption module, which is designed to perform encryption and decryption of data on disks, are blocked; using the update tool, replace the full-disk encryption module with a new version of the module obtained from the update; Modify the boot process of the computer using the update tool to ensure that a new version of the pre-boot boot disk compatibility checker is launched with the new version of the full disk encryption module after initialization of the basic input-output system (BIOS) and before the operating system starts; using the update tool, they convert user authentication data, which is used for subsequent decryption of data on the disk and loading of the operating system; perform pre-boot compatibility check of the boot disk with the new version of the full-disk encryption module using the new version of the pre-boot compatibility checker; loading the operating system using the converted user authentication data; using the update tool, complete the update installation of the full disk encryption module, canceling the blocking of all operations performed by the full disk encryption module.
Согласно одному из частных вариантов реализации предоставляется способ, в котором обновление модуля полнодискового шифрования может быть получено в виде одного или нескольких файлов: на переносном накопителе; с сервера локальной сети; из сети Интернет.According to one particular embodiment, a method is provided in which a full-disk encryption module update can be obtained in the form of one or more files: on a portable drive; from the LAN server; from the Internet.
Согласно другому частному варианту реализации предоставляется способ, в котором операции модуля полнодискового шифрования применяются к загрузочному диску.According to another particular embodiment, a method is provided in which the operations of a full disk encryption module are applied to a boot disk.
Согласно еще одному частному варианту реализации предоставляется способ, в котором загрузочный диск считается совместимым с новой версией модуля полнодискового шифрования при выполнении всех условий: положительный результат выполнения тестов аппаратной совместимости диска с аппаратным обеспечением компьютера; положительный результат преобразования данных авторизации пользователей, совместимых с текущей версией средства предзагрузочной проверки совместимости, в данные авторизации, совместимые с новой версией средства предзагрузочной проверки совместимости; соответствие диска политикам шифрования; соответствие диска политикам безопасности.According to another particular embodiment, a method is provided in which a boot disk is considered compatible with the new version of the full disk encryption module when all conditions are met: a positive result of performing hardware compatibility tests of the disk with the computer hardware; a positive result of converting user authorization data compatible with the current version of the preboot compatibility checker into authorization data compatible with the new version of the preboot compatibility checker; disk compliance with encryption policies; Drive compliance with security policies.
Согласно еще одному частному варианту реализации предоставляется способ, в котором во время изменения процесса загрузки компьютера не удаляют текущую версию средства предзагрузочной проверки совместимости.According to another particular embodiment, a method is provided in which, during a change in the boot process of a computer, the current version of the pre-boot compatibility checker is not deleted.
Краткое описание чертежейBrief Description of the Drawings
Дополнительные цели, признаки и преимущества настоящего изобретения будут очевидными из прочтения последующего описания осуществления изобретения со ссылкой на прилагаемые чертежи, на которых:Additional objectives, features and advantages of the present invention will be apparent from reading the following description of an embodiment of the invention with reference to the accompanying drawings, in which:
Фиг. 1 отображает пример установки обновления модуля шифрования.FIG. 1 shows an example of installing an encryption module update.
Фиг. 2А изображает способ установки обновления модуля полнодискового шифрования.FIG. 2A depicts a method for installing a full disk encryption module update.
Фиг. 2Б представляет способ отмены обновления в случае невозможности размещения новой версии средства предзагрузочной проверки совместимости.FIG. 2B provides a method for canceling an update if it is not possible to post a new version of the preboot compatibility checker.
Фиг. 2В представляет способ отмены обновления в случае невозможности запуска операционной системы после обновления модуля полнодискового шифрования.FIG. 2B represents a method for canceling an update if it is not possible to start the operating system after updating the full disk encryption module.
Фиг. 3 представляет пример компьютерной системы общего назначения, на которой может быть реализовано настоящее изобретение.FIG. 3 is an example of a general purpose computer system on which the present invention may be implemented.
Описание вариантов осуществления изобретенияDescription of Embodiments
Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, обеспеченными для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется только в объеме приложенной формулы.The objects and features of the present invention, methods for achieving these objects and features will become apparent by reference to exemplary embodiments. However, the present invention is not limited to the exemplary embodiments disclosed below, it can be embodied in various forms. The essence described in the description is nothing more than the specific details provided to assist the specialist in the field of technology in a comprehensive understanding of the invention, and the present invention is defined only in the scope of the attached claims.
Фиг. 1 отображает пример установки обновления модуля шифрования.FIG. 1 shows an example of installing an encryption module update.
В рамках настоящего изобретения модуль полнодискового шифрования 110 состоит из средства шифрования 140, средства обновления модуля полнодискового шифрования 160 и средства предзагрузочной проверки совместимости 150, принцип работы которого подробно описан в патенте US 9003176.In the framework of the present invention, the full-
В общем случае средство предзагрузочной проверки совместимости 150 включает в себя функционал средства аутентификации, при этом в «тестовом» режиме средство выполняет проверку совместимости и аутентификацию, а в «обычном» режиме - только аутентификацию. При применении полнодискового шифрования с помощью средства шифрования 140 изменяют процесс загрузки компьютера для обеспечения запуска предзагрузочной проверки совместимости 150, которое проверяет совместимость загрузочного диска 130 с модулем полнодискового шифрования 110.In the general case, the
В общем случае обновление модуля полнодискового шифрования содержит обновленные версии компонентов модуля полнодискового шифрования. Обновление может быть получено в виде одного файла или нескольких файлов средством обновления модуля шифрования.In general, updating the full-disk encryption module contains updated versions of the components of the full-disk encryption module. The update can be obtained as a single file or several files by means of updating the encryption module.
В случае когда необходимо установить обновление модуля полнодискового шифрования 110, выполняется расшифровка всех данных загрузочного диска 130 с помощью средства шифрования 140, обновление компонентов (файлов, веток реестра операционной системы, настроек) средства шифрования 140, изменение процесса загрузки компьютера для обеспечения запуска новой версии средства предзагрузочной проверки совместимости 150 загрузочного диска с модулем полнодискового шифрования 110 и выполнение полнодискового шифрования загрузочного диска 130 с помощью средства шифрования 140.In the case when it is necessary to install the update of the full-
На Фиг. 2А изображен способ установки обновления модуля полнодискового шифрования. На начальном этапе 210 с помощью средства обновления модуля полнодискового шифрования 160 получают обновление модуля полнодискового шифрования. Обновление модуля полнодискового шифрования 110 может быть получено в виде одного или нескольких файлов:In FIG. 2A depicts a method for installing a full disk encryption module update. At an
- на переносном накопителе;- on a portable drive;
- с сервера локальной сети;- from a LAN server;
- из сети Интернет.- from the Internet.
Далее, на этапе 220, начинают установку обновления модуля полнодискового шифрования 110, при этом проверяют отсутствие операций, выполняемых модулем полнодискового шифрования 110 на загрузочном диске. Операциями, выполняемыми модулем полнодискового шифрования, могут являться:Next, at
- выполнение шифрования средством шифрования;- performing encryption with an encryption tool;
- выполнение расшифровки средством шифрования.- performing decryption by means of encryption.
Далее, на этапе 230, блокируют выполнение всех операций модуля полнодискового шифрования 110 на загрузочном диске 130.Next, at
Далее, на этапе 240, заменяют компоненты средства полнодискового шифрования на новые, полученные из обновления. Компонентами модуля полнодискового шифрования 110 могут являться:Next, at
- исполняемый файл;- executable file;
- динамическая библиотека;- dynamic library;
- драйвер;- driver;
- файл, содержащий ресурсы, используемые модулем полнодискового шифрования.- a file containing the resources used by the full disk encryption module.
В одном из вариантов реализации могут быть заменены драйвера на обновленные и выполнен их запуск. В другом варианте реализации в расписание загрузки операционной системы добавляется замена файлов модуля полнодискового шифрования 110.In one embodiment, drivers can be replaced with updated ones and their launch is performed. In another embodiment, replacing the files of the full
Далее, на этапе 250, изменяют процесс загрузки компьютера для обеспечения запуска новой версии средства предзагрузочной проверки совместимости 150 загрузочного диска 130 с новой версией модуля полнодискового шифрования 110.Next, at
Для этого:For this:
а) на этапе 251 выделяют непрерывный участок памяти на загрузочном диске 130;a) at
б) на этапе 252 копируют в непрерывный участок памяти на загрузочном диске 130 новую версию средства предзагрузочной проверки совместимости 150 и создают в нем структуру, которая хранит настройки средства предзагрузочной проверки совместимости 150, для новой версии средства предзагрузочной проверки совместимости 150;b) at step 252, a new version of the
в) на этапе 253 копируют, преобразовывая в случае необходимости, настройки (данные аутентификации пользователей, которые используются для последующей расшифровки данных на диске и загрузки операционной системы; флаги, используемые средством предзагрузочной проверки совместимости 150, клавиатурные раскладки; локализованные ресурсы помощи пользователю и т.п.) из структуры для текущей (старой) версии средства предзагрузочной проверки совместимости 150 в структуру для новой версии средства предзагрузочной проверки совместимости 150;c) at
г) на этапе 254 устанавливают в структуре для новой версии средства предзагрузочной проверки совместимости 150 флаг, что следующая перезагрузка должна быть «тестовой»;d) at
д) на этапе 255 сохраняют в структуре для новой версии средства предзагрузочной проверки совместимости 150 основную загрузочную запись (англ. master boot record, MBR) от текущей версии средства предзагрузочной проверки совместимости 150;d) at
е) на этапе 256 создают основную загрузочную запись для новой версии средства предзагрузочной проверки совместимости 150 и копируют ее в нулевой сектор диска.e) in
После выполнения всех действий можно считать, что новая версия средства предзагрузочной проверки совместимости 150 установлена на диск и, если произойдет перезагрузка, то она будет запущена.After completing all the steps, we can assume that the new version of the
В одном из вариантов реализации текущая версия средства предзагрузочной проверки совместимости 150 не удаляется для обеспечения возможности отмены обновления в случае выявления несовместимости загрузочного диска 130 с новой версией модуля полнодискового шифрования 110.In one embodiment, the current version of the
В одном из вариантов реализации для запуска новой версии средства предзагрузочной проверки совместимости 150 выполняют перезагрузку.In one embodiment, the
После запуска новая версия средства предзагрузочной проверки совместимости 150 определяет по установленному флагу, что режим «тестовый».After launch, a new version of the
Далее, на этапе 265, запускают с использованием новой версии средства предзагрузочной проверки совместимости 150 проверку совместимости диска с новой версией модуля полнодискового шифрования 110 без расшифровывания и повторного зашифровывания данных.Next, at
Далее, на этапе 270, после выполнения проверки выносят решение о совместимости диска с новой версией модуля полнодискового шифрования.Next, at
В общем случае загрузочный диск 130 считается совместимым с новой версией модуля полнодискового шифрования 110 при выполнении всех условий:In general, a
- положительный результат аппаратной совместимости диска с аппаратным обеспечением компьютера;- a positive result of the hardware compatibility of the drive with the computer hardware;
- положительный результат преобразования данных аутентификации пользователей, совместимых с текущей версией средства предзагрузочной проверки совместимости, в данные аутентификации, совместимые с новой версией средства предзагрузочной проверки совместимости;- a positive result of converting user authentication data compatible with the current version of the preboot compatibility checker to authentication data compatible with the new version of the preboot compatibility checker;
- соответствие диска политикам шифрования;- Compliance disk encryption policies;
- соответствие диска политикам безопасности.- Compliance disk security policies.
В одном из вариантов реализации может быть проверено состояние диска (например, показания S.M.A.R.T. или время наработки для твердотельного накопителя) и совместимость загрузочного диска 130 с аппаратным обеспечением компьютера (например, после применения полнодискового шифрования мог быть обновлен BIOS компьютера, что требует повторной проверки совместимости при обновлении модуля полнодискового шифрования 110). Стоит отметить, что в частном случае данные на диске могли быть зашифрованы ранее (например, несколько месяцев назад), а политики шифрования были изменены после этого. Поэтому в другом варианте реализации может проверяться соответствие диска политикам шифрования, которые установлены для обновляемого модуля полнодискового шифрования (например, не шифровать диски размером более 500 Гб, не шифровать диски, свободное место на которых менее 1 Гб, не шифровать диски, входящие в состав рейд-массива и т.п.). Также после шифрования данных на диске могли быть изменены политики безопасности, поэтому может проверяться соответствие диска политикам безопасности (например, не шифровать диски компьютеров какого-либо сегмента сети).In one embodiment, the drive status can be checked (for example, SMART readings or running hours for a solid-state drive) and the compatibility of the
Далее, на этапе 280, выполняют аутентификацию пользователя и загрузку операционной системы. В общем случае, если после аутентификации пользователя операционная система загрузилась, то считается, что новая версия средства предзагрузочной проверки совместимости установлена успешно.Next, at 280, user authentication and booting of the operating system are performed. In general, if after the user authentication the operating system has booted, it is believed that the new version of the pre-boot compatibility checker has been installed successfully.
Далее, на этапе 290, отменяют блокировку всех операций модуля полнодискового шифрования на загрузочном диске 130. После загрузки операционной системы средство шифрования выполняет удаление старой версии средства предзагрузочной проверки совместимости 150. Также средство шифрования 140 удаляет флаг «тестового» режима. После этого установка обновления модуля полнодискового шифрования 110 считается успешно завершенной.Next, at
На Фиг. 2Б представлен способ отмены обновления в случае невозможности размещения новой версии средства предзагрузочной проверки совместимости.In FIG. Figure 2B shows a method for canceling an update if it is not possible to post a new version of the preboot compatibility checker.
Если на этапе 250 процесс загрузки компьютера для обеспечения запуска новой версии средства предзагрузочной проверки совместимости 150 загрузочного диска с новой версией модуля полно дискового шифрования 110 не был изменен (произошла ошибка на одном из этапов 251-256), то на этапе 260 необходимо отменить (англ. rollback) обновление, чтобы вернуть работоспособность модуля полнодискового шифрования. На этапе 261 возвращают старые версии файлов компонентов модуля шифрования 110. В одном из вариантов реализации могут быть заменены драйвера, входящие в состав модуля шифрования 110, на старую версию, и выполнен их запуск. В другом варианте реализации в расписание загрузки операционной системы добавляется замена уже обновленных файлов модуля полнодискового шифрования их старыми версиями. Далее, на этапе 262, запускают старую версию средства предзагрузочной проверки совместимости 150 (например, в результате перезагрузки компьютера). Далее на этапе 263 запускают средство шифрования 140. Средство шифрования 140 обнаруживает (например, по версиям файлов компонентов модуля полнодискового шифрования), что случилась отмена обновления, и на этапе 290 снимает блокировку операций модуля полнодискового шифрования 110 и работает в нормальном режиме.If at
На Фиг. 2В представлен способ отмены обновления в случае невозможности запуска операционной системы после обновления модуля полнодискового шифрования.In FIG. 2B shows a method for canceling an update if it is not possible to start the operating system after updating the full disk encryption module.
Если на этапе 281 запуск операционной системы не удался, то обновление модуля полнодискового шифрования считается несовместимым.If, at
В случае неудачного запуска операционной системы средство предзагрузочной проверки совместимости 150 на этапе 282 добавляет в расписание загрузки операционной системы замену файлов компонентов модуля полнодискового шифрования 110 на старые (предыдущие), которые соответствуют модулю полнодискового шифрования до обновления. Далее, на этапе 283 новая версия средства предзагрузочной проверки совместимости 150 изменяет процесс загрузки компьютера для обеспечения запуска старой версии средства предзагрузочной проверки совместимости 150 загрузочного диска 130, соответствующей старой версии модуля полнодискового шифрования 110. Для этого оно копирует главную загрузочную запись от старой версии средства предзагрузочной проверки совместимости 150 в нулевой сектор диска. Далее, на этапе 284, происходит запуск старой версии средства предзагрузочной проверки совместимости 150 (например, в результате перезагрузки). Далее на этапе 281 происходит запуск операционной системы. На этапе 290 средство шифрования обнаруживает, что случилась отмена обновления, снимает блокировку операций модуля полнодискового шифрования и работает в нормальном режиме. С диска удаляется новая версия средства предзагрузочной проверки совместимости 150 и структура с его данными. Если запуск системы невозможен, на этапе 295 происходит восстановление системы с использованием утилит, предназначенных для восстановления процесса загрузки операционной системы, или с участием специалиста по информационной безопасности.If the operating system fails to start, the
Фиг. 3 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая, в свою очередь, память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26, содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.FIG. 3 represents an example of a general purpose computer system, a personal computer or server 20 comprising a
Персональный компьютер 20, в свою очередь, содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.The personal computer 20, in turn, contains a
Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш-карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.The present description discloses an implementation of a system that uses a
Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканнер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который, в свою очередь, подсоединен к системной шине, но могут быть подключены иным способом, например при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например колонками, принтером и т.п.Computer 20 has a
Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг. 3. В вычислительной сети могут присутствовать также и другие устройства, например маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.The personal computer 20 is capable of operating in a networked environment, using a network connection with another or more
Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.Network connections can form a local area network (LAN) 50 and a wide area network (WAN). Such networks are used in corporate computer networks, internal networks of companies and, as a rule, have access to the Internet. In LAN or WAN networks, the personal computer 20 is connected to the local area network 50 via a network adapter or
В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой. Специалисту в данной области становится понятным, что могут существовать и другие варианты осуществления настоящего изобретения, согласующиеся с сущностью и объемом настоящего изобретения.In conclusion, it should be noted that the information provided in the description are examples that do not limit the scope of the present invention defined by the claims. One skilled in the art will recognize that there may be other embodiments of the present invention consistent with the spirit and scope of the present invention.
Claims (20)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2015141549A RU2623887C2 (en) | 2015-09-30 | 2015-09-30 | Full-disk encryption module update installation method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2015141549A RU2623887C2 (en) | 2015-09-30 | 2015-09-30 | Full-disk encryption module update installation method |
Publications (2)
Publication Number | Publication Date |
---|---|
RU2015141549A RU2015141549A (en) | 2017-04-05 |
RU2623887C2 true RU2623887C2 (en) | 2017-06-29 |
Family
ID=58505304
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
RU2015141549A RU2623887C2 (en) | 2015-09-30 | 2015-09-30 | Full-disk encryption module update installation method |
Country Status (1)
Country | Link |
---|---|
RU (1) | RU2623887C2 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11734443B2 (en) * | 2017-01-19 | 2023-08-22 | Creator's Head Inc. | Information control program, information control system, and information control method |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2008070857A1 (en) * | 2006-12-07 | 2008-06-12 | Mobile Armor, Llc | Real-time checking of online digital certificates |
US20090319806A1 (en) * | 2008-06-23 | 2009-12-24 | Ned Smith | Extensible pre-boot authentication |
WO2010085211A1 (en) * | 2009-01-23 | 2010-07-29 | Agency For Science, Technology And Research | Method of accessing a data storage device |
US20120311288A1 (en) * | 2011-06-03 | 2012-12-06 | Callas Jonathan D | Secure storage of full disk encryption keys |
RU2549126C2 (en) * | 2010-09-13 | 2015-04-20 | Файберхоум Теликемьюникейшн Текнолоджис Ко., Лтд | Method and system for installing and updating software of application terminal in home network |
-
2015
- 2015-09-30 RU RU2015141549A patent/RU2623887C2/en active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2008070857A1 (en) * | 2006-12-07 | 2008-06-12 | Mobile Armor, Llc | Real-time checking of online digital certificates |
US20090319806A1 (en) * | 2008-06-23 | 2009-12-24 | Ned Smith | Extensible pre-boot authentication |
WO2010085211A1 (en) * | 2009-01-23 | 2010-07-29 | Agency For Science, Technology And Research | Method of accessing a data storage device |
RU2549126C2 (en) * | 2010-09-13 | 2015-04-20 | Файберхоум Теликемьюникейшн Текнолоджис Ко., Лтд | Method and system for installing and updating software of application terminal in home network |
US20120311288A1 (en) * | 2011-06-03 | 2012-12-06 | Callas Jonathan D | Secure storage of full disk encryption keys |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11734443B2 (en) * | 2017-01-19 | 2023-08-22 | Creator's Head Inc. | Information control program, information control system, and information control method |
Also Published As
Publication number | Publication date |
---|---|
RU2015141549A (en) | 2017-04-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9690944B2 (en) | System and method updating disk encryption software and performing pre-boot compatibility verification | |
US8566603B2 (en) | Managing security operating modes | |
JP4433401B2 (en) | Information processing system, program, and information processing method | |
US8775369B2 (en) | Computer system architecture and method having isolated file system management for secure and reliable data processing | |
KR101487865B1 (en) | Computer storage device having separate read-only space and read-write space, removable media component, system management interface, and network interface | |
US10169589B2 (en) | Securely booting a computer from a user trusted device | |
US20060161784A1 (en) | Systems and methods for updating a secure boot process on a computer with a hardware security module | |
JP2006323814A (en) | System and method for safely booting computer having reliable processing module | |
JP5689429B2 (en) | Authentication apparatus and authentication method | |
CN114651232A (en) | Data management | |
US20180024840A1 (en) | Booting computer from user trusted device with an operating system loader stored thereon | |
US11436333B2 (en) | Bios/bootloader protection | |
US9384353B2 (en) | System and method for encryption of disk based on pre-boot compatibility testing | |
US9940461B2 (en) | Enabling an external operating system to access encrypted data units of a data storage system | |
US10261920B2 (en) | Static image RAM drive | |
WO2015116204A1 (en) | Encrypted in-place operating system migration | |
RU2623887C2 (en) | Full-disk encryption module update installation method | |
US11409541B2 (en) | Systems and methods for binding secondary operating system to platform basic input/output system | |
US12105596B2 (en) | Securely backing up and restoring a computer system using a trusted OS | |
RU2571724C2 (en) | System and method of full disk coding with check of loading disk compatibility |