Система шифрования дисков с открытым кодом. Способы защиты и их ограничения. Связываем облако с частной жизнью

Безопасность

В последнее время в блоге " " проскакивало несколько топиков про способы шифрования данных для защиты от маски-шоу. Но все эти способы, исходя из бурных обсуждений в комментариях, не проходят проверку паяльником.

Поэтому я хочу предложить свой способ защиты данных от особо интересующихся лиц в масках - шифрование данных на скрытом диске, который имеет дополнительный уровень в защите от паяльника.

Пока такую возможность нашёл только в программе truecrypt (opensource, win/linux/mac) - "hidden volume ", поэтому буду рассказывать на её примере. Хотя возможно и в других шифровальшиках есть что-то подобное.

Простой и удобный интерфейс. Мастер, который будет принимать пользователей через процесс создания зашифрованных дисков.

  • Список зашифрованных дисков наиболее часто подключается.
  • Настраиваемый список зашифрованных дисков, которые автоматически подключаются.
  • Простое изменение размера зашифрованного диска.
Безопасное и надежное шифрование и защита данных.

Настраиваемые ключи быстрого доступа для отключения всех зашифрованных дисков, подключенных или каждого диска отдельно. Автоматическое отключение всех зашифрованных дисков, подключенных после выхода пользователя из системы. Автоматически отключать зашифрованный диск после того, как экранная заставка активирует, спящий или блокирует компьютер. Возможность автоматического отключения зашифрованных дисков после отсоединения от системы носителя данных, который хранился в файле контейнера зашифрованного диска. Возможность автоматического отключения зашифрованных дисков после того, как они превысили период бездействия зашифрованных дисков. Период бездействия - это период времени, когда подключенный зашифрованный диск не используется, т.е. это период времени, когда данные не считываются с диска и не записываются на него. Возможность принудительного отключения зашифрованных дисков, заблокированных после автоматического отключения. Файлы с зашифрованным дисковым контейнером, которые подключены, защищены от записи и удаления. Очистка зашифрованного диска для безопасного удаления. Возможность создания и подключения архивов файлов зашифрованных дисков, расположенных в любом доступном месте сети; Подключите зашифрованный диск, который эмулирует локальный диск, чтобы обеспечить доступ к удаленным пользователям; Автоматическое сохранение и выбор параметров совместного доступа в сети с зашифрованными дисками.

  • Шифрование свободного дискового пространства.
  • Мастер, который будет принимать пользователей через процесс шифрования диска.
  • Возможность подключения зашифрованного диска в режиме только для чтения.
Это делается каждый раз, когда мы получаем и сохраняем больше документации в цифровом формате, но если мы добавим к риску быть украденным большим количеством вредоносного ПО, которое распространяется сегодня в сети, мы вынуждены защищать эту информацию до любой, кто может получить доступ к нашей команде.

Работает это следующим образом:

  1. Создаётся файл с шифрованным диском, который шифруется первым паролем, например data.img, подключается как диск.
  2. На этот диск записываются какие-либо полу-палевные данные, которые после долгих уговоров в случае угрозы применения паяльника можно и показать недоброжелателям, набрав этот первый пароль. Ну т.е. чтобы они были похожи на данные, которые действительно вы хотели скрыть от глаз владельцев паяльника, но на самом деле не особо страшно если они их найдут.
    Этими данными нужно забить не весь диск под завязку, а только часть, оставив свободное место.
  3. Поверх оставшегося свободного места от данных первого диска в файле data.img создается ещё один диск, который шифруется вторым паролем. На этот диск уже записываются самые ценные данные, которые нельзя показывать даже после прямого контакта с паяльником.
В результате мы получаем один файл с двумя зашифрованными дисками.

Итого всё получившееся выглядит примерно так:

Он предлагает три основных варианта шифрования, которые позволяют зашифровать весь жесткий диск за один раз, другой, который предлагает возможность создания контейнера, в котором все, что будет сохранено, зашифровано или возможность и пойдет для защиты файлов по отдельности.

Таким образом, он способен адаптироваться к потребностям каждого пользователя, поскольку, если пользователь только хочет зашифровать определенные файлы, ему не придется тратить время на шифрование всего своего жесткого диска. Таким образом, никто, кто не знает, что пароль сможет получить доступ к этому файлу.

Используя первый пароль, мы получаем доступ только к первому диску, а о наличии второго диска, как заявляют разработчики truecrypt (сам глубоко не вникал в тему, доверился их словам), никаким образом узнать нельзя, не зная второй пароль.

А, соответственно, зная второй пароль, можно без особых проблем получить доступ ко второму диску с основными данными.

Однако, если мы хотим контролировать файлы или файлы, которые мы хотим зашифровать, а какие нет, логично выполнить ручное и индивидуальное шифрование каждого из тех файлов, которые мы хотим защитить. Поэтому, хотя это не самый профессиональный способ защитить наши данные, он может предоставить нам уровень безопасности, чтобы никто не мог получить к ним доступ, введя пароль. Как только он подключен и читается операционной системой, мы открываем окно «Этот компьютер» и щелкаем правой кнопкой мыши на зашифрованном устройстве.

Как только все будет правильно, мы попросим пароль для шифрования. Мы должны гарантировать, что мы используем надежный, сложный и безопасный пароль, потому что иначе шифрование может сломаться и позволить пользователям получать доступ к данным. На следующем шаге мы будем запрашивать тип шифрования, который мы будем использовать. Мы можем выбрать, хотим ли мы зашифровать только пространство на диске, то есть уже сохраненные данные или если мы хотим зашифровать весь диск.

Также в программе предусмотрен режим подключения первого диска с защитой от порчи данных второго диска (в этом случае спрашиваются оба пароля), иначе при записи на с первый диск в обычном режиме можно попортить данные второго скрытого диска.

Всё это делается с помощью GUI-интерфейса программы, особых сложностей в настройках вызвать не должно. Также поддерживается работа в консольном режиме, что позволяет работать с этими дисками через скрипты.

Мы выберем второй вариант, поэтому мы гарантируем, что весь блок будет защищен, даже пустое место не будет использоваться. На следующем шаге мы спросим тип шифрования, который мы хотим использовать. Однако, если мы собираемся подключить диск к другим компьютерам, тогда мы должны выбрать совместимое шифрование. Единственное, что нам осталось сделать - это нажать кнопку «Начать шифрование», чтобы начать процесс шифрования устройства.

Процесс шифрования может занять несколько минут, даже часов, поэтому у нас должно быть терпение и ждать его завершения. Мы не должны отключать диск до тех пор, пока шифрование не будет завершено, в противном случае, скорее всего, мы потеряем данные и даже сделаем их непригодными для использования.

Итого, если к нам пришли маски-шоу, план действий следующий:

  1. Мы отдаём пришедшим специалистам на тщательное прощупывание свой сервер.
  2. Они находят на нём подозрительно большой файл, начинают приставать к нам с вопросами.
  3. Мы сначала отнекиваемся, говорим что это просто своп, бекапы, архив с проном, или ещё что-то, вобщем ломаем комедию.
  4. После того, как от них начинают сыпаться серьёзные угрозы, всё же что это признаемся шифрованный диск с данными, со слезами и соплями сообщаем им первый пароль.
  5. Они радуются, подключают с помощью этого пароля первый диск, получают данные, находят в них что-то неособо страшное, слегка дрючат вас за это и отпускают.
В итоге и волки сыты (они всё же заставили вас вскрыть шифрованный диск и нашли за что отдрючить, даже не догадываясь что за этим есть ещё что-то) и овцы целы (вы не показали им наиболее ценные данные и они даже не пытались у вас их вытрясти с применением паяльника, т.е. обделались лёгким испугом) .

UPD: Я не предлагаю способ стопроцентной защиты от паяльника и решение всех проблем , я просто описал дополнительную возможность защитить свои данные вторым уровнем секретности , который со стороны никак не заметен даже после тщательного поиска.

После закрытия мы закрываем окно. Если мы дважды щелкнем по нему, чтобы открыть устройство, первое, что запросит система, будет пароль дешифрования. Мы вводим и дешифруем файлы, по крайней мере временно, до тех пор, пока мы не отключим диск, поэтому мы можем использовать его как обычную память или обычный жесткий диск.

В крайнем случае, если мы не помним ключ или диск не наш, мы всегда можем его отформатировать, чтобы исключить шифрование и, конечно же, все данные.


В этом уроке представлены основные понятия защиты информации, хранящейся на жестких дисках и аналогичных носителях, с использованием самых мощных инструментов в этой области.

И если недоброжелатели не догадываются о существовании у вас второго скрытого диска, то по внешним признакам никак не заметят его присутствие и, соответственно, не будут тратить лишнюю электроэнергию на паяльник. А уж как сделать так чтобы они об этом не догадались - задача для каждого индивидуальная, с применением смекалки и творчества.

Самый распространенный вопрос, который мы все спрашиваем, почему, как и при каких условиях мне нужно шифрование в моей повседневной жизни? И снова вопрос, и зачем мне шифрование? Поскольку у нас есть информация, даже то, что может показаться малозначимым, может быть уместным, что мы держим в тайне, доступным только для нас самих, или ограниченной группе людей, которые могут получить к ней доступ с помощью пароля или пароля, и только этим ключом.

Мы были вынуждены отправить один из наших компьютеров в техническую службу за какой-то пробой? Конечно, да. И мы не задавали вопрос о том, может ли персонал этой технической службы получить доступ к данным, которые мы сохранили на этом компьютере? Наши фотографии, семейные фильмы, листы расходов? В те моменты мы понимаем, что у нас есть настоящая проблема и мы принимаем ненужный риск.

И этот способ более надежен, чем рабочий сервер в фирме с якобы пустым винчестером без разделов (со скрытыми шифрованными разделами), который сразу вызовет подозрение. А тут файл вызвал подозрение, мы его расшифровали первым паролем, показали все данные и успокоились, подозрения что в этом же файле может быть ещё один шифрованный диск маловероятно что появятся без прямой наводки.

К сожалению, эти сценарии гораздо более распространены, чем вы думаете. Именно здесь, в таких ситуациях, где шифрование и, в частности, шифрование диска будут очень полезными, поскольку при этом мы сможем легко защитить нашу важную информацию. Всегда есть риски, и мы должны рассчитывать на них. С помощью пароля или более сложного ключа мы шифруем, как правило, с помощью алгоритмов, которые считаются «непродолжительными», информацию, что делает ее недоступной для несанкционированных лиц. Логично, что одним из важных моментов является то, что мы гарантируем, что пароль или ключ известны только нам или людям, которых мы разрешаем.


На страницах нашего издания неоднократно рассказывалось о программах, предназначенных для защиты данных путем шифрования дисков или их частей. Дело в том, что эта задача востребована и пользуются ею многие. Раз есть спрос - есть и предложение. Сегодня речь пойдет еще об одной программе, выполняющей шифрование логических дисков.

Конечно, мы всегда должны учитывать, что в зависимости от сложности и силы шифрования и типа инструментов оборудование должно работать немного больше, и у нас может быть небольшая потеря емкости, обычно не заметная пользователю, но потеря производительности в конце. В рамках концепции шифрования диска хорошо, что мы различаем полное шифрование диска и частичное шифрование содержимого диска или отдельных файлов.

В этом первом случае мы говорим об шифровании всего диска с первого блока данных до последнего. Таким образом, диск, который может иметь 100 гигабайт информации, будет зашифрован в абсолютно 100 гигабайтах от начала до конца. В дополнение к полному шифрованию диска мы можем говорить о шифровании «от загрузки» или шифровании загрузочного диска.

Программа называется Secure Disk, что вполне соответствует ее назначению. Для шифрования был выбран широко известный и показавший достойные результаты алгоритм AES 256. В свое время данный алгоритм прошел спецификацию в Государственном институте стандартов и технологий (National Institute of Standards and Technology, NIST) и был принят в качестве американского стандарта шифрования правительством США. На территории России может использоваться любыми негосударственными организациями.

С другой стороны, следует отметить, что слишком амбициозная конфигурация полного шифрования диска может серьезно наказывать производительность компьютера, заставляя операционную систему шифровать операции чтения и записи, которые, с другой стороны, должны быть особенно быстрыми; Яркими примерами являются файлы кеша, файлы подкачки памяти и т.д.

Преимущества полного шифрования диска. Операционная система будет нормально работать с файлами и папками; как пользователи, мы не будем наблюдать изменений в нашей повседневной работе. Мы не должны беспокоиться о шифровании определенных файлов; весь диск будет зашифрован полностью.

Установка программы не вызывает никаких вопросов, если компьютер программе "понравится". На мой, по непонятным причинам, программа устанавливаться не захотела, выдав код "8". Пришлось для тестирования устанавливать на другой. Там установка прошла без проблем, в результате чего была установлена триальная 30-дневная версия. Порадовала предусмотрительность разработчиков. Допустим, вы используете демоверсию программы и шифруете диск. Не обратили внимание на предупреждение о завершении срока использования, и ваш зашифрованный диск стал недоступен. Утрачены материалы, необходимые для работы, а если это был загрузочный диск, то и ваша операционная система.

Мы можем зашифровать при загрузке: никто не может получить доступ к содержимому нашего жесткого диска без ключа шифрования. Недостатки полного шифрования диска. Существует некоторая потеря производительности компьютера: если мы зашифруем весь диск, включая файлы подкачки, операционная система может потерять определенные оптимизации.

В зависимости от того, как мы шифруем весь диск, есть риск, что они могут перехватить наши ключи. Как правило, есть только один ключ шифрования. Если кто-то обнаружит этот ключ, мы разоблачим всю информацию. Если мы потеряем ключ шифрования, мы рискуем потерять всю нашу информацию.

Предусмотрительность разработчиков заключается в том, что даже после завершения триального периода программа может быть запущена еще три раза. Вам останется лишь расшифровать все ваши зашифрованные диски и спокойно завершить работу с программой. Ну а если и это не помогло, что ж, ваши диски можно форматировать заново, их уже не восстановить.

Иногда нам не нужен весь жесткий диск для защиты или шифрования, и достаточно зашифровать определенные файлы, папки или части диска. Как правило, инструменты шифрования диска позволяют нам зашифровать как полный диск, так и отдельные файлы без серьезных проблем, мы просто найдем разные подходы при их использовании, а для последнего, как правило, даже имеют интеграцию с файлы операционной системы.

Важно: во многих операционных системах предусмотрены последовательные функции, позволяющие шифровать папки и файлы таким же образом, что они позволяют шифровать полные диски. Мы прокомментируем некоторые примеры и покажем их основное использование позже.

Теперь о подготовке программы к работе. Для того чтобы можно было шифровать диски, необходимо сформировать ключи. Выполняется действие в несколько этапов, на первом из которых необходимо выбрать или создать хранилище ключей. Программа поддерживает работу с несколькими хранилищами, в каждом из которых может быть несколько ключей. Также поддерживается одновременная работа с несколькими зашифрованными дисками (ограничений на количество нет). Для чего несколько ключей? Например, для того, чтобы каждый диск шифровать на отдельном ключе, - суть в том, что если вы загружаете один из ключей в память, то все диски, зашифрованные на нем, становятся доступными.

Даже с инструментами, которые обеспечивают полное шифрование диска, мы, вероятно, столкнемся с ситуациями, когда нам просто нужно зашифровать файл или папку. Например, отправить по электронной почте ряд файлов или папку третьим лицам. Вот почему мы должны тщательно пересмотреть все эти функции при выборе инструмента шифрования, который соответствует тому, что нам нужно.

Все инструменты шифрования дисков, файлов или папок, как правило, имеют аналогичное поведение в отношении механизма шифрования, используют быстрый алгоритм, который позволяет выполнять операции чтения и записи достаточно быстро, хотя, давайте не будем забывать, всегда будет потеря производительности для усилий по выполнению операций шифрования и дешифрования.

Так вот, выбрали или создали новое хранилище. На следующем шаге необходимо создать рисунок - можно не обладать для этого задатками художника, поскольку рисунок нужен лишь для отработки алгоритма формирования ключа. Если вы не хотите даже подвигать мышкой, можете выбрать опцию автоматического формирования рисунка. Далее вопрос. Куда поместить контейнер с ключом? Для того чтобы ключ было обнаружить сложно, его можно поместить в графический или звуковой файл. Из графических форматов доступны BMP и JPG, а из звуковых - WAVE и MP3. Впрочем, ключ можно сохранить и в обычном файле. Для того чтобы спрятать ключ среди графики или изображения, файл, в который вы хотите его поместить, должен быть заранее создан.



После выбора типа файла для сохранения пароля выберите его или укажите, где создать новый. И последний шаг - защита доступа к ключу с помощью паролей. Программа не ограничивает минимальное количество символов, из которых будет состоять пароль, а вот верхняя граница установлена - пароль не может состоять более чем из двадцати символов. Для более жесткой защиты предусмотрено использование двух паролей доступа (хотя, на мой взгляд, если первый пароль надежен, то второго и не требуется). Возвращаясь к этапу выбора места размещения ключа, хочется обратить внимание на следующее. После того как диск будет вами зашифрован, получить доступ к данным, расположенным на нем, будет невозможно до загрузки в память ключа. Если вы сохраните ключ на диске, который шифруете, то после выхода из программы вы больше свои данные не увидите. Сохраняйте ключ на съемных носителях, на дискетах, дублируйте их - но не допустите ситуации, когда вы сами лишите себя своей информации. Будьте внимательны.

Secure Disk работает напрямую с диском на самом низком уровне - уровне физических секторов. И таким образом шифрование не зависит от типа файловой системы на диске, установленного на компьютере программного обеспечения и различного дополнительного оборудования. Впрочем, ограничения есть - текущая версия не поддерживает шифрование динамических дисков и RAID-массивов. Зато есть поддержка работы двухъядерных процессоров. Кроме жестких дисков и их логических разделов программа позволяет шифровать данные на флешках.

Для того чтобы зашифровать диск, необходимо запустить программу и выбрать вкладку "Вход". Здесь надо будет выбрать одно из хранилищ и ввести пароли доступа к нему. Далее перейдите на вкладку "Ключи" и в открытом контейнере-хранилище выберите нужный. Переходим на вкладку "Диски". Здесь выведен список всех логических дисков вашего компьютера, а также съемных дисков, если они подключены в этот момент. Для каждого диска приведена основная информация - тип файловой системы, общий объем и состояние (зашифрован или нет). Для получения более подробной информации используйте кнопку "Свойства диска".



Выбрав диск, вы можете выполнить одно из двух действий - либо зашифровать его, если он не шифрован, либо расшифровать зашифрованный диск. После выбора действия становится доступной вкладка "Задачи", на которой отображается состояние выполняемого действия. В зависимости от объема диска время обработки будет различным. Но вы можете продолжать работать в это время, так как процесс шифрования полностью прозрачен для операционной системы. В том числе и шифрование системного диска. Этот процесс ничем не отличается от других.

Отличие в другом. Если вы шифруете системный диск, то после выбора ключа вам будет предложено выбрать режим визуального оформления загрузчика системы. Загрузчик - это компонент Secure Disk, который загружается до операционной системы Windows и при загрузке компьютера принимает пароли. Вводить нужно пароли, относящиеся к хранилищу, в котором лежит ключ, использованный для шифрования системного диска. И вот здесь опять вопрос: а на чем должны храниться ключи, если системный диск не доступен? И если отсутствует дисковод? В документации об этом ничего не сказано.

В случае если вам более не требуется держать диск зашифрованным, вы легко можете выполнить обратную операцию - расшифровать диск. Для этого выберите хранилище и ключ, на котором шифровали диск, выберите требуемый диск и запустите процедуру расшифровывания.

Если вы хотите получить доступ к своему зашифрованному диску, откройте хранилище, в котором находится ключ, использовавшийся для шифрования диска. После этого доступ к зашифрованному диску будет открыт. И, как уже говорилось ранее, будут доступны все диски, для шифрования которых использовались ключи из открытого хранилища.



Несколько слов о настройках программы. Вы можете выбрать один из трех доступных режимов шифрования - с минимальной скоростью и минимальной загрузкой, средний, с максимальной скоростью шифрования и, соответственно, с максимальной загрузкой процессора. Вы можете фиксировать все действия программы в файл, запомнить путь доступа к хранилищу. Также вы можете включить опцию поддержки системы восстановления данных.

Эта система предназначена для обеспечения сохранности данных шифруемого диска в случае отключения, зависания или перезагрузки компьютера во время шифрования. Но все же полагаться на нее полностью не рекомендуют даже разработчики программы. Они отмечают, что "система восстановления только лишь уменьшает вероятность того, что данные будут испорчены или потеряны".

В случае если шифрование (или дешифрирование) было прервано и система восстановления была включена, то:

  • при следующей загрузке компьютера появится сообщение о том, что задача была прервана и сработала система восстановления;
  • в списке дисков у диска, шифрование которого было прервано, будет специальный статус, сообщающий о сложившейся ситуации;
  • нельзя шифровать и расшифровывать никакие другие диски, пока прерванная задача не будет продолжена (для этого нужно выбрать диск на вкладке "Диски" и нажать кнопку "Продолжить").

Не забудьте, что система восстановления не срабатывает при отмене задачи (шифрования или расшифровывания), а только при несанкционированном ее прерывании.

В целом программа простая для пользователя, интерфейс удобный и понятный. Скорость обработки дисков достаточно высока и мало влияет на работу с другими программами. Доступ к шифрованным дискам почти не сказывается при работе с ним из внешних приложений.