Ένα πρόγραμμα για την κρυπτογράφηση των διαμερισμάτων δίσκου. Πώς να κρυπτογραφήσετε ολόκληρο τον σκληρό σας δίσκο χρησιμοποιώντας το VeraCrypt. Εγκατάσταση του VeraCrypt στα Windows

Ένα πρόγραμμα για την κρυπτογράφηση των διαμερισμάτων δίσκου. Πώς να κρυπτογραφήσετε ολόκληρο τον σκληρό σας δίσκο χρησιμοποιώντας το VeraCrypt. Εγκατάσταση του VeraCrypt στα Windows

Ερευνητές στο Πανεπιστήμιο του Πρίνστον ανακάλυψαν έναν τρόπο να παρακάμψουν την κρυπτογράφηση. σκληροι ΔΙΣΚΟΙ, χρησιμοποιώντας την ιδιότητα modules μνήμη τυχαίας προσπέλασηςαποθήκευση πληροφοριών για σύντομο χρονικό διάστημα ακόμα και μετά από διακοπή ρεύματος.

Πρόλογος

Δεδομένου ότι πρέπει να έχετε ένα κλειδί για πρόσβαση σε έναν κρυπτογραφημένο σκληρό δίσκο και, φυσικά, είναι αποθηκευμένο στη μνήμη RAM, το μόνο που χρειάζεται είναι να αποκτήσετε φυσική πρόσβαση στον υπολογιστή για λίγα λεπτά. Μετά την επανεκκίνηση από εξωτερικό σκληρός δίσκοςή με USB FlashΓίνεται μια πλήρης ένδειξη μνήμης και το κλειδί πρόσβασης εξάγεται από αυτήν μέσα σε λίγα λεπτά.

Με αυτόν τον τρόπο είναι δυνατή η απόκτηση κλειδιών κρυπτογράφησης (και πλήρης πρόσβασηστον σκληρό δίσκο) που χρησιμοποιείται από τα προγράμματα BitLocker, FileVault και dm-crypt στα λειτουργικά συστήματα Windows Vista, Mac OS X και Linux, καθώς και στο δημοφιλές δωρεάν σύστημα κρυπτογράφησης σκληρού δίσκου TrueCrypt.

Η σημασία αυτής της εργασίας έγκειται στο γεγονός ότι δεν υπάρχει ούτε μία απλή μέθοδος προστασίας έναντι αυτής της μεθόδου hacking, εκτός από την απενεργοποίηση της τροφοδοσίας για αρκετό χρόνο για την πλήρη διαγραφή των δεδομένων.

Μια οπτική επίδειξη της διαδικασίας παρουσιάζεται στο βίντεο.

σχόλιο

Σε αντίθεση με τη δημοφιλή πεποίθηση, η μνήμη DRAM χρησιμοποιείται στα περισσότερα σύγχρονους υπολογιστές, αποθηκεύει δεδομένα ακόμα και μετά την απενεργοποίηση της τροφοδοσίας για αρκετά δευτερόλεπτα ή λεπτά, και αυτό συμβαίνει σε θερμοκρασία δωματίου και ακόμη και αν αφαιρεθεί το τσιπ από τη μητρική πλακέτα. Αυτός ο χρόνος είναι αρκετά αρκετός για να ρίξετε μια πλήρη ένδειξη RAM. Θα δείξουμε ότι αυτό το φαινόμενο επιτρέπει σε έναν εισβολέα με φυσική πρόσβαση στο σύστημα να παρακάμψει τις λειτουργίες του λειτουργικού συστήματος για την προστασία των δεδομένων κρυπτογραφικού κλειδιού. Θα δείξουμε πώς μπορεί να χρησιμοποιηθεί η επανεκκίνηση για την επιτυχή επίθεση σε γνωστά συστήματα κρυπτογράφησης σκληρού δίσκου χωρίς τη χρήση εξειδικευμένου υλικού ή υλικού. Θα προσδιορίσουμε πειραματικά τον βαθμό και την πιθανότητα διατήρησης της υπολειπόμενης μαγνήτισης και θα δείξουμε ότι ο χρόνος για τον οποίο μπορούν να ληφθούν δεδομένα μπορεί να αυξηθεί σημαντικά χρησιμοποιώντας απλές τεχνικές. Θα προταθούν επίσης νέες μέθοδοι για την αναζήτηση κρυπτογραφικών κλειδιών σε θέσεις αποθήκευσης μνήμης και τη διόρθωση σφαλμάτων που σχετίζονται με την απώλεια bit. Ωστόσο, θα συζητηθούν επίσης διάφοροι τρόποι για τη μείωση αυτών των κινδύνων απλή λύσηδεν ξέρουμε.

Εισαγωγή

Οι περισσότεροι ειδικοί υποθέτουν ότι τα δεδομένα από τη μνήμη RAM ενός υπολογιστή διαγράφονται σχεδόν αμέσως μετά την απενεργοποίηση του ρεύματος ή πιστεύουν ότι τα υπολειμματικά δεδομένα είναι εξαιρετικά δύσκολο να ανακτηθούν χωρίς τη χρήση ειδικού εξοπλισμού. Θα δείξουμε ότι αυτές οι υποθέσεις είναι εσφαλμένες. Η συμβατική μνήμη DRAM χάνει δεδομένα σταδιακά μέσα σε μερικά δευτερόλεπτα, ακόμη και σε κανονικές θερμοκρασίες, και ακόμη και αν αφαιρεθεί το τσιπ μνήμης από τη μητρική πλακέτα, τα δεδομένα θα παραμείνουν σε αυτήν για λεπτά ή και ώρες, υπό την προϋπόθεση ότι το τσιπ αποθηκεύεται σε χαμηλές θερμοκρασίες. Τα υπολειμματικά δεδομένα μπορούν να ανακτηθούν χρησιμοποιώντας απλές μεθόδους, τα οποία απαιτούν βραχυπρόθεσμη φυσική πρόσβαση στον υπολογιστή.

Θα δείξουμε μια σειρά από επιθέσεις που, χρησιμοποιώντας τα εφέ παραμονής της DRAM, θα μας επιτρέψουν να ανακτήσουμε τα κλειδιά κρυπτογράφησης που είναι αποθηκευμένα στη μνήμη. Αυτό αποτελεί πραγματική απειλή για τους χρήστες φορητών υπολογιστών που βασίζονται σε συστήματα κρυπτογράφησης σκληρού δίσκου. Σε τελική ανάλυση, εάν ένας εισβολέας κλέψει ένα φορητό υπολογιστή ενώ ο κρυπτογραφημένος δίσκος είναι συνδεδεμένος, θα μπορεί να πραγματοποιήσει μία από τις επιθέσεις μας για να αποκτήσει πρόσβαση στο περιεχόμενο, ακόμα κι αν ο ίδιος ο φορητός υπολογιστής είναι κλειδωμένος ή σε κατάσταση αναστολής λειτουργίας. Αυτό θα το αποδείξουμε επιτιθέμενοι επιτυχώς σε πολλά δημοφιλή συστήματα κρυπτογράφησης, όπως το BitLocker, το TrueCrypt και το FileVault. Αυτές οι επιθέσεις θα πρέπει επίσης να είναι επιτυχείς έναντι άλλων συστημάτων κρυπτογράφησης.

Αν και έχουμε επικεντρώσει τις προσπάθειές μας σε συστήματα κρυπτογράφησης σκληρού δίσκου, εάν ένας εισβολέας έχει φυσική πρόσβαση στον υπολογιστή, οποιαδήποτε σημαντική πληροφορία είναι αποθηκευμένη στη μνήμη RAM μπορεί να γίνει στόχος επίθεσης. Είναι πιθανό ότι πολλά άλλα συστήματα ασφαλείας είναι επίσης ευάλωτα. Για παράδειγμα, ανακαλύψαμε ότι το Mac OS X αφήνει κωδικούς πρόσβασης λογαριασμού στη μνήμη, από όπου μπορέσαμε να τους εξαγάγουμε, και πραγματοποιήσαμε επίσης επιθέσεις για να αποκτήσουμε τα ιδιωτικά κλειδιά RSA του διακομιστή ιστού Apache.

Μερικοί εκπρόσωποι της κοινότητας ασφάλεια πληροφοριώνκαι οι φυσικοί των ημιαγωγών γνώριζαν ήδη για το φαινόμενο παραμονής του DRAM, υπήρχαν πολύ λίγες πληροφορίες γι' αυτό. Ως αποτέλεσμα, πολλοί που σχεδιάζουν, αναπτύσσουν ή χρησιμοποιούν συστήματα ασφαλείας απλά δεν είναι εξοικειωμένοι με αυτό το φαινόμενο και πόσο εύκολα μπορεί να το εκμεταλλευτεί ένας εισβολέας. Από όσο γνωρίζουμε, αυτή είναι η πρώτη λεπτομερής εργασίαμελετώντας τις συνέπειες αυτών των φαινομένων για την ασφάλεια των πληροφοριών.

Επιθέσεις σε κρυπτογραφημένες μονάδες δίσκου

Η κρυπτογράφηση σκληρών δίσκων είναι μια πολύ γνωστή μέθοδος προστασίας από κλοπή δεδομένων. Πολλοί πιστεύουν ότι τα συστήματα κρυπτογράφησης σκληρού δίσκου θα προστατεύσουν τα δεδομένα τους, ακόμα κι αν ένας εισβολέας έχει αποκτήσει φυσική πρόσβαση στον υπολογιστή (στην πραγματικότητα, γι' αυτό προορίζονται, σημείωση του συντάκτη). Ένας νόμος της πολιτείας της Καλιφόρνια που ψηφίστηκε το 2002 απαιτεί την αναφορά πιθανών αποκαλύψεων προσωπικών δεδομένων μόνο εάν τα δεδομένα δεν ήταν κρυπτογραφημένα, επειδή. Πιστεύεται ότι η κρυπτογράφηση δεδομένων είναι ένα επαρκές προστατευτικό μέτρο. Αν και ο νόμος δεν περιγράφει συγκεκριμένες τεχνικές λύσεις, πολλοί ειδικοί συνιστούν τη χρήση συστημάτων κρυπτογράφησης για σκληρούς δίσκους ή διαμερίσματα, τα οποία θα θεωρηθούν επαρκή μέτρα προστασίας. Τα αποτελέσματα της έρευνάς μας έδειξαν ότι η πίστη στην κρυπτογράφηση δίσκου είναι αβάσιμη. Ένας λιγότερο έμπειρος εισβολέας μπορεί να παρακάμψει πολλά συστήματα κρυπτογράφησης που χρησιμοποιούνται συνήθως εάν κλαπεί ένας φορητός υπολογιστής με δεδομένα ενώ είναι ενεργοποιημένος ή σε κατάσταση αναστολής λειτουργίας. Και τα δεδομένα σε φορητό υπολογιστή μπορούν να διαβαστούν ακόμη και αν βρίσκονται σε κρυπτογραφημένη μονάδα δίσκου, επομένως η χρήση συστημάτων κρυπτογράφησης σκληρού δίσκου δεν είναι επαρκής μέτρηση.

Χρησιμοποιήσαμε διάφορους τύπους επιθέσεων σε γνωστά συστήματα κρυπτογράφησης σκληρού δίσκου. Αυτό που πήρε περισσότερο χρόνο ήταν η εγκατάσταση κρυπτογραφημένων δίσκων και ο έλεγχος της ορθότητας των κλειδιών κρυπτογράφησης που εντοπίστηκαν. Η λήψη εικόνας RAM και η αναζήτηση κλειδιών χρειάστηκαν μόνο λίγα λεπτά και ήταν πλήρως αυτοματοποιημένη. Υπάρχει λόγος να πιστεύουμε ότι τα περισσότερα συστήματα κρυπτογράφησης σκληρού δίσκου είναι επιρρεπή σε παρόμοιες επιθέσεις.

BitLocker

Το BitLocker είναι ένα σύστημα που περιλαμβάνεται σε ορισμένες εκδόσεις των Windows Vista. Λειτουργεί ως πρόγραμμα οδήγησης που τρέχει μεταξύ του συστήματος αρχείων και του προγράμματος οδήγησης του σκληρού δίσκου, κρυπτογραφώντας και αποκρυπτογραφώντας επιλεγμένους τομείς κατά παραγγελία. Τα κλειδιά που χρησιμοποιούνται για την κρυπτογράφηση παραμένουν στη μνήμη RAM για όσο διάστημα ο κρυπτογραφημένος δίσκος είναι κρυπτογραφημένος.

Για την κρυπτογράφηση κάθε τομέα ενός σκληρού δίσκου, το BitLocker χρησιμοποιεί το ίδιο ζεύγος κλειδιών που δημιουργήθηκε από τον αλγόριθμο AES: ένα κλειδί κρυπτογράφησης τομέα και ένα κλειδί κρυπτογράφησης που λειτουργεί σε λειτουργία αλυσιδωτής μπλοκ κρυπτογράφησης (CBC). Αυτά τα δύο κλειδιά είναι με τη σειρά τους κρυπτογραφημένα με το κύριο κλειδί. Για την κρυπτογράφηση ενός τομέα, εκτελείται μια διαδικασία δυαδικής προσθήκης στο απλό κείμενο με το κλειδί περιόδου λειτουργίας που δημιουργείται κρυπτογραφώντας το byte μετατόπισης τομέα με το κλειδί κρυπτογράφησης τομέα. Στη συνέχεια, τα δεδομένα που προκύπτουν υποβάλλονται σε επεξεργασία από δύο συναρτήσεις ανάμειξης που χρησιμοποιούν τον αλγόριθμο Elephant που αναπτύχθηκε από τη Microsoft. Αυτές οι λειτουργίες χωρίς κλειδί χρησιμοποιούνται για να αυξήσουν τον αριθμό των αλλαγών σε όλα τα bit κρυπτογράφησης και, κατά συνέπεια, να αυξήσουν την αβεβαιότητα των κρυπτογραφημένων δεδομένων τομέα. Στο τελευταίο στάδιο, τα δεδομένα κρυπτογραφούνται με τον αλγόριθμο AES σε λειτουργία CBC, χρησιμοποιώντας το κατάλληλο κλειδί κρυπτογράφησης. Το διάνυσμα αρχικοποίησης καθορίζεται κρυπτογραφώντας το byte μετατόπισης τομέα με το κλειδί κρυπτογράφησης που χρησιμοποιείται στη λειτουργία CBC.

Έχουμε εφαρμόσει μια πλήρως αυτοματοποιημένη επίθεση επίδειξης που ονομάζεται BitUnlocker. Σε αυτή την περίπτωση, ένα εξωτερικό Δίσκος USBμε Linux OS και τροποποιημένο bootloader που βασίζεται στο SYSLINUX και το πρόγραμμα οδήγησης FUSE που σας επιτρέπει να συνδέσετε κρυπτογραφημένες μονάδες BitLocker σε Linux OS. Σε έναν δοκιμαστικό υπολογιστή με Windows Vista, η τροφοδοσία απενεργοποιήθηκε, συνδέθηκε ένας σκληρός δίσκος USB και εκκινήθηκε από αυτόν. Μετά από αυτό, το BitUnlocker αφαίρεσε αυτόματα τη μνήμη RAM εξωτερική μονάδα δίσκου, χρησιμοποιώντας το πρόγραμμα keyfind, έψαξα για πιθανά κλειδιά, δοκίμασα όλες τις κατάλληλες επιλογές (ζεύγη κλειδιού κρυπτογράφησης τομέα και κλειδί λειτουργίας CBC) και, εάν πέτυχε, συνέδεσα τον κρυπτογραφημένο δίσκο. Μόλις συνδεθεί ο δίσκος, έγινε δυνατή η εργασία με αυτόν όπως κάθε άλλος δίσκος. Σε ένα σύγχρονο φορητό υπολογιστή με 2 gigabyte μνήμης RAM, η διαδικασία κράτησε περίπου 25 λεπτά.

Είναι αξιοσημείωτο ότι αυτή η επίθεσηκατέστη δυνατή η εκτέλεση οποιουδήποτε λογισμικού χωρίς αντίστροφη μηχανική. Στην τεκμηρίωση Σύστημα της MicrosoftΤο BitLocker περιγράφεται επαρκώς για να κατανοήσετε τον ρόλο του κλειδιού κρυπτογράφησης τομέα και του κλειδιού λειτουργίας CBC και να δημιουργήσετε το δικό σας πρόγραμμα που υλοποιεί ολόκληρη τη διαδικασία.

Η κύρια διαφορά μεταξύ του BitLocker και άλλων προγραμμάτων αυτής της κατηγορίας είναι ο τρόπος με τον οποίο αποθηκεύονται τα κλειδιά όταν αποσυνδέεται η κρυπτογραφημένη μονάδα δίσκου. Από προεπιλογή, στη βασική λειτουργία, το BitLocker προστατεύει το κύριο κλειδί μόνο χρησιμοποιώντας τη μονάδα TPM, η οποία υπάρχει σε πολλούς σύγχρονους υπολογιστές. Αυτή η μέθοδος, το οποίο φαίνεται να χρησιμοποιείται ευρέως, είναι ιδιαίτερα ευάλωτο στην επίθεσή μας επειδή επιτρέπει τη λήψη κλειδιών κρυπτογράφησης ακόμη και αν ο υπολογιστής είναι απενεργοποιημένος για μεγάλο χρονικό διάστημα, καθώς όταν εκκινεί ο υπολογιστής, τα κλειδιά φορτώνονται αυτόματα στη μνήμη RAM (πριν εμφανίζεται το παράθυρο σύνδεσης στο σύστημα) χωρίς να εισάγετε δεδομένα ελέγχου ταυτότητας.

Προφανώς, οι ειδικοί της Microsoft είναι εξοικειωμένοι με αυτό το πρόβλημα και επομένως συνιστούν τη διαμόρφωση του BitLocker σε βελτιωμένη λειτουργία, όπου τα κλειδιά προστατεύονται όχι μόνο με τη χρήση TPM, αλλά και με κωδικό πρόσβασης ή κλειδί σε εξωτερική μονάδα USB. Αλλά, ακόμη και σε αυτήν τη λειτουργία, το σύστημα είναι ευάλωτο εάν ένας εισβολέας αποκτήσει φυσική πρόσβαση στον υπολογιστή τη στιγμή που λειτουργεί (μπορεί ακόμη και να κλειδωθεί ή σε κατάσταση αναστολής λειτουργίας (κατάσταση - απλώς απενεργοποιημένη ή αδρανοποίηση σε αυτήν την περίπτωση θεωρούνται δεν είναι επιρρεπής σε αυτή την επίθεση).

FileVault

Το σύστημα FileVault της Apple έχει διερευνηθεί εν μέρει και αναθεωρήθηκε. Στο Mac OS X 10.4, το FileVault χρησιμοποιεί ένα κλειδί AES 128-bit σε λειτουργία CBC. Όταν εισάγεται ο κωδικός πρόσβασης χρήστη, η κεφαλίδα που περιέχει το κλειδί AES και το δεύτερο κλειδί K2 αποκρυπτογραφείται, που χρησιμοποιείται για τον υπολογισμό των διανυσμάτων αρχικοποίησης. Το διάνυσμα αρχικοποίησης για το μπλοκ δίσκου Ith υπολογίζεται ως HMAC-SHA1 K2(I).

Χρησιμοποιήσαμε το πρόγραμμα EFI για τη δημιουργία εικόνων RAM για τη λήψη δεδομένων από έναν υπολογιστή Macintosh (με βάση Επεξεργαστής Intel) με τοποθετημένη μονάδα δίσκου κρυπτογραφημένη από το FileVault. Μετά από αυτό, το πρόγραμμα keyfind βρήκε αυτόματα τα κλειδιά FileVault AES χωρίς σφάλματα.

Χωρίς διάνυσμα αρχικοποίησης, αλλά με το κλειδί AES που προκύπτει, καθίσταται δυνατή η αποκρυπτογράφηση 4080 από τα 4096 byte κάθε μπλοκ δίσκου (όλα εκτός από το πρώτο μπλοκ AES). Σιγουρευτήκαμε ότι το διάνυσμα αρχικοποίησης βρίσκεται επίσης στο dump. Υποθέτοντας ότι τα δεδομένα δεν έχουν ακόμη καταστραφεί, ένας εισβολέας μπορεί να προσδιορίσει το διάνυσμα δοκιμάζοντας όλες τις συμβολοσειρές 160 bit στο dump μία προς μία και ελέγχοντας εάν μπορούν να σχηματίσουν ένα πιθανό απλό κείμενο όταν προστεθεί δυαδικό στο αποκρυπτογραφημένο πρώτο μέρος του μπλοκ . Μαζί, η χρήση προγραμμάτων όπως το vilefault, τα κλειδιά AES και ένα διάνυσμα προετοιμασίας σάς επιτρέπουν να αποκρυπτογραφήσετε πλήρως έναν κρυπτογραφημένο δίσκο.

Κατά τη διερεύνηση του FileVault, ανακαλύψαμε ότι τα Mac OS X 10.4 και 10.5 αφήνουν πολλά αντίγραφα του κωδικού πρόσβασης του χρήστη στη μνήμη, όπου είναι ευάλωτοι σε αυτήν την επίθεση. Οι κωδικοί πρόσβασης λογαριασμού χρησιμοποιούνται συχνά για την προστασία των κλειδιών, τα οποία με τη σειρά τους μπορούν να χρησιμοποιηθούν για την προστασία των φράσεων πρόσβασης των μονάδων δίσκου με κρυπτογράφηση FileVault.

TrueCrypt

Το TrueCrypt είναι ένα δημοφιλές σύστημα κρυπτογράφησης με ανοιχτή πηγή, που εκτελείται σε Windows, MacOS και Linux. Υποστηρίζει πολλούς αλγόριθμους, συμπεριλαμβανομένων των AES, Serpent και Twofish. Στην έκδοση 4, όλοι οι αλγόριθμοι λειτουργούσαν σε λειτουργία LRW. στην τρέχουσα 5η έκδοση, χρησιμοποιούν τη λειτουργία XTS. Το TrueCrypt αποθηκεύει το κλειδί κρυπτογράφησης και τροποποιεί το κλειδί στην κεφαλίδα του διαμερίσματος σε κάθε μονάδα δίσκου, το οποίο είναι κρυπτογραφημένο με διαφορετικό κλειδί που προέρχεται από τον κωδικό πρόσβασης που έχει εισαχθεί από τον χρήστη.

Δοκιμάσαμε τα TrueCrypt 4.3a και 5.0a που τρέχουν σε Linux. Συνδέσαμε τη μονάδα δίσκου, κρυπτογραφημένη με ένα κλειδί AES 256-bit, στη συνέχεια αφαιρέσαμε την τροφοδοσία και χρησιμοποιήσαμε το δικό μας λογισμικό αποθήκευσης μνήμης για την εκκίνηση. Και στις δύο περιπτώσεις, το keyfind βρήκε ένα άθικτο κλειδί κρυπτογράφησης 256-bit. Επίσης, στην περίπτωση του TrueCrypt 5.0.a, το keyfind μπόρεσε να ανακτήσει το πλήκτρο tweak της λειτουργίας XTS.

Για να αποκρυπτογραφήσετε δίσκους που δημιουργήθηκαν από το TrueCrypt 4, πρέπει να τροποποιήσετε το κλειδί λειτουργίας LRW. Βρήκαμε ότι το σύστημα το αποθηκεύει σε τέσσερις λέξεις πριν από το πρόγραμμα κλειδιών AES. Στην χωματερή μας, το κλειδί LRW δεν ήταν κατεστραμμένο. (Εάν προέκυπταν σφάλματα, θα μπορούσαμε να ανακτήσουμε το κλειδί).

Dm-crypt

Ο πυρήνας Linux, ξεκινώντας με την έκδοση 2.6, περιλαμβάνει ενσωματωμένη υποστήριξη για dm-crypt, ένα υποσύστημα κρυπτογράφησης δίσκου. Το Dm-crypt χρησιμοποιεί μια ποικιλία αλγορίθμων και τρόπων λειτουργίας, αλλά από προεπιλογή χρησιμοποιεί έναν κρυπτογράφηση AES 128-bit σε λειτουργία CBC με IV που δημιουργούνται που δεν βασίζονται σε βασικές πληροφορίες.

Δοκιμάσαμε το διαμέρισμα που δημιουργήθηκε από το dm-crypt χρησιμοποιώντας τον κλάδο LUKS (Linux Unified Key Setup) του βοηθητικού προγράμματος cryptsetup και τον πυρήνα 2.6.20. Ο δίσκος κρυπτογραφήθηκε χρησιμοποιώντας AES σε λειτουργία CBC. Κλείσαμε για λίγο την τροφοδοσία και, χρησιμοποιώντας έναν τροποποιημένο bootloader PXE, αφαιρέσαμε τη μνήμη. Το πρόγραμμα keyfind εντόπισε ένα σωστό κλειδί AES 128-bit, το οποίο ανακτήθηκε χωρίς σφάλματα. Αφού αποκατασταθεί, ο εισβολέας μπορεί να αποκρυπτογραφήσει και να προσαρτήσει το κρυπτογραφημένο διαμέρισμα dm-crypt τροποποιώντας το βοηθητικό πρόγραμμα cryptsetup έτσι ώστε να δέχεται τα κλειδιά στην απαιτούμενη μορφή.

Μέθοδοι προστασίας και περιορισμοί τους

Η εφαρμογή προστασίας από επιθέσεις στη μνήμη RAM δεν είναι ασήμαντη, καθώς τα κρυπτογραφικά κλειδιά που χρησιμοποιούνται πρέπει να αποθηκευτούν κάπου. Προτείνουμε να εστιάσετε τις προσπάθειες για την καταστροφή ή την απόκρυψη κλειδιών προτού ένας εισβολέας αποκτήσει φυσική πρόσβαση στον υπολογιστή, αποτρέποντας την εκτέλεση του λογισμικού αποθήκευσης RAM, προστατεύοντας φυσικά τα τσιπ RAM και μειώνοντας τη διάρκεια ζωής των δεδομένων RAM όταν είναι δυνατόν.

Μνήμη αντικατάστασης

Πρώτα απ 'όλα, θα πρέπει όποτε είναι δυνατόν να αποφεύγετε την αποθήκευση κλειδιών στη μνήμη RAM. Πρέπει να αντικαταστήσετε τις βασικές πληροφορίες όταν δεν χρησιμοποιούνται πλέον και να αποτρέψετε την αντιγραφή δεδομένων σε αρχεία σελίδας. Η μνήμη πρέπει να εκκαθαριστεί εκ των προτέρων χρησιμοποιώντας εργαλεία λειτουργικού συστήματος ή πρόσθετες βιβλιοθήκες. Φυσικά, αυτά τα μέτρα δεν θα προστατεύσουν αυτά που χρησιμοποιούνται σε αυτή τη στιγμήκλειδιά επειδή πρέπει να αποθηκευτούν στη μνήμη, όπως αυτά που χρησιμοποιούνται για κρυπτογραφημένους δίσκους ή σε ασφαλείς διακομιστές Ιστού.

Επίσης, η μνήμη RAM πρέπει να εκκαθαριστεί κατά τη διαδικασία εκκίνησης. Μερικοί υπολογιστές μπορούν να ρυθμιστούν ώστε να εκκαθαρίζουν τη μνήμη RAM κατά την εκκίνηση χρησιμοποιώντας ένα αίτημα εκκαθάρισης POST (Power-on Self-Test) πριν από τη φόρτωση του λειτουργικού συστήματος. Εάν ο εισβολέας δεν είναι σε θέση να αποτρέψει την εκτέλεση αυτού του αιτήματος, τότε σε αυτόν τον υπολογιστή δεν θα έχει την ευκαιρία να κάνει μια ένδειξη μνήμης με σημαντικές πληροφορίες. Ωστόσο, εξακολουθεί να έχει την ευκαιρία να αφαιρέσει τα τσιπ RAM και να τα τοποθετήσει σε άλλο υπολογιστή με τις ρυθμίσεις BIOS που χρειάζεται.

Περιορισμός λήψης από το δίκτυο ή από αφαιρούμενα μέσα

Πολλές από τις επιθέσεις μας πραγματοποιήθηκαν χρησιμοποιώντας λήψεις μέσω του δικτύου ή από αφαιρούμενα μέσα. Ο υπολογιστής πρέπει να έχει ρυθμιστεί ώστε να απαιτεί κωδικό πρόσβασης διαχειριστή για εκκίνηση από αυτές τις πηγές. Ωστόσο, θα πρέπει να σημειωθεί ότι ακόμα κι αν το σύστημα έχει ρυθμιστεί να εκκινεί μόνο από τον κύριο σκληρό δίσκο, ένας εισβολέας μπορεί να αλλάξει τον ίδιο τον σκληρό δίσκο ή σε πολλές περιπτώσεις, να επαναφέρει τη NVRAM του υπολογιστή σε επαναφορά αρχικές ρυθμίσεις BIOS.

Ασφαλής λειτουργία ύπνου

Τα αποτελέσματα της μελέτης έδειξαν ότι το απλό κλείδωμα της επιφάνειας εργασίας του υπολογιστή (δηλαδή, το λειτουργικό σύστημα συνεχίζει να λειτουργεί, αλλά για να αρχίσετε να αλληλεπιδράτε μαζί του πρέπει να εισαγάγετε έναν κωδικό πρόσβασης) δεν προστατεύει τα περιεχόμενα της μνήμης RAM. Η κατάσταση αδρανοποίησης δεν είναι επίσης αποτελεσματική εάν ο υπολογιστής είναι κλειδωμένος όταν επιστρέφει από την κατάσταση αναστολής λειτουργίας, καθώς ένας εισβολέας μπορεί να ενεργοποιήσει την επιστροφή από την κατάσταση αναστολής λειτουργίας, στη συνέχεια να επανεκκινήσει τον φορητό υπολογιστή και να αφαιρέσει τη μνήμη. Η κατάσταση αδρανοποίησης (τα περιεχόμενα της μνήμης RAM αντιγράφονται στον σκληρό δίσκο) επίσης δεν θα βοηθήσει, εκτός από περιπτώσεις χρήσης βασικών πληροφοριών σε αλλοτριωμένα μέσα για την αποκατάσταση της κανονικής λειτουργίας.

Στα περισσότερα συστήματα κρυπτογράφησης σκληρού δίσκου, οι χρήστες μπορούν να προστατευτούν απενεργοποιώντας τον υπολογιστή. (Το σύστημα Bitlocker στον βασικό τρόπο λειτουργίας της μονάδας TPM παραμένει ευάλωτο, αφού ο δίσκος θα συνδεθεί αυτόματα όταν ο υπολογιστής είναι ενεργοποιημένος). Τα περιεχόμενα της μνήμης ενδέχεται να παραμείνουν για ένα μικρό χρονικό διάστημα μετά την αποσύνδεση, επομένως συνιστάται να παρακολουθείτε τον σταθμό εργασίας σας για μερικά ακόμη λεπτά. Παρά την αποτελεσματικότητά του, αυτό το μέτρο είναι εξαιρετικά άβολο λόγω μεγάλος χρόνος φόρτωσηςσταθμούς εργασίας.

Η μετάβαση σε κατάσταση αναστολής λειτουργίας μπορεί να διασφαλιστεί με τους ακόλουθους τρόπους: απαιτείται κωδικός πρόσβασης ή άλλο μυστικό για να «ξυπνήσει» ο σταθμός εργασίας και κρυπτογραφήστε τα περιεχόμενα της μνήμης με ένα κλειδί που προέρχεται από αυτόν τον κωδικό πρόσβασης. Ο κωδικός πρόσβασης πρέπει να είναι ισχυρός, καθώς ένας εισβολέας μπορεί να κάνει μια ένδειξη μνήμης και στη συνέχεια να προσπαθήσει να μαντέψει τον κωδικό πρόσβασης με ωμή βία. Εάν δεν είναι δυνατή η κρυπτογράφηση ολόκληρης της μνήμης, πρέπει να κρυπτογραφήσετε μόνο εκείνες τις περιοχές που περιέχουν βασικές πληροφορίες. Ορισμένα συστήματα ενδέχεται να έχουν ρυθμιστεί ώστε να εισέρχονται σε αυτόν τον τύπο προστατευμένης λειτουργίας ύπνου, αν και αυτή δεν είναι συνήθως η προεπιλεγμένη ρύθμιση.

Αποφυγή προ-υπολογισμών

Η έρευνά μας έδειξε ότι η χρήση προυπολογισμού για την επιτάχυνση των κρυπτογραφικών λειτουργιών καθιστά τις βασικές πληροφορίες πιο ευάλωτες. Οι προ-υπολογισμοί έχουν ως αποτέλεσμα περιττές πληροφορίες σχετικά με τα βασικά δεδομένα που εμφανίζονται στη μνήμη, γεγονός που επιτρέπει στον εισβολέα να ανακτήσει τα κλειδιά ακόμη και αν υπάρχουν σφάλματα. Για παράδειγμα, όπως περιγράφεται στην Ενότητα 5, οι πληροφορίες σχετικά με τα επαναληπτικά κλειδιά των αλγορίθμων AES και DES είναι εξαιρετικά περιττές και χρήσιμες για έναν εισβολέα.

Το να μην κάνετε προ-υπολογισμούς θα μειώσει την απόδοση επειδή θα πρέπει να επαναληφθούν δυνητικά περίπλοκοι υπολογισμοί. Αλλά, για παράδειγμα, μπορείτε να αποθηκεύσετε τις προυπολογισμένες τιμές για μια συγκεκριμένη χρονική περίοδο και να διαγράψετε τα δεδομένα που λάβατε εάν δεν χρησιμοποιηθούν κατά τη διάρκεια αυτού του διαστήματος. Αυτή η προσέγγιση αντιπροσωπεύει μια αντιστάθμιση μεταξύ ασφάλειας και απόδοσης συστήματος.

Επέκταση κλειδιού

Ένας άλλος τρόπος για να αποτρέψετε την ανάκτηση κλειδιού είναι να αλλάξετε τις βασικές πληροφορίες που είναι αποθηκευμένες στη μνήμη με τέτοιο τρόπο ώστε να καθίσταται πιο δύσκολη η ανάκτηση του κλειδιού λόγω διαφόρων σφαλμάτων. Αυτή η μέθοδος έχει συζητηθεί στη θεωρία, όπου έχει παρουσιαστεί μια συνάρτηση ανθεκτική στην ανακάλυψη, της οποίας η είσοδος παραμένει κρυφή ακόμα κι αν έχει ανακαλυφθεί σχεδόν όλη η έξοδος, όπως η λειτουργία των μονόδρομων συναρτήσεων.

Στην πράξη, φανταστείτε ότι έχουμε ένα κλειδί AES 256-bit K που δεν χρησιμοποιείται αυτήν τη στιγμή αλλά θα χρειαστεί αργότερα. Δεν μπορούμε να το αντικαταστήσουμε, αλλά θέλουμε να το κάνουμε ανθεκτικό στις προσπάθειες ανάκτησης. Ένας τρόπος για να επιτευχθεί αυτό είναι να εκχωρήσετε μια μεγάλη περιοχή δεδομένων B-bit, να την γεμίσετε με τυχαία δεδομένα R και στη συνέχεια να αποθηκεύσετε στη μνήμη το αποτέλεσμα του ακόλουθου μετασχηματισμού K+H(R) (δυαδική άθροιση, σημείωση συντάκτη), όπου H είναι μια συνάρτηση κατακερματισμού, όπως το SHA-256.

Τώρα φανταστείτε ότι η τροφοδοσία ήταν απενεργοποιημένη, αυτό θα είχε ως αποτέλεσμα την αλλαγή των d bits σε αυτήν την περιοχή. Εάν η συνάρτηση κατακερματισμού είναι ισχυρή, όταν προσπαθεί να ανακτήσει το κλειδί K, ο εισβολέας μπορεί να βασιστεί μόνο στο ότι θα μπορέσει να μαντέψει ποια κομμάτια της περιοχής Β άλλαξαν από τα περίπου μισά που θα μπορούσαν να έχουν αλλάξει. Εάν τα bit d έχουν αλλάξει, ο εισβολέας θα πρέπει να αναζητήσει μια περιοχή μεγέθους (B/2+d)/d για να βρει τις σωστές τιμές του R και στη συνέχεια να ανακτήσει το κλειδί K. Εάν η περιοχή Β είναι μεγάλη, π. μια αναζήτηση μπορεί να είναι πολύ μεγάλη, ακόμα κι αν το d είναι σχετικά μικρό

Θεωρητικά, θα μπορούσαμε να αποθηκεύσουμε όλα τα κλειδιά με αυτόν τον τρόπο, υπολογίζοντας κάθε κλειδί μόνο όταν το χρειαζόμαστε και διαγράφοντας το όταν δεν το χρειαζόμαστε. Έτσι, χρησιμοποιώντας την παραπάνω μέθοδο, μπορούμε να αποθηκεύσουμε τα κλειδιά στη μνήμη.

Φυσική προστασία

Ορισμένες από τις επιθέσεις μας βασίστηκαν στη φυσική πρόσβαση σε τσιπ μνήμης. Τέτοιες επιθέσεις μπορούν να προληφθούν φυσική προστασίαμνήμη. Για παράδειγμα, οι μονάδες μνήμης βρίσκονται σε κλειστή θήκη υπολογιστή ή σφραγίζονται με εποξειδική κόλλα για να αποτρέπονται προσπάθειες αφαίρεσης ή πρόσβασης σε αυτές. Μπορείτε επίσης να εφαρμόσετε τη διαγραφή μνήμης ως απόκριση σε χαμηλές θερμοκρασίες ή προσπάθειες ανοίγματος της θήκης. Αυτή η μέθοδος θα απαιτήσει την εγκατάσταση αισθητήρων με ανεξάρτητο σύστημα τροφοδοσίας. Πολλές από αυτές τις μεθόδους περιλαμβάνουν υλικό ανθεκτικό σε παραβιάσεις (όπως ο συνεπεξεργαστής IBM 4758) και μπορούν να αυξήσουν σημαντικά το κόστος του σταθμού εργασίας. Από την άλλη πλευρά, η χρήση της μνήμης συγκολλείται σε μητρική πλακέτα, θα κοστίσει πολύ λιγότερο.

Αλλαγή αρχιτεκτονικής

Μπορείτε να αλλάξετε την αρχιτεκτονική του υπολογιστή. Αυτό είναι αδύνατο για ήδη χρησιμοποιημένους υπολογιστές, αλλά θα σας επιτρέψει να εξασφαλίσετε νέους.

Η πρώτη προσέγγιση είναι να σχεδιάσουμε μονάδες DRAM έτσι ώστε να διαγράφουν όλα τα δεδομένα πιο γρήγορα. Αυτό μπορεί να είναι δύσκολο επειδή ο στόχος της διαγραφής δεδομένων όσο το δυνατόν γρηγορότερα έρχεται σε σύγκρουση με τον άλλο στόχο της διατήρησης της απώλειας δεδομένων μεταξύ των περιόδων ανανέωσης μνήμης.

Μια άλλη προσέγγιση είναι η προσθήκη υλικού αποθήκευσης βασικών πληροφοριών που είναι εγγυημένο ότι θα διαγράφει όλες τις πληροφορίες από την αποθήκευσή του κατά την εκκίνηση, την επανεκκίνηση και τον τερματισμό λειτουργίας. Με αυτόν τον τρόπο, θα έχουμε ένα ασφαλές μέρος για την αποθήκευση πολλών κλειδιών, αν και η ευπάθεια που σχετίζεται με τον προ-υπολογισμό τους θα παραμείνει.

Άλλοι ειδικοί έχουν προτείνει μια αρχιτεκτονική στην οποία τα περιεχόμενα της μνήμης θα κρυπτογραφούνται μόνιμα. Εάν, εκτός από αυτό, εφαρμόσουμε διαγραφή κλειδιών κατά την επανεκκίνηση και διακοπή ρεύματος, τότε αυτή η μέθοδος θα παρέχει επαρκή προστασία από τις επιθέσεις που περιγράψαμε.

Αξιόπιστη Υπολογιστική

Υλικό που αντιστοιχεί στην έννοια του "αξιόπιστου υπολογισμού", για παράδειγμα, με τη μορφή μονάδων TPM, χρησιμοποιείται ήδη σε ορισμένους υπολογιστές. Αν και είναι χρήσιμος για την προστασία από ορισμένες επιθέσεις, στην τρέχουσα μορφή του, τέτοιος εξοπλισμός δεν βοηθά στην πρόληψη των επιθέσεων που περιγράφουμε.

Οι λειτουργικές μονάδες TPM που χρησιμοποιούνται δεν εφαρμόζουν πλήρη κρυπτογράφηση. Αντίθετα, παρατηρούν τη διαδικασία εκκίνησης για να αποφασίσουν εάν είναι ασφαλές να φορτωθεί το κλειδί στη μνήμη RAM ή όχι. Εάν το λογισμικό χρειάζεται να χρησιμοποιήσει ένα κλειδί, τότε μπορεί να εφαρμοστεί η ακόλουθη τεχνολογία: το κλειδί, σε χρησιμοποιήσιμη μορφή, δεν θα αποθηκευτεί στη μνήμη RAM έως ότου η διαδικασία εκκίνησης προχωρήσει όπως αναμένεται. Μόλις όμως το κλειδί βρίσκεται στη μνήμη RAM, γίνεται αμέσως στόχος των επιθέσεων μας. Τα TPM μπορούν να αποτρέψουν τη φόρτωση ενός κλειδιού στη μνήμη, αλλά δεν εμποδίζουν την ανάγνωσή του από τη μνήμη.

συμπεράσματα

Σε αντίθεση με τη δημοφιλή πεποίθηση, οι μονάδες DRAM αποθηκεύουν δεδομένα για σχετικά μεγάλο χρονικό διάστημα όταν είναι απενεργοποιημένα. Τα πειράματά μας έχουν δείξει ότι αυτό το φαινόμενο επιτρέπει μια ολόκληρη κατηγορία επιθέσεων που μπορούν να λάβουν ευαίσθητα δεδομένα, όπως κλειδιά κρυπτογράφησης, από τη μνήμη RAM, παρά τις προσπάθειες του λειτουργικού συστήματος να προστατεύσει το περιεχόμενό της. Οι επιθέσεις που περιγράψαμε μπορούν να εφαρμοστούν στην πράξη και τα παραδείγματα επιθέσεων μας σε δημοφιλή συστήματα κρυπτογράφησης το αποδεικνύουν.

Αλλά και άλλοι τύποι λογισμικού είναι επίσης ευάλωτοι. Τα συστήματα διαχείρισης ψηφιακών δικαιωμάτων (DRM) χρησιμοποιούν συχνά συμμετρικά κλειδιά που είναι αποθηκευμένα στη μνήμη και αυτά μπορούν επίσης να ληφθούν χρησιμοποιώντας τις μεθόδους που περιγράφονται. Όπως έχουμε δείξει, οι διακομιστές ιστού με δυνατότητα SSL είναι επίσης ευάλωτοι επειδή αποθηκεύουν στη μνήμη τα ιδιωτικά κλειδιά που απαιτούνται για τη δημιουργία περιόδων σύνδεσης SSL. Οι μέθοδοί μας για την εύρεση βασικών πληροφοριών είναι πιθανό να είναι αποτελεσματικές για την εύρεση κωδικών πρόσβασης, αριθμών λογαριασμού και οποιωνδήποτε άλλων σημαντικές πληροφορίες, αποθηκευμένο στη μνήμη RAM.

Μοιάζει με όχι απλός τρόποςεξαλείψτε τις ευπάθειες που εντοπίστηκαν. Η αλλαγή λογισμικού πιθανότατα δεν θα είναι αποτελεσματική. Οι αλλαγές υλικού θα βοηθήσουν, αλλά το κόστος χρόνου και πόρων θα είναι υψηλό. Η αξιόπιστη τεχνολογία υπολογιστών στην τρέχουσα μορφή της είναι επίσης αναποτελεσματική επειδή δεν μπορεί να προστατεύσει τα κλειδιά που βρίσκονται στη μνήμη.

Κατά τη γνώμη μας, οι φορητοί υπολογιστές που βρίσκονται συχνά σε δημόσιους χώρους και λειτουργούν με τρόπους που είναι ευάλωτοι σε αυτές τις επιθέσεις είναι πιο επιρρεπείς σε αυτόν τον κίνδυνο. Η παρουσία τέτοιων κινδύνων δείχνει ότι η κρυπτογράφηση δίσκου προστατεύει σημαντικά δεδομένα σε μικρότερο βαθμό από ό,τι πιστεύεται συνήθως.

Ως αποτέλεσμα, μπορεί να χρειαστεί να αντιμετωπίσετε τη μνήμη DRAM ως μη αξιόπιστο στοιχείο ενός σύγχρονου υπολογιστή και να αποφύγετε την επεξεργασία ευαίσθητων ευαίσθητων πληροφοριών σε αυτήν. Αλλά προς το παρόν, αυτό δεν είναι πρακτικό έως ότου αλλάξει η αρχιτεκτονική των σύγχρονων υπολογιστών ώστε να επιτρέπει στο λογισμικό να αποθηκεύει κλειδιά σε μια ασφαλή τοποθεσία.

Με ανοιχτό πηγαίος κώδικαςήταν δημοφιλής για 10 χρόνια λόγω της ανεξαρτησίας του από τους μεγάλους πωλητές. Οι δημιουργοί του προγράμματος είναι άγνωστοι στο κοινό. Μεταξύ των πιο διάσημων χρηστών του προγράμματος είναι ο Edward Snowden και ο εμπειρογνώμονας ασφαλείας Bruce Schneier. Το βοηθητικό πρόγραμμα σας επιτρέπει να μετατρέψετε μια μονάδα flash ή HDDΣε μια ασφαλή κρυπτογραφημένη αποθήκευση όπου οι εμπιστευτικές πληροφορίες είναι κρυμμένες από τα αδιάκριτα μάτια.

Οι μυστηριώδεις προγραμματιστές της κοινής ωφέλειας ανακοίνωσαν το κλείσιμο του έργου την Τετάρτη 28 Μαΐου, εξηγώντας ότι η χρήση του TrueCrypt δεν είναι ασφαλής. "ΠΡΟΕΙΔΟΠΟΙΗΣΗ: Δεν είναι ασφαλές να χρησιμοποιείτε το TrueCrypt επειδή ... το πρόγραμμα μπορεί να περιέχει ανεπίλυτα τρωτά σημεία» - αυτό το μήνυμα μπορεί να δει κανείς στη σελίδα του προϊόντος στην πύλη SourceForge. Αυτό ακολουθείται από ένα άλλο μήνυμα: «Πρέπει να μετεγκαταστήσετε όλα τα δεδομένα που είναι κρυπτογραφημένα με TrueCrypt σε κρυπτογραφημένους δίσκους ή εικόνες εικονικού δίσκου που υποστηρίζονται στην πλατφόρμα σας».

Ο ανεξάρτητος ειδικός σε θέματα ασφάλειας Graham Cluley σχολίασε πολύ λογικά την τρέχουσα κατάσταση: «Είναι καιρός να βρούμε μια εναλλακτική λύση για την κρυπτογράφηση αρχείων και σκληρών δίσκων».

Δεν αστειεύομαι!

Αρχικά, υπήρχαν ενδείξεις ότι η ιστοσελίδα του προγράμματος παραβιάστηκε από κυβερνοεγκληματίες, αλλά τώρα γίνεται σαφές ότι δεν πρόκειται για φάρσα. Το SourceForge προσφέρει τώρα μια ενημερωμένη έκδοση του TrueCrypt (η οποία έχει ψηφιακή υπογραφήπρογραμματιστές), κατά την εγκατάσταση των οποίων προτείνεται η μετάβαση σε BitLocker ή άλλο εναλλακτικό εργαλείο.

Ο καθηγητής κρυπτογραφίας του Πανεπιστημίου John Hopkins Matthew Green δήλωσε: «Είναι πολύ απίθανο ένας άγνωστος χάκερ να αναγνώρισε τους προγραμματιστές του TrueCrypt, να έκλεψε την ψηφιακή τους υπογραφή και να χακάρει τον ιστότοπό τους».

Τι να χρησιμοποιήσετε τώρα;

Ο ιστότοπος και μια αναδυόμενη ειδοποίηση στο ίδιο το πρόγραμμα περιέχουν οδηγίες για τη μεταφορά αρχείων κρυπτογραφημένων με TrueCrypt στην υπηρεσία BitLocker της Microsoft, η οποία συνοδεύεται από Microsoft Vista Ultimate/Enterprise, Windows 7 Ultimate/Enterprise και Windows 8 Pro/Enterprise. Το TrueCrypt 7.2 σάς επιτρέπει να αποκρυπτογραφείτε αρχεία, αλλά δεν σας επιτρέπει να δημιουργήσετε νέα κρυπτογραφημένα διαμερίσματα.

Η πιο προφανής εναλλακτική λύση για το πρόγραμμα είναι το BitLocker, αλλά υπάρχουν και άλλες επιλογές. Ο Schneier μοιράστηκε ότι επιστρέφει στη χρήση του PGPDisk από τη Symantec. ($110 ανά άδεια χρήστη) χρησιμοποιεί τη γνωστή και αποδεδειγμένη μέθοδο κρυπτογράφησης PGP.

Υπάρχουν κι άλλοι δωρεάν εναλλακτικές λύσειςγια Windows, όπως το DiskCryptor. Ερευνητής ασφάλεια του υπολογιστή, γνωστό ως The Grugq, πέρυσι συγκέντρωσε ένα σύνολο που εξακολουθεί να είναι επίκαιρο σήμερα.

Ο Johannes Ulrich, επιστημονικός διευθυντής του SANS Institute of Technology, συνιστά στους χρήστες Mac OS X να δώσουν προσοχή στο FileVault 2, το οποίο είναι ενσωματωμένο στο OS X 10.7 (Lion) και σε μεταγενέστερα λειτουργικά συστήματα αυτής της οικογένειας. Το FileVault χρησιμοποιεί κρυπτογράφηση XTS-AES 128-bit, η οποία χρησιμοποιείται από την Υπηρεσία Εθνικής Ασφάλειας των ΗΠΑ (NSA). Σύμφωνα με τον Ulrich Χρήστες Linuxπρέπει να συμμορφώνεται με το ενσωματωμένο εργαλείο συστήματος Linux Unified Key Setup (LUKS). Εάν χρησιμοποιείτε το Ubuntu, τότε το πρόγραμμα εγκατάστασης αυτού του λειτουργικού συστήματος σάς επιτρέπει ήδη να ενεργοποιήσετε την πλήρη κρυπτογράφηση δίσκου από την αρχή.

Ωστόσο, οι χρήστες θα χρειαστούν άλλες εφαρμογές για την κρυπτογράφηση φορητών μέσων που χρησιμοποιούνται σε υπολογιστές με διαφορετικά λειτουργικά συστήματα. Ο Ulrich είπε ότι αυτό που έρχεται στο μυαλό σε αυτή την περίπτωση είναι .

Η γερμανική εταιρεία Steganos προσφέρει προς χρήση παλιά εκδοχήτο βοηθητικό πρόγραμμα κρυπτογράφησης Steganos Safe ( τρέχουσα έκδοσηΠρος το παρόν - 15, αλλά προτείνεται να χρησιμοποιηθεί η έκδοση 14), η οποία διανέμεται δωρεάν.

Άγνωστα τρωτά σημεία

Το γεγονός ότι το TrueCrypt μπορεί να έχει τρωτά σημεία ασφαλείας προκαλεί σοβαρή ανησυχία, ειδικά επειδή ο έλεγχος του προγράμματος δεν αποκάλυψε τέτοια προβλήματα. Οι χρήστες του προγράμματος έχουν συγκεντρώσει 70.000 δολάρια για τον έλεγχο μετά τις φήμες ότι η Υπηρεσία Εθνικής Ασφάλειας των ΗΠΑ θα μπορούσε να αποκωδικοποιήσει σημαντικές ποσότητες κρυπτογραφημένων δεδομένων. Το πρώτο στάδιο της μελέτης, το οποίο ανέλυσε τον φορτωτή TrueCrypt, πραγματοποιήθηκε τον περασμένο μήνα. Ο έλεγχος δεν αποκάλυψε κανένα backdoors ή σκόπιμα τρωτά σημεία. Η επόμενη φάση της μελέτης, η οποία θα δοκιμάσει τις χρησιμοποιούμενες μέθοδοι κρυπτογραφίας, σχεδιάστηκε για αυτό το καλοκαίρι.

Το Green ήταν ένας από τους εμπειρογνώμονες που συμμετείχαν στον έλεγχο. Είπε ότι δεν είχε προκαταρκτικές πληροφορίες που οι προγραμματιστές σχεδίαζαν να κλείσουν το έργο. Η Green δήλωσε: "Το τελευταίο που άκουσα από τους προγραμματιστές του TrueCrypt ήταν:" Προσβλέπουμε στα αποτελέσματα της δοκιμής φάσης 2. Σας ευχαριστω για τις ΠΡΟΣΠΑΘΕΙΕΣ σας!" Θα πρέπει να σημειωθεί ότι ο έλεγχος θα συνεχιστεί όπως είχε προγραμματιστεί, παρά το κλείσιμο του έργου TrueCrypt.

Ίσως οι δημιουργοί του προγράμματος αποφάσισαν να αναστείλουν την ανάπτυξη επειδή η χρησιμότητα είναι ξεπερασμένη. Η ανάπτυξη σταμάτησε στις 5 Μαΐου 2014, δηλ. μετά την επίσημη λήξη της υποστήριξης συστήματα Windows XP. Το Soundforge αναφέρει: "Τα Windows 8/7/Vista και τα μεταγενέστερα συστήματα διαθέτουν ενσωματωμένα εργαλεία για κρυπτογράφηση δίσκων και εικόνες εικονικού δίσκου". Έτσι, η κρυπτογράφηση δεδομένων ενσωματώνεται σε πολλά λειτουργικά συστήματα και οι προγραμματιστές ενδέχεται να έχουν βρει ότι το πρόγραμμα δεν είναι πλέον απαραίτητο.

Για να προσθέσετε καύσιμο στη φωτιά, στις 19 Μαΐου, το TrueCrypt αφαιρέθηκε από το ασφαλές σύστημα Tails (το αγαπημένο σύστημα του Snowden). Ο λόγος δεν είναι απολύτως σαφής, αλλά το πρόγραμμα δεν πρέπει να χρησιμοποιείται σαφώς, σημειώθηκε ο Cluley.

Ο Cluley έγραψε επίσης: «Είτε πρόκειται για απάτη, για πειρατεία ή για το λογικό τέλος του κύκλου ζωής του TrueCrypt, είναι σαφές ότι οι ευσυνείδητοι χρήστες δεν θα αισθάνονται άνετα να εμπιστεύονται το πρόγραμμα με τα δεδομένα τους μετά από αυτό το φιάσκο».

Αυτό είναι το τέταρτο των πέντε άρθρων στο blog μας αφιερωμένο στο Veracrypt, εξετάζει λεπτομερώς και δίνει βήμα προς βήμα οδηγίες, πώς να χρησιμοποιήσετε το VeraCrypt για να κρυπτογραφήσετε ένα διαμέρισμα συστήματος ή έναν ολόκληρο δίσκο με εγκατεστημένο το λειτουργικό σύστημα Windows.

Αν ψάχνετε πώς να κρυπτογραφήσετε έναν σκληρό δίσκο εκτός συστήματος, να κρυπτογραφήσετε μεμονωμένα αρχεία ή μια ολόκληρη μονάδα flash USB και επίσης θέλετε να μάθετε περισσότερα για το VeraCrypt, ρίξτε μια ματιά σε αυτούς τους συνδέσμους:

Αυτή η κρυπτογράφηση είναι η πιο ασφαλής, καθώς όλα τα αρχεία, συμπεριλαμβανομένων τυχόν προσωρινών αρχείων, του αρχείου αδρανοποίησης (λειτουργία αναστολής λειτουργίας), του αρχείου ανταλλαγής και άλλων κρυπτογραφούνται πάντα (ακόμη και σε περίπτωση απροσδόκητης διακοπής ρεύματος). Περιοδικό λειτουργικό σύστημακαι το μητρώο στο οποίο είναι αποθηκευμένα πολλά σημαντικά δεδομένα θα κρυπτογραφηθεί επίσης.

Η κρυπτογράφηση συστήματος λειτουργεί μέσω ελέγχου ταυτότητας πριν από την εκκίνηση του συστήματος. Πριν ξεκινήσει η εκκίνηση των Windows, θα πρέπει να εισαγάγετε έναν κωδικό πρόσβασης που θα αποκρυπτογραφεί το διαμέρισμα συστήματος του δίσκου που περιέχει όλα τα αρχεία του λειτουργικού συστήματος.

Αυτή η λειτουργία υλοποιείται με τη χρήση του VeraCrypt bootloader, ο οποίος αντικαθιστά τον τυπικό bootloader συστήματος. Μπορείτε να εκκινήσετε το σύστημα εάν ο τομέας εκκίνησης του σκληρού δίσκου, και επομένως ο ίδιος ο φορτωτής εκκίνησης, έχει καταστραφεί χρησιμοποιώντας το VeraCrypt Rescue Disk.

Λάβετε υπόψη ότι το διαμέρισμα συστήματος κρυπτογραφείται εν κινήσει ενώ το λειτουργικό σύστημα εκτελείται. Ενώ η διαδικασία είναι σε εξέλιξη, μπορείτε να χρησιμοποιήσετε τον υπολογιστή ως συνήθως. Τα παραπάνω ισχύουν και για την αποκρυπτογράφηση.

Λίστα λειτουργικών συστημάτων για τα οποία υποστηρίζεται η κρυπτογράφηση δίσκου συστήματος:

  • Windows 10
  • Windows 8 και 8.1
  • Windows 7
  • Windows Vista (SP1 ή μεταγενέστερο)
  • Windows XP
  • Windows Server 2012
  • Windows Server 2008 και Windows Server 2008 R2 (64-bit)
  • Windows Server 2003
Στην περίπτωσή μας, κρυπτογραφούμε έναν υπολογιστή με Windows 10 και έναν μόνο δίσκο ΝΤΟ:\

Βήμα 1 - Κρυπτογραφήστε το διαμέρισμα συστήματος


Εκκινήστε το VeraCrypt, στο κύριο παράθυρο του προγράμματος μεταβείτε στην καρτέλα Σύστημα και επιλέξτε το πρώτο στοιχείο μενού Κρυπτογράφηση κατάτμησης/μονάδας συστήματος (Κρυπτογράφηση κατάτμησης/δίσκου συστήματος).

Βήμα 2 – Επιλογή τύπου κρυπτογράφησης


Αφήστε τον προεπιλεγμένο τύπο Κανονικός (Συνήθης)Εάν θέλετε να δημιουργήσετε ένα κρυφό διαμέρισμα ή ένα κρυφό λειτουργικό σύστημα, τότε δώστε προσοχή στις πρόσθετες δυνατότητες του VeraCrypt. Κάντε κλικ Επόμενο

Βήμα 3 – Περιοχή κρυπτογράφησης



Στην περίπτωσή μας, δεν είναι θεμελιωδώς σημαντικό να κρυπτογραφήσουμε ολόκληρο τον δίσκο ή μόνο το διαμέρισμα συστήματος, καθώς έχουμε μόνο ένα διαμέρισμα στο δίσκο που καταλαμβάνει όλο τον ελεύθερο χώρο. Είναι πιθανό ο φυσικός σας δίσκος να χωρίζεται σε πολλά διαμερίσματα, για παράδειγμα ΝΤΟ:\Και ΡΕ:\. Εάν συμβαίνει αυτό και θέλετε να κρυπτογραφήσετε και τα δύο διαμερίσματα, επιλέξτε Κρυπτογραφήστε ολόκληρη τη μονάδα δίσκου.

Λάβετε υπόψη ότι εάν έχετε εγκαταστήσει πολλούς φυσικούς δίσκους, θα πρέπει να κρυπτογραφήσετε τον καθένα ξεχωριστά. Δίσκος με διαμέρισμα συστήματος χρησιμοποιώντας αυτές τις οδηγίες. Γράφεται ο τρόπος κρυπτογράφησης ενός δίσκου με δεδομένα.

Επιλέξτε εάν θέλετε να κρυπτογραφήσετε ολόκληρο τον δίσκο ή μόνο το διαμέρισμα συστήματος και κάντε κλικ στο κουμπί Επόμενο.

Βήμα 4 – Κρυπτογράφηση κρυφών κατατμήσεων


Επιλέγω Ναίεάν η συσκευή σας έχει κρυφά τμήματαμε τα βοηθητικά προγράμματα του κατασκευαστή του υπολογιστή σας και θέλετε να τα κρυπτογραφήσετε, αυτό συνήθως δεν είναι απαραίτητο.

Βήμα 5 – Αριθμός λειτουργικών συστημάτων


Δεν θα αναλύσουμε την περίπτωση που πολλά λειτουργικά συστήματα είναι εγκατεστημένα στον υπολογιστή ταυτόχρονα. Επιλέξτε και πατήστε το κουμπί Επόμενο.

Βήμα 6 – Ρυθμίσεις κρυπτογράφησης


Επιλογή αλγορίθμων κρυπτογράφησης και κατακερματισμού, εάν δεν είστε σίγουροι τι να επιλέξετε, αφήστε τις τιμές AESΚαι SHA-512προεπιλογή ως η πιο ισχυρή επιλογή.

Βήμα 7 - Κωδικός πρόσβασης


Αυτό είναι ένα σημαντικό βήμα· εδώ πρέπει να δημιουργήσετε έναν ισχυρό κωδικό πρόσβασης που θα χρησιμοποιηθεί για πρόσβαση στο κρυπτογραφημένο σύστημα. Σας συνιστούμε να διαβάσετε προσεκτικά τις συστάσεις των προγραμματιστών στο παράθυρο Volume Creation Wizard σχετικά με τον τρόπο επιλογής ενός καλού κωδικού πρόσβασης.

Βήμα 8 – Συλλογή τυχαίων δεδομένων


Αυτό το βήμα είναι απαραίτητο για τη δημιουργία ενός κλειδιού κρυπτογράφησης με βάση τον κωδικό πρόσβασης που καταχωρίσατε νωρίτερα· όσο περισσότερο μετακινείτε το ποντίκι, τόσο πιο ασφαλή θα είναι τα κλειδιά που προκύπτουν. Μετακινήστε το ποντίκι τυχαία τουλάχιστον μέχρι να γίνει πράσινη η ένδειξη και μετά κάντε κλικ Επόμενο.

Βήμα 9 - Δημιουργημένα κλειδιά


Αυτό το βήμα σάς ενημερώνει ότι τα κλειδιά κρυπτογράφησης, το δέσιμο (αλάτι) και άλλες παράμετροι έχουν δημιουργηθεί με επιτυχία. Αυτό είναι ένα βήμα πληροφοριών, κάντε κλικ Επόμενο.

Βήμα 10 – Δίσκος αποκατάστασης


Καθορίστε τη διαδρομή όπου θα αποθηκευτεί εικόνα ISOδίσκος ανάκτησης (δισκέτα διάσωσης) μπορεί να χρειαστείτε αυτήν την εικόνα εάν ο φορτωτής εκκίνησης του VeraCrypt είναι κατεστραμμένος και θα πρέπει να εισαγάγετε τον σωστό κωδικό πρόσβασης.


Αποθηκεύστε την εικόνα του δίσκου ανάκτησης σε αφαιρούμενα μέσα (για παράδειγμα μια μονάδα flash) ή εγγράψτε την σε έναν οπτικό δίσκο (συνιστούμε) και κάντε κλικ Επόμενο.

Βήμα 11 - Δημιουργείται ο δίσκος ανάκτησης


Σημείωση! Κάθε κρυπτογραφημένο διαμέρισμα συστήματος απαιτεί τον δικό του δίσκο ανάκτησης. Φροντίστε να το δημιουργήσετε και να το αποθηκεύσετε σε αφαιρούμενα μέσα. Μην αποθηκεύετε τη δισκέτα ανάκτησης στην ίδια κρυπτογραφημένη μονάδα δίσκου συστήματος.

Μόνο ένας δίσκος ανάκτησης μπορεί να σας βοηθήσει να αποκρυπτογραφήσετε δεδομένα σε περίπτωση τεχνικών βλαβών και προβλημάτων υλικού.

Βήμα 12 – Καθαρισμός ελεύθερος χώρος



Η εκκαθάριση ελεύθερου χώρου σάς επιτρέπει να αφαιρέσετε μόνιμα δεδομένα που έχουν διαγραφεί προηγουμένως από έναν δίσκο, τα οποία μπορούν να ανακτηθούν χρησιμοποιώντας ειδικές τεχνικές (ιδιαίτερα σημαντικές για τους παραδοσιακούς μαγνητικούς σκληρούς δίσκους).

Εάν κρυπτογραφείτε μια μονάδα SSD, επιλέξτε 1 ή 3 περάσματα· για μαγνητικούς δίσκους συνιστούμε 7 ή 35 περάσματα.

Λάβετε υπόψη ότι αυτή η λειτουργία θα επηρεάσει τον συνολικό χρόνο κρυπτογράφησης του δίσκου, για το λόγο αυτό, απορρίψτε την εάν ο δίσκος σας δεν περιείχε σημαντικά διαγραμμένα δεδομένα πριν.

Μην επιλέξετε 7 ή 35 πάσες για Μονάδες SSD, το μικροσκόπιο μαγνητικής δύναμης δεν λειτουργεί στην περίπτωση των SSD, 1 πέρασμα είναι αρκετό.

Βήμα 13 – Δοκιμή κρυπτογράφησης συστήματος


Εκτελέστε μια προκαταρκτική δοκιμή κρυπτογράφησης συστήματος και δείτε το μήνυμα ότι η διεπαφή του φορτωτή εκκίνησης VeraCrypt είναι εξ ολοκλήρου στα Αγγλικά.

Shan 14 – Τι να κάνετε εάν τα Windows δεν εκκινούν


Διαβάστε, ή καλύτερα, εκτυπώστε τις συστάσεις σε περίπτωση που τι πρέπει να κάνετε εάν τα Windows δεν εκκινήσουν μετά από επανεκκίνηση (αυτό συμβαίνει).

Κάντε κλικ Εντάξειαν έχετε διαβάσει και κατανοήσει το μήνυμα.

Οι απαιτήσεις απορρήτου και ασφάλειας ενός υπολογιστή καθορίζονται εξ ολοκλήρου από τη φύση των δεδομένων που είναι αποθηκευμένα σε αυτόν. Είναι ένα πράγμα αν ο υπολογιστής σας χρησιμεύει ως σταθμός ψυχαγωγίας και δεν υπάρχει τίποτα σε αυτόν εκτός από μερικά παιχνίδια και έναν μπαμπά με φωτογραφίες της αγαπημένης σας γάτας, αλλά είναι εντελώς διαφορετικό εάν ο σκληρός δίσκος περιέχει δεδομένα που αποτελούν εμπορικό μυστικό, ενδεχομένως ενδιαφέροντα στους ανταγωνιστές.

Η πρώτη «γραμμή άμυνας» είναι ο κωδικός πρόσβασης σύνδεσης, ο οποίος ζητείται κάθε φορά που ανοίγετε τον υπολογιστή.

Το επόμενο επίπεδο προστασίας είναι τα δικαιώματα πρόσβασης στο επίπεδο σύστημα αρχείων. Ένας χρήστης που δεν έχει δικαιώματα άδειας θα λάβει ένα σφάλμα κατά την προσπάθεια πρόσβασης στα αρχεία.

Ωστόσο, οι περιγραφόμενες μέθοδοι έχουν ένα εξαιρετικά σημαντικό μειονέκτημα. Και τα δύο λειτουργούν σε επίπεδο λειτουργικού συστήματος και μπορούν να παρακαμφθούν σχετικά εύκολα εάν έχετε λίγο χρόνο και φυσική πρόσβαση στον υπολογιστή (για παράδειγμα, με εκκίνηση από μια μονάδα flash USB μπορείτε να επαναφέρετε τον κωδικό πρόσβασης διαχειριστή ή να αλλάξετε τα δικαιώματα του αρχείου). Πλήρης εμπιστοσύνη στην ασφάλεια και την εμπιστευτικότητα των δεδομένων μπορεί να αποκτηθεί μόνο εάν χρησιμοποιείτε τα επιτεύγματα της κρυπτογραφίας και τα χρησιμοποιείτε με ασφάλεια. Παρακάτω θα δούμε δύο μεθόδους τέτοιας προστασίας.

Η πρώτη μέθοδος που εξετάζεται σήμερα θα είναι η ενσωματωμένη προστασία κρυπτογράφησης της Microsoft. Η κρυπτογράφηση, που ονομάζεται BitLocker, εμφανίστηκε για πρώτη φορά στα Windows 8. Δεν μπορεί να χρησιμοποιηθεί για την ασφάλεια ενός μεμονωμένου φακέλου ή αρχείου, είναι διαθέσιμη μόνο κρυπτογράφηση ολόκληρου του δίσκου. Αυτό συνεπάγεται ειδικότερα το γεγονός ότι είναι αδύνατη η κρυπτογράφηση του δίσκου του συστήματος (το σύστημα δεν θα μπορεί να εκκινήσει) και είναι επίσης αδύνατη η αποθήκευση σημαντικών δεδομένων σε βιβλιοθήκες συστήματος όπως το "My Documents" (από προεπιλογή βρίσκονται στο διαμέρισμα συστήματος).
Για να ενεργοποιήσετε την ενσωματωμένη κρυπτογράφηση, κάντε τα εξής:

  1. Ανοίξτε τον Explorer, κάντε δεξί κλικ στη μονάδα δίσκου που θέλετε να κρυπτογραφήσετε και επιλέξτε "Ενεργοποίηση BitLocker".
  2. Επιλέξτε το πλαίσιο "Χρήση κωδικού πρόσβασης για το ξεκλείδωμα του δίσκου", δημιουργήστε και εισαγάγετε έναν κωδικό πρόσβασης δύο φορές που να πληροί τις απαιτήσεις ασφαλείας (τουλάχιστον 8 χαρακτήρες, πρέπει να έχει πεζά και κεφαλαία γράμματα, συνιστάται να εισάγετε τουλάχιστον έναν ειδικό χαρακτήρα) και κάντε κλικ στο κουμπί «Επόμενο». Δεν θα εξετάσουμε τη δεύτερη επιλογή ξεκλειδώματος στο πλαίσιο αυτής της σημείωσης, καθώς οι συσκευές ανάγνωσης έξυπνων καρτών είναι αρκετά σπάνιες και χρησιμοποιούνται σε οργανισμούς που έχουν τη δική τους υπηρεσία ασφάλειας πληροφοριών.
  3. Σε περίπτωση που χάσετε τον κωδικό πρόσβασής σας, το σύστημα προσφέρει τη δημιουργία ενός ειδικού κλειδιού ανάκτησης. Μπορεί να συνδεθεί σε λογαριασμός Microsoft, αποθηκεύστε σε ένα αρχείο ή απλώς εκτυπώστε σε έναν εκτυπωτή. Επιλέξτε μία από τις μεθόδους και αφού αποθηκεύσετε το κλειδί, κάντε κλικ στο «Επόμενο». Αυτό το κλειδί θα πρέπει να προστατεύεται από αγνώστους γιατί, ως ασφάλιση κατά της λήθης σας, μπορεί να γίνει μια «πίσω πόρτα» από την οποία θα διαρρεύσουν τα δεδομένα σας.
  4. Στην επόμενη οθόνη, επιλέξτε εάν θα κρυπτογραφήσετε ολόκληρη τη μονάδα δίσκου ή μόνο τον χρησιμοποιούμενο χώρο. Το δεύτερο σημείο είναι πιο αργό, αλλά πιο αξιόπιστο.
  5. Επιλέξτε έναν αλγόριθμο κρυπτογράφησης. Εάν δεν σχεδιάζετε να μεταφέρετε το δίσκο μεταξύ των υπολογιστών, επιλέξτε την πιο ισχυρή τελευταία λειτουργία, διαφορετικά, τη λειτουργία συμβατότητας.
  6. Αφού διαμορφώσετε τις ρυθμίσεις, κάντε κλικ στο κουμπί "Έναρξη κρυπτογράφησης". Μετά από λίγη αναμονή, τα δεδομένα στη μονάδα σας θα κρυπτογραφηθούν με ασφάλεια.
  7. Μετά την αποσύνδεση ή την επανεκκίνηση, ο προστατευμένος τόμος θα γίνει απρόσιτος και θα απαιτείται κωδικός πρόσβασης για το άνοιγμα των αρχείων.

DiskCryptor

Το δεύτερο βοηθητικό πρόγραμμα κρυπτογράφησης που εξετάζουμε σήμερα είναι το DiskCryptor, μια λύση δωρεάν και ανοιχτού κώδικα. Για να το χρησιμοποιήσετε, χρησιμοποιήστε τις παρακάτω οδηγίες:

  1. Κατεβάστε το πρόγραμμα εγκατάστασης από τον επίσημο ιστότοπο χρησιμοποιώντας τον σύνδεσμο. Εκτελέστε το ληφθέν αρχείο.
  2. Η διαδικασία εγκατάστασης είναι εξαιρετικά απλή· συνίσταται στο πάτημα του κουμπιού «Επόμενο» πολλές φορές και τελικά στην επανεκκίνηση του υπολογιστή.

  3. Μετά την επανεκκίνηση, ξεκινήστε το πρόγραμμα DiskCryptor από το φάκελο του προγράμματος ή κάνοντας κλικ στη συντόμευση στην επιφάνεια εργασίας.
  4. Στο παράθυρο που ανοίγει, κάντε κλικ στον δίσκο που θέλετε να κρυπτογραφήσετε και κάντε κλικ στο κουμπί «Κρυπτογράφηση».
  5. Το επόμενο βήμα είναι να επιλέξετε έναν αλγόριθμο κρυπτογράφησης και να αποφασίσετε εάν πρέπει να διαγράψετε όλα τα δεδομένα από το δίσκο πριν τον κρυπτογραφήσετε (εάν δεν σκοπεύετε να καταστρέψετε πληροφορίες, φροντίστε να επιλέξετε "Κανένα" στη λίστα "Λειτουργία διαγραφής").
  6. Εισαγάγετε τον κωδικό αποκρυπτογράφησης δύο φορές (συνιστάται να βρείτε έναν σύνθετο κωδικό πρόσβασης, έτσι ώστε το πεδίο "Βαθμολογία κωδικού πρόσβασης" να είναι τουλάχιστον "Υψηλό"). Στη συνέχεια κάντε κλικ στο "OK".
  7. Μετά από λίγη αναμονή, ο δίσκος θα κρυπτογραφηθεί. Μετά την επανεκκίνηση ή την αποσύνδεση, για να αποκτήσετε πρόσβαση σε αυτό, θα χρειαστεί να ξεκινήσετε το βοηθητικό πρόγραμμα, να κάνετε κλικ στο κουμπί "Mount" ή "Mount All", εισαγάγετε τον κωδικό πρόσβασης και κάντε κλικ στο "OK".

Το αναμφισβήτητο πλεονέκτημα αυτού του βοηθητικού προγράμματος σε σύγκριση με τον μηχανισμό BitLocker είναι ότι μπορεί να χρησιμοποιηθεί σε συστήματα που κυκλοφόρησαν πριν από τα Windows 8 (υποστηρίζονται ακόμη και τα Windows XP, τα οποία έχουν διακοπεί). Αλλά το DiskCryptor έχει επίσης πολλά σημαντικά μειονεκτήματα:

  • δεν υπάρχουν τρόποι επαναφοράς της πρόσβασης σε κρυπτογραφημένες πληροφορίες (εάν ξεχάσετε τον κωδικό πρόσβασής σας, είναι σίγουρο ότι θα χάσετε τα δεδομένα σας).
  • Υποστηρίζεται μόνο το ξεκλείδωμα με κωδικό πρόσβασης· δεν είναι δυνατή η χρήση έξυπνων καρτών ή βιομετρικών αισθητήρων.
  • Ίσως το μεγαλύτερο μειονέκτημα της χρήσης του DiskCryptor είναι ότι ένας εισβολέας με πρόσβαση διαχειριστή στο σύστημα θα μπορεί να τυπικά μέσαδιαμόρφωση δίσκου. Ναι, δεν θα αποκτήσει πρόσβαση στα δεδομένα, αλλά θα τα χάσετε και εσείς.

Συνοψίζοντας, μπορώ να πω ότι εάν ο υπολογιστής σας έχει εγκατεστημένο λειτουργικό σύστημα ξεκινώντας από τα Windows 8, τότε είναι καλύτερο να χρησιμοποιήσετε την ενσωματωμένη λειτουργία.

Κρυπτογραφήστε έναν σκληρό δίσκο ή ένα από τα διαμερίσματα του χωρίς προγράμματα ή μεγάλη προσπάθεια

Σήμερα θα εξετάσουμε το ερώτημα πώς μπορείτε να κρυπτογραφήσετε έναν σκληρό δίσκο ή τα μεμονωμένα διαμερίσματα του χωρίς να χρησιμοποιήσετε πολύπλοκα προγράμματα ή ειδικές προσπάθειες.

Λοιπόν, το ερώτημα γιατί να κρυπτογραφήσετε έναν σκληρό δίσκο (σκληρό δίσκο) είναι ρητορικό.

Οι στόχοι για την κρυπτογράφηση μπορεί να διαφέρουν ελαφρώς μεταξύ των χρηστών, αλλά γενικά, όλοι προσπαθούν να αρνηθούν την πρόσβαση σε ένα διαμέρισμα ή ολόκληρο τον σκληρό δίσκο σε μη εξουσιοδοτημένα άτομα.

Αυτό είναι κατανοητό στην εποχή μας με το αχαλίνωτο έγκλημα στον κυβερνοχώρο, και γενικά οι μικροί κακοποιοί υπολογιστών, μπορεί να χάσετε σημαντικά προσωπικά αρχεία.

Λοιπόν, ας δούμε τον απλούστερο τρόπο κρυπτογράφησης ενός σκληρού δίσκου ή ενός από τα διαμερίσματα του.

Η μέθοδος που θα χρησιμοποιήσουμε:

Κρυπτογράφηση Bitlocker (ενσωματωμένη στα Windows 7 Ultimate και Enterprise)

Λοιπόν, ας ξεκινήσουμε. Αυτή η μέθοδος «κωδικοποίησης» ενός σκληρού δίσκου είναι ενσωματωμένη στα Windows και ονομάζεται Bitlocker. Τα πλεονεκτήματα αυτής της μεθόδου:

  • Δεν χρειάζεται κανένα προγράμματα τρίτων, όλα όσα χρειαζόμαστε είναι ήδη στο λειτουργικό σύστημα (OS)
  • Εάν ο σκληρός δίσκος κλάπηκε, τότε η σύνδεσή του σε άλλον υπολογιστή θα εξακολουθεί να απαιτεί κωδικό πρόσβασης

Επίσης, στο τελικό στάδιο, κατά την αποθήκευση του κλειδιού πρόσβασης, ένας από τους τρόπους είναι να το γράψετε σε μια μονάδα flash, επομένως θα πρέπει να το αποφασίσετε εκ των προτέρων.

Αυτή η ίδια η μέθοδος συμπεριλήφθηκε στα Windows Vista. Στο «Seven» έχει βελτιωμένη έκδοση.

Πολλοί μπορεί να έχουν παρατηρήσει κατά την εγκατάσταση του λειτουργικού συστήματος Windows ότι ένα μικρό διαμέρισμα μεγέθους 100 megabyte δημιουργήθηκε πριν τοπικός δίσκος"C", τώρα ξέρετε σε τι χρησιμεύει.

Ναι, μόνο για κρυπτογράφηση Bitlocker (στα Vista ήταν 1,5 gigabyte σε μέγεθος).

Για να το ενεργοποιήσετε, μεταβείτε στον "Πίνακα ελέγχου" - "Σύστημα και ασφάλεια" - "Κρυπτογράφηση δίσκου Bitlocker".

Αποφασίζουμε τον δίσκο που θα κρυπτογραφηθεί και επιλέγουμε «Ενεργοποίηση Bitlocker».

Εάν εμφανιστεί ένα μήνυμα, όπως στην παρακάτω εικόνα, τότε πρέπει να κάνετε μικρές αλλαγές στις ρυθμίσεις του συστήματος:

Για να γίνει αυτό, στο «Έναρξη» εισάγουμε «πολιτική» στη γραμμή αναζήτησης και εμφανίζονται οι επιλογές αναζήτησης.

Επιλέξτε «Αλλαγή πολιτικής ομάδας»:

Βρισκόμαστε στον επεξεργαστή, στον οποίο πρέπει να ακολουθήσουμε: Διαμόρφωση υπολογιστή - Πρότυπα διαχείρισης - Στοιχεία Windows - Κρυπτογράφηση δίσκου Bitlocker - Δίσκοι λειτουργικού συστήματος. Στα δεξιά, κάντε διπλό κλικ στο "Απαιτείται πρόσθετος έλεγχος ταυτότητας":

Στο μενού που εμφανίζεται, επιλέξτε "Ενεργοποίηση", συν πρέπει να ελέγξετε το "Να επιτρέπεται η χρήση του Bitlocker χωρίς συμβατό TPM" - επιβεβαιώστε τις ρυθμίσεις μας - ΟΚ.

Πρέπει επίσης να αποφασίσετε για τη μέθοδο κρυπτογράφησης. Πρέπει να βάλουμε την πιο περίπλοκη μέθοδο.

Για να το κάνουμε αυτό, ακολουθούμε την ίδια διαδρομή όπως στην προηγούμενη παράγραφο, μόνο σταματάμε στο φάκελο "Κρυπτογράφηση δίσκου Bitlocker", στα δεξιά βλέπουμε το αρχείο - "Επιλέξτε τη μέθοδο κρυπτογράφησης δίσκου και την ισχύ κρυπτογράφησης".

Το πιο αξιόπιστο εδώ είναι το AES με κρυπτογράφηση 256-bit, επιλέξτε το, κάντε κλικ στο "Εφαρμογή" και στο "OK".

Τα πάντα μπορούν πλέον να χρησιμοποιηθούν ελεύθερα με κρυπτογράφηση.

Όπως στην αρχή του άρθρου, μεταβείτε στον "Πίνακα ελέγχου" - "Σύστημα και ασφάλεια" - "Κρυπτογράφηση δίσκου Bitlocker". Κάντε κλικ στο «Ενεργοποίηση».

Θα έχουμε πρόσβαση σε ο μόνος τρόπος, που απαιτεί κλειδί. Θα είναι σε μονάδα flash.

Το κλειδί που προκύπτει είναι γραμμένο κανονικά αρχείο κειμένου. Στη συνέχεια, θα σας ζητηθεί να ενεργοποιήσετε τον έλεγχο, να επιλέξετε το πλαίσιο και να "συνέχεια".

Ας κάνουμε επανεκκίνηση. Εάν όλα πήγαν καλά, τότε την επόμενη φορά που θα το ενεργοποιήσετε, θα ξεκινήσει η διαδικασία κρυπτογράφησης του διαμερίσματος του σκληρού δίσκου.

Όσον αφορά το χρόνο, η διαδικασία θα διαρκέσει ανάλογα με την ισχύ του συστήματος - συνήθως από αρκετά λεπτά έως αρκετές ώρες (αν πρόκειται για διαμέρισμα πολλών εκατοντάδων gigabyte).

Με την ολοκλήρωση, λαμβάνουμε ένα μήνυμα - Η κρυπτογράφηση ολοκληρώθηκε. Μην ξεχνάτε τα κλειδιά πρόσβασης, ελέγξτε τα.

Εξετάσαμε έναν πολύ απλό τρόπο κρυπτογράφησης ενός σκληρού δίσκου χωρίς προγράμματα τρίτων και βαθιά γνώση στον τομέα της κρυπτογραφίας.

Αυτή η μέθοδος είναι πολύ αποτελεσματική και βολική, μπορείτε επίσης να τη χρησιμοποιήσετε για να κρυπτογραφήσετε μια μονάδα flash· αυτό το ζήτημα θα συζητηθεί στο επόμενο άρθρο.



Δημοφιλή στην κατηγορία:
Πώς να δημιουργήσετε ένα κλιπ καραόκε σε έναν υπολογιστή;
Πώς να δημιουργήσετε ένα κλιπ καραόκε σε έναν υπολογιστή;
ανάγνωση
Η εφαρμογή Origin απαιτείται για το παιχνίδι, αλλά δεν είναι εγκατεστημένη. Το FIFA 16 απαιτεί Origin.
Η εφαρμογή Origin απαιτείται για αναπαραγωγή, αλλά δεν είναι εγκατεστημένη FIFA...
ανάγνωση
Εγγραφή προσωπικής σελίδας στο κοινωνικό δίκτυο Facebook
Εγγραφή προσωπικής σελίδας στο κοινωνικό δίκτυο Facebook
ανάγνωση
Πώς να εκτελέσετε μια απλή σάρωση Nmap Nmap
Πώς να εκτελέσετε μια απλή σάρωση Nmap Nmap
ανάγνωση

πρόσφατα άρθρα
Πώς να περιστρέψετε μια εικόνα μερικές μοίρες...
ανάγνωση
Απενεργοποίηση διαφήμισης στο πρόγραμμα περιήγησης Yandex Πού...
ανάγνωση
Αντιμετώπιση προβλημάτων σύνδεσης Wi-Fi σε...
ανάγνωση
Αλλαγή κωδικού πρόσβασης στο προφίλ των Windows 10
ανάγνωση
Οδηγίες για τη ρύθμιση ασύρματων δρομολογητών...
ανάγνωση
Πώς να επιλέξετε έναν σκληρό δίσκο και ποιο είναι καλύτερο να αγοράσετε...
ανάγνωση
Meizu για ανδρείκελα. Κλήσεις και βιβλίο διευθύνσεων....
ανάγνωση
Κατεβάστε το πρόγραμμα PDFMaster
ανάγνωση
Μπλουζα