Диск бөлімдерін шифрлауға арналған бағдарлама. VeraCrypt көмегімен бүкіл қатты дискіні қалай шифрлауға болады. Windows жүйесінде VeraCrypt орнату

Принстон университетінің зерттеушілері шифрлауды айналып өтудің жолын тапты. қатты дискілер, modules қасиетін пайдалану жедел жадыэлектр қуатын өшіргеннен кейін де ақпаратты қысқа уақыт ішінде сақтаңыз.

Алғы сөз

Шифрланған қатты дискіге кіру үшін кілт болуы керек болғандықтан және ол, әрине, жедел жадта сақталады, тек бірнеше минут ішінде ДК-ге физикалық қол жеткізу қажет. Сырттан қайта жүктегеннен кейін қатты дискнемесе бірге USB флэшТолық жад демпі жасалады және одан кіру кілті бірнеше минут ішінде шығарылады.

Осылайша шифрлау кілттерін алуға болады (және толық қолжетімділікқатты дискіге) Windows Vista, Mac OS X және Linux операциялық жүйелеріндегі BitLocker, FileVault және dm-crypt бағдарламалары, сондай-ақ TrueCrypt танымал тегін қатты диск шифрлау жүйесі пайдаланатын.

Бұл жұмыстың маңыздылығы деректерді толығымен өшіру үшін жеткілікті уақытқа қуатты өшіруден басқа бұзудың осы әдісінен қорғаудың бірде-бір қарапайым әдісінің жоқтығында.

Процестің көрнекі демонстрациясы ұсынылған бейне.

аннотация

Танымал сенімге қарамастан, DRAM жады, көпшілігінде қолданылады заманауи компьютерлер, қуатты бірнеше секунд немесе минут өшіргеннен кейін де деректерді сақтайды және бұл бөлме температурасында және тіпті чип аналық платадан алынса да болады. Бұл уақыт оперативті жадты толық босату үшін жеткілікті. Біз бұл құбылыс жүйеге физикалық рұқсаты бар шабуылдаушыға криптографиялық кілт деректерін қорғау үшін ОЖ функцияларын айналып өтуге мүмкіндік беретінін көрсетеміз. Біз арнайы жабдықты немесе материалдарды пайдаланбай-ақ белгілі қатты дискінің шифрлау жүйелеріне сәтті шабуыл жасау үшін қайта жүктеуді қалай қолдануға болатынын көрсетеміз. Біз қалдық магниттелудің сақталуының дәрежесі мен ықтималдығын эксперименталды түрде анықтаймыз және деректерді алу уақытын қолдану арқылы айтарлықтай арттыруға болатынын көрсетеміз. қарапайым техникалар. Сондай-ақ жад қалдықтарында криптографиялық кілттерді іздеудің және биттердің жоғалуымен байланысты қателерді түзетудің жаңа әдістері ұсынылатын болады. Дегенмен, бұл тәуекелдерді азайтудың бірнеше жолы талқыланады қарапайым шешімбіз білмейміз.

Кіріспе

Көптеген сарапшылар компьютердің жедел жадындағы деректер қуат өшірілгеннен кейін бірден дерлік жойылады деп есептейді немесе қалдық деректерді арнайы жабдықты пайдаланбай алу өте қиын деп есептейді. Біз бұл болжамдардың дұрыс емес екенін көрсетеміз. Кәдімгі DRAM жады деректерді бірнеше секунд ішінде, тіпті қалыпты температурада да бірте-бірте жоғалтады және жад микросхемасы аналық платадан алынса да, чип төмен температурада сақталған жағдайда деректер онда минуттар немесе тіпті сағаттар бойы сақталады. Қалған деректерді пайдалану арқылы қалпына келтіруге болады қарапайым әдістер, бұл компьютерге қысқа мерзімді физикалық қол жеткізуді қажет етеді.

Біз DRAM реманенттік әсерлерін қолдану арқылы жадта сақталған шифрлау кілттерін қалпына келтіруге мүмкіндік беретін шабуылдар сериясын көрсетеміз. Бұл қатты дискіні шифрлау жүйелеріне сенетін ноутбук пайдаланушыларына нақты қауіп төндіреді. Ақыр соңында, егер шабуылдаушы шифрланған диск қосылған кезде ноутбукты ұрласа, ол ноутбуктың өзі құлыптаулы немесе ұйқы режимінде болса да, мазмұнға қол жеткізу үшін біздің шабуылдарымыздың бірін жүзеге асыра алады. Біз мұны BitLocker, TrueCrypt және FileVault сияқты бірнеше танымал шифрлау жүйелеріне сәтті шабуылдау арқылы көрсетеміз. Бұл шабуылдар басқа шифрлау жүйелеріне қарсы сәтті болуы керек.

Біз күш-жігерімізді қатты дискіні шифрлау жүйелеріне бағыттағанымызға қарамастан, егер шабуылдаушы компьютерге физикалық қол жеткізе алса, жедел жадта сақталған кез келген маңызды ақпарат шабуылдың нысанасына айналуы мүмкін. Көптеген басқа қауіпсіздік жүйелері де осал болуы мүмкін. Мысалы, біз Mac OS X тіркелгі құпия сөздерін жадта қалдыратынын анықтадық, сол жерден біз оларды шығарып аламыз, сонымен қатар Apache веб-серверінің жеке RSA кілттерін алу үшін шабуылдар жасадық.

Кейбір қауым өкілдері ақпараттық қауіпсіздікжәне жартылай өткізгіш физиктер DRAM реманенттік әсері туралы бұрыннан білетін, бұл туралы өте аз ақпарат болды. Нәтижесінде, қауіпсіздік жүйелерін әзірлейтін, әзірлейтін немесе пайдаланатындардың көпшілігі бұл құбылысты және оны шабуылдаушы қаншалықты оңай пайдалана алатынын білмейді. Біздің білуімізше, бұл бірінші егжей-тегжейлі жұмысақпараттық қауіпсіздік үшін осы құбылыстардың салдарын зерттеу.

Шифрланған дискілерге шабуылдар

Қатты дискілерді шифрлау деректерді ұрлаудан қорғаудың белгілі әдісі болып табылады. Көптеген адамдар қатты дискіні шифрлау жүйелері, тіпті егер шабуылдаушы компьютерге физикалық қол жеткізуге қол жеткізсе де, өз деректерін қорғайды деп сенеді (шын мәнінде, олар бұл үшін, редактордың ескертпесі). 2002 жылы қабылданған Калифорния штатының заңы деректер шифрланбаған жағдайда ғана жеке деректердің ықтимал ашылуы туралы есеп беруді талап етеді, өйткені. Деректерді шифрлау жеткілікті қорғаныс шарасы болып табылады деп саналады. Заң ешқандай нақты техникалық шешімдерді сипаттамаса да, көптеген сарапшылар қатты дискілер немесе бөлімдер үшін шифрлау жүйелерін пайдалануды ұсынады, бұл жеткілікті қорғаныс шаралары болып саналады. Біздің зерттеулеріміздің нәтижелері дискіні шифрлауға сенімнің негізсіз екенін көрсетті. Біліктілігі төмен шабуылдаушы деректері бар ноутбук қосулы немесе ұйқы режимінде ұрланса, көптеген жиі қолданылатын шифрлау жүйелерін айналып өте алады. Ал ноутбуктағы деректерді шифрланған дискіде болса да оқуға болады, сондықтан қатты дискіні шифрлау жүйелерін пайдалану жеткілікті шара емес.

Біз белгілі қатты дискіні шифрлау жүйелеріне шабуылдардың бірнеше түрін қолдандық. Шифрланған дискілерді орнату және анықталған шифрлау кілттерінің дұрыстығын тексеру көп уақытты алды. ЖЖҚ кескінін алу және кілттерді іздеу бірнеше минутты алды және толығымен автоматтандырылды. Қатты дискіні шифрлау жүйелерінің көпшілігі ұқсас шабуылдарға бейім деп айтуға негіз бар.

BitLocker

BitLocker — Windows Vista жүйесінің кейбір нұсқаларында қамтылған жүйе. Ол файлдық жүйе мен қатты диск драйвері арасында жұмыс істейтін, сұраныс бойынша таңдалған секторларды шифрлайтын және шифрын ашатын драйвер ретінде жұмыс істейді. Шифрлау үшін пайдаланылатын кілттер шифрланған диск шифрланғанша оперативті жадта қалады.

Қатты дискінің әрбір секторын шифрлау үшін BitLocker AES алгоритмімен жасалған кілттердің бірдей жұбын пайдаланады: секторлық шифрлау кілті және шифрлық блок тізбегі (CBC) режимінде жұмыс істейтін шифрлау кілті. Бұл екі кілт өз кезегінде басты кілтпен шифрланады. Секторды шифрлау үшін сектордың офсеттік байтын секторлық шифрлау кілтімен шифрлау арқылы жасалған сеанс кілті бар ашық мәтінде екілік қосу процедурасы орындалады. Содан кейін алынған деректер Microsoft әзірлеген Elephant алгоритмін пайдаланатын екі араластыру функциясы арқылы өңделеді. Бұл кілтсіз функциялар барлық шифр биттеріне өзгертулер санын көбейту және сәйкесінше шифрланған сектор деректерінің белгісіздігін арттыру үшін қолданылады. Соңғы кезеңде деректер сәйкес шифрлау кілтін пайдаланып, CBC режимінде AES алгоритмімен шифрланады. Инициализация векторы сектордың офсеттік байтты CBC режимінде қолданылатын шифрлау кілтімен шифрлау арқылы анықталады.

Біз BitUnlocker деп аталатын толық автоматтандырылған демо-шабуыл енгіздік. Бұл жағдайда сыртқы USB дискі Linux операциялық жүйесімен және SYSLINUX негізіндегі өзгертілген жүктеушімен және BitLocker шифрланған дискілерін Linux ОЖ жүйесіне қосуға мүмкіндік беретін FUSE драйверімен. Windows Vista жұмыс істейтін сынақ компьютерінде қуат өшірілді, USB қатты дискісі қосылды және одан жүктелді. Осыдан кейін BitUnlocker автоматты түрде жедел жадты өшіреді сыртқы диск, кілтті табу бағдарламасын пайдалана отырып, мен ықтимал кілттерді іздедім, барлық қолайлы опцияларды қолданып көрдім (секторлық шифрлау кілті және CBC режимінің кілті) және сәтті болса, шифрланған дискіні қостым. Диск қосылғаннан кейін онымен кез келген басқа диск сияқты жұмыс істеу мүмкін болды. 2 гигабайт жедел жады бар заманауи ноутбукта процесс шамамен 25 минутты алды.

Айта кетерлігі, бұл бұл шабуылкез келген бағдарламалық жасақтаманы кері инженериясыз жүзеге асыру мүмкін болды. Құжаттамада Microsoft жүйесі BitLocker секторды шифрлау кілті мен CBC режимі кілтінің рөлін түсіну және бүкіл процесті жүзеге асыратын жеке бағдарламаңызды жасау үшін жеткілікті сипатталған.

BitLocker-тың осы сыныптағы басқа бағдарламалардан басты айырмашылығы - шифрланған диск ажыратылған кезде кілттерді сақтау тәсілі. Әдепкі бойынша, негізгі режимде BitLocker негізгі кілтті тек көптеген заманауи компьютерлерде бар TPM модулі арқылы қорғайды. Бұл әдіс, кеңінен қолданылатын сияқты, біздің шабуылымызға өте осал, өйткені ол шифрлау кілттерін компьютер ұзақ уақыт өшірілген болса да алуға мүмкіндік береді, өйткені ДК жүктелген кезде кілттер автоматты түрде жедел жадқа жүктеледі (бұрын Жүйеге кіру терезесі пайда болады) аутентификация деректерін енгізбестен.

Шамасы, Microsoft мамандары бұл мәселемен таныс, сондықтан BitLocker бағдарламасын жақсартылған режимде конфигурациялауды ұсынады, мұнда кілттер TPM арқылы ғана емес, сонымен қатар сыртқы USB дискісінде құпия сөз немесе кілт арқылы қорғалады. Бірақ, бұл режимде де, егер шабуылдаушы компьютер жұмыс істеп тұрған сәтте оған физикалық қол жеткізсе, жүйе осал болады (оны тіпті құлыптауға немесе ұйқы режиміне қоюға болады (күйлер - бұл жағдайда жай өшіру немесе күту режимі қарастырылады). бұл шабуылға сезімтал емес).

FileVault

Apple-дің FileVault жүйесі ішінара зерттелді және кері инженерияланды. Mac OS X 10.4 жүйесінде FileVault CBC режимінде 128 биттік AES кілтін пайдаланады. Пайдаланушы құпия сөзі енгізілген кезде, AES кілті мен екінші K2 кілті бар тақырып шифрдан шығарылады, инициализация векторларын есептеу үшін пайдаланылады. Ith диск блогы үшін инициализация векторы HMAC-SHA1 K2(I) ретінде есептеледі.

Біз Macintosh компьютерінен деректерді алу үшін жедел жад кескіндерін жасау үшін EFI бағдарламамызды қолдандық (негізделген Intel процессоры) FileVault арқылы шифрланған орнатылған дискімен. Осыдан кейін кілт іздеу бағдарламасы FileVault AES кілттерін қатесіз автоматты түрде тапты.

Инициализация векторынсыз, бірақ нәтижесінде алынған AES кілтімен әрбір диск блогының 4096 байтының 4080 шифрын ашуға болады (бірінші AES блогынан басқасының барлығы). Біз инициализация векторының да дампта екеніне көз жеткіздік. Деректер әлі бүлінбеген деп есептей отырып, шабуылдаушы векторды демптегі барлық 160-биттік жолдарды бір-бірлеп сынап көру және блоктың шифры шешілген бірінші бөлігіне екілік қосылғанда олардың ықтимал ашық мәтін құра алатынын тексеру арқылы анықтай алады. . Vilefault, AES кілттері және инициализация векторы сияқты бағдарламаларды бірге пайдалану шифрланған дискінің шифрын толығымен ашуға мүмкіндік береді.

FileVault-ты зерттеу барысында біз Mac OS X 10.4 және 10.5 жадында пайдаланушы құпия сөзінің бірнеше көшірмелерін қалдыратынын анықтадық, олар осы шабуылға осал. Тіркелгі құпия сөздері кілттерді қорғау үшін жиі пайдаланылады, бұл өз кезегінде FileVault шифрланған дискілердің құпия сөз тіркестерін қорғау үшін пайдаланылуы мүмкін.

TrueCrypt

TrueCrypt - танымал шифрлау жүйесі ашық дереккөз, Windows, MacOS және Linux жүйелерінде жұмыс істейді. Ол AES, Serpent және Twofish сияқты көптеген алгоритмдерді қолдайды. 4-нұсқада барлық алгоритмдер LRW режимінде жұмыс істеді; ағымдағы 5-ші нұсқада олар XTS режимін пайдаланады. TrueCrypt шифрлау кілтін сақтайды және пайдаланушы енгізген құпия сөзден алынған басқа кілтпен шифрланған әрбір дискідегі бөлім тақырыбындағы кілтті өзгертеді.

Біз Linux жүйесінде жұмыс істейтін TrueCrypt 4.3a және 5.0a сынақтарын өткіздік. Біз 256 биттік AES кілтімен шифрланған дискіні қостық, содан кейін қуат көзін алып тастадық және жүктеу үшін жеке жад демпінің бағдарламалық құралын қолдандық. Екі жағдайда да keyfind 256 биттік шифрлау кілтін тапты. Сондай-ақ, TrueCrypt 5.0.a жағдайында keyfind XTS режимінің бұрмалау кілтін қалпына келтіре алды.

TrueCrypt 4 арқылы жасалған дискілердің шифрын ашу үшін LRW режимінің пернесін бұру керек. Жүйе оны AES кілт кестесіне дейін төрт сөзбен сақтайтынын анықтадық. Біздің үйіндіде LRW кілті бүлінген жоқ. (Егер қателер орын алса, біз әлі де кілтті қалпына келтіре аламыз).

Dm-crypt

Linux ядросы 2.6 нұсқасынан бастап, dm-crypt үшін кірістірілген қолдауды қамтиды, дискіні шифрлау ішкі жүйесі. Dm-crypt әртүрлі алгоритмдер мен режимдерді пайдаланады, бірақ әдепкі бойынша ол негізгі ақпаратқа негізделмеген IV файлдары бар CBC режимінде 128 биттік AES шифрін пайдаланады.

Біз cryptsetup утилитасының LUKS (Linux Unified Key Setup) тармағын және 2.6.20 ядросын пайдаланып dm-crypt арқылы жасалған бөлімді сынадық. Диск CBC режимінде AES көмегімен шифрланған. Біз қуатты қысқа уақытқа өшіріп, өзгертілген PXE жүктеушісін пайдаланып, жад қоқысын алдық. Keyfind бағдарламасы дұрыс 128 биттік AES кілтін анықтады, ол қатесіз қалпына келтірілді. Қалпына келтіргеннен кейін, шабуылдаушы кілттерді қажетті пішімде қабылдайтындай етіп крипт орнату утилитасын өзгерту арқылы dm-crypt шифрланған бөлімнің шифрын шеше алады және орната алады.

Қорғау әдістері және олардың шектеулері

ЖЖҚ шабуылдарынан қорғауды жүзеге асыру тривиальды емес, өйткені пайдаланылатын криптографиялық кілттер бір жерде сақталуы керек. Біз шабуылдаушы компьютерге физикалық қол жеткізе алмас бұрын кілттерді жоюға немесе жасыруға күш салуды, жедел жад демпінің бағдарламалық жасақтамасын іске қосуды болдырмауды, ЖЖҚ чиптерін физикалық қорғауды және мүмкіндігінше жедел жад деректерінің қызмет ету мерзімін қысқартуды ұсынамыз.

Жадты қайта жазу

Ең алдымен, мүмкіндігінше кілттерді жедел жадта сақтаудан аулақ болу керек. Негізгі ақпаратты бұдан былай пайдаланбаған кезде қайта жазуыңыз және деректердің бет файлдарына көшірілуіне жол бермеуіңіз керек. ОЖ құралдары немесе қосымша кітапханалар арқылы жадты алдын ала тазалау керек. Әрине, бұл шаралар қолданылғандарды қорғамайды осы сәткілттер, себебі олар шифрланған дискілер үшін немесе қауіпсіз веб-серверлерде қолданылатындар сияқты жадта сақталуы керек.

Сондай-ақ, жүктеу процесінде ЖЖҚ тазартылуы керек. Кейбір компьютерлерді операциялық жүйені жүктемес бұрын POST сұрауын (қосу кезінде өзін-өзі тексеру) тазалау арқылы жүктеу кезінде жедел жадты тазарту үшін конфигурациялауға болады. Егер шабуылдаушы орындауға кедергі жасай алмаса осы сұраудан, содан кейін бұл компьютерде оның маңызды ақпаратпен жад демпін жасау мүмкіндігі болмайды. Бірақ, оның әлі де жедел жад микросхемаларын алып тастау және оларды BIOS параметрлері бар басқа компьютерге салу мүмкіндігі бар.

Желіден немесе алынбалы құралдан жүктеп алуды шектеу

Көптеген шабуылдар желі арқылы немесе алынбалы тасымалдағыштан жүктеп алу арқылы жасалды. ДК осы көздерден жүктеу үшін әкімші құпия сөзін талап ететіндей конфигурациялануы керек. Бірақ жүйе тек негізгі қатты дискіден жүктелетіндей конфигурацияланған болса да, шабуылдаушы қатты дискінің өзін өзгерте алатынын немесе көп жағдайда компьютердің NVRAM-ды қалпына келтіруге болатынын ескеру қажет. бастапқы параметрлер BIOS.

Қауіпсіз ұйқы режимі

Зерттеу нәтижелері ДК жұмыс үстелін жай ғана құлыптау (яғни, ОЖ жұмысын жалғастыруда, бірақ онымен әрекеттесу үшін құпия сөзді енгізу керек) ЖЖҚ мазмұнын қорғамайтынын көрсетті. Ұйқы режимінен оралған кезде компьютер құлыптаулы болса, күту режимі де тиімді емес, өйткені шабуылдаушы ұйқы режимінен қайтаруды іске қосып, содан кейін ноутбукты қайта жүктеп, жад қоқысын ала алады. Күту режимі (ЖЖҚ ​​мазмұны қатты дискіге көшіріледі) қалыпты жұмысты қалпына келтіру үшін иеліктен шығарылған медиадағы негізгі ақпаратты пайдалану жағдайларын қоспағанда, көмектеспейді.

Қатты дискіні шифрлау жүйелерінің көпшілігінде пайдаланушылар компьютерді өшіру арқылы өздерін қорғай алады. (TPM модулінің негізгі жұмыс режиміндегі Bitlocker жүйесі осал болып қалады, өйткені компьютер қосылған кезде диск автоматты түрде қосылады). Жад мазмұны ажыратылғаннан кейін қысқа мерзімге сақталуы мүмкін, сондықтан жұмыс станцияңызды тағы бірнеше минут бақылау ұсынылады. Оның тиімділігіне қарамастан, бұл шара өте ыңғайсыз ұзақ жүктеу уақытыжұмыс станциялары.

Ұйқы режиміне өтуді келесі жолдармен қорғауға болады: жұмыс станциясын «ояту» үшін құпия сөзді немесе басқа құпияны талап ету және осы құпия сөзден алынған кілтпен жад мазмұнын шифрлау. Құпия сөз күшті болуы керек, өйткені шабуылдаушы жад қоқысын жасап, содан кейін құпия сөзді дөрекі күшпен табуға тырысуы мүмкін. Бүкіл жадты шифрлау мүмкін болмаса, негізгі ақпаратты қамтитын аймақтарды ғана шифрлау керек. Кейбір жүйелер қорғалған ұйқы режимінің осы түріне кіру үшін конфигурациялануы мүмкін, бірақ бұл әдетте әдепкі параметр емес.

Алдын ала есептеулерден аулақ болу

Біздің зерттеуіміз криптографиялық операцияларды жылдамдату үшін алдын ала есептеуді пайдалану негізгі ақпаратты осал ететінін көрсетті. Алдын ала есептеулер жадта пайда болатын негізгі деректер туралы артық ақпаратқа әкеледі, бұл шабуылдаушыға қателер болса да кілттерді қалпына келтіруге мүмкіндік береді. Мысалы, 5-бөлімде сипатталғандай, AES және DES алгоритмдерінің итеративті кілттері туралы ақпарат шабуылдаушы үшін өте артық және пайдалы.

Алдын ала есептеулерді орындамау өнімділікті төмендетеді, себебі ықтимал күрделі есептеулерді қайталауға тура келеді. Бірақ, мысалы, алдын ала есептелген мәндерді белгілі бір уақыт аралығында кэштеуге және алынған деректерді өшіруге болады, егер олар осы аралықта пайдаланылмаса. Бұл тәсіл қауіпсіздік пен жүйе өнімділігі арасындағы айырбасты білдіреді.

Негізгі кеңейту

Кілттерді қалпына келтіруді болдырмаудың тағы бір жолы - жадта сақталған негізгі ақпаратты әртүрлі қателерге байланысты кілтті қалпына келтіруді қиындататындай етіп өзгерту. Бұл әдіс теорияда талқыланды, мұнда бір жақты функциялардың жұмысы сияқты іс жүзінде барлық шығыс ашылған болса да кірісі жасырын болып қалатын ашуға төзімді функция көрсетілген.

Іс жүзінде бізде қазіргі уақытта пайдаланылмайтын, бірақ кейінірек қажет болатын 256 биттік AES кілті K бар деп елестетіңіз. Біз оны қайта жаза алмаймыз, бірақ оны қалпына келтіру әрекеттеріне төзімді еткіміз келеді. Бұған қол жеткізудің бір жолы үлкен В-разрядты деректер аймағын бөлу, оны кездейсоқ R деректерімен толтыру, содан кейін келесі түрлендірудің нәтижесін жадта сақтау K+H(R) (екілік қосынды, редактордың ескертпесі), мұнда H SHA-256 сияқты хэш функциясы болып табылады.

Енді қуат өшірілгенін елестетіп көріңіз, бұл осы аймақтағы d биттерінің өзгеруіне әкеледі. Егер хэш-функция күшті болса, K кілтін қалпына келтіру әрекеті кезінде шабуылдаушы B аймағының қай биттері өзгеруі мүмкін шамамен жартысының өзгертілгенін болжай алатынына ғана сене алады. Егер d бит өзгертілсе, шабуылдаушы R дұрыс мәндерін табу үшін (B/2+d)/d өлшемді аумақты іздеуі керек, содан кейін K пернесін қалпына келтіреді. Егер B аймағы үлкен болса, мұндай d салыстырмалы түрде аз болса да, іздеу өте ұзақ болуы мүмкін

Теориялық тұрғыдан біз барлық кілттерді осылай сақтай аламыз, әр кілтті қажет болғанда ғана есептеп, қажет емес кезде өшіре аламыз. Осылайша, жоғарыдағы әдісті қолдана отырып, біз кілттерді жадта сақтай аламыз.

Физикалық қорғаныс

Кейбір шабуылдар жад микросхемаларына физикалық қол жеткізуге негізделген. Мұндай шабуылдардың алдын алуға болады физикалық қорғанысжады. Мысалы, жад модульдері жабық ДК корпусында орналасқан немесе оларды алып тастау немесе оларға қол жеткізу әрекеттерін болдырмау үшін эпоксидті желіммен тығыздалған. Сондай-ақ, жадты өшіруді төмен температураға немесе істі ашу әрекетіне жауап ретінде жүзеге асыруға болады. Бұл әдіс тәуелсіз электрмен жабдықтау жүйесі бар сенсорларды орнатуды талап етеді. Бұл әдістердің көпшілігі бұзуға төзімді аппараттық құралдарды (мысалы, IBM 4758 сопроцессоры) қамтиды және жұмыс станциясының құнын айтарлықтай арттыруы мүмкін. Екінші жағынан, жадты пайдалану дәнекерленген аналық плата, әлдеқайда арзан болады.

Архитектураның өзгеруі

ДК архитектурасын өзгертуге болады. Бұл бұрыннан пайдаланылған компьютерлер үшін мүмкін емес, бірақ жаңаларын қорғауға мүмкіндік береді.

Бірінші тәсіл DRAM модульдерін барлық деректерді тезірек өшіретін етіп жобалау болып табылады. Бұл қиын болуы мүмкін, себебі деректерді мүмкіндігінше жылдам өшіру мақсаты жадты жаңарту кезеңдері арасында деректердің жоғалып кетпеуін сақтаудың басқа мақсатымен қайшы келеді.

Тағы бір тәсіл – іске қосу, қайта қосу және өшіру кезінде оның жадындағы барлық ақпаратты өшіруге кепілдік беретін негізгі ақпаратты сақтау жабдығын қосу. Осылайша, бізде бірнеше кілттерді сақтайтын қауіпсіз орын болады, бірақ олардың алдын ала есептеуіне байланысты осалдық сақталады.

Басқа сарапшылар жадтың мазмұны тұрақты шифрланатын архитектураны ұсынды. Бұған қоса, біз қайта жүктеу және электр қуатын өшіру кезінде кілттерді өшіруді жүзеге асырсақ, онда бұл әдіс біз сипаттаған шабуылдардан жеткілікті қорғанысты қамтамасыз етеді.

Сенімді есептеулер

«Сенімді есептеулер» тұжырымдамасына сәйкес келетін жабдық, мысалы, TPM модульдері түріндегі кейбір дербес компьютерлерде қазірдің өзінде қолданылады. Кейбір шабуылдардан қорғауға пайдалы болғанымен, қазіргі күйінде мұндай жабдық біз сипаттайтын шабуылдардың алдын алуға көмектеспейді.

Қолданылатын TPM модульдері толық шифрлауды жүзеге асырмайды. Оның орнына олар кілтті ЖЖҚ-ға жүктеудің қауіпсіз немесе қауіпсіз еместігін шешу үшін жүктеу процесін бақылайды. Бағдарламалық құралға кілтті пайдалану қажет болса, онда келесі технологияны іске асыруға болады: пайдалануға жарамды пішіндегі кілт жүктеу процесі күтілгендей өтпейінше жедел жадта сақталмайды. Бірақ кілт жедел жадта болғаннан кейін ол бірден біздің шабуылдарымыздың нысанасына айналады. TPM кілттің жадқа жүктелуіне жол бермейді, бірақ олар оны жадтан оқуға кедергі жасамайды.

қорытындылар

Танымал пікірге қарамастан, DRAM модульдері өшірілген кезде деректерді салыстырмалы түрде ұзақ уақыт сақтайды. Біздің тәжірибелеріміз көрсеткендей, бұл құбылыс операциялық жүйе мазмұнын қорғау әрекеттеріне қарамастан, жедел жадтан шифрлау кілттері сияқты құпия деректерді ала алатын шабуылдардың бүкіл класына мүмкіндік береді. Біз сипаттаған шабуылдарды іс жүзінде жүзеге асыруға болады және танымал шифрлау жүйелеріне жасалған шабуылдардың мысалдары мұны дәлелдейді.

Бірақ бағдарламалық жасақтаманың басқа түрлері де осал. Сандық құқықтарды басқару (DRM) жүйелері жадта сақталған симметриялық кілттерді жиі пайдаланады және оларды сипатталған әдістер арқылы алуға болады. Біз көрсеткендей, SSL қосылған веб-серверлер де осал, себебі олар SSL сеанстарын жасау үшін қажет жеке кілттерді жадта сақтайды. Біздің негізгі ақпаратты табу әдістері құпия сөздерді, тіркелгі нөмірлерін және кез келген басқаларды табу үшін тиімді болуы мүмкін маңызды ақпарат, жедел жадта сақталады.

Жоқ сияқты қарапайым жолтабылған осалдықтарды жою. Бағдарламалық құралды өзгерту тиімді болмайды; аппараттық өзгерістер көмектеседі, бірақ уақыт пен ресурс шығындары жоғары болады; Сенімді есептеу технологиясы қазіргі түрінде де тиімсіз, себебі ол жадта орналасқан кілттерді қорғай алмайды.

Біздің ойымызша, жиі қоғамдық орындарда орналасқан және осы шабуылдарға осал режимдерде жұмыс істейтін ноутбуктер бұл қауіпке ең сезімтал. Мұндай тәуекелдердің болуы дискілерді шифрлау маңызды деректерді әдетте сенетіннен азырақ қорғайтынын көрсетеді.

Нәтижесінде сізге DRAM жадын заманауи компьютердің сенімсіз құрамдас бөлігі ретінде қарастырып, ондағы құпия ақпаратты өңдеуден аулақ болуға тура келуі мүмкін. Бірақ әзірше бұл қазіргі заманғы дербес компьютерлердің архитектурасы бағдарламалық құрал кілттерді қауіпсіз жерде сақтауға мүмкіндік беретіндей өзгермейінше практикалық емес.

Ашық бастапқы кодірі жеткізушілерден тәуелсіз болғандықтан 10 жыл бойы танымал болды. Бағдарламаны жасаушылар көпшілікке белгісіз. Бағдарламаның ең танымал қолданушылары арасында Эдвард Сноуден мен қауіпсіздік жөніндегі сарапшы Брюс Шнайер бар. Утилита флэш-дискіні немесе түрлендіруге мүмкіндік береді қатты дискқұпия ақпарат бейтаныс көздерден жасырылған қауіпсіз шифрланған қоймаға.

Утилитаның жұмбақ әзірлеушілері 28 мамыр, сәрсенбіде жобаның жабылатынын жариялап, TrueCrypt пайдалану қауіпті екенін түсіндірді. «ЕСКЕРТУ: TrueCrypt пайдалану қауіпсіз емес, себебі... бағдарламада шешілмеген осалдықтар болуы мүмкін» - бұл хабарды SourceForge порталындағы өнім бетінде көруге болады. Осыдан кейін келесі хабар шығады: «Сіз TrueCrypt арқылы шифрланған барлық деректерді платформаңызда қолдау көрсетілетін шифрланған дискілерге немесе виртуалды диск кескіндеріне көшіруіңіз керек».

Қауіпсіздік жөніндегі тәуелсіз сарапшы Грэм Клули ағымдағы жағдайға қисынды түрде түсініктеме берді: «Файлдар мен қатты дискілерді шифрлаудың балама шешімін табудың уақыты келді».

Бұл қалжың емес!

Бастапқыда бағдарламаның сайтын киберқылмыскерлер бұзды деген ұсыныстар болған, бірақ қазір бұл жалған емес екені белгілі бола бастады. SourceForge енді TrueCrypt бағдарламасының жаңартылған нұсқасын ұсынады (онда цифрлық қолтаңбаәзірлеушілер), оны орнату кезінде BitLocker немесе басқа балама құралға ауысу ұсынылады.

Джон Хопкинс университетінің криптография профессоры Мэттью Грин: «Белгісіз хакердің TrueCrypt әзірлеушілерін анықтап, олардың цифрлық қолтаңбасын ұрлап, веб-сайтты бұзуы екіталай» деді.

Енді нені пайдалану керек?

Сайтта және бағдарламадағы қалқымалы ескертуде TrueCrypt шифрланған файлдарды Microsoft Vista Ultimate/Enterprise, Windows 7 Ultimate/Enterprise және Windows 8 Pro/Enterprise жүйелерімен бірге келетін Microsoft корпорациясының BitLocker қызметіне тасымалдау нұсқаулары бар. TrueCrypt 7.2 файлдардың шифрын шешуге мүмкіндік береді, бірақ жаңа шифрланған бөлімдерді жасауға мүмкіндік бермейді.

Бағдарламаның ең айқын баламасы - BitLocker, бірақ басқа опциялар бар. Шнайер Symantec-тен PGPDisk-ті пайдалануға қайта оралатынын айтты. (әр пайдаланушы лицензиясына $110) белгілі және дәлелденген PGP шифрлау әдісін пайдаланады.

Басқалар да бар тегін баламалар DiskCryptor сияқты Windows жүйесіне арналған. Зерттеуші компьютерлік қауіпсіздік, The Grugq деген атпен белгілі, өткен жылы бүгінгі күнге дейін өзекті болып табылатын тұтасты құрастырды.

SANS технологиялық институтының ғылыми директоры Йоханнес Ульрих Mac OS X пайдаланушыларына осы топтың OS X 10.7 (Lion) және одан кейінгі операциялық жүйелеріне орнатылған FileVault 2-ге назар аударуды ұсынады. FileVault 128 биттік XTS-AES шифрлауын пайдаланады, оны АҚШ Ұлттық қауіпсіздік агенттігі (NSA) пайдаланады. Ульрих бойынша Linux пайдаланушыларыкірістірілген Linux Unified Key Setup (LUKS) жүйелік құралын ұстануы керек. Егер сіз Ubuntu пайдалансаңыз, онда бұл ОЖ орнатушысы сізге басынан бастап толық диск шифрлауын қосуға мүмкіндік береді.

Дегенмен, пайдаланушыларға әртүрлі ОЖ жұмыс істейтін компьютерлерде пайдаланылатын портативті медианы шифрлау үшін басқа қолданбалар қажет болады. Ульрих бұл жағдайда ойға келетінін айтты.

Steganos неміс компаниясы пайдалануды ұсынады ескі нұсқасыоның шифрлау утилитасы Steganos Safe ( ағымдағы нұсқасықазіргі уақытта - 15, бірақ 14 нұсқасын пайдалану ұсынылады), ол тегін таратылады.

Белгісіз осалдықтар

TrueCrypt-тің қауіпсіздік осалдығы болуы мүмкін екендігі маңызды алаңдаушылық тудырады, әсіресе бағдарламаның аудиті мұндай проблемаларды анықтамағандықтан. АҚШ Ұлттық қауіпсіздік агенттігі шифрланған деректердің маңызды көлемін декодтауы мүмкін деген қауесеттен кейін бағдарламаның пайдаланушылары аудит үшін 70 000 доллар жинады. TrueCrypt жүктеушісін талдаған зерттеудің бірінші кезеңі өткен айда жүргізілді. Аудит ешқандай кері есіктер немесе қасақана осалдықтарды анықтаған жоқ. Қолданылатын криптография әдістерін сынайтын зерттеудің келесі кезеңі осы жазда жоспарланған болатын.

Грин аудитке қатысқан сарапшылардың бірі болды. Ол әзірлеушілер жобаны жабуды жоспарлап жатқаны туралы алдын ала мәліметі жоқ екенін айтты. Грин былай деді: «Мен TrueCrypt әзірлеушілерінен соңғы естігенім: «Біз 2-кезеңнің сынақ нәтижелерін күтеміз. Еңбегіңізге рахмет!» Айта кету керек, TrueCrypt жобасының тоқтатылуына қарамастан аудит жоспарлы түрде жалғасады.

Мүмкін, бағдарламаны жасаушылар қызметтік бағдарлама ескіргендіктен әзірлеуді тоқтатуды шешкен шығар. Әзірлеу 2014 жылдың 5 мамырында тоқтатылды, яғни. қолдау ресми аяқталғаннан кейін Windows жүйелері XP. SoundForge былай дейді: «Windows 8/7/Vista және одан кейінгі жүйелерде дискілерді және виртуалды диск кескіндерін шифрлауға арналған кірістірілген құралдар бар». Осылайша, деректерді шифрлау көптеген операциялық жүйелерге енгізілген және әзірлеушілер бағдарламаны қажет емес деп тапқан болуы мүмкін.

Отқа май қосу үшін 19 мамырда TrueCrypt Tails қауіпсіз жүйесінен (Сноуденнің сүйікті жүйесі) жойылды. Себеп толығымен анық емес, бірақ бағдарламаны қолдануға болмайды, деп атап өтті Клули.

Клули сондай-ақ былай деп жазды: «Бұл алаяқтық, бұзу немесе TrueCrypt өмірлік циклінің логикалық соңы болсын, адал пайдаланушылар осы фиаскодан кейін бағдарламаға өз деректерімен сенуді ыңғайлы сезінбейтіні анық».

Бұл біздің блогтағы VeraCrypt-ке арналған бес мақаланың төртіншісі, ол егжей-тегжейлі қарастырады және береді қадамдық нұсқаулық, Windows операциялық жүйесі орнатылған жүйе бөлімін немесе бүкіл дискіні шифрлау үшін VeraCrypt қалай пайдалануға болады.

Егер сіз жүйелік емес қатты дискіні шифрлауды, жеке файлдарды немесе бүкіл USB флэш-дискісін шифрлауды, сондай-ақ VeraCrypt туралы көбірек білгіңіз келсе, мына сілтемелерді қараңыз:

Бұл шифрлау ең қауіпсіз болып табылады, өйткені барлық файлдар, соның ішінде кез келген уақытша файлдар, күту күйі файлы (ұйқы режимі), своп файлы және т.б. әрқашан шифрланады (тіпті күтпеген жерден электр қуаты өшіп қалса да). Журнал операциялық жүйежәне көптеген маңызды деректер сақталған тізілім де шифрланады.

Жүйені шифрлау жүйе жүктелмес бұрын аутентификация арқылы жұмыс істейді. Windows жүйесін жүктеуді бастамас бұрын, барлық операциялық жүйе файлдары бар дискінің жүйелік бөлімінің шифрын ашатын құпия сөзді енгізуіңіз керек.

Бұл функция стандартты жүйе жүктеушісін алмастыратын VeraCrypt жүктеу құралы арқылы жүзеге асырылады. VeraCrypt Rescue Disk көмегімен қатты дискінің жүктеу секторы, демек, жүктеушінің өзі зақымдалған болса, жүйені жүктеуге болады.

Операциялық жүйе жұмыс істеп тұрған кезде жүйе бөлімі жылдам шифрланғанын ескеріңіз. Процесс жүріп жатқанда, сіз компьютерді әдеттегідей пайдалана аласыз. Жоғарыда айтылғандар шифрды шешуге де қатысты.

Жүйелік дискіні шифрлауға қолдау көрсетілетін операциялық жүйелердің тізімі:

• Windows 10
• Windows 8 және 8.1
• Windows 7
• Windows Vista (SP1 немесе одан кейінгі)
• Windows XP
• Windows сервері 2012
• Windows Server 2008 және Windows Server 2008 R2 (64-бит)
• Windows Server 2003

Біздің жағдайда біз компьютерді Windows 10 және бір дискімен шифрлаймыз C:\

1-қадам - ​​Жүйе бөлімін шифрлау

VeraCrypt іске қосыңыз, бағдарламаның негізгі терезесінде Жүйе қойындысына өтіп, мәзірдің бірінші элементін таңдаңыз Жүйе бөлімін/дискіні шифрлау (Жүйе бөлімін/дискіні шифрлау).

2-қадам – Шифрлау түрін таңдау

Әдепкі түрді қалдырыңыз Қалыпты (Қарапайым)Егер сіз жасырын бөлімді немесе жасырын ОЖ жасағыңыз келсе, VeraCrypt қосымша мүмкіндіктеріне назар аударыңыз. басыңыз Келесі

3-қадам – Шифрлау аймағы

Біздің жағдайда бүкіл дискіні немесе жай ғана жүйелік бөлімді шифрлау маңызды емес, өйткені дискіде барлық бос орынды алатын бір ғана бөлім бар. Мүмкін сіздің физикалық дискіңіз бірнеше бөлімдерге бөлінген болуы мүмкін, мысалы C:\Және D:\. Егер солай болса және екі бөлімді де шифрлағыңыз келсе, таңдаңыз Бүкіл дискіні шифрлаңыз.

Егер сізде бірнеше физикалық диск орнатылған болса, олардың әрқайсысын бөлек шифрлау керек екенін ескеріңіз. Осы нұсқауларды пайдаланып жүйелік бөлімі бар диск. Дискіні деректермен шифрлау жолы жазылған.

Бүкіл дискіні немесе жай ғана жүйелік бөлімді шифрлауды таңдап, түймені басыңыз Келесі.

4-қадам – Жасырын бөлімдерді шифрлау

таңдаңыз Иәқұрылғыңызда бар болса жасырын бөлімдеркомпьютер өндірушісінің утилиталарымен және оларды шифрлағыңыз келсе, бұл әдетте қажет емес.

5-қадам – Операциялық жүйелердің саны

Біз компьютерде бірден бірнеше операциялық жүйе орнатылған жағдайды талдамаймыз. Таңдап, түймесін басыңыз Келесі.

6-қадам – Шифрлау параметрлері

Шифрлау және хэштеу алгоритмдерін таңдау, егер сіз не таңдау керектігін білмесеңіз, мәндерді қалдырыңыз AESЖәне SHA-512әдепкі ең қуатты опция ретінде.

7-қадам - ​​Құпия сөз

Бұл маңызды қадам, мұнда шифрланған жүйеге кіру үшін пайдаланылатын күшті құпия сөзді жасау керек. Жақсы құпия сөзді қалай таңдау керектігі туралы Көлемді құру шебері терезесіндегі әзірлеушілердің ұсыныстарын мұқият оқып шығуды ұсынамыз.

8-қадам – Кездейсоқ деректерді жинау

Бұл қадам бұрын енгізілген құпия сөзге негізделген шифрлау кілтін жасау үшін қажет; тінтуірді неғұрлым ұзақ жылжытсаңыз, алынған кілттер соғұрлым қауіпсіз болады. Тінтуірді кем дегенде индикатор жасыл түске айналғанша кездейсоқ жылжытыңыз, содан кейін басыңыз Келесі.

9-қадам – Жасалған кілттер

Бұл қадам шифрлау кілттері, байланыстыру (тұз) және басқа параметрлер сәтті жасалғанын хабарлайды. Бұл ақпараттық қадам, басыңыз Келесі.

10-қадам - ​​Қалпына келтіру дискісі

Ол сақталатын жолды көрсетіңіз ISO кескініқалпына келтіру дискісі (құтқару дискісі) VeraCrypt жүктеуші зақымдалған болса, сізге бұл кескін қажет болуы мүмкін және әлі де дұрыс құпия сөзді енгізу қажет болады.

Қалпына келтіру дискінің кескінін алынбалы құралға (мысалы, флэш-диск) сақтаңыз немесе оны оптикалық дискіге жазыңыз (ұсынамыз) және түймесін басыңыз. Келесі.

11-қадам - ​​Қалпына келтіру дискісі жасалады

Назар аударыңыз! Әрбір шифрланған жүйе бөлімі өзінің қалпына келтіру дискісін қажет етеді. Оны жасауды және алынбалы құралда сақтауды ұмытпаңыз. Қалпына келтіру дискісін бір шифрланған жүйелік дискіде сақтамаңыз.

Қалпына келтіру дискісі ғана техникалық ақаулар мен аппараттық ақаулар кезінде деректердің шифрын шешуге көмектеседі.

12-қадам – Тазалау бос орын

Бос орынды босату дискіден бұрын жойылған деректерді біржола жоюға мүмкіндік береді, оларды арнайы әдістерді қолдану арқылы қалпына келтіруге болады (әсіресе дәстүрлі магниттік қатты дискілер үшін маңызды).

SSD дискісін шифрлап жатсаңыз, 1 немесе 3 өтуді таңдаңыз; магниттік дискілер үшін 7 немесе 35 өтуді ұсынамыз.

Бұл операция дискіні шифрлаудың жалпы уақытына әсер ететінін ескеріңіз, сондықтан бұрын дискіңізде маңызды жойылған деректер болмаса, одан бас тартыңыз.

7 немесе 35 рұқсатты таңдамаңыз SSD дискілері, магниттік күш микроскопиясы SSD жағдайында жұмыс істемейді, 1 өту жеткілікті.

13-қадам – Жүйені шифрлау сынағы

Жүйені шифрлаудың алдын ала сынағын орындаңыз және VeraCrypt жүктеуші интерфейсі толығымен ағылшын тілінде екендігі туралы хабарды қараңыз.

Shan 14 – Windows жүктелмесе не істеу керек

Қайта жүктегеннен кейін Windows қосылмаса не істеу керек (бұл орын алады) үшін ұсыныстарды оқыңыз немесе жақсырақ басып шығарыңыз.

басыңыз ЖАРАЙДЫ МАегер сіз хабарламаны оқып, түсінсеңіз.

Компьютердің құпиялылығы мен қауіпсіздігіне қойылатын талаптар толығымен ондағы сақталған деректердің сипатымен анықталады. Егер сіздің компьютеріңіз ойын-сауық станциясы ретінде қызмет етсе және онда бірнеше ойыншықтар мен сүйікті мысықтың суреттері бар әкеден басқа ештеңе болмаса, бұл бір нәрсе, бірақ қатты дискіде коммерциялық құпия болып табылатын, қызығушылық тудыратын деректер болса, бұл басқа нәрсе. бәсекелестерге.

Бірінші «қорғаныс желісі» - бұл компьютерді қосқан сайын сұралатын логин құпия сөзі.

Қорғаудың келесі деңгейі – бұл деңгейдегі қол жеткізу құқығы файлдық жүйе. Рұқсат артықшылықтары жоқ пайдаланушы файлдарға кіру әрекеті кезінде қате алады.

Дегенмен, сипатталған әдістердің бір маңызды кемшілігі бар. Олардың екеуі де операциялық жүйе деңгейінде жұмыс істейді және аз уақытыңыз және компьютерге физикалық қол жеткізу мүмкіндігіңіз болса, салыстырмалы түрде оңай айналып өтуге болады (мысалы, USB флэш-дискісінен жүктеу арқылы сіз әкімшілік құпия сөзді қалпына келтіре аласыз немесе файл рұқсаттарын өзгерте аласыз). Деректердің қауіпсіздігі мен құпиялылығына толық сенімділік тек криптографияның жетістіктерін пайдаланған және оларды қауіпсіз пайдаланған жағдайда ғана алуға болады. Төменде біз мұндай қорғаудың екі әдісін қарастырамыз.

Бүгін қарастырылатын бірінші әдіс Microsoft корпорациясының кірістірілген криптографиялық қорғанысы болады. BitLocker деп аталатын шифрлау алғаш рет Windows 8 жүйесінде пайда болды. Оны жеке қалтаны немесе файлды қорғау үшін пайдалану мүмкін емес, тек бүкіл дискіні шифрлау қол жетімді. Бұл, атап айтқанда, жүйелік дискіні шифрлау мүмкін еместігіне әкеледі (жүйе жүктеле алмайды), сонымен қатар маңызды деректерді жүйелік кітапханаларда сақтау мүмкін емес, мысалы, «Менің құжаттарым» (әдепкі бойынша). олар жүйелік бөлімде орналасқан).
Кірістірілген шифрлауды қосу үшін келесі әрекеттерді орындаңыз:

1. Explorer бағдарламасын ашыңыз, шифрлағыңыз келетін дискіні тінтуірдің оң жақ түймешігімен нұқыңыз және «BitLocker қосу» таңдаңыз.
   
2. «Дискіні ашу үшін құпия сөзді пайдалану» құсбелгісін қойыңыз, қауіпсіздік талаптарына жауап беретін құпия сөзді екі рет жасаңыз және енгізіңіз (кем дегенде 8 таңба, кіші және бас әріптер болуы керек, кем дегенде бір арнайы таңбаны енгізген жөн) және «Келесі» түймесін басыңыз. Біз осы ескертпе аясында екінші құлыпты ашу опциясын қарастырмаймыз, өйткені смарт-карталарды оқу құралдары өте сирек кездеседі және өздерінің ақпараттық қауіпсіздік қызметі бар ұйымдарда қолданылады.
   
3. Құпия сөзді жоғалтқан жағдайда жүйе арнайы қалпына келтіру кілтін жасауды ұсынады. Оған қосуға болады есептік жазба Microsoft, файлға сақтаңыз немесе принтерде басып шығарыңыз. Әдістердің бірін таңдап, кілтті сақтағаннан кейін «Келесі» түймесін басыңыз. Бұл кілтті бейтаныс адамдардан қорғау керек, өйткені ол сіздің ұмытшақтықтан сақтандыру бола отырып, деректеріңіз ағып кететін «артқы есікке» айналуы мүмкін.
   
4. Келесі экранда бүкіл дискіні немесе тек пайдаланылған кеңістікті шифрлауды таңдаңыз. Екінші нүкте баяу, бірақ сенімдірек.
   
5. Шифрлау алгоритмін таңдаңыз. Дискіні компьютерлер арасында тасымалдауды жоспарламасаңыз, неғұрлым сенімді соңғы режимді, әйтпесе үйлесімділік режимін таңдаңыз.
   
6. Параметрлерді конфигурациялаудан кейін «Шифрлауды бастау» түймесін басыңыз.Біраз күткеннен кейін дискіңіздегі деректер қауіпсіз шифрланады.
   
7. Жүйеден шыққаннан немесе қайта жүктегеннен кейін қорғалған дыбыс көлемі қолжетімсіз болады және файлдарды ашу үшін құпия сөз қажет болады.
   

DiskCryptor

Біз бүгін қарастыратын екінші криптографиялық утилита - DiskCryptor, тегін және ашық бастапқы шешім. Оны пайдалану үшін келесі нұсқауларды пайдаланыңыз:

1. Бағдарламаның орнатушысын сілтеме арқылы ресми веб-сайттан жүктеп алыңыз. Жүктелген файлды іске қосыңыз.
2. Орнату процесі өте қарапайым, ол «Келесі» түймесін бірнеше рет басып, соңында компьютерді қайта жүктеуден тұрады.
   
   

   

   

   

   

3. Қайта жүктегеннен кейін DiskCryptor бағдарламасын бағдарлама қалтасынан немесе жұмыс үстеліндегі төте жолды басу арқылы іске қосыңыз.
4. Ашылған терезеде шифрланатын дискіні басып, «Шифрлау» түймесін басыңыз.
   
5. Келесі қадам - ​​шифрлау алгоритмін таңдау және оны шифрлау алдында дискідегі барлық деректерді өшіру қажеттігін шешу (егер ақпаратты жоюды жоспарламасаңыз, «Өшіру режимі» тізімінде «Жоқ» опциясын таңдауды ұмытпаңыз).
   
6. Шифрды шешу құпия сөзін екі рет енгізіңіз («Құпия сөз рейтингі» өрісі кем дегенде «Жоғары» болуы үшін күрделі құпия сөзді ойлап табу ұсынылады). Содан кейін «OK» түймесін басыңыз.
   
7. Біраз күткеннен кейін диск шифрланады. Қайта жүктегеннен немесе жүйеден шыққаннан кейін, оған қол жеткізу үшін қызметтік бағдарламаны іске қосу керек, «Mount» немесе «Mount All» түймесін басып, құпия сөзді енгізіп, «OK» түймесін басыңыз.
   

Бұл утилитаның BitLocker механизмімен салыстырғанда сөзсіз артықшылығы - оны Windows 8-ге дейін шығарылған жүйелерде қолдануға болады (тіпті тоқтатылған Windows XP-ге де қолдау көрсетіледі). Бірақ DiskCryptor-тың бірнеше маңызды кемшіліктері бар:

• шифрланған ақпаратқа қолжетімділікті қалпына келтіру жолдары жоқ (егер сіз парольді ұмытып қалсаңыз, деректеріңізді жоғалтуға кепілдік беріледі);
• Құпия сөзді ашуға ғана қолдау көрсетіледі, смарт карталарды немесе биометриялық сенсорларды пайдалану мүмкін емес;
• DiskCryptor пайдаланудың ең үлкен кемшілігі жүйеге әкімшілік қатынасы бар шабуылдаушының стандартты құралдардискіні пішімдеу. Иә, ол деректерге қол жеткізе алмайды, бірақ сіз оны жоғалтасыз.

Қорытындылай келе, егер сіздің компьютеріңізде Windows 8 жүйесінен бастап орнатылған ОЖ болса, онда кірістірілген функционалдылықты пайдаланған дұрыс деп айта аламын.

Қатты дискіні немесе оның бөлімдерінің бірін бағдарламаларсыз немесе көп күш жұмсамай шифрлаңыз

Бүгін біз күрделі бағдарламаларды немесе арнайы күштерді пайдаланбай, қатты дискіні немесе оның жеке бөлімдерін қалай шифрлауға болатындығы туралы мәселені қарастырамыз.

Қатты дискіні (қатты диск) неге шифрлау керек деген сұрақ риторикалық болып табылады.

Шифрлау мақсаттары пайдаланушылар арасында аздап өзгеруі мүмкін, бірақ жалпы алғанда, әркім рұқсат етілмеген адамдарға бөлімге немесе бүкіл қатты дискіге кіруден бас тартуға тырысады.

Киберқылмыстың кең етек жаюы кезінде бұл түсінікті және жалпы шағын компьютерлік бұзақылар маңызды жеке файлдарды жоғалтуы мүмкін.

Сонымен, қатты дискіні немесе оның бөлімдерінің бірін шифрлаудың ең қарапайым әдісін қарастырайық.

Біз қолданатын әдіс:

Bitlocker шифрлауы (Windows 7 Ultimate және Enterprise жүйесінде орнатылған)

Сонымен, бастайық. Қатты дискіні «кодтаудың» бұл әдісі Windows жүйесінде орнатылған және Bitlocker деп аталады. Бұл әдістің артықшылықтары:

• Ешқандай керек емес үшінші тарап бағдарламалары, бізге қажет нәрсенің бәрі операциялық жүйеде (OS)
• Қатты диск ұрланған болса, оны басқа компьютерге қосу құпия сөзді қажет етеді

Сондай-ақ, соңғы кезеңде, кіру кілтін сақтау кезінде, жолдардың бірі оны флэш-дискке жазу болып табылады, сондықтан оны алдын ала шешу керек.

Бұл әдістің өзі Windows Vista жүйесіне енгізілген. «Жетіде» оның жетілдірілген нұсқасы бар.

Көбісі Windows ОЖ орнату кезінде 100 мегабайт өлшемді шағын бөлім бұрын жасалғанын байқаған болуы мүмкін. жергілікті диск«С», енді оның не үшін екенін білесіз.

Иә, тек Bitlocker шифрлауы үшін (Vista-да оның өлшемі 1,5 гигабайт болды).

Оны қосу үшін «Басқару тақтасы» - «Жүйе және қауіпсіздік» - «Bitlocker дискінің шифрлауы» тармағына өтіңіз.

Біз шифрланатын дискіні таңдаймыз және «Bitlocker қосу» опциясын таңдаймыз.

Төмендегі суреттегідей хабарлама пайда болса, жүйе параметрлеріне шағын өзгерістер енгізу керек:

Ол үшін «Бастау» тармағында іздеу жолағына «саясат» енгіземіз және іздеу опциялары пайда болады.

«Топтық саясатты өзгерту» таңдаңыз:

Біз өзімізді өңдеуіміз керек редакторда табамыз: Компьютер конфигурациясы - Әкімшілік үлгілер - Windows компоненттері - Bitlocker дискінің шифрлауы - Операциялық жүйе дискілері. Оң жақта «Талап етілетін қосымша аутентификация» түймесін екі рет басыңыз:

Пайда болған мәзірде «Қосу» тармағын таңдаңыз, сонымен қатар «Үйлесімді TPMсіз Bitlocker пайдалануға рұқсат беру» құсбелгісін қою керек - параметрлерімізді растаңыз - OK.

Сондай-ақ шифрлау әдісін таңдау керек. Біз ең күрделі әдісті қоюымыз керек.

Мұны істеу үшін біз алдыңғы абзацтағыдай жолмен жүреміз, тек «Bitlocker Disk Encryption» қалтасында тоқтаймыз; оң жақта біз файлды көреміз - «Дискіні шифрлау әдісін және шифрлау күшін таңдаңыз».

Мұнда ең сенімдісі - 256 биттік шифрлауы бар AES, оны таңдап, «Қолдану» және «ОК» түймесін басыңыз.

Енді шифрлау арқылы барлығын еркін пайдалануға болады.

Мақаланың басындағыдай, «Басқару тақтасы» - «Жүйе және қауіпсіздік» - «Bitlocker дискінің шифрлауы» тармағына өтіңіз. «Қосу» түймесін басыңыз.

қол жеткізе аламыз жалғыз жол, ол кілтті қажет етеді. Ол флэш-дискіде болады.

Алынған кілт қалыпты түрде жазылады мәтіндік файл. Содан кейін сізден тексеруді қосып, құсбелгіні қойып, «жалғастыру» сұралады.

Қайта жүктеп алайық. Егер бәрі ойдағыдай болса, оны келесі рет қосқанда қатты диск бөлімін шифрлау процесі басталады.

Уақыт бойынша процесс жүйенің қуатына байланысты созылады - әдетте бірнеше минуттан бірнеше сағатқа дейін (егер ол бірнеше жүз гигабайттық бөлім болса).

Аяқтағаннан кейін біз хабар аламыз - Шифрлау аяқталды. Кіру кілттері туралы ұмытпаңыз, оларды тексеріңіз.

Біз ешқандай үшінші тарап бағдарламаларынсыз және криптография саласындағы терең білімсіз қатты дискіні шифрлаудың өте қарапайым әдісін қарастырдық.

Бұл әдіс өте тиімді және ыңғайлы, оны флэш-дискіні шифрлау үшін де қолдануға болады, бұл мәселе келесі мақалада талқыланады.