mājas › Izglītība › Programma diska nodalījumu šifrēšanai. Kā šifrēt visu cieto disku, izmantojot VeraCrypt. VeraCrypt instalēšana operētājsistēmā Windows

Programma diska nodalījumu šifrēšanai. Kā šifrēt visu cieto disku, izmantojot VeraCrypt. VeraCrypt instalēšana operētājsistēmā Windows

Prinstonas universitātes pētnieki ir atklājuši veidu, kā apiet šifrēšanu. cietie diski, izmantojot moduļu rekvizītu brīvpiekļuves atmiņa uzglabāt informāciju īsu laiku pat pēc strāvas padeves pārtraukuma.

Priekšvārds

Tā kā jums ir nepieciešama atslēga, lai piekļūtu šifrētam cietajam diskam, un tā, protams, tiek saglabāta RAM, viss, kas nepieciešams, ir iegūt fizisku piekļuvi datoram uz dažām minūtēm. Pēc pārstartēšanas no ārējās cietais disks vai ar USB zibatmiņa Tiek veikta pilnīga atmiņas iztukšošana, un piekļuves atslēga tiek iegūta no tās dažu minūšu laikā.

Tādā veidā ir iespējams iegūt šifrēšanas atslēgas (un pilna piekļuve uz cieto disku), ko izmanto BitLocker, FileVault un dm-crypt programmas operētājsistēmās Windows Vista, Mac OS X un Linux, kā arī populārā bezmaksas cietā diska šifrēšanas sistēma TrueCrypt.

Šī darba nozīme ir tāda, ka nav nevienas vienkāršas aizsardzības metodes pret šo uzlaušanas metodi, izņemot strāvas padeves izslēgšanu uz pietiekamu laiku, lai pilnībā izdzēstu datus.

Tiek parādīts procesa vizuāls demonstrējums video.

anotācija

Pretēji izplatītajam uzskatam, lielākajā daļā tiek izmantota DRAM atmiņa mūsdienu datori, saglabā datus pat pēc strāvas izslēgšanas uz vairākām sekundēm vai minūtēm, un tas notiek istabas temperatūrā un pat tad, ja mikroshēma tiek izņemta no mātesplates. Šis laiks ir pilnīgi pietiekams, lai pilnībā atbrīvotu RAM. Mēs parādīsim, ka šī parādība ļauj uzbrucējam ar fizisku piekļuvi sistēmai apiet OS funkcijas, lai aizsargātu kriptogrāfiskās atslēgas datus. Mēs parādīsim, kā atsāknēšanu var izmantot, lai veiksmīgi uzbruktu zināmajām cietā diska šifrēšanas sistēmām, neizmantojot īpašu aparatūru vai materiālus. Mēs eksperimentāli noteiksim atlikušās magnetizācijas saglabāšanas pakāpi un varbūtību un parādīsim, ka datu iegūšanas laiku var ievērojami palielināt, izmantojot vienkāršas tehnikas. Tiks piedāvātas arī jaunas metodes kriptogrāfisko atslēgu meklēšanai atmiņas izgāztuvēs un kļūdu labošanai, kas saistītas ar bitu zudumu. Tomēr tiks apspriesti arī vairāki veidi, kā samazināt šos riskus vienkāršs risinājums mēs nezinām.

Ievads

Lielākā daļa ekspertu pieņem, ka dati no datora RAM tiek izdzēsti gandrīz uzreiz pēc strāvas izslēgšanas, vai arī viņi uzskata, ka atlikušos datus ir ārkārtīgi grūti izgūt, neizmantojot īpašu aprīkojumu. Mēs parādīsim, ka šie pieņēmumi ir nepareizi. Parastā DRAM atmiņa pakāpeniski zaudē datus vairāku sekunžu laikā pat normālā temperatūrā, un pat tad, ja atmiņas mikroshēma tiek izņemta no mātesplates, dati tajā saglabāsies minūtes vai pat stundas, ar nosacījumu, ka mikroshēma tiek uzglabāta zemā temperatūrā. Atlikušos datus var atgūt, izmantojot vienkāršas metodes, kurām nepieciešama īslaicīga fiziska piekļuve datoram.

Mēs parādīsim virkni uzbrukumu, kas, izmantojot DRAM remanences efektus, ļaus mums atgūt atmiņā saglabātās šifrēšanas atslēgas. Tas rada reālus draudus klēpjdatoru lietotājiem, kuri paļaujas uz cietā diska šifrēšanas sistēmām. Galu galā, ja uzbrucējs nozog klēpjdatoru, kamēr šifrētais disks ir pievienots, viņš varēs veikt kādu no mūsu uzbrukumiem, lai piekļūtu saturam, pat ja pats klēpjdators ir bloķēts vai atrodas miega režīmā. Mēs to demonstrēsim, veiksmīgi uzbrūkot vairākām populārām šifrēšanas sistēmām, piemēram, BitLocker, TrueCrypt un FileVault. Šiem uzbrukumiem jābūt veiksmīgiem arī pret citām šifrēšanas sistēmām.

Lai gan mēs esam koncentrējuši savus centienus uz cietā diska šifrēšanas sistēmām, ja uzbrucējam ir fiziska piekļuve datoram, jebkura svarīga informācija, kas tiek glabāta operatīvajā atmiņā, var kļūt par uzbrukuma mērķi. Iespējams, ka arī daudzas citas drošības sistēmas ir neaizsargātas. Piemēram, mēs atklājām, ka Mac OS X atstāj kontu paroles atmiņā, no kurienes mēs varējām tās izvilkt, kā arī veicām uzbrukumus, lai iegūtu Apache tīmekļa servera privātās RSA atslēgas.

Daži kopienas pārstāvji informācijas drošība un pusvadītāju fiziķi jau zināja par DRAM remanences efektu, par to bija ļoti maz informācijas. Tā rezultātā daudzi, kas izstrādā, izstrādā vai izmanto drošības sistēmas, vienkārši nezina šo parādību un to, cik viegli to var izmantot uzbrucējs. Cik zināms, šī ir pirmā detalizēts darbs pētot šo parādību sekas informācijas drošībai.

Uzbrukumi šifrētiem diskdziņiem

Cieto disku šifrēšana ir plaši pazīstama metode aizsardzībai pret datu zādzībām. Daudzi uzskata, ka cietā diska šifrēšanas sistēmas aizsargās viņu datus pat tad, ja uzbrucējs ir ieguvis fizisku piekļuvi datoram (patiesībā tās ir paredzētas, redaktora piezīme). Kalifornijas štata likums, kas pieņemts 2002. gadā, paredz ziņot par iespējamu personas datu izpaušanu tikai tad, ja dati nav bijuši šifrēti, jo. Tiek uzskatīts, ka datu šifrēšana ir pietiekams aizsardzības pasākums. Lai gan likumā nav aprakstīti konkrēti tehniskie risinājumi, daudzi eksperti iesaka izmantot cieto disku vai nodalījumu šifrēšanas sistēmas, kas tiks uzskatītas par pietiekamiem aizsardzības pasākumiem. Mūsu pētījuma rezultāti parādīja, ka ticība diska šifrēšanai ir nepamatota. Mazāk prasmīgs uzbrucējs var apiet daudzas bieži lietotas šifrēšanas sistēmas, ja klēpjdators ar datiem tiek nozagts, kamēr tas ir ieslēgts vai miega režīmā. Un datus klēpjdatorā var nolasīt pat tad, ja tas atrodas šifrētā diskdzinī, tāpēc cietā diska šifrēšanas sistēmu izmantošana nav pietiekams pasākums.

Mēs izmantojām vairāku veidu uzbrukumus labi zināmām cietā diska šifrēšanas sistēmām. Visvairāk laika prasīja šifrētu disku instalēšana un konstatēto šifrēšanas atslēgu pareizības pārbaude. RAM attēla iegūšana un atslēgu meklēšana aizņēma tikai dažas minūtes un bija pilnībā automatizēta. Ir pamats uzskatīt, ka lielākā daļa cieto disku šifrēšanas sistēmu ir uzņēmīgas pret līdzīgiem uzbrukumiem.

BitLocker

BitLocker ir sistēma, kas iekļauta dažās Windows Vista versijās. Tas darbojas kā draiveris, kas darbojas starp failu sistēmu un cietā diska draiveri, pēc pieprasījuma šifrējot un atšifrējot atlasītos sektorus. Šifrēšanai izmantotās atslēgas paliek RAM, kamēr tiek šifrēts šifrētais disks.

Lai šifrētu katru cietā diska sektoru, BitLocker izmanto vienu un to pašu atslēgu pāri, kas izveidots ar AES algoritmu: sektora šifrēšanas atslēgu un šifrēšanas atslēgu, kas darbojas šifrēšanas bloku ķēdes (CBC) režīmā. Šīs divas atslēgas savukārt ir šifrētas ar galveno atslēgu. Lai šifrētu sektoru, vienkāršajam tekstam tiek veikta binārā pievienošanas procedūra ar sesijas atslēgu, kas ģenerēta, šifrējot sektora nobīdes baitu ar sektora šifrēšanas atslēgu. Iegūtos datus pēc tam apstrādā divas sajaukšanas funkcijas, kas izmanto Microsoft izstrādāto Elephant algoritmu. Šīs bezatslēgas funkcijas tiek izmantotas, lai palielinātu visu šifra bitu izmaiņu skaitu un attiecīgi palielinātu šifrētā sektora datu nenoteiktību. Pēdējā posmā dati tiek šifrēti ar AES algoritmu CBC režīmā, izmantojot atbilstošu šifrēšanas atslēgu. Inicializācijas vektors tiek noteikts, šifrējot sektora nobīdes baitu ar šifrēšanas atslēgu, ko izmanto CBC režīmā.

Mēs esam ieviesuši pilnībā automatizētu demonstrācijas uzbrukumu ar nosaukumu BitUnlocker. Šajā gadījumā ārējs USB disks ar Linux OS un modificētu sāknēšanas ielādētāju, kura pamatā ir SYSLINUX un FUSE draiveris, kas ļauj savienot BitLocker šifrētos diskus ar Linux OS. Testa datorā, kurā darbojas sistēma Windows Vista, tika izslēgta barošana, tika pievienots USB cietais disks un no tā tika palaists. Pēc tam BitUnlocker automātiski ieslēdza RAM ārējais disks, izmantojot keyfind programmu, meklēju iespējamās atslēgas, izmēģināju visas atbilstošās opcijas (sektora šifrēšanas atslēgas un CBC režīma atslēgas pārus), un, ja izdevās, pievienoju šifrēto disku. Tiklīdz disks tika pievienots, kļuva iespējams strādāt ar to tāpat kā ar jebkuru citu disku. Mūsdienīgā klēpjdatorā ar 2 gigabaitu operatīvo atmiņu process aizņēma aptuveni 25 minūtes.

Jāatzīmē, ka šis uzbrukums kļuva iespējams bez reversās inženierijas veikt jebkuru programmatūru. Dokumentācijā Microsoft sistēma BitLocker ir pietiekami aprakstīts, lai saprastu sektora šifrēšanas atslēgas un CBC režīma atslēgas lomu un izveidotu savu programmu, kas īsteno visu procesu.

Galvenā atšķirība starp BitLocker un citām šīs klases programmām ir veids, kā tiek saglabātas atslēgas, kad šifrētais disks tiek atvienots. Pēc noklusējuma pamata režīmā BitLocker aizsargā galveno atslēgu, tikai izmantojot TPM moduli, kas pastāv daudzos mūsdienu datoros. Šī metode, kas, šķiet, tiek plaši izmantots, ir īpaši neaizsargāts pret mūsu uzbrukumu, jo tas ļauj iegūt šifrēšanas atslēgas pat tad, ja dators ir bijis ilgu laiku izslēgts, jo pēc datora sāknēšanas atslēgas tiek automātiski ielādētas RAM (pirms sistēmā parādās pieteikšanās logs), neievadot autentifikācijas datus.

Acīmredzot Microsoft speciālisti ir pazīstami ar šo problēmu un tāpēc iesaka BitLocker konfigurēt uzlabotā režīmā, kur atslēgas tiek aizsargātas ne tikai izmantojot TPM, bet arī ar paroli vai atslēgu ārējā USB diskā. Bet pat šajā režīmā sistēma ir neaizsargāta, ja uzbrucējs iegūst fizisku piekļuvi datoram brīdī, kad tas darbojas (tas var būt pat bloķēts vai miega režīmā (šajā gadījumā tiek uzskatīti stāvokļi - vienkārši izslēgts vai hibernēts). nav uzņēmīgi pret šo uzbrukumu).

FileVault

Apple FileVault sistēma ir daļēji izpētīta un apgriezta. Operētājsistēmā Mac OS X 10.4 FileVault izmanto 128 bitu AES atslēgu CBC režīmā. Kad tiek ievadīta lietotāja parole, tiek atšifrēta galvene, kas satur AES atslēgu un otro K2 atslēgu, ko izmanto inicializācijas vektoru aprēķināšanai. I. diska bloka inicializācijas vektors tiek aprēķināts kā HMAC-SHA1 K2(I).

Mēs izmantojām mūsu EFI programmu, lai izveidotu RAM attēlus, lai iegūtu datus no Macintosh datora (pamatojoties uz Intel procesors) ar uzstādītu disku, ko šifrējis FileVault. Pēc tam atslēgu meklēšanas programma bez kļūdām automātiski atrada FileVault AES atslēgas.

Bez inicializācijas vektora, bet ar iegūto AES atslēgu kļūst iespējams atšifrēt 4080 no katra diska bloka 4096 baitiem (visus, izņemot pirmo AES bloku). Mēs pārliecinājāmies, ka inicializācijas vektors ir arī izgāztuvē. Pieņemot, ka dati vēl nav bojāti, uzbrucējs var noteikt vektoru, pa vienam izmēģinot visas izgāztuves 160 bitu virknes un pārbaudot, vai tās var veidot iespējamu vienkāršu tekstu, pievienojot bināros datus atšifrētajai bloka pirmajai daļai. . Izmantojot tādas programmas kā vilefault, AES atslēgas un inicializācijas vektoru, varat pilnībā atšifrēt šifrētu disku.

Izmeklējot FileVault, mēs atklājām, ka operētājsistēmas Mac OS X 10.4 un 10.5 atmiņā atstāj vairākas lietotāja paroles kopijas, kur tās ir neaizsargātas pret šo uzbrukumu. Kontu paroles bieži tiek izmantotas, lai aizsargātu atslēgas, kuras savukārt var izmantot, lai aizsargātu FileVault šifrēto disku ieejas frāzes.

TrueCrypt

TrueCrypt ir populāra šifrēšanas sistēma ar atvērtais avots, kas darbojas operētājsistēmās Windows, MacOS un Linux. Tā atbalsta daudzus algoritmus, tostarp AES, Serpent un Twofish. 4. versijā visi algoritmi darbojās LRW režīmā; pašreizējā 5. versijā viņi izmanto XTS režīmu. TrueCrypt saglabā šifrēšanas atslēgu un pielāgo atslēgu katra diska nodalījuma galvenē, kas tiek šifrēta ar citu atslēgu, kas iegūta no lietotāja ievadītās paroles.

Mēs pārbaudījām TrueCrypt 4.3a un 5.0a, kas darbojas operētājsistēmā Linux. Mēs pievienojām disku, šifrējām ar 256 bitu AES atslēgu, pēc tam atvienojām barošanu un sāknēšanai izmantojām savu atmiņas izgāztuves programmatūru. Abos gadījumos atslēgas atrašana atrada neskartu 256 bitu šifrēšanas atslēgu. Arī TrueCrypt 5.0.a gadījumā keyfind spēja atgūt XTS režīma kniebiena taustiņu.

Lai atšifrētu TrueCrypt 4 izveidotos diskus, jums ir jāpielāgo LRW režīma atslēga. Mēs noskaidrojām, ka sistēma to saglabā četros vārdos pirms AES atslēgu grafika. Mūsu izgāztuvē LRW atslēga nebija bojāta. (Ja rodas kļūdas, mēs joprojām varēsim atgūt atslēgu).

Dm-kripta

Linux kodols, sākot ar versiju 2.6, ietver iebūvētu atbalstu diska šifrēšanas apakšsistēmai dm-crypt. Dm-crypt izmanto dažādus algoritmus un režīmus, bet pēc noklusējuma tas izmanto 128 bitu AES šifru CBC režīmā ar IV ģenerēšanu, pamatojoties uz galveno informāciju.

Mēs pārbaudījām dm-crypt izveidoto nodalījumu, izmantojot šifrēšanas utilīta LUKS (Linux vienotās atslēgas iestatīšana) atzaru un 2.6.20 kodolu. Disks tika šifrēts, izmantojot AES CBC režīmā. Mēs īslaicīgi izslēdzām strāvu un, izmantojot modificētu PXE sāknēšanas ielādētāju, paņēmām atmiņas iztukšošanu. Atslēgas meklēšanas programma atklāja pareizu 128 bitu AES atslēgu, kas tika atkopta bez kļūdām. Pēc tā atjaunošanas uzbrucējs var atšifrēt un uzstādīt dm-crypt šifrēto nodalījumu, pārveidojot utilīta cryptsetup, lai tā pieņemtu atslēgas vajadzīgajā formātā.

Aizsardzības metodes un to ierobežojumi

Aizsardzības ieviešana pret uzbrukumiem RAM nav triviāla, jo izmantotās kriptogrāfiskās atslēgas ir kaut kur jāglabā. Mēs iesakām koncentrēties uz atslēgu iznīcināšanu vai slēpšanu, pirms uzbrucējs var fiziski piekļūt datoram, neļaujot darboties RAM dump programmatūrai, fiziski aizsargāt RAM mikroshēmas un, ja iespējams, samazināt RAM datu kalpošanas laiku.

Atmiņas pārrakstīšana

Pirmkārt, kad vien iespējams, jums vajadzētu izvairīties no atslēgu glabāšanas RAM. Jums ir jāpārraksta galvenā informācija, kad tā vairs netiek izmantota, un jānovērš datu kopēšana lappušu failos. Atmiņa ir jāiztīra iepriekš, izmantojot OS rīkus vai papildu bibliotēkas. Protams, šie pasākumi neaizsargās tos, kas tiek izmantoti Šis brīdis atslēgas, jo tās ir jāsaglabā atmiņā, piemēram, tās, ko izmanto šifrētiem diskiem vai drošos tīmekļa serveros.

Arī sāknēšanas procesa laikā RAM ir jādzēš. Dažus datorus var konfigurēt, lai pirms operētājsistēmas ielādes notīrītu RAM, izmantojot notīrīšanas POST pieprasījumu (ieslēgšanas pašpārbaude). Ja uzbrucējs nevar novērst izpildi no šī pieprasījuma, tad uz šī PC viņam nebūs iespējas taisīt atmiņas izgāztuvi ar svarīgu informāciju. Bet viņam joprojām ir iespēja noņemt RAM mikroshēmas un ievietot tās citā datorā ar viņam nepieciešamajiem BIOS iestatījumiem.

Lejupielādes ierobežošana no tīkla vai no noņemamā datu nesēja

Daudzi no mūsu uzbrukumiem tika veikti, izmantojot lejupielādes tīklā vai no noņemamā datu nesēja. Datoram jābūt konfigurētam tā, lai, lai palaistu no šiem avotiem, būtu nepieciešama administratora parole. Taču jāņem vērā, ka pat tad, ja sistēma ir konfigurēta sāknēšanai tikai no galvenā cietā diska, uzbrucējs var mainīt pašu cieto disku vai daudzos gadījumos atiestatīt datora NVRAM, lai atgrieztos uz sākotnējie iestatījumi BIOS.

Drošs miega režīms

Pētījuma rezultāti parādīja, ka vienkārša datora darbvirsmas bloķēšana (tas ir, OS turpina darboties, bet, lai sāktu ar to mijiedarboties, jāievada parole) neaizsargā RAM saturu. Hibernācijas režīms nav efektīvs arī tad, ja dators ir bloķēts, atgriežoties no miega režīma, jo uzbrucējs var aktivizēt atgriešanos no miega režīma, pēc tam pārstartēt klēpjdatoru un veikt atmiņas iztukšošanu. Hibernācijas režīms (RAM saturs tiek kopēts uz cieto disku) arī nepalīdzēs, izņemot gadījumus, kad galvenā informācija tiek izmantota atsvešinātos datu nesējos, lai atjaunotu normālu darbību.

Lielākajā daļā cieto disku šifrēšanas sistēmu lietotāji var sevi aizsargāt, izslēdzot datoru. (Sistēma Bitlocker TPM moduļa darbības pamatrežīmā joprojām ir neaizsargāta, jo, ieslēdzot datoru, disks tiks pievienots automātiski). Atmiņas saturs var saglabāties īsu laiku pēc atvienošanas, tāpēc ieteicams uzraudzīt darbstaciju vēl dažas minūtes. Neskatoties uz tā efektivitāti, šis pasākums ir ārkārtīgi neērts, jo ilgs ielādes laiks darbstacijas.

Pāreju uz miega režīmu var nodrošināt šādos veidos: pieprasīt paroli vai citu noslēpumu, lai “pamodinātu” darbstaciju un šifrētu atmiņas saturu ar atslēgu, kas iegūta no šīs paroles. Parolei ir jābūt spēcīgai, jo uzbrucējs var izveidot atmiņas izgāztuves un pēc tam mēģināt uzminēt paroli ar brutālu spēku. Ja visas atmiņas šifrēšana nav iespējama, jums ir jāšifrē tikai tie apgabali, kuros ir galvenā informācija. Dažas sistēmas var būt konfigurētas, lai pārietu uz šāda veida aizsargātu miega režīmu, lai gan tas parasti nav noklusējuma iestatījums.

Izvairīšanās no iepriekšējiem aprēķiniem

Mūsu pētījumi ir parādījuši, ka, izmantojot iepriekšēju aprēķinu, lai paātrinātu kriptogrāfijas darbības, galvenā informācija kļūst neaizsargātāka. Iepriekšējo aprēķinu rezultātā atmiņā tiek parādīta lieka informācija par galvenajiem datiem, kas ļauj uzbrucējam atgūt atslēgas pat kļūdu gadījumā. Piemēram, kā aprakstīts 5. sadaļā, informācija par AES un DES algoritmu iteratīvajām atslēgām ir ārkārtīgi lieka un noderīga uzbrucējam.

Iepriekšēju aprēķinu neveikšana samazinās veiktspēju, jo potenciāli sarežģīti aprēķini būs jāatkārto. Bet, piemēram, jūs varat kešatmiņā saglabāt iepriekš aprēķinātās vērtības uz noteiktu laiku un dzēst saņemtos datus, ja tie netiek izmantoti šajā intervālā. Šī pieeja ir kompromiss starp drošību un sistēmas veiktspēju.

Atslēgas paplašināšana

Vēl viens veids, kā novērst atslēgas atkopšanu, ir mainīt atmiņā saglabāto atslēgas informāciju tā, lai apgrūtinātu atslēgas atkopšanu dažādu kļūdu dēļ. Šī metode ir apspriesta teorētiski, kur ir parādīta pret atklāšanu izturīga funkcija, kuras ievades paliek paslēptas pat tad, ja ir atklātas praktiski visas izejas, līdzīgi kā vienvirziena funkciju darbība.

Praksē iedomājieties, ka mums ir 256 bitu AES atslēga K, kas pašlaik netiek izmantota, bet būs nepieciešama vēlāk. Mēs nevaram to pārrakstīt, taču mēs vēlamies to padarīt izturīgu pret atkopšanas mēģinājumiem. Viens veids, kā to panākt, ir piešķirt lielu B bitu datu apgabalu, aizpildīt to ar nejaušiem datiem R un pēc tam saglabāt atmiņā sekojošās transformācijas K+H(R) rezultātu (binārā summēšana, redaktora piezīme), kur H ir jaucējfunkcija, piemēram, SHA-256.

Tagad iedomājieties, ka strāva tika izslēgta, tāpēc šajā apgabalā tiks mainīti d biti. Ja jaukšanas funkcija ir spēcīga, mēģinot atgūt atslēgu K, uzbrucējs var tikai paļauties uz to, ka varēs uzminēt, kuri apgabala B biti tika mainīti no aptuveni puses, kas varētu būt mainīta. Ja ir mainīti d biti, uzbrucējam būs jāmeklē (B/2+d)/d lieluma apgabals, lai atrastu pareizās R vērtības, un pēc tam jāatgūst atslēga K. Ja apgabals B ir liels, piemēram, meklēšana var būt ļoti ilga, pat ja d ir salīdzinoši mazs

Teorētiski mēs varētu saglabāt visas atslēgas šādā veidā, aprēķinot katru atslēgu tikai tad, kad tā ir vajadzīga, un izdzēšot to, kad mums tā nav vajadzīga. Tādējādi, izmantojot iepriekš minēto metodi, mēs varam saglabāt atslēgas atmiņā.

Fiziskā aizsardzība

Daži no mūsu uzbrukumiem balstījās uz fizisku piekļuvi atmiņas mikroshēmām. Šādus uzbrukumus var novērst fiziskā aizsardzība atmiņa. Piemēram, atmiņas moduļi atrodas slēgtā datora korpusā vai ir noslēgti ar epoksīda līmi, lai novērstu mēģinājumus tos noņemt vai tiem piekļūt. Varat arī ieviest atmiņas dzēšanu, reaģējot uz zemu temperatūru vai mēģinājumiem atvērt korpusu. Šī metode prasīs sensoru uzstādīšanu ar neatkarīgu barošanas sistēmu. Daudzas no šīm metodēm ietver pret viltojumiem drošu aparatūru (piemēram, IBM 4758 kopprocesoru), un tās var ievērojami palielināt darbstacijas izmaksas. No otras puses, atmiņas izmantošana pielodēta mātesplatē, maksās daudz mazāk.

Arhitektūras maiņa

Varat mainīt datora arhitektūru. Tas nav iespējams jau lietotiem datoriem, taču ļaus nodrošināt jaunus.

Pirmā pieeja ir izstrādāt DRAM moduļus tā, lai tie ātrāk izdzēstu visus datus. Tas var būt sarežģīti, jo mērķis pēc iespējas ātrāk dzēst datus ir pretrunā ar otru mērķi novērst datu pazušanu starp atmiņas atsvaidzināšanas periodiem.

Vēl viena pieeja ir pievienot galvenās informācijas glabāšanas aparatūru, kas tiek garantēta, ka startēšanas, restartēšanas un izslēgšanas laikā no tās krātuves tiks izdzēsta visa informācija. Tādā veidā mums būs droša vieta vairāku atslēgu glabāšanai, lai gan ar to iepriekšēju aprēķinu saistītā ievainojamība saglabāsies.

Citi eksperti ir ierosinājuši arhitektūru, kurā atmiņas saturs tiktu pastāvīgi šifrēts. Ja papildus tam mēs ieviešam atslēgu dzēšanu atsāknēšanas un strāvas padeves pārtraukuma laikā, šī metode nodrošinās pietiekamu aizsardzību pret mūsu aprakstītajiem uzbrukumiem.

Uzticama skaitļošana

Dažos personālajos datoros jau tiek izmantota aparatūra, kas atbilst “uzticamās skaitļošanas” jēdzienam, piemēram, TPM moduļu veidā. Lai gan tas ir noderīgs aizsardzībai pret dažiem uzbrukumiem, pašreizējā formā šāds aprīkojums nepalīdz novērst mūsu aprakstītos uzbrukumus.

Izmantotie TPM moduļi neīsteno pilnīgu šifrēšanu. Tā vietā viņi novēro sāknēšanas procesu, lai izlemtu, vai ir droši ielādēt atslēgu RAM vai nē. Ja programmatūrai ir jāizmanto atslēga, tad var ieviest šādu tehnoloģiju: atslēga izmantojamā formā netiks saglabāta RAM, kamēr sāknēšanas process nenotiks, kā paredzēts. Bet, tiklīdz atslēga atrodas RAM, tā nekavējoties kļūst par mūsu uzbrukumu mērķi. TPM var novērst atslēgas ielādi atmiņā, taču tie neliedz to nolasīt no atmiņas.

secinājumus

Pretēji izplatītajam uzskatam, DRAM moduļi saglabā datus salīdzinoši ilgu laiku, kad tie ir atspējoti. Mūsu eksperimenti ir parādījuši, ka šī parādība pieļauj veselu uzbrukumu klasi, kas var iegūt sensitīvus datus, piemēram, šifrēšanas atslēgas, no RAM, neskatoties uz OS mēģinājumiem aizsargāt tās saturu. Mūsu aprakstītos uzbrukumus var īstenot praksē, un mūsu piemēri par uzbrukumiem populārām šifrēšanas sistēmām to pierāda.

Bet arī cita veida programmatūra ir neaizsargāta. Digitālo tiesību pārvaldības (DRM) sistēmās bieži tiek izmantotas atmiņā saglabātās simetriskas atslēgas, un tās var iegūt arī, izmantojot aprakstītās metodes. Kā mēs esam parādījuši, arī tīmekļa serveri ar iespējotu SSL ir neaizsargāti, jo tie glabā atmiņā privātās atslēgas, kas nepieciešamas SSL sesiju izveidei. Mūsu metodes galvenās informācijas atrašanai, visticamāk, būs efektīvas paroļu, kontu numuru un jebkura cita atrašanai svarīga informācija, glabājas RAM.

Izskatās, ka nē vienkāršs veids novērst atrastās ievainojamības. Programmatūras izmaiņas, visticamāk, nebūs efektīvas; aparatūras izmaiņas palīdzēs, bet laika un resursu izmaksas būs augstas; Uzticama skaitļošanas tehnoloģija tās pašreizējā formā ir arī neefektīva, jo tā nevar aizsargāt atmiņā esošās atslēgas.

Mūsuprāt, klēpjdatori, kas bieži atrodas publiskās vietās un darbojas režīmos, kas ir neaizsargāti pret šiem uzbrukumiem, ir visvairāk pakļauti šim riskam. Šādu risku klātbūtne liecina, ka diska šifrēšana aizsargā svarīgus datus mazākā mērā, nekā parasti tiek uzskatīts.

Tā rezultātā jums, iespējams, būs jāuzskata DRAM atmiņa par neuzticamu mūsdienu datora sastāvdaļu un jāizvairās no sensitīvas informācijas apstrādes tajā. Bet pagaidām tas nav praktiski, kamēr moderno personālo datoru arhitektūra nav mainījusies, lai programmatūra varētu uzglabāt atslēgas drošā vietā.

Ar atvērtu avota kods ir bijusi populāra jau 10 gadus, jo tā nav atkarīga no lielākajiem pārdevējiem. Programmas veidotāji publiski nav zināmi. Starp slavenākajiem programmas lietotājiem ir Edvards Snoudens un drošības eksperts Brūss Šnejers. Lietderība ļauj pārvērst zibatmiņas disku vai HDD uz drošu šifrētu krātuvi, kurā konfidenciāla informācija ir paslēpta no ziņkārīgo acīm.

Noslēpumainie utilītas izstrādātāji trešdien, 28. maijā, paziņoja par projekta slēgšanu, skaidrojot, ka TrueCrypt izmantošana nav droša. "BRĪDINĀJUMS: TrueCrypt lietot nav droši, jo... programma var saturēt neatrisinātas ievainojamības” - šo ziņojumu var redzēt produkta lapā portālā SourceForge. Tam seko vēl viens ziņojums: "Jums ir jāmigrē visi ar TrueCrypt šifrētie dati uz šifrētiem diskiem vai virtuālo disku attēliem, kas tiek atbalstīti jūsu platformā."

Neatkarīgais drošības eksperts Greiems Klūlijs diezgan loģiski komentēja pašreizējo situāciju: "Ir pienācis laiks atrast alternatīvu risinājumu failu un cieto disku šifrēšanai."

ES nejokoju!

Sākotnēji izskanēja ierosinājumi, ka programmas vietni uzlauzuši kibernoziedznieki, taču tagad kļūst skaidrs, ka tā nav mānīšana. SourceForge tagad piedāvā atjauninātu TrueCrypt versiju (kurai ir Digitālais paraksts izstrādātājiem), kuru instalēšanas laikā ieteicams pārslēgties uz BitLocker vai citu alternatīvu rīku.

Džona Hopkinsa universitātes kriptogrāfijas profesors Metjū Grīns sacīja: "Ir maz ticams, ka nezināms hakeris identificēja TrueCrypt izstrādātājus, nozaga viņu digitālo parakstu un uzlauza viņu vietni."

Ko lietot tagad?

Vietne un uznirstošais brīdinājums pašā programmā satur norādījumus par TrueCrypt šifrētu failu pārsūtīšanu uz Microsoft BitLocker pakalpojumu, kas tiek piegādāts kopā ar Microsoft Vista Ultimate/Enterprise, Windows 7 Ultimate/Enterprise un Windows 8 Pro/Enterprise. TrueCrypt 7.2 ļauj atšifrēt failus, bet neļauj izveidot jaunus šifrētus nodalījumus.

Acīmredzamākā programmas alternatīva ir BitLocker, taču ir arī citas iespējas. Šneiers stāstīja, ka atgriežas pie Symantec PGPDisk lietošanas. (110 USD par vienu lietotāja licenci) izmanto labi zināmo un pārbaudīto PGP šifrēšanas metodi.

Ir arī citi bezmaksas alternatīvas operētājsistēmai Windows, piemēram, DiskCryptor. Pētnieks datoru drošība, kas pazīstams kā The Grugq, pagājušajā gadā apkopoja kopumu, kas ir aktuāls arī šodien.

SANS Tehnoloģiju institūta zinātniskais direktors Johanness Ulrihs iesaka Mac OS X lietotājiem pievērst uzmanību FileVault 2, kas ir iebūvēts OS X 10.7 (Lion) un jaunākās šīs saimes operētājsistēmās. FileVault izmanto 128 bitu XTS-AES šifrēšanu, ko izmanto ASV Nacionālā drošības aģentūra (NSA). Pēc Ulriha domām Linux lietotāji ir jāievēro iebūvētais Linux vienotās atslēgas iestatīšanas (LUKS) sistēmas rīks. Ja izmantojat Ubuntu, tad šīs OS instalētājs jau no paša sākuma ļauj iespējot pilnu diska šifrēšanu.

Tomēr lietotājiem būs nepieciešamas citas lietojumprogrammas, lai šifrētu portatīvos datu nesējus, kas tiek izmantoti datoros, kuros darbojas dažādas operētājsistēmas. Ulrihs teica, ka šajā gadījumā prātā nāk .

Vācu kompānija Steganos piedāvā izmantot vecā versija tā šifrēšanas utilīta Steganos Safe ( pašreizējā versijašobrīd - 15, bet tiek piedāvāts izmantot 14. versiju), kas tiek izplatīta bez maksas.

Nezināmas ievainojamības

Fakts, ka TrueCrypt var būt drošības ievainojamības, rada nopietnas bažas, jo īpaši tāpēc, ka programmas audits šādas problēmas neatklāja. Programmas lietotāji audita veikšanai ir savākuši 70 000 ASV dolāru pēc baumām, ka ASV Nacionālās drošības aģentūra varētu atšifrēt ievērojamu daudzumu šifrētu datu. Pirmais pētījuma posms, kurā tika analizēts TrueCrypt iekrāvējs, tika veikts pagājušajā mēnesī. Revīzijā netika atklātas nekādas aizmugures durvis vai tīšas ievainojamības. Nākamā pētījuma fāze, kurā pārbaudītu izmantotās kriptogrāfijas metodes, bija plānota šovasar.

Grīns bija viens no auditā iesaistītajiem ekspertiem. Viņš sacīja, ka viņa rīcībā nav sākotnējās informācijas, ka izstrādātāji plāno projektu slēgt. Grīns sacīja: "Pēdējais, ko dzirdēju no TrueCrypt izstrādātājiem, bija: "Mēs ar nepacietību gaidām 2. fāzes izmēģinājuma rezultātus. Paldies par jūsu pūlēm!” Jāpiebilst, ka audits turpināsies, kā plānots, neskatoties uz projekta TrueCrypt apturēšanu.

Iespējams, programmas veidotāji nolēma apturēt izstrādi, jo utilīta ir novecojusi. Izstrāde tika pārtraukta 2014. gada 5. maijā, t.i. pēc atbalsta oficiālās beigām Windows sistēmas XP. SoundForge min: "Windows 8/7/Vista un jaunākās sistēmās ir iebūvēti rīki disku un virtuālo disku attēlu šifrēšanai." Tādējādi datu šifrēšana ir iebūvēta daudzās operētājsistēmās, un izstrādātāji, iespējams, ir atklājuši, ka programma vairs nav vajadzīga.

Lai pievienotu eļļu ugunij, 19. maijā TrueCrypt tika noņemts no Tails drošās sistēmas (Snovena iecienītākā sistēma). Iemesls nav pilnībā skaidrs, taču programmu noteikti nevajadzētu izmantot, atzīmēja Klūlijs.

Klūlijs arī rakstīja: "Neatkarīgi no tā, vai tā ir krāpniecība, uzlaušana vai TrueCrypt dzīves cikla loģiskas beigas, ir skaidrs, ka apzinīgi lietotāji pēc šī fiasko nejutīsies ērti uzticoties programmai ar saviem datiem."

Šis ir ceturtais no pieciem rakstiem mūsu emuārā, kas veltīts VeraCrypt, tas ir detalizēti apskatīts un sniegts soli pa solim instrukcija, kā izmantot VeraCrypt, lai šifrētu sistēmas nodalījumu vai visu disku ar instalētu Windows operētājsistēmu.

Ja meklējat, kā šifrēt nesistēmas cieto disku, šifrēt atsevišķus failus vai visu USB zibatmiņas disku, kā arī vēlaties uzzināt vairāk par VeraCrypt, apskatiet šīs saites:

Šī šifrēšana ir visdrošākā, jo absolūti visi faili, tostarp visi pagaidu faili, hibernācijas faili (miega režīms), mijmaiņas faili un citi vienmēr tiek šifrēti (pat negaidīta strāvas padeves pārtraukuma gadījumā). Žurnāls operētājsistēma un reģistrs, kurā tiek glabāts daudz svarīgu datu, arī tiks šifrēts.

Sistēmas šifrēšana darbojas, izmantojot autentifikāciju pirms sistēmas sāknēšanas. Pirms Windows sāk palaist, jums būs jāievada parole, kas atšifrēs diska sistēmas nodalījumu, kurā ir visi operētājsistēmas faili.

Šī funkcionalitāte tiek ieviesta, izmantojot VeraCrypt sāknēšanas ielādētāju, kas aizstāj standarta sistēmas sāknēšanas ielādētāju. Sistēmu var sāknēt, ja cietā diska sāknēšanas sektors un līdz ar to arī pats sāknēšanas ielādētājs ir bojāts, izmantojot VeraCrypt Rescue Disk.

Lūdzu, ņemiet vērā, ka operētājsistēmas darbības laikā sistēmas nodalījums tiek šifrēts. Kamēr process turpinās, varat izmantot datoru kā parasti. Iepriekš minētais attiecas arī uz atšifrēšanu.

Operētājsistēmu saraksts, kurām tiek atbalstīta sistēmas diska šifrēšana:

Windows 10
Windows 8 un 8.1
Windows 7
Windows Vista (SP1 vai jaunāka versija)
Windows XP
Windows Server 2012
Windows Server 2008 un Windows Server 2008 R2 (64 bitu)
Windows Server 2003

Mūsu gadījumā mēs šifrējam datoru ar Windows 10 un vienu disku C:\

1. darbība — sistēmas nodalījuma šifrēšana

Palaidiet VeraCrypt, programmas galvenajā logā dodieties uz cilni Sistēma un atlasiet pirmo izvēlnes vienumu Šifrēt sistēmas nodalījumu/disku (Šifrēt sistēmas nodalījumu/disku).

2. darbība – šifrēšanas veida izvēle

Atstājiet noklusējuma veidu Normāls (parasts) Ja vēlaties izveidot slēptu nodalījumu vai slēptu OS, pievērsiet uzmanību VeraCrypt papildu funkcijām. Klikšķis Nākamais

3. darbība – šifrēšanas apgabals

Mūsu gadījumā nav būtiski svarīgi šifrēt visu disku vai tikai sistēmas nodalījumu, jo diskā ir tikai viens nodalījums, kas aizņem visu brīvo vietu. Iespējams, ka jūsu fiziskais disks ir sadalīts, piemēram, vairākos nodalījumos C:\ Un D:\. Ja tas tā ir un vēlaties šifrēt abus nodalījumus, izvēlieties Šifrējiet visu disku.

Lūdzu, ņemiet vērā: ja jums ir instalēti vairāki fiziski diski, katrs no tiem būs jāšifrē atsevišķi. Disks ar sistēmas nodalījumu, izmantojot šīs instrukcijas. Ir rakstīts, kā šifrēt disku ar datiem.

Izvēlieties, vai vēlaties šifrēt visu disku vai tikai sistēmas nodalījumu, un noklikšķiniet uz pogas Nākamais.

4. darbība – slēpto nodalījumu šifrēšana

Izvēlieties Jā ja jūsu ierīcē ir slēptās sadaļas ar datora ražotāja utilītprogrammām un vēlaties tos šifrēt, tas parasti nav nepieciešams.

5. darbība – operētājsistēmu skaits

Mēs neanalizēsim gadījumu, kad datorā ir instalētas vairākas operētājsistēmas vienlaikus. Izvēlieties un nospiediet pogu Nākamais.

6. darbība — šifrēšanas iestatījumi

Šifrēšanas un jaukšanas algoritmu izvēle, ja neesat pārliecināts, ko izvēlēties, atstājiet vērtības AES Un SHA-512 noklusējuma kā jaudīgākā opcija.

7. darbība — parole

Šis ir svarīgs solis; šeit jums ir jāizveido spēcīga parole, kas tiks izmantota, lai piekļūtu šifrētajai sistēmai. Mēs iesakām rūpīgi izlasīt izstrādātāju ieteikumus logā Volume Creation Wizard par to, kā izvēlēties labu paroli.

8. darbība – nejaušu datu vākšana

Šis solis ir nepieciešams, lai ģenerētu šifrēšanas atslēgu, pamatojoties uz iepriekš ievadīto paroli; jo ilgāk pārvietojat peli, jo drošākas būs iegūtās atslēgas. Nejauši pārvietojiet peli vismaz līdz indikators kļūst zaļš, pēc tam noklikšķiniet Nākamais.

9. darbība — ģenerētas atslēgas

Šis solis informē, ka šifrēšanas atslēgas, saistīšana (sāls) un citi parametri ir veiksmīgi izveidoti. Šis ir informācijas solis, noklikšķiniet Nākamais.

10. darbība – atkopšanas disks

Norādiet ceļu, kur tas tiks saglabāts ISO attēls atkopšanas disks (glābšanas disks), jums var būt nepieciešams šis attēls, ja VeraCrypt sāknēšanas ielādētājs ir bojāts, un jums joprojām būs jāievada pareizā parole.

Saglabājiet atkopšanas diska attēlu noņemamā datu nesējā (piemēram, zibatmiņas diskā) vai ierakstiet to optiskajā diskā (ieteicams) un noklikšķiniet uz Nākamais.

11. darbība — tiek izveidots atkopšanas disks

Piezīme! Katram šifrētajam sistēmas nodalījumam ir nepieciešams savs atkopšanas disks. Noteikti izveidojiet to un glabājiet to noņemamā datu nesējā. Neglabājiet atkopšanas disku tajā pašā šifrētajā sistēmas diskdzinī.

Tikai atkopšanas disks var palīdzēt atšifrēt datus tehnisku kļūmju un aparatūras problēmu gadījumā.

12. solis – tīrīšana brīva vieta

Brīvās vietas attīrīšana ļauj neatgriezeniski noņemt no diska iepriekš izdzēstos datus, kurus var atgūt, izmantojot īpašus paņēmienus (īpaši svarīgi tradicionālajiem magnētiskajiem cietajiem diskiem).

Ja šifrējat SSD disku, atlasiet 1 vai 3 pārejas; magnētiskajiem diskiem mēs iesakām 7 vai 35 pārejas.

Lūdzu, ņemiet vērā, ka šī darbība ietekmēs kopējo diska šifrēšanas laiku, šī iemesla dēļ noraidiet to, ja jūsu diskā iepriekš nebija svarīgu izdzēstu datu.

Neizvēlieties 7 vai 35 caurlaides SSD diskdziņi, SSD gadījumā magnētiskā spēka mikroskopija nedarbojas, pietiek ar 1 piegājienu.

13. darbība — sistēmas šifrēšanas pārbaude

Veiciet sistēmas šifrēšanas iepriekšēju pārbaudi un skatiet ziņojumu, ka VeraCrypt sāknēšanas ielādes interfeiss ir pilnībā angļu valodā.

Shan 14 — ko darīt, ja Windows netiek sāknēts

Izlasiet vai, vēl labāk, izdrukājiet ieteikumus, ko darīt, ja Windows pēc atsāknēšanas nesāknējas (tas notiek).

Klikšķis labi ja esat izlasījis un sapratis ziņojumu.

Datora privātuma un drošības prasības pilnībā nosaka tajā saglabāto datu raksturs. Viena lieta, ja jūsu dators kalpo kā izklaides stacija un tajā nav nekā, izņemot dažas rotaļlietas un tēti ar jūsu mīļākā kaķa fotogrāfijām, bet pavisam cita lieta, ja cietajā diskā ir dati, kas ir komercnoslēpums. potenciāli interesē konkurentus.

Pirmā “aizsardzības līnija” ir pieteikšanās parole, kas tiek pieprasīta katru reizi, ieslēdzot datoru.

Nākamais aizsardzības līmenis ir piekļuves tiesības līmenī failu sistēma. Lietotājs, kuram nav atļauju privilēģiju, saņems kļūdas ziņojumu, mēģinot piekļūt failiem.

Tomēr aprakstītajām metodēm ir viens ārkārtīgi būtisks trūkums. Tie abi darbojas operētājsistēmas līmenī, un tos var salīdzinoši viegli apiet, ja ir maz laika un fiziskas piekļuves datoram (piemēram, bootējot no USB zibatmiņas diska, var atiestatīt administratīvo paroli vai mainīt failu atļaujas). Pilnīgu pārliecību par datu drošību un konfidencialitāti var iegūt tikai tad, ja izmantojat kriptogrāfijas sasniegumus un droši tos izmantojat. Tālāk mēs aplūkosim divas šādas aizsardzības metodes.

Pirmā šodien aplūkotā metode būs Microsoft iebūvētā šifrēšanas aizsardzība. Šifrēšana, ko sauc par BitLocker, pirmo reizi parādījās operētājsistēmā Windows 8. To nevar izmantot, lai aizsargātu atsevišķu mapi vai failu, ir pieejama tikai visa diska šifrēšana. Tas jo īpaši nozīmē to, ka nav iespējams šifrēt sistēmas disku (sistēmu nevarēs sāknēt), kā arī nav iespējams saglabāt svarīgus datus sistēmas bibliotēkās, piemēram, “Mani dokumenti” (pēc noklusējuma tie atrodas sistēmas nodalījumā).
Lai iespējotu iebūvēto šifrēšanu, rīkojieties šādi:

Atveriet Explorer, ar peles labo pogu noklikšķiniet uz diska, kuru vēlaties šifrēt, un atlasiet “Iespējot BitLocker”.
Atzīmējiet izvēles rūtiņu “Izmantot paroli diska atbloķēšanai”, izveidojiet un divreiz ievadiet drošības prasībām atbilstošu paroli (vismaz 8 rakstzīmes gara, jābūt mazajiem un lielajiem burtiem, vēlams ievadīt vismaz vienu speciālo rakstzīmi) un noklikšķiniet uz pogas "Nākamais". Otro atbloķēšanas iespēju šīs piezīmes ietvaros neapskatīsim, jo viedkaršu lasītāji ir diezgan reti un tiek izmantoti organizācijās, kurām ir savs informācijas drošības dienests.
Paroles pazaudēšanas gadījumā sistēma piedāvā izveidot īpašu atkopšanas atslēgu. To var piestiprināt pie konts Microsoft, saglabājiet failā vai vienkārši izdrukājiet uz printera. Izvēlieties vienu no metodēm un pēc atslēgas saglabāšanas noklikšķiniet uz "Tālāk". Šī atslēga ir jāaizsargā no svešiniekiem, jo tā, būdama apdrošināšana pret jūsu aizmāršību, var kļūt par "sētas durvīm", pa kurām noplūdīs jūsu dati.
Nākamajā ekrānā izvēlieties, vai šifrēt visu disku vai tikai izmantoto vietu. Otrais punkts ir lēnāks, bet uzticamāks.
Izvēlieties šifrēšanas algoritmu. Ja neplānojat migrēt disku starp datoriem, izvēlieties izturīgāku jaunāko režīmu, pretējā gadījumā saderības režīmu.
Pēc iestatījumu konfigurēšanas noklikšķiniet uz pogas "Sākt šifrēšanu". Pēc nelielas gaidīšanas dati jūsu diskā tiks droši šifrēti.
Pēc atteikšanās vai pārstartēšanas aizsargātais sējums kļūs nepieejams, un failu atvēršanai būs nepieciešama parole.

DiskCryptor

Otra kriptogrāfijas utilīta, ko mēs šodien aplūkojam, ir DiskCryptor, bezmaksas un atvērtā pirmkoda risinājums. Lai to izmantotu, izmantojiet tālāk sniegtos norādījumus.

Lejupielādējiet programmas instalēšanas programmu no oficiālās vietnes, izmantojot saiti. Palaidiet lejupielādēto failu.
Instalēšanas process ir ārkārtīgi vienkāršs, tas sastāv no pogas “Next” nospiešanas vairākas reizes un visbeidzot datora pārstartēšanas.
Pēc pārstartēšanas palaidiet programmu DiskCryptor no programmas mapes vai noklikšķinot uz darbvirsmas saīsnes.
Atvērtajā logā noklikšķiniet uz šifrējamā diska un noklikšķiniet uz pogas Šifrēt.
Nākamais solis ir izvēlēties šifrēšanas algoritmu un izlemt, vai pirms šifrēšanas ir jāizdzēš visi dati no diska (ja neplānojat iznīcināt informāciju, sarakstā “Notīrīt” noteikti atlasiet “Nav”).
Divreiz ievadiet atšifrēšanas paroli (ieteicams izveidot sarežģītu paroli, lai laukā “Paroles vērtējums” būtu vismaz “Augsts”). Pēc tam noklikšķiniet uz "OK".
Pēc nelielas gaidīšanas disks tiks šifrēts. Pēc pārstartēšanas vai atteikšanās, lai tai piekļūtu, jums būs jāpalaiž utilīta, noklikšķiniet uz pogas "Mount" vai "Mount All", ievadiet paroli un noklikšķiniet uz "OK".

Šīs utilītas neapšaubāmā priekšrocība salīdzinājumā ar BitLocker mehānismu ir tā, ka to var izmantot sistēmās, kas izlaistas pirms Windows 8 (tiek atbalstīta pat Windows XP, kas tika pārtraukta). Bet DiskCryptor ir arī vairāki būtiski trūkumi:

nav iespēju atjaunot piekļuvi šifrētai informācijai (ja aizmirstat paroli, tiek garantēts datu zaudējums);
Tiek atbalstīta tikai paroles atbloķēšana; viedkaršu vai biometrisko sensoru izmantošana nav iespējama;
Iespējams, lielākais DiskCryptor lietošanas trūkums ir tas, ka uzbrucējs ar administratīvo piekļuvi sistēmai to varēs standarta līdzekļi formatēt disku. Jā, viņš neiegūs piekļuvi datiem, bet jūs tos arī pazaudēsit.

Rezumējot, varu teikt, ka, ja jūsu datorā ir instalēta OS, sākot ar Windows 8, tad labāk ir izmantot iebūvēto funkcionalitāti.

Šifrējiet cieto disku vai vienu no tā nodalījumiem bez programmām vai daudz pūļu

Šodien mēs apskatīsim jautājumu par to, kā jūs varat šifrēt cieto disku vai tā atsevišķus nodalījumus, neizmantojot sarežģītas programmas vai īpašas pūles.

Nu, jautājums par to, kāpēc šifrēt cieto disku (cieto disku), ir retorisks.

Šifrēšanas mērķi dažādiem lietotājiem var nedaudz atšķirties, taču kopumā visi cenšas liegt nesankcionētām personām piekļuvi nodalījumam vai visam cietajam diskam.

Tas ir saprotams mūsdienās, kad valda nikns kibernoziedzība, un parasti mazie datoru ļaundari var zaudēt svarīgus personiskos failus.

Tātad, apskatīsim vienkāršāko veidu, kā šifrēt cieto disku vai kādu no tā nodalījumiem.

Metode, ko izmantosim:

Bitlocker šifrēšana (iebūvēta operētājsistēmās Windows 7 Ultimate un Enterprise)

Tātad, sāksim. Šī cietā diska “kodēšanas” metode ir iebūvēta sistēmā Windows un tiek saukta par Bitlocker. Šīs metodes priekšrocības:

Nevajag nevienu trešo pušu programmas, viss nepieciešamais jau ir operētājsistēmā (OS)
Ja cietais disks tika nozagts, tad, lai to pievienotu citam datoram, joprojām būs jāievada parole

Arī pēdējā posmā, saglabājot piekļuves atslēgu, viens no veidiem ir ierakstīt to zibatmiņas diskā, tāpēc jums tas ir jāizlemj iepriekš.

Šī metode pati par sevi tika iekļauta operētājsistēmā Windows Vista. "Septiņos" tam ir uzlabota versija.

Iespējams, daudzi, instalējot Windows OS, ir novērojuši, ka pirms tam tiek izveidots neliels 100 megabaitu nodalījums. lokālais disks“C”, tagad jūs zināt, kam tas paredzēts.

Jā, tikai Bitlocker šifrēšanai (Vista tas bija 1,5 gigabaiti liels).

Lai to iespējotu, dodieties uz "Vadības panelis" - "Sistēma un drošība" - "Bitlocker diska šifrēšana".

Mēs izlemjam, kurš disks tiks šifrēts, un atlasām “Iespējot Bitlocker”.

Ja parādās ziņojums, kā parādīts zemāk esošajā attēlā, jums ir jāveic nelielas izmaiņas sistēmas iestatījumos:

Lai to izdarītu, sadaļā “Sākt” meklēšanas joslā ievadām “politika”, un tiek parādītas meklēšanas opcijas.

Izvēlieties "Mainīt grupas politiku":

Mēs atrodamies redaktorā, kurā mums ir jāievēro: Datora konfigurācija - Administratīvās veidnes - Windows komponenti - Bitlocker diska šifrēšana - Operētājsistēmas diski. Labajā pusē veiciet dubultklikšķi uz “Nepieciešama papildu autentifikācija”:

Parādītajā izvēlnē atlasiet “Iespējot”, kā arī jums ir jāatzīmē “Atļaut izmantot Bitlocker bez saderīga TPM” - apstipriniet mūsu iestatījumus - OK.

Jums arī jāizlemj par šifrēšanas metodi. Mums ir jāizmanto vissarežģītākā iespējamā metode.

Lai to izdarītu, mēs ejam pa to pašu ceļu kā iepriekšējā rindkopā, tikai mēs apstājamies pie mapes “Bitlocker Disk Encryption”; labajā pusē mēs redzam failu - “Atlasiet diska šifrēšanas metodi un šifrēšanas stiprumu”.

Visuzticamākais šeit ir AES ar 256 bitu šifrēšanu, atlasiet to, noklikšķiniet uz “Lietot” un “OK”.

Tagad visu var brīvi izmantot ar šifrēšanu.

Tāpat kā raksta sākumā, dodieties uz "Vadības panelis" - "Sistēma un drošība" - "Bitlocker diska šifrēšana". Noklikšķiniet uz "Iespējot".

Mums būs pieeja vienīgais ceļš, kam nepieciešama atslēga. Tas būs zibatmiņas diskā.

Iegūtā atslēga ir rakstīta parastajā valodā teksta fails. Pēc tam jums tiks lūgts iespējot pārbaudi, atzīmējiet izvēles rūtiņu un "turpināt".

Atsāknējam. Ja viss noritēja labi, nākamreiz, kad to ieslēdzat, sāksies cietā diska nodalījuma šifrēšanas process.

Laika ziņā process ilgs atkarībā no sistēmas jaudas – parasti no vairākām minūtēm līdz vairākām stundām (ja tas ir vairāku simtu gigabaitu nodalījums).

Pēc pabeigšanas mēs saņemam ziņojumu - Šifrēšana pabeigta. Neaizmirstiet par piekļuves atslēgām, pārbaudiet tās.

Mēs apskatījām ļoti vienkāršu veidu, kā šifrēt cieto disku bez trešās puses programmām un dziļām zināšanām kriptogrāfijas jomā.

Šī metode ir ļoti efektīva un ērta, to var izmantot arī zibatmiņas diska šifrēšanai; šī problēma tiks apspriesta nākamajā rakstā.

Populārs kategorijā: