Program na šifrovanie diskových oddielov. Ako zašifrovať celý pevný disk pomocou VeraCrypt. Inštalácia VeraCrypt na Windows

Vedci z Princetonskej univerzity objavili spôsob, ako obísť šifrovanie. pevné disky pomocou vlastnosti modules Náhodný vstup do pamäťe uchovávať informácie na krátky čas aj po výpadku napájania.

Predslov

Keďže na prístup k zašifrovanému pevnému disku potrebujete mať kľúč a ten je, samozrejme, uložený v RAM, stačí na pár minút fyzický prístup k PC. Po reštarte z externého pevný disk alebo s USB FlashÚplný výpis pamäte sa vytvorí a prístupový kľúč sa z neho extrahuje v priebehu niekoľkých minút.

Týmto spôsobom je možné získať šifrovacie kľúče (a plný prístup na pevný disk), ktoré používajú programy BitLocker, FileVault a dm-crypt v operačných systémoch Windows Vista, Mac OS X a Linux, ako aj populárny bezplatný systém šifrovania pevných diskov TrueCrypt.

Význam tejto práce spočíva v tom, že neexistuje jediný jednoduchý spôsob ochrany pred týmto spôsobom hackingu, okrem vypnutia napájania na dostatočnú dobu na úplné vymazanie údajov.

Vizuálna ukážka procesu je prezentovaná v video.

anotácia

Na rozdiel od všeobecného presvedčenia, pamäť DRAM, používaná vo väčšine moderné počítače, ukladá údaje aj po vypnutí napájania na niekoľko sekúnd alebo minút, a to sa deje pri izbovej teplote a dokonca aj vtedy, keď je čip odstránený zo základnej dosky. Tento čas stačí na úplný výpis pamäte RAM. Ukážeme, že tento jav umožňuje útočníkovi s fyzickým prístupom do systému obísť funkcie OS na ochranu údajov kryptografických kľúčov. Ukážeme si, ako možno reštart použiť na úspešné napadnutie známych šifrovacích systémov pevných diskov bez použitia akéhokoľvek špecializovaného hardvéru alebo materiálov. Experimentálne určíme stupeň a pravdepodobnosť zadržania zvyškovej magnetizácie a ukážeme, že čas, za ktorý je možné údaje zbierať, možno výrazne predĺžiť pomocou jednoduché techniky. Navrhnú sa aj nové metódy na vyhľadávanie kryptografických kľúčov vo výpisoch pamäte a na opravu chýb spojených so stratou bitov. Prediskutuje sa však aj niekoľko spôsobov, ako tieto riziká znížiť jednoduché riešenie nevieme.

Úvod

Väčšina odborníkov predpokladá, že údaje z pamäte RAM počítača sa vymažú takmer okamžite po vypnutí napájania, alebo sa domnievajú, že zvyškové údaje je mimoriadne ťažké získať bez použitia špeciálneho vybavenia. Ukážeme, že tieto predpoklady sú nesprávne. Bežná pamäť DRAM stráca dáta aj pri bežných teplotách postupne v priebehu niekoľkých sekúnd a aj keď sa pamäťový čip vyberie zo základnej dosky, dáta v nej zostanú minúty či dokonca hodiny, za predpokladu, že je čip skladovaný pri nízkych teplotách. Zvyšné údaje je možné obnoviť pomocou jednoduché metódy, ktoré vyžadujú krátkodobý fyzický prístup k počítaču.

Ukážeme si sériu útokov, ktoré nám pomocou remanentných efektov DRAM umožnia obnoviť šifrovacie kľúče uložené v pamäti. To predstavuje skutočnú hrozbu pre používateľov notebookov, ktorí sa spoliehajú na systémy šifrovania pevných diskov. Ak totiž útočník ukradne notebook, zatiaľ čo je pripojený šifrovaný disk, bude môcť vykonať jeden z našich útokov na prístup k obsahu, a to aj v prípade, že samotný notebook je uzamknutý alebo v režime spánku. Ukážeme to úspešným útokom na niekoľko populárnych šifrovacích systémov, ako sú BitLocker, TrueCrypt a FileVault. Tieto útoky by mali byť úspešné aj proti iným šifrovacím systémom.

Hoci sme svoje úsilie zamerali na systémy šifrovania pevných diskov, ak má útočník fyzický prístup k počítaču, akékoľvek dôležité informácie uložené v pamäti RAM sa môžu stať cieľom útoku. Je pravdepodobné, že zraniteľné sú aj mnohé ďalšie bezpečnostné systémy. Zistili sme napríklad, že Mac OS X necháva heslá účtov v pamäti, odkiaľ sme ich dokázali extrahovať, a tiež sme podnikli útoky na získanie súkromných RSA kľúčov webového servera Apache.

Niektorí predstavitelia komunity informačná bezpečnosť a polovodičoví fyzici už o remanenčnom efekte DRAM vedeli, bolo o ňom veľmi málo informácií. Výsledkom je, že mnohí, ktorí navrhujú, vyvíjajú alebo používajú bezpečnostné systémy, jednoducho nepoznajú tento fenomén ani to, ako ľahko ho môže zneužiť útočník. Pokiaľ vieme, toto je prvé detailná prácaštúdium dôsledkov týchto javov na informačnú bezpečnosť.

Útoky na šifrované disky

Šifrovanie pevných diskov je známy spôsob ochrany pred krádežou dát. Mnohí veria, že šifrovacie systémy pevných diskov ochránia ich dáta, aj keď útočník získa fyzický prístup k počítaču (v skutočnosti na to slúžia, pozn. redaktora). Kalifornský štátny zákon prijatý v roku 2002 vyžaduje nahlasovanie možného zverejnenia osobných údajov iba v prípade, že údaje neboli zašifrované, pretože. Predpokladá sa, že šifrovanie údajov je dostatočným ochranným opatrením. Hoci zákon nepopisuje žiadne konkrétne technické riešenia, mnohí odborníci odporúčajú používanie šifrovacích systémov pre pevné disky či partície, ktoré budú považované za dostatočné ochranné opatrenia. Výsledky nášho výskumu ukázali, že viera v šifrovanie disku je neopodstatnená. Menej skúsený útočník dokáže obísť mnohé bežne používané šifrovacie systémy, ak dôjde k odcudzeniu notebooku s údajmi, keď je zapnutý alebo v režime spánku. A údaje na prenosnom počítači je možné čítať, aj keď je na šifrovanom disku, takže používanie systémov šifrovania pevného disku nie je dostatočným opatrením.

Použili sme niekoľko typov útokov na známe šifrovacie systémy pevných diskov. Najviac času zabrala inštalácia šifrovaných diskov a kontrola správnosti zistených šifrovacích kľúčov. Získanie obrazu RAM a vyhľadávanie kľúčov trvalo len niekoľko minút a bolo plne automatizované. Existuje dôvod domnievať sa, že väčšina systémov šifrovania pevných diskov je náchylná na podobné útoky.

BitLocker

BitLocker je systém zahrnutý v niektorých verziách systému Windows Vista. Funguje ako ovládač, ktorý beží medzi súborovým systémom a ovládačom pevného disku a na požiadanie šifruje a dešifruje vybrané sektory. Kľúče použité na šifrovanie zostávajú v pamäti RAM, pokiaľ je šifrovaný disk zašifrovaný.

Na šifrovanie každého sektora pevného disku používa BitLocker rovnaký pár kľúčov vytvorený algoritmom AES: sektorový šifrovací kľúč a šifrovací kľúč fungujúci v režime cipher block chaining (CBC). Tieto dva kľúče sú zašifrované hlavným kľúčom. Na zašifrovanie sektora sa vykoná procedúra binárneho sčítania na otvorenom texte s kľúčom relácie vygenerovaným zašifrovaním bajtu posunu sektora šifrovacím kľúčom sektora. Výsledné údaje sú potom spracované dvoma zmiešavacími funkciami, ktoré využívajú algoritmus Elephant vyvinutý spoločnosťou Microsoft. Tieto bezkľúčové funkcie sa používajú na zvýšenie počtu zmien vo všetkých šifrových bitoch, a teda na zvýšenie neistoty zašifrovaných sektorových údajov. V poslednej fáze sa dáta zašifrujú pomocou algoritmu AES v režime CBC s použitím príslušného šifrovacieho kľúča. Inicializačný vektor je určený zašifrovaním sektorového offsetového bajtu pomocou šifrovacieho kľúča používaného v režime CBC.

Implementovali sme plne automatizovaný demo útok s názvom BitUnlocker. V tomto prípade externé USB disk s OS Linux a upraveným zavádzačom založeným na SYSLINUX a ovládači FUSE, ktorý vám umožňuje pripojiť šifrované jednotky BitLocker k OS Linux. Na testovacom počítači so systémom Windows Vista bolo vypnuté napájanie, pripojený pevný disk USB a spustenie systému z neho. Potom BitUnlocker automaticky vypustil pamäť RAM externý disk, pomocou programu keyfind som vyhľadal možné kľúče, vyskúšal všetky vhodné možnosti (páry sektorového šifrovacieho kľúča a kľúča režimu CBC) a v prípade úspechu som pripojil zašifrovaný disk. Hneď po pripojení disku bolo možné s ním pracovať ako s každým iným diskom. Na modernom notebooku s 2 gigabajtami pamäte RAM tento proces trval približne 25 minút.

Je pozoruhodné, že tento útok bolo možné vykonávať bez reverzného inžinierstva akýkoľvek softvér. V dokumentácii systém Microsoft BitLocker je dostatočne opísaný, aby ste pochopili úlohu sektorového šifrovacieho kľúča a kľúča režimu CBC a vytvorili si vlastný program, ktorý implementuje celý proces.

Hlavným rozdielom medzi BitLockerom a inými programami v tejto triede je spôsob uloženia kľúčov pri odpojení šifrovanej jednotky. BitLocker v základnom režime štandardne chráni hlavný kľúč iba pomocou modulu TPM, ktorý existuje na mnohých moderných počítačoch. Táto metóda, ktorý sa zdá byť široko používaný, je obzvlášť zraniteľný voči nášmu útoku, pretože umožňuje získať šifrovacie kľúče, aj keď bol počítač dlhší čas vypnutý, keďže pri štarte počítača sa kľúče automaticky načítajú do pamäte RAM (predtým sa do systému zobrazí prihlasovacie okno) bez zadania akýchkoľvek autentifikačných údajov.

Špecialisti Microsoftu tento problém zjavne poznajú a preto odporúčajú nakonfigurovať BitLocker vo vylepšenom režime, kde sú kľúče chránené nielen pomocou TPM, ale aj heslom či kľúčom na externom USB disku. Ale aj v tomto režime je systém zraniteľný, ak útočník získa fyzický prístup k počítaču v momente, keď pracuje (môže byť dokonca uzamknutý alebo v režime spánku (stavy - jednoducho vypnuté alebo hibernácia v tomto prípade sú považované za nie sú náchylné na tento útok).

FileVault

Systém FileVault od Apple bol čiastočne preskúmaný a reverzne skonštruovaný. V systéme Mac OS X 10.4 používa FileVault 128-bitový kľúč AES v režime CBC. Po zadaní hesla používateľa sa dešifruje hlavička obsahujúca kľúč AES a druhý kľúč K2, ktorý sa používa na výpočet inicializačných vektorov. Inicializačný vektor pre I-tý diskový blok sa vypočíta ako HMAC-SHA1 K2(I).

Použili sme náš program EFI na vytvorenie obrázkov RAM na získanie údajov z počítača Macintosh (na základe procesor Intel) s pripojeným diskom zašifrovaným pomocou FileVault. Potom program keyfind automaticky našiel kľúče FileVault AES bez chýb.

Bez inicializačného vektora, ale s výsledným kľúčom AES, je možné dešifrovať 4080 zo 4096 bajtov každého bloku disku (všetky okrem prvého bloku AES). Ubezpečili sme sa, že na výpise je aj inicializačný vektor. Za predpokladu, že údaje ešte nie sú poškodené, útočník môže určiť vektor tak, že jeden po druhom vyskúša všetky 160-bitové reťazce vo výpise a skontroluje, či môžu vytvoriť možný otvorený text, keď sa binárne pridajú do dešifrovanej prvej časti bloku. . Spoločne pomocou programov ako vileefault, kľúčov AES a inicializačného vektora môžete úplne dešifrovať zašifrovaný disk.

Počas skúmania FileVault sme zistili, že Mac OS X 10.4 a 10.5 ponechávajú viaceré kópie hesla používateľa v pamäti, kde sú zraniteľné voči tomuto útoku. Heslá účtov sa často používajú na ochranu kľúčov, ktoré sa zase dajú použiť na ochranu prístupových fráz diskov šifrovaných FileVault.

TrueCrypt

TrueCrypt je populárny šifrovací systém s open source, beží na Windows, MacOS a Linux. Podporuje mnoho algoritmov, vrátane AES, Serpent a Twofish. Vo verzii 4 všetky algoritmy pracovali v režime LRW; v aktuálnej 5. verzii využívajú režim XTS. TrueCrypt ukladá šifrovací kľúč a upravuje kľúč v hlavičke oddielu na každom disku, ktorý je zašifrovaný iným kľúčom odvodeným od hesla zadaného používateľom.

Testovali sme TrueCrypt 4.3a a 5.0a bežiaci na Linuxe. Pripojili sme disk, zašifrovaný 256-bitovým kľúčom AES, potom sme odpojili napájanie a na spustenie systému sme použili vlastný softvér na výpis pamäte. V oboch prípadoch našiel keyfind 256-bitový neporušený šifrovací kľúč. Aj v prípade TrueCrypt 5.0.a dokázal keyfind obnoviť kľúč ladenia režimu XTS.

Ak chcete dešifrovať disky vytvorené programom TrueCrypt 4, musíte vyladiť kľúč režimu LRW. Zistili sme, že systém ho ukladá v štyroch slovách pred plán kľúča AES. V našom výpise nebol kľúč LRW poškodený. (Ak by sa vyskytli chyby, kľúč by sme stále dokázali obnoviť).

Dm-krypta

Linuxové jadro počnúc verziou 2.6 obsahuje vstavanú podporu pre dm-crypt, subsystém na šifrovanie disku. Dm-crypt používa rôzne algoritmy a režimy, ale štandardne používa 128-bitovú šifru AES v režime CBC s IV generovanými nie na základe kľúčových informácií.

Oddiel vytvorený pomocou dm-crypt sme testovali pomocou vetvy LUKS (Linux Unified Key Setup) pomôcky cryptsetup a jadra 2.6.20. Disk bol zašifrovaný pomocou AES v režime CBC. Krátko sme vypli napájanie a pomocou upraveného PXE bootloaderu sme urobili výpis pamäte. Program keyfind zistil správny 128-bitový kľúč AES, ktorý bol obnovený bez akýchkoľvek chýb. Po jej obnovení môže útočník dešifrovať a pripojiť šifrovanú oblasť dm-crypt úpravou pomôcky cryptsetup tak, aby akceptovala kľúče v požadovanom formáte.

Spôsoby ochrany a ich obmedzenia

Implementácia ochrany proti útokom na RAM nie je triviálna, keďže použité kryptografické kľúče musia byť niekde uložené. Odporúčame zamerať úsilie na zničenie alebo skrytie kľúčov predtým, ako útočník získa fyzický prístup k počítaču, zabrániť spusteniu softvéru na výpis pamäte RAM, fyzicky chrániť čipy RAM a znížiť životnosť údajov RAM, ak je to možné.

Prepisovanie pamäte

V prvom rade by ste sa mali vždy, keď je to možné, vyhnúť ukladaniu kľúčov do pamäte RAM. Keď sa kľúčové informácie už nepoužívajú, musíte ich prepísať a zabrániť kopírovaniu údajov do stránkovacích súborov. Pamäť musí byť vopred vymazaná pomocou nástrojov OS alebo ďalších knižníc. Prirodzene, tieto opatrenia nechránia tých, ktorí sa používajú v tento moment kľúče, pretože musia byť uložené v pamäti, ako sú tie, ktoré sa používajú pre šifrované disky alebo na zabezpečených webových serveroch.

Počas procesu zavádzania musí byť tiež vymazaná pamäť RAM. Niektoré počítače môžu byť nakonfigurované tak, aby vymazali RAM pri zavádzaní pomocou požiadavky POST (Power-on Self-Test) pred načítaním operačného systému. Ak útočník nedokáže zabrániť vykonaniu tejto žiadosti, potom na tomto PC nebude mať možnosť urobiť výpis pamäte s dôležitými informáciami. Stále však má možnosť odstrániť čipy RAM a vložiť ich do iného počítača s nastaveniami systému BIOS, ktoré potrebuje.

Obmedzenie sťahovania zo siete alebo z vymeniteľných médií

Mnohé z našich útokov boli vykonané pomocou sťahovania cez sieť alebo z vymeniteľných médií. Počítač musí byť nakonfigurovaný tak, aby na zavedenie z týchto zdrojov vyžadoval heslo správcu. Treba však poznamenať, že aj keď je systém nakonfigurovaný tak, aby sa spúšťal iba z hlavného pevného disku, útočník môže zmeniť samotný pevný disk alebo v mnohých prípadoch resetovať NVRAM počítača, aby sa vrátil späť na počiatočné nastavenia BIOS.

Bezpečný režim spánku

Výsledky štúdie ukázali, že jednoduché uzamknutie pracovnej plochy počítača (to znamená, že operačný systém naďalej funguje, ale aby ste s ním mohli začať pracovať, musíte zadať heslo) nechráni obsah pamäte RAM. Režim hibernácie tiež nie je účinný, ak je počítač pri návrate z režimu spánku uzamknutý, pretože útočník môže aktivovať návrat z režimu spánku, potom reštartovať prenosný počítač a urobiť výpis pamäte. Režim hibernácie (obsah pamäte RAM sa skopíruje na pevný disk) tiež nepomôže, s výnimkou prípadov použitia kľúčových informácií na odcudzených médiách na obnovenie normálneho fungovania.

Vo väčšine systémov šifrovania pevných diskov sa používatelia môžu chrániť vypnutím počítača. (Systém Bitlocker v základnom režime prevádzky modulu TPM zostáva zraniteľný, pretože disk sa pripojí automaticky po zapnutí PC). Obsah pamäte môže po odpojení chvíľu pretrvávať, preto sa odporúča monitorovať vašu pracovnú stanicu ešte niekoľko minút. Napriek svojej účinnosti je toto opatrenie mimoriadne nepohodlné dlhý čas načítania pracovné stanice.

Prechod do režimu spánku je možné zabezpečiť nasledujúcimi spôsobmi: vyžadovať heslo alebo iné tajomstvo na „prebudenie“ pracovnej stanice a zašifrovanie obsahu pamäte kľúčom odvodeným od tohto hesla. Heslo musí byť silné, pretože útočník môže vytvoriť výpis pamäte a potom sa pokúsiť uhádnuť heslo hrubou silou. Ak nie je možné zašifrovať celú pamäť, musíte zašifrovať iba tie oblasti, ktoré obsahujú kľúčové informácie. Niektoré systémy môžu byť nakonfigurované na vstup do tohto typu chráneného režimu spánku, hoci to zvyčajne nie je predvolené nastavenie.

Vyhýbanie sa predbežným výpočtom

Náš výskum ukázal, že používanie predvýpočtov na urýchlenie kryptografických operácií robí kľúčové informácie zraniteľnejšími. Predbežné výpočty vedú k tomu, že sa v pamäti objavia nadbytočné informácie o kľúčových údajoch, čo útočníkovi umožňuje obnoviť kľúče aj v prípade chýb. Napríklad, ako je opísané v časti 5, informácie o iteračných kľúčoch algoritmov AES a DES sú mimoriadne nadbytočné a pre útočníka užitočné.

Nevykonávanie predbežných výpočtov zníži výkon, pretože potenciálne zložité výpočty sa budú musieť opakovať. Ale napríklad môžete vopred vypočítané hodnoty uložiť do vyrovnávacej pamäte na určité časové obdobie a vymazať prijaté údaje, ak sa počas tohto intervalu nepoužívajú. Tento prístup predstavuje kompromis medzi bezpečnosťou a výkonom systému.

Rozšírenie kľúča

Ďalším spôsobom, ako zabrániť obnoveniu kľúča, je zmeniť informácie o kľúči uložené v pamäti takým spôsobom, aby sa sťažilo obnovenie kľúča v dôsledku rôznych chýb. Táto metóda bola diskutovaná v teórii, kde bola ukázaná funkcia odolná voči objavom, ktorej vstupy zostávajú skryté, aj keď boli objavené prakticky všetky výstupy, podobne ako fungovanie jednosmerných funkcií.

V praxi si predstavte, že máme 256-bitový kľúč AES K, ktorý sa momentálne nepoužíva, ale bude potrebný neskôr. Nemôžeme ho prepísať, ale chceme, aby bol odolný voči pokusom o obnovenie. Jedným zo spôsobov, ako to dosiahnuť, je alokovať veľkú B-bitovú dátovú oblasť, vyplniť ju náhodnými dátami R a potom uložiť do pamäte výsledok nasledujúcej transformácie K+H(R) (binárna sumacia, pozn. red.), kde H je hašovacia funkcia, ako napríklad SHA-256.

Teraz si predstavte, že napájanie bolo vypnuté, čo by spôsobilo zmenu d bitov v tejto oblasti. Ak je hašovacia funkcia silná, pri pokuse o obnovenie kľúča K sa útočník môže spoľahnúť len na to, že dokáže uhádnuť, ktoré bity oblasti B boli zmenené z približne polovice, ktorá sa mohla zmeniť. Ak sa zmenilo d bitov, útočník bude musieť vyhľadať oblasť veľkosti (B/2+d)/d, aby našiel správne hodnoty R a potom obnoviť kľúč K. Ak je oblasť B veľká, napr. vyhľadávanie môže byť veľmi dlhé, aj keď d je relatívne malé

Teoreticky by sme takto mohli ukladať všetky kľúče, pričom by sme každý kľúč počítali len vtedy, keď ho potrebujeme, a vymazávali ho, keď ho nepotrebujeme. Pomocou vyššie uvedenej metódy teda môžeme kľúče uložiť do pamäte.

Fyzická ochrana

Niektoré z našich útokov sa spoliehali na fyzický prístup k pamäťovým čipom. Takýmto útokom sa dá predchádzať fyzická ochrana Pamäť. Pamäťové moduly sú napríklad umiestnené v uzavretej PC skrini alebo sú utesnené epoxidovým lepidlom, aby sa zabránilo pokusom o ich vybratie alebo prístup. Môžete tiež implementovať vymazanie pamäte ako reakciu na nízke teploty alebo pokusy o otvorenie puzdra. Táto metóda bude vyžadovať inštaláciu snímačov s nezávislým systémom napájania. Mnohé z týchto metód zahŕňajú hardvér odolný voči neoprávnenej manipulácii (ako je koprocesor IBM 4758) a môžu výrazne zvýšiť náklady na pracovnú stanicu. Na druhej strane využitie pamäte spájkovanej do základná doska, bude stáť oveľa menej.

Zmena architektúry

Môžete zmeniť architektúru počítača. To je nemožné pre už používané PC, ale umožní vám to zabezpečiť nové.

Prvým prístupom je navrhnúť moduly DRAM tak, aby rýchlejšie vymazali všetky údaje. To môže byť zložité, pretože cieľ vymazať údaje čo najrýchlejšie je v rozpore s druhým cieľom, ktorým je zabrániť strate údajov medzi periódami obnovy pamäte.

Ďalším prístupom je pridanie hardvéru na ukladanie kľúčových informácií, ktorý zaručene vymaže všetky informácie z úložiska pri spustení, reštarte a vypnutí. Takto budeme mať bezpečné miesto na uloženie viacerých kľúčov, aj keď zraniteľnosť spojená s ich predbežným výpočtom zostane.

Iní odborníci navrhli architektúru, v ktorej by bol obsah pamäte trvalo zašifrovaný. Ak okrem toho implementujeme vymazanie kľúčov počas reštartu a výpadku napájania, potom táto metóda poskytne dostatočnú ochranu pred útokmi, ktoré sme opísali.

Trusted Computing

V niektorých počítačoch sa už používa hardvér zodpovedajúci konceptu „trusted computing“, napríklad vo forme modulov TPM. Hoci sú užitočné pri ochrane pred niektorými útokmi, v súčasnej podobe takéto vybavenie nepomáha predchádzať útokom, ktoré popisujeme.

Použité moduly TPM neimplementujú úplné šifrovanie. Namiesto toho sledujú proces zavádzania, aby rozhodli, či je bezpečné načítať kľúč do pamäte RAM alebo nie. Ak softvér potrebuje použiť kľúč, potom je možné implementovať nasledujúcu technológiu: kľúč v použiteľnej forme nebude uložený v pamäti RAM, kým proces zavádzania neprebehne podľa očakávania. Akonáhle je však kľúč v pamäti RAM, okamžite sa stáva cieľom našich útokov. Moduly TPM môžu zabrániť načítaniu kľúča do pamäte, ale nezabránia jeho čítaniu z pamäte.

závery

Na rozdiel od všeobecného presvedčenia, moduly DRAM uchovávajú dáta relatívne dlho, keď sú vypnuté. Naše experimenty ukázali, že tento jav umožňuje celú triedu útokov, ktoré dokážu získať citlivé údaje, ako sú šifrovacie kľúče, z pamäte RAM, a to aj napriek pokusom OS chrániť jej obsah. Útoky, ktoré sme opísali, je možné realizovať v praxi a dokazujú to aj naše príklady útokov na populárne šifrovacie systémy.

Zraniteľné sú však aj iné typy softvéru. Systémy správy digitálnych práv (DRM) často používajú symetrické kľúče uložené v pamäti a tie možno získať aj pomocou opísaných metód. Ako sme ukázali, webové servery s povoleným SSL sú tiež zraniteľné, pretože ukladajú do pamäte súkromné ​​kľúče potrebné na vytvorenie relácií SSL. Naše metódy na vyhľadávanie kľúčových informácií budú pravdepodobne účinné pri hľadaní hesiel, čísel účtov a iných dôležitá informácia, uložený v pamäti RAM.

Vyzerá to tak, že nie jednoduchý spôsob eliminovať nájdené zraniteľnosti. Zmena softvéru s najväčšou pravdepodobnosťou nebude účinná; hardvérové ​​zmeny pomôžu, ale náklady na čas a zdroje budú vysoké; Dôveryhodná výpočtová technika v súčasnej podobe je tiež neúčinná, pretože nedokáže ochrániť kľúče umiestnené v pamäti.

Podľa nášho názoru sú na toto riziko najviac náchylné notebooky, ktoré sa často nachádzajú na verejných miestach a fungujú v režimoch, ktoré sú voči týmto útokom zraniteľné. Prítomnosť takýchto rizík ukazuje, že šifrovanie disku chráni dôležité dáta v menšej miere, ako sa bežne verí.

V dôsledku toho možno budete musieť s pamäťou DRAM zaobchádzať ako s nedôveryhodným komponentom moderného počítača a vyhnúť sa tomu, aby ste v nej spracovávali citlivé citlivé informácie. Zatiaľ to však nie je praktické, kým sa architektúra moderných počítačov nezmení tak, aby umožnila softvéru ukladať kľúče na bezpečnom mieste.

S otvoreným zdrojový kód je populárny už 10 rokov vďaka svojej nezávislosti od veľkých predajcov. Tvorcovia programu sú verejne neznámi. Medzi najznámejších používateľov programu patrí Edward Snowden a bezpečnostný expert Bruce Schneier. Pomôcka umožňuje previesť flash disk resp HDD na bezpečné šifrované úložisko, kde sú dôverné informácie skryté pred zvedavými očami.

Záhadní vývojári nástroja oznámili ukončenie projektu v stredu 28. mája s vysvetlením, že používanie TrueCrypt nie je bezpečné. "UPOZORNENIE: Používanie TrueCrypt nie je bezpečné, pretože... program môže obsahovať nevyriešené zraniteľnosti“ – túto správu môžete vidieť na stránke produktu na portáli SourceForge. Nasleduje ďalšia správa: „Musíte migrovať všetky údaje šifrované pomocou TrueCrypt na šifrované disky alebo obrazy virtuálnych diskov podporované na vašej platforme.“

Nezávislý bezpečnostný expert Graham Cluley sa k súčasnej situácii celkom logicky vyjadril: „Je čas nájsť alternatívne riešenie pre šifrovanie súborov a pevných diskov.“

Nerobím si srandu!

Pôvodne sa objavovali návrhy, že webovú stránku programu napadli kyberzločinci, no teraz sa ukazuje, že nejde o hoax. SourceForge teraz ponúka aktualizovanú verziu TrueCrypt (ktorá má digitálny podpis vývojári), pri inštalácii ktorých sa odporúča prejsť na BitLocker alebo iný alternatívny nástroj.

Profesor kryptografie z John Hopkins University Matthew Green povedal: "Je veľmi nepravdepodobné, že neznámy hacker identifikoval vývojárov TrueCrypt, ukradol ich digitálny podpis a napadol ich webovú stránku."

Čo použiť teraz?

Stránka a kontextové upozornenie v samotnom programe obsahujú pokyny na prenos súborov zašifrovaných TrueCrypt do služby BitLocker spoločnosti Microsoft, ktorá sa dodáva s Microsoft Vista Ultimate/Enterprise, Windows 7 Ultimate/Enterprise a Windows 8 Pro/Enterprise. TrueCrypt 7.2 vám umožňuje dešifrovať súbory, ale neumožňuje vytvárať nové šifrované oddiely.

Najzrejmejšou alternatívou k programu je BitLocker, existujú však aj iné možnosti. Schneier povedal, že sa vracia k používaniu PGPDisk od Symantecu. (110 USD za užívateľskú licenciu) používa známu a osvedčenú metódu šifrovania PGP.

Sú aj iní bezplatné alternatívy pre Windows, ako je DiskCryptor. Výskumník počítačová bezpečnosť, známy ako The Grugq, minulý rok zostavil celok, ktorý je aktuálny aj dnes.

Johannes Ulrich, vedecký riaditeľ SANS Institute of Technology, odporúča, aby používatelia Mac OS X venovali pozornosť FileVault 2, ktorý je zabudovaný do OS X 10.7 (Lion) a novších operačných systémov tejto rodiny. FileVault používa 128-bitové šifrovanie XTS-AES, ktoré používa americká Národná bezpečnostná agentúra (NSA). Podľa Ulricha Používatelia Linuxu musí dodržiavať vstavaný systémový nástroj Linux Unified Key Setup (LUKS). Ak používate Ubuntu, inštalátor tohto OS vám už umožňuje povoliť úplné šifrovanie disku od úplného začiatku.

Používatelia však budú potrebovať iné aplikácie na šifrovanie prenosných médií, ktoré sa používajú na počítačoch s rôznymi operačnými systémami. Ulrich povedal, že v tomto prípade prichádza na myseľ .

Nemecká spoločnosť Steganos ponúka využitie stará verzia jeho šifrovacia pomôcka Steganos Safe ( aktuálna verzia momentálne - 15, ale navrhuje sa použiť verziu 14), ktorá je distribuovaná bezplatne.

Neznáme zraniteľnosti

Skutočnosť, že TrueCrypt môže mať slabé miesta v zabezpečení, je vážnym problémom, najmä preto, že audit programu takéto problémy neodhalil. Používatelia programu získali na audit 70 000 dolárov po fámach, že Národná bezpečnostná agentúra USA by mohla dekódovať značné množstvo zašifrovaných údajov. Prvá fáza štúdie, ktorá analyzovala zavádzač TrueCrypt, bola vykonaná minulý mesiac. Audit neodhalil žiadne zadné vrátka ani úmyselné slabé miesta. Ďalšia fáza štúdie, ktorá by testovala používané kryptografické metódy, bola naplánovaná na toto leto.

Green bol jedným z expertov zapojených do auditu. Povedal, že nemá predbežné informácie o tom, že developeri plánujú projekt uzavrieť. Green povedal: „Posledné, čo som od vývojárov TrueCrypt počul, bolo: „Tešíme sa na výsledky 2. fázy. Ďakujem vám za vaše úsilie!" Treba poznamenať, že audit bude pokračovať podľa plánu aj napriek odstávke projektu TrueCrypt.

Možno sa tvorcovia programu rozhodli pozastaviť vývoj, pretože nástroj je zastaraný. Vývoj sa zastavil 5.5.2014, t.j. po oficiálnom ukončení podpory systémy Windows XP. SoundForge spomína: "Windows 8/7/Vista a novšie systémy majú vstavané nástroje na šifrovanie diskov a obrazov virtuálnych diskov." Šifrovanie údajov je teda zabudované do mnohých operačných systémov a vývojári možno zistili, že program už nie je potrebný.

Aby sme priliali olej do ohňa, 19. mája bol TrueCrypt odstránený zo zabezpečeného systému Tails (Snowdenov obľúbený systém). Dôvod nie je úplne jasný, ale program by sa jednoznačne nemal používať, poznamenal Cluley.

Cluley tiež napísal: „Či už ide o podvod, hack alebo logický koniec životného cyklu TrueCryptu, je jasné, že svedomití používatelia sa po tomto fiasku nebudú cítiť pohodlne pri dôverovaní programu so svojimi údajmi.“

Toto je štvrtý z piatich článkov na našom blogu venovanom VeraCrypt, podrobne skúma a dáva návod krok za krokom, ako používať VeraCrypt na šifrovanie systémového oddielu alebo celého disku s nainštalovaným operačným systémom Windows.

Ak hľadáte spôsob, ako zašifrovať nesystémový pevný disk, zašifrovať jednotlivé súbory alebo celý USB flash disk a chcete sa dozvedieť viac o VeraCrypt, pozrite si tieto odkazy:

Toto šifrovanie je najbezpečnejšie, pretože absolútne všetky súbory vrátane akýchkoľvek dočasných súborov, súboru hibernácie (režim spánku), odkladacieho súboru a iných sú vždy šifrované (aj v prípade neočakávaného výpadku napájania). Časopis operačný systém a zašifrovaný bude aj register, v ktorom je uložených veľa dôležitých údajov.

Systémové šifrovanie funguje prostredníctvom autentifikácie pred spustením systému. Pred spustením systému Windows budete musieť zadať heslo, ktoré dešifruje systémový oddiel disku, ktorý obsahuje všetky súbory operačného systému.

Táto funkcionalita je implementovaná pomocou zavádzača VeraCrypt, ktorý nahrádza štandardný zavádzač systému. Systém môžete zaviesť, ak je boot sektor pevného disku a tým aj samotný bootloader poškodený pomocou VeraCrypt Rescue Disk.

Upozorňujeme, že systémový oddiel je za behu operačného systému zašifrovaný. Kým proces prebieha, môžete počítač používať ako zvyčajne. Vyššie uvedené platí aj pre dešifrovanie.

Zoznam operačných systémov, pre ktoré je podporované šifrovanie systémového disku:

• Windows 10
• Windows 8 a 8.1
• Windows 7
• Windows Vista (SP1 alebo novší)
• Windows XP
• Windows Server 2012
• Windows Server 2008 a Windows Server 2008 R2 (64-bitový)
• Windows Server 2003

V našom prípade šifrujeme počítač so systémom Windows 10 a jedným diskom C:\

Krok 1 - Zašifrujte systémový oddiel

Spustite VeraCrypt, v hlavnom okne programu prejdite na kartu Systém a vyberte prvú položku ponuky Šifrovať systémový oddiel/disk (Zašifrovať systémový oddiel/disk).

Krok 2 – Výber typu šifrovania

Nechajte predvolený typ Normálne (obyčajné) Ak chcete vytvoriť skrytý oddiel alebo skrytý operačný systém, venujte pozornosť ďalším funkciám VeraCrypt. Kliknite Ďalšie

Krok 3 – Oblasť šifrovania

V našom prípade nie je zásadne dôležité šifrovať celý disk alebo len systémový oddiel, keďže na disku máme len jeden oddiel, ktorý zaberá všetko voľné miesto. Je možné, že váš fyzický disk je rozdelený napríklad na niekoľko oddielov C:\ A D:\. Ak je to tak a chcete zašifrovať oba oddiely, vyberte si Zašifrujte celý disk.

Upozorňujeme, že ak máte nainštalovaných niekoľko fyzických diskov, budete musieť zašifrovať každý z nich samostatne. Disk so systémovou oblasťou pomocou týchto pokynov. Ako šifrovať disk s údajmi je napísané.

Vyberte, či chcete zašifrovať celý disk alebo len systémový oddiel a kliknite na tlačidlo Ďalšie.

Krok 4 – Šifrovanie skrytých oddielov

Vyberte Áno ak má vaše zariadenie skryté sekcie pomocou nástrojov výrobcu počítača a chcete ich zašifrovať, zvyčajne to nie je potrebné.

Krok 5 – Počet operačných systémov

Nebudeme analyzovať prípad, keď je na počítači nainštalovaných niekoľko operačných systémov naraz. Vyberte a stlačte tlačidlo Ďalšie.

Krok 6 – Nastavenia šifrovania

Výber šifrovacích a hašovacích algoritmov, ak si nie ste istí, čo zvoliť, ponechajte hodnoty AES A SHA-512 predvolene ako najvýkonnejšia možnosť.

Krok 7 – Heslo

Toto je dôležitý krok; tu si musíte vytvoriť silné heslo, ktoré sa použije na prístup do šifrovaného systému. Odporúčame vám, aby ste si pozorne prečítali odporúčania vývojárov v okne Sprievodca vytvorením zväzku, ako si vybrať dobré heslo.

Krok 8 – Zhromažďovanie náhodných údajov

Tento krok je potrebný na vygenerovanie šifrovacieho kľúča na základe predtým zadaného hesla; čím dlhšie pohybujete myšou, tým bezpečnejšie budú výsledné kľúče. Pohybujte myšou náhodne aspoň dovtedy, kým sa indikátor nerozsvieti nazeleno, potom kliknite Ďalšie.

Krok 9 - Generované kľúče

Tento krok vás informuje, že šifrovacie kľúče, väzba (soľ) a ďalšie parametre boli úspešne vytvorené. Toto je informačný krok, kliknite Ďalšie.

Krok 10 – Obnovovací disk

Zadajte cestu, kam sa uloží ISO obraz obnovovací disk (záchranný disk), tento obraz možno budete potrebovať, ak je zavádzač VeraCrypt poškodený a stále budete musieť zadať správne heslo.

Uložte obraz obnovovacieho disku na vymeniteľné médium (napríklad flash disk) alebo ho napáľte na optický disk (odporúčame) a kliknite na Ďalšie.

Krok 11 – Vytvorí sa obnovovací disk

Poznámka! Každý šifrovaný systémový oddiel vyžaduje vlastný obnovovací disk. Nezabudnite ho vytvoriť a uložiť na vymeniteľné médium. Neukladajte obnovovací disk na rovnakú zašifrovanú systémovú jednotku.

Iba obnovovací disk vám môže pomôcť dešifrovať údaje v prípade technických porúch a problémov s hardvérom.

Krok 12 – Čistenie voľné miesto

Vymazanie voľného miesta vám umožňuje natrvalo odstrániť predtým vymazané údaje z disku, ktoré je možné obnoviť pomocou špeciálnych techník (obzvlášť dôležité pre tradičné magnetické pevné disky).

Ak šifrujete SSD disk, vyberte 1 alebo 3 priechody, pre magnetické disky odporúčame 7 alebo 35 priechodov.

Upozorňujeme, že táto operácia ovplyvní celkový čas šifrovania disku, preto ju odmietnite, ak váš disk predtým neobsahoval dôležité vymazané údaje.

Nevyberajte si 7 alebo 35 preukazov SSD disky, mikroskopia magnetickej sily v prípade SSD diskov nefunguje, stačí 1 prechod.

Krok 13 – Test šifrovania systému

Vykonajte predbežný test šifrovania systému a uvidíte správu, že rozhranie zavádzača VeraCrypt je úplne v angličtine.

Shan 14 – Čo robiť, ak sa systém Windows nespustí

Prečítajte si, alebo ešte lepšie, vytlačte si odporúčania pre prípad, čo robiť, ak sa systém Windows po reštarte nespustí (toto sa stáva).

Kliknite OK ak ste si prečítali a pochopili správu.

Požiadavky na súkromie a bezpečnosť počítača sú úplne určené povahou údajov, ktoré sú na ňom uložené. Jedna vec je, ak váš počítač slúži ako zábavná stanica a nie je na ňom nič okrem niekoľkých hračiek a ocka s fotkami vašej obľúbenej mačky, no úplne iná vec je, ak pevný disk obsahuje údaje, ktoré sú obchodným tajomstvom, ktoré by vás mohli zaujímať. konkurentom.

Prvou „obrannou líniou“ je prihlasovacie heslo, ktoré sa vyžaduje pri každom zapnutí počítača.

Ďalšou úrovňou ochrany sú prístupové práva na úrovni systém súborov. Používateľovi, ktorý nemá oprávnenia, sa pri pokuse o prístup k súborom zobrazí chyba.

Opísané spôsoby však majú jednu mimoriadne významnú nevýhodu. Oba fungujú na úrovni operačného systému a dajú sa pomerne jednoducho obísť, ak máte trochu času a fyzického prístupu k počítaču (napríklad bootovaním z USB flash disku môžete resetovať administrátorské heslo alebo zmeniť oprávnenia súborov). Úplnú dôveru v bezpečnosť a dôvernosť údajov možno získať iba vtedy, ak využívate výdobytky kryptografie a bezpečne ich používate. Nižšie sa pozrieme na dva spôsoby takejto ochrany.

Prvou metódou, o ktorej sa dnes uvažuje, bude vstavaná šifrovacia ochrana spoločnosti Microsoft. Šifrovanie s názvom BitLocker sa prvýkrát objavilo vo Windows 8. Nedá sa použiť na zabezpečenie jednotlivého priečinka alebo súboru, dostupné je len šifrovanie celého disku. To vedie najmä k tomu, že nie je možné zašifrovať systémový disk (systém nebude možné zaviesť) a tiež nie je možné ukladať dôležité údaje do systémových knižníc, ako je napríklad „Moje dokumenty“ (v predvolenom nastavení sú umiestnené na systémovom oddiele).
Ak chcete povoliť vstavané šifrovanie, postupujte takto:

1. Otvorte program Explorer, kliknite pravým tlačidlom myši na jednotku, ktorú chcete zašifrovať, a vyberte možnosť „Povoliť nástroj BitLocker“.
   
2. Zaškrtnite políčko „Použiť heslo na odomknutie disku“, vytvorte a dvakrát zadajte heslo, ktoré spĺňa bezpečnostné požiadavky (minimálne 8 znakov, musí obsahovať malé a veľké písmená, je vhodné zadať aspoň jeden špeciálny znak) a kliknite na tlačidlo „Ďalej“. V rámci tejto poznámky nebudeme uvažovať o druhej možnosti odblokovania, pretože čítačky čipových kariet sú pomerne zriedkavé a používajú sa v organizáciách, ktoré majú vlastnú službu informačnej bezpečnosti.
   
3. V prípade straty hesla systém ponúkne vytvorenie špeciálneho kľúča na obnovenie. Dá sa pripevniť na účtu Microsoft, uložte do súboru alebo jednoducho vytlačte na tlačiarni. Vyberte jednu z metód a po uložení kľúča kliknite na „Ďalej“. Tento kľúč by ste mali chrániť pred cudzími ľuďmi, pretože ako poistka proti vašej zábudlivosti sa môže stať „zadnými dvierkami“, cez ktoré uniknú vaše údaje.
   
4. Na ďalšej obrazovke vyberte, či chcete zašifrovať celý disk alebo len použité miesto. Druhý bod je pomalší, ale spoľahlivejší.
   
5. Vyberte šifrovací algoritmus. Ak neplánujete migrovať disk medzi počítačmi, zvoľte robustnejší najnovší režim, v opačnom prípade režim kompatibility.
   
6. Po nakonfigurovaní nastavení kliknite na tlačidlo „Spustiť šifrovanie.“ Po chvíli čakania budú údaje na vašom disku bezpečne zašifrované.
   
7. Po odhlásení alebo reštarte sa chránený zväzok stane nedostupným a na otvorenie súborov sa bude vyžadovať heslo.
   

DiskCryptor

Druhým kryptografickým nástrojom, na ktorý sa dnes pozeráme, je DiskCryptor, bezplatné a open source riešenie. Ak ho chcete použiť, postupujte podľa nasledujúcich pokynov:

1. Stiahnite si inštalačný program programu z oficiálnej webovej stránky pomocou odkazu. Spustite stiahnutý súbor.
2. Proces inštalácie je veľmi jednoduchý, pozostáva z niekoľkonásobného stlačenia tlačidla „Ďalej“ a nakoniec reštartovania počítača.
   
   

   

   

   

   

3. Po reštarte spustite program DiskCryptor z priečinka programu alebo kliknutím na odkaz na pracovnej ploche.
4. V okne, ktoré sa otvorí, kliknite na disk, ktorý chcete zašifrovať, a kliknite na tlačidlo „Šifrovať“.
   
5. Ďalším krokom je výber šifrovacieho algoritmu a rozhodnutie, či je potrebné pred zašifrovaním z disku vymazať všetky údaje (ak neplánujete zničiť informácie, v zozname „Režim vymazania“ vyberte možnosť „Žiadne“).
   
6. Dvakrát zadajte dešifrovacie heslo (odporúča sa vytvoriť zložité heslo, aby pole „Hodnotenie hesla“ bolo aspoň „Vysoké“). Potom kliknite na „OK“.
   
7. Po chvíli čakania bude disk zašifrovaný. Po reštarte alebo odhlásení budete musieť spustiť obslužný program, kliknúť na tlačidlo „Pripojiť“ alebo „Pripojiť všetko“, zadať heslo a kliknúť na „OK“.
   

Nepochybnou výhodou tejto pomôcky v porovnaní s mechanizmom BitLocker je, že ju možno použiť na systémoch vydaných pred Windowsom 8 (podporovaný je dokonca aj Windows XP, ktorého podpora bola ukončená). DiskCryptor má však aj niekoľko významných nevýhod:

• neexistujú žiadne spôsoby, ako obnoviť prístup k šifrovaným informáciám (ak zabudnete heslo, zaručene stratíte svoje údaje);
• Podporované je len odomykanie heslom, nie je možné použiť čipové karty alebo biometrické senzory;
• Azda najväčšou nevýhodou používania DiskCryptoru je, že to bude môcť útočník s administratívnym prístupom do systému štandardné prostriedky formátovať disk. Áno, nezíska prístup k údajom, ale stratíte ich aj vy.

Aby som to zhrnul, môžem povedať, že ak má váš počítač nainštalovaný operačný systém počnúc Windows 8, potom je lepšie použiť vstavanú funkčnosť.

Šifrujte pevný disk alebo jeden z jeho oddielov bez programov a veľkého úsilia

Dnes sa pozrieme na otázku, ako môžete zašifrovať pevný disk alebo jeho jednotlivé oddiely bez použitia zložitých programov alebo špeciálneho úsilia.

Otázka, prečo šifrovať pevný disk (pevný disk), je rétorická.

Ciele šifrovania sa môžu medzi používateľmi mierne líšiť, ale vo všeobecnosti sa každý snaží zakázať prístup k oddielu alebo celému pevnému disku neoprávneným osobám.

Je to pochopiteľné v našej dobe rozmáhajúcej sa počítačovej kriminality a vo všeobecnosti malých počítačových nezbedníkov môžete stratiť dôležité osobné súbory.

Pozrime sa teda na najjednoduchší spôsob šifrovania pevného disku alebo jedného z jeho oddielov.

Metóda, ktorú použijeme:

Šifrovanie Bitlocker (zabudované do Windows 7 Ultimate a Enterprise)

Takže, začnime. Táto metóda „kódovania“ pevného disku je zabudovaná do systému Windows a nazýva sa Bitlocker. Výhody tejto metódy:

• Netreba žiadne programy tretích strán, všetko, čo potrebujeme, je už v operačnom systéme (OS)
• Ak bol pevný disk odcudzený, jeho pripojenie k inému počítaču bude stále vyžadovať heslo

V konečnej fáze pri ukladaní prístupového kľúča je tiež jedným zo spôsobov jeho zápis na flash disk, takže by ste sa o ňom mali rozhodnúť vopred.

Táto metóda samotná bola súčasťou systému Windows Vista. V "Sedmičke" má vylepšenú verziu.

Mnohí si pri inštalácii OS Windows mohli všimnúť, že sa predtým vytvorila malá partícia s veľkosťou 100 megabajtov lokálny disk"C", teraz viete, na čo to je.

Áno, len pre šifrovanie Bitlocker (vo Vista to bolo 1,5 gigabajtu).

Ak ho chcete povoliť, prejdite na „Ovládací panel“ - „Systém a zabezpečenie“ - „Bitlocker Disk Encryption“.

Rozhodneme sa pre disk, ktorý sa má zašifrovať, a vyberieme „Povoliť Bitlocker“.

Ak sa zobrazí správa, ako na obrázku nižšie, musíte vykonať malé zmeny v systémových nastaveniach:

Ak to chcete urobiť, v časti „Štart“ zadáme do vyhľadávacieho panela „politika“ a zobrazia sa možnosti vyhľadávania.

Vyberte „Zmeniť skupinovú politiku“:

Ocitneme sa v editore, v ktorom musíme sledovať: Konfigurácia počítača - Šablóny pre správu - Komponenty Windows - Šifrovanie diskov Bitlocker - Disky operačného systému. Vpravo dvakrát kliknite na „Požadované dodatočné overenie“:

V zobrazenej ponuke vyberte možnosť „Povoliť“ a navyše musíte začiarknuť políčko „Povoliť používanie Bitlockeru bez kompatibilného TPM“ - potvrďte naše nastavenia - OK.

Musíte sa tiež rozhodnúť pre metódu šifrovania. Musíme dať čo najkomplexnejšiu metódu.

Za týmto účelom postupujeme rovnakou cestou ako v predchádzajúcom odseku, zastavíme sa iba v priečinku „Bitlocker Disk Encryption“; vpravo vidíme súbor - „Vyberte metódu šifrovania disku a silu šifrovania“.

Najspoľahlivejšie je tu AES s 256-bitovým šifrovaním, vyberte ho, kliknite na „Použiť“ a „OK“.

Všetko je teraz možné voľne používať so šifrovaním.

Ako na začiatku článku, prejdite na „Ovládací panel“ - „Systém a zabezpečenie“ - „Bitlocker Disk Encryption“. Kliknite na „Povoliť“.

Budeme mať prístup k jediná cesta, ktorá vyžaduje kľúč. Bude to na flash disku.

Výsledný kľúč je napísaný normálne textový súbor. Potom sa zobrazí výzva na aktiváciu kontroly, začiarknutie políčka a „pokračovať“.

Poďme reštartovať. Ak všetko prebehlo dobre, pri ďalšom zapnutí sa spustí proces šifrovania oblasti pevného disku.

Z časového hľadiska bude proces trvať v závislosti od výkonu systému – zvyčajne od niekoľkých minút až po niekoľko hodín (ak ide o niekoľko stoviek gigabajtov oddielov).

Po dokončení dostaneme správu - Šifrovanie dokončené. Nezabudnite na prístupové kľúče, skontrolujte ich.

Pozreli sme sa na veľmi jednoduchý spôsob, ako zašifrovať pevný disk bez akýchkoľvek programov tretích strán a hlbokých znalostí v oblasti kryptografie.

Táto metóda je veľmi efektívna a pohodlná, môžete ju použiť aj na šifrovanie flash disku, o tomto probléme sa bude diskutovať v nasledujúcom článku.